本文介绍一些 Lsass.exe 进程基本知识、配置 Lsass.exe 进程的最佳做法以及预期的内存使用量。在基于 Windows 2000 Server 产品系列的域控制器上分析 Lsass.exe 的性能和内存使用情况时,可使用本文作为指南。如果您有关于如何调整和配置服务器和域控制器以优化该引擎的问题,本文中的信息可能会很有帮助。
Lsass.exe 进程负责本地安全机构域身份验证管理和 Active Directory 管理。该进程处理客户端和服务器的身份验证,此外还控制 Active Directory 引擎。Lsass.exe 进程负责下列组件:
• | 本地安全机构 |
• | 网络登录服务 |
• | 安全帐户管理器服务 |
• | LSA 服务器服务 |
• | 安全套接字层 (SSL) |
• | Kerberos v5 身份验证协议 |
• | NTLM 身份验证协议 |
限制或最大限度地减少域控制器上程序的数量
为获得最佳性能,Lsass.exe 进程在给定服务器或域控制器上尽可能多地占用 RAM。当其他进程要求 RAM 时,Lsass.exe 进程会释放 RAM。这一思想的目的是在优化 Lsass.exe 进程性能的同时,仍能顾及计算机上可能运行的其他进程。有鉴于此,同时为了提高性能,最好能够限制或最大限度地减少域控制器上程序的数量。如果没有内存请求,则 Lsass.exe 进程使用此内存来缓存查询的数据。
使用 Active Directory Sizer (Adsizer.exe) 和 ADTEST 工具
您可以使用 Adsizer.exe 工具,根据域控制器的功能来估计它们需要的内存量。您只能将此项测试作为评估,因为 Adsizer.exe 不能准确预测所有进程需要的内存量。可以使用 ADTEST 工具来增加域控制器的负载,并提供预期的内存使用基准量和内存负载。
32 位寻址空间被限制为 4 GB
32 位寻址空间被限制为 4 GB 物理内存。
使用计数器监控 Lsass.exe 使用量
可以使用作业对象、处理器占用率(将 80% 的处理器占用率作为高负载标记)、adperf 和 cop 进程性能工具来监控 Lsass.exe 使用量。重要的计数器有内存、进程、NTDS 对象、缓存、服务器、处理器、线程和数据库。
使用 Windows
如果您计划在域控制器上使用 1 GB 以上的物理内存,应使用 Windows 2000 Advanced Server、Windows 2000 Datacenter Server、Windows Server 2003 标准版、Windows Server 2003 企业版或 Windows Server 2003 数据中心版。您可以在这些版本的 Windows 上使用
/3GB 开关来提供额外的 1 GB 可寻址内存。不过,如果将此开关用于 Windows 2000 Server,则该内存空间将被标记为不可用。
内存信息
域控制器上的 Lsass 内存使用量由两个主要部分组成:一个是固定使用量,一个是可变使用量。
固定部分由代码、堆栈、堆和各种固定大小的数据结构(例如,架构缓存)组成。Lsass 使用的内存量可能有所不同,具体取决于计算机上的负载。随着运行线程数量的增加,内存堆栈的数量也会增加。Lsass.exe 通常使用 100 MB 到 300 MB 的内存。无论计算机上安装多少 RAM,Lsass.exe 都使用相同数量的内存。不过,当安装较大数量的 RAM 时,Lsass 可能使用更多的 RAM,并使用较少的虚拟内存。
可变部分是指数据库缓冲区缓存。缓存大小的范围从不到 1 MB 到整个数据库的大小不等。由于较大的缓存可以提高性能,因此 AD 的数据库引擎 (ESENT) 会尝试使缓存尽可能地大。尽管缓存的大小随计算机中内存需求量的变化而变化,但缓存的最大大小受到计算机中安装的物理 RAM 数量和可用虚拟地址空间 (VA) 数量两者的限制。AD 只将整个 VA 空间的一部分用于缓存。AD 可以使用的最大 VA 空间数量由以下公式确定:
((totalVA - 1GB) / 2)
注意:该公式仅适用于 Windows 2000。在 Windows Server 2003 中,LSASS 的内存模式有所不同,并且缓存所使用的内存量是动态变化的。内存使用量已增长至高达 2.6 GB,但前提是 LSASS 中的其他进程不需要内存。
这意味着在没有
/3GB 开关的 x86 计算机上,缓存大小被限制为 512 MB 或物理 RAM 的数量(两者取较小值)。在使用
/3GB 开关时,缓存大小被限制为 1 GB 或物理 RAM 的数量(两者取较小值)。请注意,这意味着一旦物理 RAM 的数量超过大约 600MB(用于缓存的 500 MB 加上用于固定部分的大约 100 MB),
/3GB 开关就开始起作用。在 64 位系统(如 IA64)上,仅由 RAM 对缓存大小进行有效限制,并且 Microsoft 开发部门已对所使用的缓存超过 9GB 的系统进行了测试。
内存使用量随 Active Directory 使用的增加而增加
Lsass.exe 进程所使用的内存量随着 Active Directory 使用量的增长而相应增加。查询数据时,数据被缓存在内存中。
Lsass.exe 进程和 Active Directory 的最大物理内存使用量
Lsass.exe 进程和 Active Directory 的最大物理内存使用量为 2 GB。
相关推荐
解决lsass.exe占用CPU50%以上。解决lsass.exe占用CPU50%以上。
lsass.exe 是 Windows 操作系统的关键进程,对于系统的安全和稳定性起着重要作用。如果 lsass.exe 进程出现问题,将会导致系统无法正常运行。 lsass.exe 的安全性: lsass.exe 是安全的进程,不会对系统造成任何...
直接从 lsass.exe 里获取windows处于active状态账号明文密码.
本软件为lsass.exe和smss.exe病毒(磁碟机病毒)的专杀工具,基于恶意软件查杀助理辅助工具的查杀引擎,并专门针对该病毒作了强化,支持扫描rar格式和自解压格式,支持扫描被感染的应用程序与网页文件,能比较有效的...
主要介绍了Windows服务器上lsass.exe进程CPU使用率异常问题排查方法,一般这个情况是发起了对外攻击造成的,也就是你的服务器可能已经沦为肉机,需要的朋友可以参考下
清除LSASS病毒和smss病毒的工具,LSASS不断变种,该作者也不断努力更新中。 注意:这个软件好像是把感染病毒的文件删除,不是清除,请小心! 博客地址:...
用于恢复xpLSASS.EXE文件,这个还有啥大于的字节真是愁人
dump lsass.exe 进程
lsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rarlsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rarlsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rarlsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rar
lsass.exe和smss.exe病毒专杀工具.rar
一个dumpWindows系统lsass.exe进程的工具 dump_lsass_for_Win7_x64.c和dump_lsass_for_Win10_x64.c是国外一位大佬写的lsass.exe进程转储工具,参考链接: ://osandamalith....
注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。 如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:1.可以去 wins 目录找找有无多余,...
lsass.exe 进程文件: lsass or lsass.exe 进程名称: 本地安全权限服务 描述: 这个本地安全权限服务控制Windows安全机制。 是否为系统进程: 是 (10) mdm.exe 进程文件: mdm or mdm.exe 进程名称: Machine Debug ...
经常成为伪装目标的是 svchost.exe, lsass.exe, alg.exe, ctfmon.exe, csrss.exe, wmiprvse.exe, wisptis.exe 和 wuauclt.exe. 官方网址:http://www.wenjian.cn/freeware/processviewer.html
ntsd是一个用户态进程调试...它能够结束除System、smss.exe、csrss.exe、lsass.exe及各种rootkit程序外所有的程序。但在Windows Vista及以上版本的Windows中不含ntsd, 必须手动下载至电脑中才可使用。(来自360百科)
简单好用的,lsass进程不断上传流量的处理方法,lsass进程不断上传流量的处理方法,
解决实际问题,因为这些毒大多在注册表中,lsass.exe 和smss.exe
可列出当前电脑中正运行的所有进程,其文件名称、所存文件夹位置及大小。... 经常成为伪装目标的是 svchost.exe, lsass.exe, alg.exe, ctfmon.exe, csrss.exe, wmiprvse.exe, wisptis.exe 和 wuauclt.exe.
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 (系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) svchost.exe 包含很多系统服务 ...