Lsass.exe alto uso da CPU e causando enfileiramento de pedidos no servidor da Web

Navegue suas respostas
3

Eu tenho um servidor web com o Windows 2012 R2, executando apenas um site, no ASP.NET 4.5.1, IIS 8.5. Não possui e nunca teve a função AD instalada.

No último domingo, o processo lsass.exe, de repente começou a usar 20-40% da CPU. Nós não mudamos nada no servidor ou na rede circundante. (Nenhuma atualização do Windows aconteceu neste momento)

Desde então, o site se deteriora gradualmente, com tempos de resposta cada vez maiores, até que o servidor é reinicializado, então tudo volta ao normal, mas, lentamente, desce a partir daí. O servidor agora tem que ser reinicializado a cada 4-12h, para manter o site funcionando. O uso da CPU no servidor nunca chega a 100%, e também há RAM disponível disponível.

Do New Relic, que é usado para monitorar o site e o servidor, parece que o enfileiramento de solicitações está causando o baixo desempenho, aumentando de ~ 100 ms após a reinicialização para 10 segundos após algumas horas.

Eu tenho outros servidores, com o mesmo código de site, rodando no mesmo ambiente, com mais carga que este, que não mostram esse comportamento. (Embora eles estejam no WS 2012 (não no R2))

Eu monitorei o tráfego de rede e não vi nada de estranho lá. A única coisa que se destaca, e parece correlacionada, em Perfmon, é "Segurança por estatísticas de processo \ Credential Handles" , que continua aumentando para o processo lsass, inicia em apenas um punhado após a reinicialização, e atinge 100.000+ depois de algumas horas em operações. Nenhum outro processo está fazendo isso, e o lsass.exe em outros servidores, tem apenas algumas centenas de "Identificadores de Credenciais"

Veja o gráfico sobre o processo lsass.exe ao longo do último mês:

Gráficodostemposderespostadosite,daNewrelic.Cadapicoexigiuumareinicialização,oservidortambémfoireinicializadoempicosmenores,nãomuitovisíveisnestegráfico:

Algum conselho sobre o que pode estar errado e como corrigir?

Editar: Instantâneo do painel TCP / IP do Process Explorer no lsass.exe

Instantâneodeumthreadtípicogeradoapartirdolsass.exe,essesaparecemacadasegundonoProcessExplorer:

    
por Oskar Melen 09.03.2015 / 13:57

2 respostas

4

Depois de ativar o TLS 1.2 (também 1.0 e 1.2) no Windows 2012 R2 e 2008 R2 SP1, o processo lsass.exe começou a sobrecarregar a CPU. Eu usei o IISCrypto40, clique em "Melhores Práticas" e, em "Trocas de Chaves Ativadas", só habilitei o PKCS. Depois disso, a carga na CPU voltou ao normal (5 - 10%). p.s. desculpe pelos pobres ingleses Preferências do IISCrypto

    
por 18.03.2016 / 09:52
0

Verifique se há malware. Eu causei isso migrando o meterpreter para o lsass porque ele me concede mais permissões.

Eu também verificaria o Process Explorer e veria se você consegue ver quais encadeamentos estão causando a alta cpu.

    
por 09.03.2015 / 15:35

Tags

Como remover uma configuração de GPO que usava um ADM personalizado Erro de cache NGINX: conflitos com o tamanho já declarado 0 em /etc/nginx/nginx.conf