Remove From My Forums

lsass.exe - aber kein Virus

Allgemeine Diskussion
0

Anmelden
Hallo,

Ich habe hier einen SBS 2011 - ca. 60 User darauf und seit 3 Tagen das Problem, dass die lsass.exe immer wieder auf 99-100% CPU Auslastung geht.
(ich nehm dann immer ein paar CPUs weg - damit mir ein paar Ressourcen übrig bleiben)
Natürlich geht dann im NEtz der Exchange langsam, die Anmeldungen dauern ewig usw.

Anfangs dachte ich natürlich es ist ein Wurm - der sich wie auch immer eingeschlichen hat.
Somit Scan mit McAfee, MS Security Scan, Sophos, Symantec, Malwarebytes, GMER, hijackthis...
Alles scheint in Ordnung.

Nun mal soweit das ja auch übers Netz eine Attacke erfolgen kann - jetzt am Wochenende alle Clients aus. Jetzt hat er es 8h ca. geschafft ruhig zu bleiben und danach ging es wieder los... - genau zu dem Zeitpunkt nämlich 03:03:22 ist kein einziger Eventlogeintrag protkolliert worden.
Einzig eigenartigs ist, dass ich je Minute ca. 500 Einträge im Security Eventlog bekomme... - aber scheint normal auf SBS 2011

Die Hardware in dem Fall ist einmal nebensächlich nehme ich an...
Trotzdem Xeon E5620, 24GB RAM, 2x 146GB SAS RAID1 4x 300GB SAS RAID5 + 1x 300GB SAS hot - Spare

Gut - natürlich bin ich trotzdem jedem einzelnen Eventlog auf die Spur gegangen, und hatte einige Dinge ausgebessert.
Netzwerkassistenten laufen lassen - hat ja der SBS gerne.

Danach gings natürlich weiter, habe mir ein Logging eingerichtet, damit ich weiß wer sich wann wo auf welchem REchner im Netz ab & anmeldet.
Auch hier - nichts passendes.

Eigenartigerweise kam es Do/Fr. sehr schnell zu diesem Fehler wenn alle im Netz waren, aber trotzdem kommt es auch so zustande - den Server ganz vom Netz nehmen ist nahezu unmöglich / da immer jemand arbeitet.

Ein Dumpfile hab ich auch shcon erstellt - welches zur Not an MS geschickt wird, wenn ich keine Lösung finden sollte.

Bin für alle Vorschläge offen.

mfg
- Verschoben Raul TalmaciuMicrosoft contingent staff Donnerstag, 7. März 2013 09:31 SBS Frage
- Typ geändert Raul TalmaciuMicrosoft contingent staff Freitag, 29. März 2013 12:32 Warten auf Feedback
Sonntag, 3. März 2013 15:19

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

noch zum hinzufügen vielleicht - der a/d bericht sagt die cpu auslastung vom lsass. ist das kdc - key distribution center

Sonntag, 3. März 2013 17:23

Antworten

|

Zitieren
0

Anmelden

Hallo,

wir haben ein dediziertes Forum für SBS:

http://social.technet.microsoft.com/Forums/de-de/sbsde/threads

Ich verschiebe den Thread dort.

Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Dienstag, 5. März 2013 11:30

Antworten

|

Zitieren
0

Anmelden

Wie es der folgende Artikel schon zusammenfasst:

How to Troubleshoot High LSASS.EXE CPU Utilization on an Active Directory Domain Controllers
http://support.microsoft.com/kb/2550044
[..]
High LSASS.exe CPU utilization can be caused by many different single or combined issues. Nearly each cause and resolution for these issues are unique
[..]

Deswegen ist eine vor-Ort Analyse unausweichlich und lässt sich mittels einem Forum nur schwer umsetzen.

Hol Dir deswegen externe Hilfe (Experten oder direkt Microsoft Support) ins Haus.

Die üblichen Verdächtigen für "High LSASS.EXE CPU Utilization" sind meist 3rd-Party Filter-Treiber/DLLs für Clients anstatt Server wie AV-Lösungen usw. die sich an die LSASS dranhängen, jedoch nicht für hohe Last getestet und spezifiziert sind. Deswegen kommt es dann oft zu den oben genannten Problem.

Wenn Du ein Dump-File von LSASS.exe hast, dann öffne dieses z.B. mittels dem Windows Debugger (s. http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx) und lass Dir alle geladene Module mittels dem Befehl "lm v" anzeigen (s.a. http://msdn.microsoft.com/en-gb/library/windows/hardware/ff552026(v=vs.85).aspx)

Cheers and greetings from London,

--

Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: T.Redelberger@starnet-services.net
Web: http://www.starnet-services.net

Freitag, 15. März 2013 09:55

Antworten

|

Zitieren

Moderator
0

Anmelden

Hallo,

bist Du hier inzwischen weitergekommen?

Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Dienstag, 26. März 2013 11:13

Antworten

|

Zitieren