Remove From My Forums

LSASS.exe con gran consumo de red

Pregunta
0

Inicie sesión para votar
Buenas tardes. Mi problema es el siguiente: en mi SERVER 2012 r2 Standard el servicio LSASS.exe consume muchisimos datos de envio (saturando mi conexion a internet). Encontré que es posible bloquear el puerto UDP 389 en la parte de Directivas de seguridad, creando un filtro para evitar estos excesos pero al realizar esto los equipos dentro de mi dominio tiene inconvenientes con el Active Directory, les pide credenciales cada vez que van a abrir una carpeta del server. Hay una manera de agregar en el filtro un rango de ips para que a estas mismas no las bloquee el filtro pero no encuentro exactamente como hacerlo. Si alguien puediera ayudarme paso a paso seria genial.

Muchas gracias
- Editado tecner lunes, 21 de octubre de 2019 18:50
lunes, 21 de octubre de 2019 18:37

Responder

|

Citar

Todas las respuestas

1

Inicie sesión para votar
Revisa con cuidado ¿LSASS.EXE o ISASS.EXE? Estate seguro que el primer caracter es una "L" y no una "i"

Porque en el segundo caso es un "bicho", y LSASS.EXE no hace tráfico hacia afuera

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Pablo RubioModerator lunes, 21 de octubre de 2019 21:07
lunes, 21 de octubre de 2019 19:08

Responder

|

Citar

Moderador
0

Inicie sesión para votar

no, el proceso es LSASS.exe, porque me fijé en las cadenas y espera al servicio ismserv.exe (que es de mensajeria). Por las dudas ya habia analizado mi SERVER y no encuentra nada. esta ok. Necesito saber los pasos para aplicar el filtro asi ya no me vuelvo loco. muchas gracias

lunes, 21 de octubre de 2019 19:28

Responder

|

Citar
1

Inicie sesión para votar
No se me ocurren muchas ideas. Te diría que con lo que se podría investigar es viendo tráfico con un analizador de protocolo ("Sniffer") e investigando el tráfico

Otra posibilidad está en: https://www.akamai.com/es/es/resources/our-thinking/threat-advisories/connection-less-lightweight-directory-access-protocol-reflection-ddos-threat-advisory.jsp

O espera a ver si a algún compañero se le ocurre otra solución

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Pablo RubioModerator lunes, 21 de octubre de 2019 21:07
lunes, 21 de octubre de 2019 20:21

Responder

|

Citar

Moderador
0

Inicie sesión para votar

mil gracias por los links. lamentablemente lo unico que me esta haciendo falta es: poder crear el filtro y bloquear el puerto udp 389 a cualquier conexion de internet entrante (que ya lo tengo hecho) y a la vez permitir ese puerto a un conjunto de ips locales. eso es lo unico que no pued realizar.

martes, 22 de octubre de 2019 0:02

Responder

|

Citar
1

Inicie sesión para votar
Como quieras, es tu red :)

Yo, en lugar de atacar los síntomas buscaría la causa del problema

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Pablo RubioModerator martes, 22 de octubre de 2019 15:22
martes, 22 de octubre de 2019 11:26

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Hola "tecner",

Recomiendo verifiques si tienes instalados estos updates, sino instalalos y reinicia el equipo y vuelve a probar:

kb3125424
http://www.catalog.update.microsoft.com/search.aspx?q=kb3125424

KB4034663
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4034663

Update for Windows Server 2012 R2 (KB2975719)
https://www.microsoft.com/en-us/download/details.aspx?id=44051

Lsass.exe process crashes
https://support.microsoft.com/en-us/help/2913087

-------------------------------------------------------------------------------------------------

Saludos.
[Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center & MCSA-MCSE: Windows Server 2016
- Propuesto como respuesta Ignacio Barrios jueves, 24 de octubre de 2019 3:25
martes, 22 de octubre de 2019 21:11

Responder

|

Citar
0

Inicie sesión para votar

Muy buenas. gracias por los links. el ultimo de todos que tiene un paquete de varias actualizaciones esta caido. no se si lo tendras acatualizado. muchas gracias

Lsass.exe process crashes
https://support.microsoft.com/en-us/help/2913087

lunes, 4 de noviembre de 2019 18:06

Responder

|

Citar
0

Inicie sesión para votar
Por problemas en URLs puedes llamar a 08002229467 o crear un caso desde:

https://support.microsoft.com/es-us/supportrequestform/7a3f017a-c951-7e06-1bd7-64bf7fc202ff?SL=en&SC=AW

Saludos.
[Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center, MCSA-MCSE: Windows Server 2016 & Azure Fundamentals
- Propuesto como respuesta Ignacio Barrios martes, 5 de noviembre de 2019 14:08
lunes, 4 de noviembre de 2019 19:15

Responder

|

Citar