Usuario
LSASS.exe con gran consumo de red

Pregunta
-
Buenas tardes. Mi problema es el siguiente: en mi SERVER 2012 r2 Standard el servicio LSASS.exe consume muchisimos datos de envio (saturando mi conexion a internet). Encontré que es posible bloquear el puerto UDP 389 en la parte de Directivas de seguridad, creando un filtro para evitar estos excesos pero al realizar esto los equipos dentro de mi dominio tiene inconvenientes con el Active Directory, les pide credenciales cada vez que van a abrir una carpeta del server. Hay una manera de agregar en el filtro un rango de ips para que a estas mismas no las bloquee el filtro pero no encuentro exactamente como hacerlo. Si alguien puediera ayudarme paso a paso seria genial.
Muchas gracias
- Editado tecner lunes, 21 de octubre de 2019 18:50
Todas las respuestas
-
Revisa con cuidado ¿LSASS.EXE o ISASS.EXE? Estate seguro que el primer caracter es una "L" y no una "i"
Porque en el segundo caso es un "bicho", y LSASS.EXE no hace tráfico hacia afuera
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Pablo RubioModerator lunes, 21 de octubre de 2019 21:07
-
no, el proceso es LSASS.exe, porque me fijé en las cadenas y espera al servicio ismserv.exe (que es de mensajeria). Por las dudas ya habia analizado mi SERVER y no encuentra nada. esta ok. Necesito saber los pasos para aplicar el filtro asi ya no me vuelvo loco. muchas gracias
-
No se me ocurren muchas ideas. Te diría que con lo que se podría investigar es viendo tráfico con un analizador de protocolo ("Sniffer") e investigando el tráfico
Otra posibilidad está en: https://www.akamai.com/es/es/resources/our-thinking/threat-advisories/connection-less-lightweight-directory-access-protocol-reflection-ddos-threat-advisory.jsp
O espera a ver si a algún compañero se le ocurre otra solución
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Pablo RubioModerator lunes, 21 de octubre de 2019 21:07
-
mil gracias por los links. lamentablemente lo unico que me esta haciendo falta es: poder crear el filtro y bloquear el puerto udp 389 a cualquier conexion de internet entrante (que ya lo tengo hecho) y a la vez permitir ese puerto a un conjunto de ips locales. eso es lo unico que no pued realizar.
-
Como quieras, es tu red :)
Yo, en lugar de atacar los síntomas buscaría la causa del problema
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Pablo RubioModerator martes, 22 de octubre de 2019 15:22
-
Hola "tecner",
Recomiendo verifiques si tienes instalados estos updates, sino instalalos y reinicia el equipo y vuelve a probar:
kb3125424
http://www.catalog.update.microsoft.com/search.aspx?q=kb3125424
KB4034663
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4034663
Update for Windows Server 2012 R2 (KB2975719)
https://www.microsoft.com/en-us/download/details.aspx?id=44051
Lsass.exe process crashes
https://support.microsoft.com/en-us/help/2913087
-------------------------------------------------------------------------------------------------
Saludos.[Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center & MCSA-MCSE: Windows Server 2016
- Propuesto como respuesta Ignacio Barrios jueves, 24 de octubre de 2019 3:25
-
Muy buenas. gracias por los links. el ultimo de todos que tiene un paquete de varias actualizaciones esta caido. no se si lo tendras acatualizado. muchas gracias
Lsass.exe process crashes
https://support.microsoft.com/en-us/help/2913087 -
Por problemas en URLs puedes llamar a 08002229467 o crear un caso desde:
https://support.microsoft.com/es-us/supportrequestform/7a3f017a-c951-7e06-1bd7-64bf7fc202ff?SL=en&SC=AW
Saludos.[Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center, MCSA-MCSE: Windows Server 2016 & Azure Fundamentals
- Propuesto como respuesta Ignacio Barrios martes, 5 de noviembre de 2019 14:08