none
lsass.exe - загружает внешний сетевой адаптер. RRS feed

  • Вопрос

  • Доброго времени суток!
    Столкнулся со следующей проблемой
    Служба lsass.exe - сильно нагружает внешний сетевой адаптер. 
    Работает на отправку в пике скорость превышает 17 Мбит/с.
    Приостановка службы сбрасывает всю нагрузку на сетевой адаптер.
    Последние обновления установлены. 
    Кто нибудь сталкивался с подобной проблемой? Куда копать?
    14 июня 2018 г. 7:38

Ответы

Все ответы

  • Систему проверьте на вирусы и по теме еще есть вот такая статейка Microsoft
    14 июня 2018 г. 7:55
  • На вирусы проверил первым делом. Статейка описывает "пожирание" памяти. 
    Но не память ни процессор не грузится при этом. Загружен только внешний сетевой адаптер.
    14 июня 2018 г. 8:01
  • Добрый день,

    Трасты с другими AD устанавливали? Есть аналогичные примеры поведения. И решения.

    14 июня 2018 г. 8:15
  • Доверительных отношений с другими AD не установлено. Брандмауэр отключен
    • Изменено Beat-ra 14 июня 2018 г. 8:41
    14 июня 2018 г. 8:36
  • А куда конкретно идёт траффик? ip, порты?
    14 июня 2018 г. 8:52
  • lsass.exe (516), 169.254.239.245, 389, 169.254.239.245, 49181,TCP,Established, 
    lsass.exe (516), ИМЯ_ДАННОГО_СЕРВЕРА, 389, ИМЯ_ДАННОГО_СЕРВЕРА, 49161, TCP, Established, 
    lsass.exe (516), ИМЯ_ДАННОГО_СЕРВЕРА, 49155, ИМЯ_ДАННОГО_СЕРВЕРА, 49201, TCP6, Established, Kdc

    Еще несколько соединений  "ИМЯ_ДАННОГО_СЕРВЕРА" - но на других портах 

    14 июня 2018 г. 9:01
  • Судя по тому что вы привели, этот траффик никуда не уходит, сервер "общается" сам с собой по loopback. Сервер не является контроллером домена?
    14 июня 2018 г. 9:42
  • Является 
    14 июня 2018 г. 9:59
  • Тогда проверьте состояние репликации и целостности AD (dcdiag, repladmin), также по ссылке топик можно глянуть.
    • Помечено в качестве ответа Beat-ra 15 июня 2018 г. 7:19
    14 июня 2018 г. 11:41
  • Большое спасибо! 
    Кажется не всё в порядке с DNS

    15 июня 2018 г. 6:25
  • Аналогичная ситуация с Вашей, - забит весь канал на внешнем адаптере.... ЦП и память - не загружены. Вы как решили данную проблему? Благодарю.

    Adios Amigos

    18 июня 2019 г. 3:41
  • Разобрался. Мне помогло это  https://social.technet.microsoft.com/Forums/en-US/0cdcec2c-1319-4016-b1ec-70caf7985435/need-help-lsassexe-uploading-at-full-capacity?forum=winserver8gen

    Adios Amigos

    18 июня 2019 г. 11:41
  • Добрый день. У меня та же проблема. Начал я как то работу в интернете, а странички еле-еле загружаются. Надо заметить, что ранее все работало прекрасно без замечаний и проблема появилась внезапно. Полез  я на сервер проверять, в чем дело. Оказалось, согласно монитора ресурсов, вызванного с закладки «Быстродействия» диспетчера задач Windows, что среди процессов с сетевой активностью на закладке «Сеть» один процесс очень интенсивно отправляет какую-то информацию в сеть, перегружая весь трафик интернета. Этим процессом оказался процесс «lsass.exe». Он по информации с сетевой активности монитора ресурсов интенсивно отправлял информацию на множество неизвестных мне IP-адресов. Появилось подозрение на какой-то вирус. Однако проверка антивирусом Касперского ничего не дала. С помощью инструмента «Управление программами» Контроля программ Kaspersky Small Office Security программа lsass.exe из папки, в которой она расположена (C:\Windows\System32) была добавлена в группу «Недоверенные». Это действие было осуществлено временно и обязательно без выхода пользователя из Windows, так как блокировка этой программы не даст войти пользователю вновь в Windows. После чего по сетевой активности монитора ресурсов можно было наблюдать, как множество соединений с различными IP-адресами постепенно отваливаются, а сетевой трафик высвобождается. Спустя некоторое время, когда все внешние соединения  lsass процесса пропали, установленные ограничения программы Local Security Authority Process (тот же lsass.exe) были переведены на «Доверенные» нажав правой кнопкой по наименованию программы и выбрав соответствующее ограничение. После чего все вставало на свои места и  интернет трафик был свободен для использования пользователями. Однако спустя несколько дней это явление вновь повторилось, процесс lsass.exe снова стал загружать сеть интернета отправлять какую-то информацию на различные IP-адреса. Я еще раз остановил этот процесс описанным выше способом и теперь спешу за помощью к Вам. Помогите победить эту болячку уже окончательно, а не на время. Заранее большое спасибо.

    24 июня 2019 г. 5:12
  • Добрый день. У меня та же проблема. Начал я как то работу в интернете, а странички еле-еле загружаются. Надо заметить, что ранее все работало прекрасно без замечаний и проблема появилась внезапно. Полез  я на сервер проверять, в чем дело. Оказалось, согласно монитора ресурсов, вызванного с закладки «Быстродействия» диспетчера задач Windows, что среди процессов с сетевой активностью на закладке «Сеть» один процесс очень интенсивно отправляет какую-то информацию в сеть, перегружая весь трафик интернета. Этим процессом оказался процесс «lsass.exe». Он по информации с сетевой активности монитора ресурсов интенсивно отправлял информацию на множество неизвестных мне IP-адресов. Появилось подозрение на какой-то вирус. Однако проверка антивирусом Касперского ничего не дала. С помощью инструмента «Управление программами» Контроля программ Kaspersky Small Office Security программа lsass.exe из папки, в которой она расположена (C:\Windows\System32) была добавлена в группу «Недоверенные». Это действие было осуществлено временно и обязательно без выхода пользователя из Windows, так как блокировка этой программы не даст войти пользователю вновь в Windows. После чего по сетевой активности монитора ресурсов можно было наблюдать, как множество соединений с различными IP-адресами постепенно отваливаются, а сетевой трафик высвобождается. Спустя некоторое время, когда все внешние соединения  lsass процесса пропали, установленные ограничения программы Local Security Authority Process (тот же lsass.exe) были переведены на «Доверенные» нажав правой кнопкой по наименованию программы и выбрав соответствующее ограничение. После чего все вставало на свои места и  интернет трафик был свободен для использования пользователями. Однако спустя несколько дней это явление вновь повторилось, процесс lsass.exe снова стал загружать сеть интернета отправлять какую-то информацию на различные IP-адреса. Я еще раз остановил этот процесс описанным выше способом и теперь спешу за помощью к Вам. Помогите победить эту болячку уже окончательно, а не на время. Заранее большое спасибо.

    Я создал отдельную тему по этой проблеме, вы можете там тоже отписываться, потому что это всё выглядит как ddos-атака пакетами через UDP порт 389   https://social.technet.microsoft.com/Forums/ru-RU/10f52bd9-d588-4b65-8017-ade8ae6d3dee/105510881080-10871086107610821083110210951077108510801080?forum=WS8ru Временное решение в моём сообщении в этой ветке перед вашим  этим постом, но оно не совсем подходит....

    Adios Amigos

    24 июня 2019 г. 5:30