Lsass.exe высокая загрузка ЦП и создание очереди запросов на веб-сервере

Question

Lsass.exe высокая загрузка ЦП и создание очереди запросов на веб-сервере

У меня есть веб-сервер с Windows 2012 R2, работающий только на одном веб-сайте, на ASP.NET 4.5.1, IIS 8.5. Он не имеет и никогда не имел установленной роли AD.

В минувшее воскресенье процесс lsass.exe неожиданно начал использовать процессор на 20-40%. Мы ничего не меняли ни на сервере, ни в окружающей сети. (На данный момент обновления Windows не произошло)

С тех пор веб-сайт постепенно портится, имея более продолжительное время отклика, пока сервер не будет перезагружен, затем все вернется в нормальное состояние, но оттуда он постепенно идет вниз. Теперь сервер должен перезагружаться каждые 4-12 часов, чтобы сайт работал и работал. Загрузка ЦП на сервере никогда не достигает 100%, а также имеется свободная оперативная память.

Из New Relic, который используется для мониторинга сайта и сервера, похоже, что именно очередь запросов вызывает низкую производительность, увеличиваясь с ~100 мс после перезагрузки до 10 с + через несколько часов.

У меня есть другие серверы с тем же кодом сайта, работающие в той же среде, с большей нагрузкой, чем этот, которые не показывают такое поведение. (Хотя они на WS 2012 (не R2))

Я следил за сетевым трафиком и ничего странного там не вижу. Одна вещь, которая действительно выделяется и кажется коррелированной в Perfmon, это "Безопасность на статистику процесса \ Credential Handles", которая продолжает увеличиваться для процесса lsass, она начинается с небольшого количества после перезагрузки и достигает 100.000+ после нескольких часы в операциях. Никакой другой процесс не делает этого, и lsass.exe на других серверах имеет только несколько сотен "учетных данных"

Посмотрите график процесса lsass.exe за последний месяц: введите описание здесь

График времени отклика сайта, от Новой реликвии. Каждый пик требовал перезагрузки, сервер также перезагружался на меньших пиках, которые не очень хорошо видны на этом графике: введите описание здесь

Любой совет, что может быть не так, и как исправить?

Изменить: снимок панели TCP/IP в Process Explorer на lsass.exe введите описание здесь

Снимок типичного потока, созданного из lsass.exe, он появляется каждую секунду в Process Explorer: введите описание здесь

4

windows-server-2012-r2 iis-8.5 lsass

Источник

Oskar Melen 09 мар '15 в 12:57

2 ответа

Другие вопросы по тегам windows-server-2012-r2 iis-8.5 lsass

Алексей Книгин 18 мар '16 в 08:52 2016-03-18 08:52 · Answer 1 · 2016-03-18 08:52

После включения TLS 1.2 (также 1.0 и 1.2) в Windows 2012 R2 и 2008 R2 SP1 процесс lsass.exe начал перегружать процессор. Я использовал IISCrypto40, щелкнул "Best Practices", а в "Key Exchanges Enabled" оставил включенным только PKCS. После этого нагрузка на процессор нормализовалась (5 - 10%). извините за плохой английский IISCrypto предпочтения

Steve Butler 09 мар '15 в 14:35 2015-03-09 14:35 · Answer 2 · 2015-03-09 14:35

Проверьте на наличие вредоносных программ. Я вызвал это, переместив meterpreter в lsass, потому что он дает мне больше прав.

Я бы также посмотрел на Process Explorer и посмотрел, видите ли вы, какие потоки вызывают высокую загрузку процессора.

1

Источник

Steve Butler 09 мар '15 в 14:35