Analyse der hohen CPU Last auf einem Domain Controller durch „lsass.exe“

Wir hatten das Problem, dass auf einem Domain Controller die „lsass.exe“ über mehrere Tage auf einem Domain Controller 100% CPU Last erzeugte.

Wir haben zuerst alles Mögliche ausgeschlossen wie , freien Speicheplatz, Netzwerkkartentreiber, CPU hinzugefügt u.s.w.. Zuerst waren wir zuversichtlich, dass durch das hinzufügen einer weiteren CPU und durch das Aktualisieren des Netzwerkkartentreibers das Problem verwschwunden war. Doch auf einmal kam das Problem zurück. Also haben wir uns an die Arbeit gemacht um herauszufinden was genau die hohe Last erzeugt.

Unter Windows Server 2003 konnte man hierfür den „Server Performance Advisor ( SPA )“ verwenden, dieses Tool gibt es nicht mehr unter bzw. für Windows Server 2008. Dafür gibt es jetzt eine bereits integrierte Möglichkeiten um die Aufgabe des“Server Performance Advisor“ zu erledigen.

Link zum SPA : https://www.microsoft.com/download/en/details.aspx?displaylang=en&id=15506

Im Performance Monitor unter Windows 2008 gibt es nun sogenannte „Data Collector Sets“. Hier gibt es auch schon ein vorgefertigtes Set für die „Active Directory Diagnose“.

Man kann die Aufzeichnung der „Data Collectors“ dann entweder über das Kontextmenü oder über den grünen Play Button starten. Die Aufzeichnung läuft dann für 5 Minuten ( Standard ), anschließend wird das Ergebnis automatisch analysiert und taucht anschließend unter „Reports“ auf. Zum Starten des „Data Collector Sets“ benötigt man am Besten Domain Admin Rechte und das Recht „Logon as a batch job“.

In dem Report sieht man dann sehr schön Untergliedert in Kategorien „Diagnostic Results – Warnings / Performance“, „Active Directory“, „CPU“, „Network“, „Disk“, „Memory“,“Hardware Configuration“ und „Report Statistics“ die Ergebnisse der automatischen Analyse. In unserem Fall haben wir die „Active Direcory Searches“ angesehen.

Hier sieht man dann:

• Client IP:Port
• Instance
• Scope
• Object Name
• LDAP Filter
• ….
• CPU%

Somit konnten wir den Client und die Abfrage ausfindig machen, welcher die hohe CPU Last der „lsass.exe“ hervorgerufen hatte. Wie ich finde eine sehr schöne integrierte Performance Analyse bei Windows 2008. Selbst wenn man kein akutes Problem hat, macht es Sinn sich einen solchen Report mal genauer anzusehen um für die Analyse in Zukunft gewappnet zu sein.