none
lsass.exe RRS feed

  • 问题

  • 我在腾讯云部署了一台服务器,windows server2016.最近发现lsass.exe进程在不断的上行流量。根据腾讯云提供的监控数据,每分钟5M到6M。这样会导致服务器在没有使用的时候不断产生费用。如果我暂停此进程,流量迅速下降。但云服务器的远程桌面就不可用了,我该怎么阻止它不停的上行数据呢
    2018年12月4日 7:14

全部回复

  • 您好,

    感谢您在我们论坛提问。

    1.您是否在域环境中运行服务器和工作站? 如果是,请检查您是否与其他域创建了AD信任,在某些情况下,此类情况可能会发生类似问题。

    如果这是域控制器,则lsass的高使用率(相对)正常,具体取决于环境的大小以及基础结构中的许多域控制器。 此外,如果此DC是FSMO角色持有者,尤其是 PDC,你可能会看到lsass的利用率高于平均水平。

    2. 有些客户和您遇到相同的问题,发现它是基于CLDAP协议漏洞的DDOS攻击,端口389 UDP在公共接口中打开。在防火墙关闭,问题解决了。

    3. 我找到了个类似问题的帖子,您可以参考下:https://social.technet.microsoft.com/Forums/en-US/0cdcec2c-1319-4016-b1ec-70caf7985435/need-help-lsassexe-uploading-at-full-capacity?forum=winserver8gen

    4.此外,您是否尝试使用网络监视器或wireshark工具捕获可能有助于故障排除的内容。


    Best regards,


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年12月5日 6:06
    版主
  • 您好,

    请问您的问题进展的怎么样了?

    我十分乐意帮助解决您的问题,希望您能及时给我一个反馈。

    Best regards


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年12月11日 8:27
    版主
  • 谢谢,我今天才看到此邮件。马上去核实
    2018年12月18日 6:10
  • 确实是域控制器,如果去掉AD信任会如何呢?能否去掉,如何去掉呢?

    此外,我可以理解为如果我的服务器是域控制器,那么您提供给我的建议第2点和第3点就毫无意义了对吗,这代表lsass.exe消耗流量属于正常现象?谢谢您的回复

    2018年12月18日 6:26
  • 您好,

    感谢您的回复。

    我们是不建议关掉AD信任的,这会导致有些访问无法进行。

    第三点和第四点就是讲的AD DC的。

    我们可以打开 windows firewall > Inbound Rules > Active Directory Domain Controller - LDAP (UDP-in) and change the connection to "Allow the connection if it is secure"

    Best regards,


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年12月18日 9:28
    版主