Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Des recherches excessives de noms de comptes et d’identifiants de sécurité de comptes (SID) de l’autorité de sécurité locale (LSA) peuvent contribuer à la dégradation des performances d’Active Directory. Les problèmes de performances Active Directory peuvent se traduire par un grand nombre de symptômes, tels que des invites d’authentification d’utilisateur, des problèmes avec Outlook ou Exchange, une connexion lente, des délais d’attente de l’application Lightweight Directory Access Protocol (LDAP) et bien d’autres encore.
L'autorité de sécurité locale (LSA, Local Security Authority), qui est incluse dans le processus LSASS (Local Security Authority Security Service), valide les utilisateurs pour les connexions locales et à distance, et applique les stratégies de sécurité locales. La LSA effectue la traduction ou la recherche de noms et de SID, ainsi que d’autres fonctions telles que la gestion des processus de connexion, d’authentification et d’autorisation des utilisateurs. La LSA vérifie les informations d’identification lorsque les utilisateurs tentent d’accéder au système en fonction des stratégies configurées. La LSA est également utilisé pour gérer les changements de mot de passe et créer des jetons d’accès qui définissent les autorisations pour les ressources et les opérations disponibles.
Les causes principales des recherches excessives de noms LSA ou de SID sont généralement les suivantes :
- Le cache de recherche de nom LSA ou SID du client est trop petit, ce qui entraîne l’envoi répété de nombreuses recherches de noms au contrôleur de domaine.
- Une application envoie des demandes de recherche répétées qui ne sont pas résolues, ce qui entraîne l’envoi répété de ces requêtes au contrôleur de domaine.
- Les noms isolés qui ne contiennent pas de partie de nom de domaine et doivent être envoyés à un contrôleur de domaine distant dans chaque approbation, ce qui entraîne des retards.
- Les recherches à distance prennent beaucoup de temps lorsqu’un contrôleur de domaine doit demander une recherche à travers la forêt. Les recherches à distance peuvent contribuer à ce que le contrôleur de domaine n’ait plus de threads RPC ou à ce qu’il y ait une file d’attente au niveau RPC. Les recherches longues peuvent entraîner des échecs, des dépassements de délai et des problèmes dans les applications clientes, tels que des pannes d’Exchange.
Il est donc important de surveiller les performances des recherches de noms LSA/SID et d’ajuster les applications et la configuration en conséquence.
À partir de Windows Server 2025, vous pouvez utiliser les compteurs de performances de l’autorité de sécurité locale (LSA) pour surveiller les performances des recherches LSA. L’ensemble de compteurs de performances de recherche LSA se compose de compteurs qui mesurent les performances des recherches de noms de comptes et de SID de comptes LSA. Ces compteurs de performances sont disponibles pour le client Windows et Windows Server. Pour en savoir plus sur l’algorithme utilisé lorsqu’un nom/SID doit être traduit, consultez la fonction LsaLookupNames (ntsecapi.h) et la fonction LsaLookupSids (ntsecapi.h) .
Cet article décrit également les caches de recherche LSA, notamment le cache de noms LSA, pour les noms traduits avec succès ; et le cache de noms isolés négatifs, pour les noms non résolus.
Les compteurs de performances de recherche LSA sont accessibles à l’aide de l’Analyseur de performances (perfmon.exe).
Compteurs de performance
Les compteurs de performances de recherche LSA mesurent les performances du processus de recherche LSA qui s’exécute sur l’ordinateur client ou serveur.
Il existe trois catégories de compteurs de performances de recherche LSA :
- Les recherches de noms, qui sont des compteurs de noms que vous pouvez utiliser pour mesurer la traduction de noms à l’aide des fonctions LsaLookupNames et LsaLookupNames2. Pour en savoir plus sur la traduction de noms, consultez la fonction LsaLookupNames (ntsecapi.h) et la fonction LsaLookupNames2 (ntsecapi.h).
- Le cache de la paire SID/Nom, que vous pouvez utiliser pour mesurer l’efficacité et la taille du cache de la paire nom/SID. Les contrôleurs de domaine ne gèrent pas de cache de nom/SID. Ces compteurs ne sont valables que pour un serveur membre ou une station de travail.
- Les recherches de SID, qui comprennent des compteurs SID que vous pouvez utiliser pour mesurer la traduction SID à l’aide des fonctions LsaLookupSids et LsaLookupSids2. Pour en savoir plus sur la recherche de SID, consultez la fonction LsaLookupSids (ntsecapi.h) et la fonction LsaLookupSids2 (ntsecapi.h).
Le tableau suivant montre les compteurs qui peuvent être ajoutés à partir de l’ensemble de compteurs de performances de recherche LSA et leur description. Le tableau indique également si chaque compteur se rapporte à un contrôleur de domaine (DC), à un serveur autre que celui du contrôleur de domaine (non-DC), ou aux deux. Un serveur non-DC est un serveur membre ou une station de travail membre.
| Nom du compteur | Descriptif | Courant continu | Non-DC |
|---|---|---|---|
Isolated Names Inbound Requests/sec |
Nombre de demandes de recherche de noms par seconde qui n’incluent pas le nom de domaine et qui sont reçues d’un autre ordinateur distant. | X | X |
Isolated Names Outbound Requests/sec |
Nombre de demandes de recherche de noms par seconde qui n’incluent pas le nom de domaine et qui sont envoyées à un autre ordinateur distant. Par exemple, les demandes transférées au contrôleur de domaine principal. | X | X |
Name/SID cache entries added/sec |
Nombre d’entrées de cache nom/SID ajoutées par seconde. La LSA locale conserve un cache de la paire SID-nom. Le cache est utilisé pour accélérer le processus de recherche et réduire le nombre de demandes adressées à l’ordinateur distant. La mesure de la croissance du cache et du nombre de demandes peut vous aider à comprendre les performances du processus de recherche LSA et à déterminer si le cache doit être redimensionné. | X | |
Name/SID cache entries purged/sec |
Nombre d’entrées de cache nom/SID vidées par seconde. La LSA locale conserve un cache de la paire SID-nom. Le cache est utilisé pour accélérer le processus de recherche et réduire le nombre de demandes adressées à l’ordinateur distant. La mesure de la croissance du cache et du nombre de demandes peut vous aider à comprendre les performances du processus de recherche LSA et à déterminer si le cache doit être redimensionné. | X | |
Name/SID Cache Size (Max Entries) |
Nombre maximal d’entrées que le cache nom/SID peut contenir. | X | |
Names/Cache % Full |
Pourcentage du cache de noms qui est complet. | X | |
Names/Cache % Hit |
Pourcentage de recherches de noms qui sont résolues à partir du cache. | X | |
Names Completion Time |
Mesure le temps moyen en secondes pour effectuer une demande de recherche de noms. | X | X |
Names Errors/sec |
Nombre d’erreurs par seconde qui se produisent pendant les demandes de recherche de noms. Par exemple, si un serveur est occupé, il peut ne pas être en mesure de répondre à une demande de recherche de noms. | X | X |
Names Inbound Requests/sec |
Nombre de toutes les demandes de recherche de noms par seconde reçues d’un autre ordinateur distant. Reçues d’un autre ordinateur distant ou d’un processus s’exécutant sur cet ordinateur. | X | X |
Names Outbound Requests/sec |
Nombre de toutes les demandes de recherche de noms par seconde envoyées d’un autre ordinateur distant. | X | X |
Names Primary Domain Requests/sec |
Nombre de demandes de recherche de noms par seconde envoyées au domaine principal. Le domaine principal est le domaine dont votre ordinateur est membre. Ce compteur est un sous-ensemble du compteur Names Outbound Requests/sec. | X | |
Names Primary Domain Time |
Mesure le temps moyen en secondes pour effectuer une demande de recherche de noms envoyée à un contrôleur de domaine dans le domaine principal. Le domaine principal est le domaine dont votre ordinateur est membre. | X | |
Names Remote Request Time |
Mesure le temps moyen en secondes pour effectuer une demande de recherche de noms reçue d’un autre ordinateur distant. | X | X |
Names Trusted Domain Request Time |
Mesure le temps moyen en secondes pour effectuer une demande de recherche de noms envoyée à un domaine approuvé. Ce compteur est un sous-ensemble du compteur Names Remote Request Time. | X | |
Names Trusted Domain Requests/sec |
Nombre de demandes de recherche de noms par seconde envoyées à un domaine approuvé. Ce compteur est un sous-ensemble du compteur Names Outbound Requests/sec. | X | |
Names Unresolved/sec |
Nombre de demandes de recherche de noms non résolues par seconde. Par exemple, lorsqu’une recherche de nom est introuvable. | X | X |
Names Xforest Requests/sec |
Nombre de demandes de recherche de noms par seconde envoyées à une autre forêt. | X | |
Names Xforest Time |
Mesure le temps moyen en secondes pour effectuer une demande de recherche de noms envoyée à une autre forêt. | X | |
SIDs Cache % Full |
Pourcentage du cache de la paire SID-nom utilisé lors d’une recherche de SID. | X | |
SIDs Cache % Hit |
Pourcentage de recherches de SID qui sont résolues à partir du cache. Si ce compteur est bas et que le cache est plein, il faut envisager d’augmenter la taille du cache. | X | |
SIDs Completion Time |
Mesure le temps nécessaire à l’exécution d’une demande de recherche de SID. | X | X |
SIDs Errors/sec |
Nombre d’erreurs par seconde qui se produisent pendant les demandes de recherche de SID. Par exemple, si un serveur est occupé, il peut ne pas être en mesure de répondre à une demande de recherche de SID. | X | X |
SIDs Inbound Requests/sec |
Nombre de toutes les demandes de recherche de SID par seconde reçues d’un autre ordinateur distant ou d’un processus s’exécutant sur cet ordinateur. | X | X |
SIDs Outbound Requests/sec |
Nombre de toutes les demandes de recherche de SID par seconde envoyées d’un autre ordinateur distant. | X | X |
SIDs Primary Domain Request Time |
Mesure le temps moyen en secondes pour effectuer une demande de recherche de SID envoyée au domaine principal. Le domaine principal est le domaine dont votre ordinateur est membre. Ce compteur est un sous-ensemble de SIDs Outbound Requests/sec. | X | |
SIDs Primary Domain Requests/sec |
Nombre de demandes de recherche de SID par seconde envoyées au domaine principal. Le domaine principal est le domaine dont votre ordinateur est membre. Ce compteur est un sous-ensemble de SIDs Outbound Requests/sec. | X | |
SIDs Remote Request Time |
Mesure le temps moyen en secondes pour effectuer une demande de recherche de SID reçue d’un autre ordinateur distant. | X | X |
SIDs Trusted Domain Request Time |
Mesure le temps moyen en secondes pour effectuer une demande de recherche de SID envoyée à un domaine approuvé. Ce compteur est un sous-ensemble de SIDs Outbound Requests/sec. | X | |
SIDs Trusted Domain Requests/sec |
Nombre de demandes de recherche de SID par seconde envoyées à un domaine approuvé. | X | |
SIDs Unresolved/sec |
Nombre de demandes de recherche de SID non résolues par seconde. Par exemple, lorsqu’une recherche de SID est introuvable. | X | X |
SIDs Xforest Request Time |
Mesure le temps moyen en secondes pour effectuer une demande de recherche de SID envoyée à une autre forêt. | X | |
SIDs Xforest Requests/sec |
Nombre de demandes de recherche de SID par seconde envoyées à une autre forêt. | X |
Journal de débogage de la recherche LSA
Pour la résolution des problèmes, vous pouvez collecter le journal de débogage LSP pour suivre les processus et les détails du client effectuant des recherches de SID ou de noms.
Fichier journal
Les fichiers journaux de débogage sont %systemroot%\debug\lsp.log et lsp.bak.
La taille de fichier journal par défaut est de 10 Mo.
Activer
Pour activer le journal de débogage de la recherche LSA, exécutez les commandes suivantes :
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
Aucun redémarrage n’est nécessaire.
Désactiver
Pour désactiver le journal de débogage de la recherche LSA, exécutez les commandes suivantes :
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
Aucun redémarrage n’est nécessaire.
Remarque
Vous aurez peut-être besoin d’une taille de journal plus importante dans un environnement où l’activité est plus intense. Vous pouvez spécifier la taille du journal en utilisant les 4 derniers bits du DWORD dans LsapDbgTraceOptions. La valeur doit être spécifiée en Mo en hexadécimal. Par exemple, pour définir la taille du fichier journal sur 50 Mo, définissez LspDbgTraceOptions sur 0x00320001. Si la taille du fichier est très élevée, il peut être impossible d’ouvrir le fichier et de le lire à l’aide de certains éditeurs de texte.
Caches de recherches LSA
La LSA gère plusieurs caches, dont deux sont abordés ici : le cache de noms LSA, pour les noms traduits avec succès ; et le cache de noms isolés négatifs, pour les noms non résolus.
Cache de noms LSA
Les stations de travail membres et les serveurs membres gèrent un cache local en mémoire des paires nom/SID traduites avec succès. Ce cache réduit les allers-retours vers le contrôleur de domaine et améliore les performances et l’efficacité.
Les contrôleurs de domaine ne gèrent pas de cache ; ils stockent localement les informations relatives aux objets du domaine. Les contrôleurs de domaine qui sont des catalogues globaux stockent les informations sur l’ensemble de la forêt. Les contrôleurs de domaine qui ne sont pas des catalogues globaux transfèrent les demandes à un catalogue global si nécessaire.
Une entrée de cache peut se trouver dans l’un des trois états suivants : Valide, Périmé ou Arrivé à expiration.
- Le délai d’expiration de l’entrée de cache par défaut est de 7 jours.
- La taille du cache par défaut est de 4 096 entrées à partir de Windows Server 2019 et de 128 entrées dans les versions précédentes.
- Les valeurs par défaut suffisent dans la plupart des environnements. Bien que ce cache ait une très faible empreinte mémoire, la modification de la taille du cache ne doit être effectuée qu’en cas de nécessité. Par exemple, vous pouvez utiliser des compteurs de performances de recherche LSA pour voir si le pourcentage de remplissage du cache est à 100, si le taux de recherches résolues est élevé et si les demandes sortantes/s envoyées au contrôleur de domaine sont nombreuses. Lorsque le pourcentage de remplissage du cache et le taux de recherches résolues sont élevés, cela signifie que le cache peut s’avérer trop petit.
Le cache de noms LSA peut être paramétré à l’aide des paramètres suivants sous HKLM:\SYSTEM\CurrentControlSet\Control\Lsa
- LsaLookupCacheMaxSize (DWORD) : nombre maximal d’entrées dans le cache. La valeur 0 désactive le cache.
- LsaLookupCacheExpireTime (DWORD). durée maximale d’une entrée dans le cache en minutes. La valeur par défaut est 10080 (7 jours).
- LsaLookupCacheRefreshTime (DWORD) : extension de la durée de vie en minutes au cas où l’entrée est extraite du cache. La valeur par défaut est de 10.
Cache des noms isolés négatifs
Les stations de travail membres et les serveurs membres gèrent le cache local en mémoire des noms isolés qui n’ont pas été résolus et qui ne peuvent pas l’être. Pour en savoir plus sur les noms isolés, consultez la fonction LsaLookupNames2 (ntsecapi.h).
Le cache des noms isolés négatifs n’est pas configurable. La taille maximale est de 8 000 entrées avec une durée maximale de 2 heures chacune. Les noms résolus sont automatiquement supprimés du cache. Une tâche en arrière-plan nettoie les entrées périmées.