Active Directory ドメイン コントローラーでの高い Lsass.exe CPU 使用率のトラブルシューティング方法

  • [アーティクル]

この記事では、Active Directory ドメイン コントローラーでの高い Lsass.exe CPU 使用率を解決します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2550044

現象

この問題は、次の方法で発生する可能性があります。

  • System Center Advisor アラートがトリガーされました。 これは、Lsass.exe プロセスが CPU の機能 (CPU 使用率カウンター) の一貫して大きな割合を使用していることを呼び出します。
  • ドメイン コントローラーの応答速度が遅い場合、または認証またはディレクトリ参照に対するクライアント サービス要求に対してまったく応答しない。
  • Active Directory ドメイン クライアントは、一貫して、または頻繁にドメイン コントローラーからのサービスの要求を停止します。 代わりに、サービスを取得する別のドメイン コントローラーを見つけます。
  • Perfmon.msc またはタスク マネージャーを使用したパフォーマンス監視では、Lsass.exe プロセスで CPU の機能の一貫して大きな割合 (プロセス オブジェクト、% プロセッサ時間カウンター) が使用されていることが明らかになります。

原因

この問題は、多数の異なる単一の問題または結合された問題によって発生する可能性があります。 これらの問題のほぼすべての原因と解決策は一意です。 Windows Server 2008 以降では、次のツールを使用して問題の原因を特定できます。

   パフォーマンス モニターの Active Directory データ コレクター セット

解決方法

この問題を解決するには、問題の発生中にドメイン コントローラーでパフォーマンス モニターの Active Directory データ コレクター セットを実行します。 このツールでは、パフォーマンス カウンターとトレースを使用して問題を監視します。 次に、潜在的な問題の詳細を示すレポートをコンパイルします。 これらの問題は、考えられる原因として調査する必要があります。

Active Directory データ コレクターを実行するには、次の手順に従います。

  1. Windows Server 2008 以降のフル バージョンでサーバー マネージャーを開くか、[スタート] [RunPerfmon.msc]\(Perfmon.msc の実行>の開始\>) に移動して Enter キーを押します。
  2. [診断の>信頼性とパフォーマンス>] [データ コレクター セット システム] を>展開します
  3. [Active Directory 診断] を右クリックし、表示されるメニューで [スタート ] を選択します。
  4. 既定の設定では、レポートのデータが 300 秒間 (5 分間) 収集されます。 その後、レポートのコンパイルに余分な時間がかかります。 レポートのコンパイルに必要な時間は、収集されたデータの量に比例します。

レポートがコンパイルされたら、[診断>の信頼性とパフォーマンス>レポート] [システム>Active Directory 診断]> に移動します。 完了したレポートまたはレポートを表示します。

レポートには、[ 診断結果 ] の下に、レポート内の情報と結論を含む 8 つの広範なカテゴリが含まれています。 問題の正確な原因が常にわかるようには限りません。 ただし、これを使用して、調査する場所を特定して正確な原因を見つけることができます。

Lsass.exe によって CPU 使用率が高い場合は、レポートの [診断結果] 部分をチェックします。 パフォーマンスに関する一般的な懸念事項を示します。 また、Active Directory カテゴリも調べます。 その時点でドメイン コントローラーがビジー状態になっているアクションについて詳しく説明します。 たとえば、パフォーマンスに影響を与える LDAP クエリなどです。

ドメイン コントローラーは、多くの場合、環境内のコンピューターから高価なクエリを要求するリモート クエリによって最も影響を受けます。 または、クエリの量が多くなります。 レポートの ネットワーク 部分は、診断でデータを収集しているときにドメイン コントローラーと最も通信しているリモート クライアントを特定するのに役立ちます。

詳細

ローカル セキュリティ機関サブシステム サービス (Lsass.exe) は、Active Directory ドメイン コントローラー上のプロセスです。 Active Directory データベースの参照、認証、レプリケーションを提供する役割を担います。

Active Directory ドメイン コントローラーでの Lsass.exe プロセスの CPU 使用率の高いトラブルシューティング方法の詳細については、「 Son of SPA: AD Data Collector Sets in Win2008 以降」を参照してください。