LSASS.exe использует 100% ЦП на моем контроллере домена SBS2003.
Да хоть убей, я не могу понять, что его вызывает. Я проверил журналы событий и нашел несколько вещей. Я не могу понять, связано ли это с чем-либо. Ничего, кроме ошибок ActiveSync (которые начались довольно давно, до того, как возникла эта проблема), не регистрируется на регулярной основе.
Несколько журналов, которые есть;
Event Type: Warning
Event Source: MSDTC
Event Category: SVC
Event ID: 53258
Date: 02.05.2013
Time: 5:43:20 p.m.
User: N/A
Computer: SERVER
Description:
MS DTC could not correctly process a DC Promotion/Demotion event. MS DTC will continue to function and will use the existing security settings. Error Specifics: %1
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
и
Event Type: Error
Event Source: MSExchangeSA
Event Category: RFR Interface
Event ID: 9143
Date: 02.05.2013
Time: 5:42:58 p.m.
User: N/A
Computer: SERVER
Description:
Referral Interface cannot contact any Global Catalog that supports the NSPI Service. Clients making RFR requests will fail to connect until a Global Catalog becomes available again. After a Domain Controller is promoted to a Global Catalog, it must be rebooted to support MAPI Clients.
For more information, click http://www.microsoft.com/contentredirect.asp.
Также есть некоторые другие ошибки MSExchangeAL;
Event Type: Error
Event Source: MSExchangeAL
Event Category: LDAP Operations
Event ID: 8026
Date: 02.05.2013
Time: 5:31:32 p.m.
User: N/A
Computer: SERVER
Description:
LDAP Bind was unsuccessful on directory SERVER.etcetera.local for distinguished name ''. Directory returned error:[0x51] Server Down.
For more information, click http://www.microsoft.com/contentredirect.asp.
и
Event Type: Error
Event Source: MSExchangeAL
Event Category: Service Control
Event ID: 8250
Date: 02.05.2013
Time: 5:31:19 p.m.
User: N/A
Computer: SERVER
Description:
The Win32 API call 'DsGetDCNameW' returned error code [0x862] The specified component could not be found in the configuration information. The service could not be initialized. Make sure that the operating system was installed properly.
For more information, click http://www.microsoft.com/contentredirect.asp.
и
Event Type: Error
Event Source: MSExchangeAL
Event Category: LDAP Operations
Event ID: 8026
Date: 02.05.2013
Time: 5:31:19 p.m.
User: N/A
Computer: SERVER
Description:
LDAP Bind was unsuccessful on directory SERVER.etcetera.local for distinguished name ''. Directory returned error:[0x51] Server Down.
For more information, click http://www.microsoft.com/contentredirect.asp.
Это единственный сервер в этом домене. Тогда я предположил, что проблема исходит от этой машины, поэтому я следил за Частью 2 этого;
Я пробовал несколько вариантов, которые видел. У меня есть запись в пакетах уведомлений в HKLM \ System \ CurrentControlSet \ Control \ LSA "RASSFM KDCSVC WDIGEST scecli dsrestor". Я читал, что стандартная запись здесь не включает запись dsrestor, хотя я не решаюсь сказать, что это проблема (у меня сегодня время простоя, чтобы протестировать удаление этого + перезагрузка).
У кого-нибудь есть идеи, что я могу попробовать?
Спасибо! -Эван
Хорошо, я нашел проблему. Глупый я - я не заметил, что есть дубликат LSASS.exe. Оказывается, это был майнинг биткойнов вредоносным ПО, отсюда и высокая загрузка процессора.