对DC上的高级LSASS进程进行故障诊断发现,源于几个工作站的查询很昂贵。
每个查询如下:
Visited Entries: 1Million+ Returned Entries: <50 (most of the times 0)
比较这些工作站上安装的应用程序; 没有什么尖叫高ldap查询。
我的问题:
- 如何在工作站上停止这些查询?
- 如何find这些工作站的罪魁祸首的应用程序(是在Windows 7的现场工程?)
- 所有这些都发生在单个DC上,可能是硬编码的; 这些查询如何在DC上被阻塞? 如果有任何build议或问题,请让我知道。
- 通过确定来源
- 如果您在工作站上运行tcpview / tcpvcon ,它可以帮助您显示哪些进程已连接到远程主机
- 您可以使用防火墙规则阻止该工作站的IP连接到DC LDAP tcp端口,但很可能您将覆盖症状并且不能解决源问题。 特别是通过阻止ldap查询,您的工作站将无法解决任何合法的大小写请求(用户将无法在活动目录中search,任何需要在活动目录中查找对象的服务/程序都将失败等)
如果您不怀疑安装在工作站上的任何特定软件,则应该在该工作站上运行脱机防病毒扫描