基于Windows 2000 Server的域控制器上的Lsass.exe进程的内存使用量

概要

本文介绍一些 Lsass.exe 进程基本知识、配置 Lsass.exe 进程的最佳做法以及预期的内存使用量。在基于 Windows 2000 Server 产品系列的域控制器上分析 Lsass.exe 的性能和内存使用情况时，可使用本文作为指南。如果您有关于如何调整和配置服务器和域控制器以优化该引擎的问题，本文中的信息可能会很有帮助。

Lsass.exe 进程负责本地安全机构域身份验证管理和 Active Directory 管理。该进程处理客户端和服务器的身份验证，此外还控制 Active Directory 引擎。Lsass.exe 进程负责下列组件：

•	本地安全机构
•	网络登录服务
•	安全帐户管理器服务
•	LSA 服务器服务
•	安全套接字层 (SSL)
•	Kerberos v5 身份验证协议
•	NTLM 身份验证协议

限制或最大限度地减少域控制器上程序的数量

为获得最佳性能，Lsass.exe 进程在给定服务器或域控制器上尽可能多地占用 RAM。当其他进程要求 RAM 时，Lsass.exe 进程会释放 RAM。这一思想的目的是在优化 Lsass.exe 进程性能的同时，仍能顾及计算机上可能运行的其他进程。有鉴于此，同时为了提高性能，最好能够限制或最大限度地减少域控制器上程序的数量。如果没有内存请求，则 Lsass.exe 进程使用此内存来缓存查询的数据。

使用 Active Directory Sizer (Adsizer.exe) 和 ADTEST 工具

您可以使用 Adsizer.exe 工具，根据域控制器的功能来估计它们需要的内存量。您只能将此项测试作为评估，因为 Adsizer.exe 不能准确预测所有进程需要的内存量。可以使用 ADTEST 工具来增加域控制器的负载，并提供预期的内存使用基准量和内存负载。

32 位寻址空间被限制为 4 GB

32 位寻址空间被限制为 4 GB 物理内存。

使用计数器监控 Lsass.exe 使用量

可以使用作业对象、处理器占用率（将 80% 的处理器占用率作为高负载标记）、adperf 和 cop 进程性能工具来监控 Lsass.exe 使用量。重要的计数器有内存、进程、NTDS 对象、缓存、服务器、处理器、线程和数据库。

使用 Windows

如果您计划在域控制器上使用 1 GB 以上的物理内存，应使用 Windows 2000 Advanced Server、Windows 2000 Datacenter Server、Windows Server 2003 标准版、Windows Server 2003 企业版或 Windows Server 2003 数据中心版。您可以在这些版本的 Windows 上使用 /3GB 开关来提供额外的 1 GB 可寻址内存。不过，如果将此开关用于 Windows 2000 Server，则该内存空间将被标记为不可用。

内存信息

域控制器上的 Lsass 内存使用量由两个主要部分组成：一个是固定使用量，一个是可变使用量。

固定部分由代码、堆栈、堆和各种固定大小的数据结构（例如，架构缓存）组成。Lsass 使用的内存量可能有所不同，具体取决于计算机上的负载。随着运行线程数量的增加，内存堆栈的数量也会增加。Lsass.exe 通常使用 100 MB 到 300 MB 的内存。无论计算机上安装多少 RAM，Lsass.exe 都使用相同数量的内存。不过，当安装较大数量的 RAM 时，Lsass 可能使用更多的 RAM，并使用较少的虚拟内存。

可变部分是指数据库缓冲区缓存。缓存大小的范围从不到 1 MB 到整个数据库的大小不等。由于较大的缓存可以提高性能，因此 AD 的数据库引擎 (ESENT) 会尝试使缓存尽可能地大。尽管缓存的大小随计算机中内存需求量的变化而变化，但缓存的最大大小受到计算机中安装的物理 RAM 数量和可用虚拟地址空间 (VA) 数量两者的限制。AD 只将整个 VA 空间的一部分用于缓存。AD 可以使用的最大 VA 空间数量由以下公式确定：

((totalVA - 1GB) / 2)

注意：该公式仅适用于 Windows 2000。在 Windows Server 2003 中，LSASS 的内存模式有所不同，并且缓存所使用的内存量是动态变化的。内存使用量已增长至高达 2.6 GB，但前提是 LSASS 中的其他进程不需要内存。

这意味着在没有 /3GB 开关的 x86 计算机上，缓存大小被限制为 512 MB 或物理 RAM 的数量（两者取较小值）。在使用 /3GB 开关时，缓存大小被限制为 1 GB 或物理 RAM 的数量（两者取较小值）。请注意，这意味着一旦物理 RAM 的数量超过大约 600MB（用于缓存的 500 MB 加上用于固定部分的大约 100 MB）， /3GB 开关就开始起作用。在 64 位系统（如 IA64）上，仅由 RAM 对缓存大小进行有效限制，并且 Microsoft 开发部门已对所使用的缓存超过 9GB 的系统进行了测试。

内存使用量随 Active Directory 使用的增加而增加

Lsass.exe 进程所使用的内存量随着 Active Directory 使用量的增长而相应增加。查询数据时，数据被缓存在内存中。

Lsass.exe 进程和 Active Directory 的最大物理内存使用量

Lsass.exe 进程和 Active Directory 的最大物理内存使用量为 2 GB。