Identifier une application nuisant à la performance de votre domain controller
Nous allons voir dans ce post comment identifier un application entraînant une consommation de CPU anormale sur vos Domain Controllers. Nous allons pour cela utiliser principalement deux outils: Server Performance Advisor et Wireshark. Le premier outil est utile si votre DC est sous Windows 2003, si vous êtes sous 2008, celui ci est inclus dans l’OS via le composant logiciel enfichable perfmon.msc, son nouveau nom Windows Reliability and Performance Monitor. La version 2003 et la 2008 possèdent des modules dédiés pour Active Directory, nous allons utiliser SPA, car le DC impacté est un 2003, si vous voulez plus de détails sur RPM et Active Directory vous pouvez lire cet article.
En analysant la courbe CPU d’un de nos DCs sous Windows 2003 nous avons remarqué une consommation anormale du process lsass.exe:
On voit que le DC est particulièrement sollicité aux horaires de bureau, la piste d’une application utilisée par les postes clients nuisant aux performances du DC semble donc la plus plausible. Nous laçons donc une analyse avec SPA sur le DC impacté dont voici le résultat:
La requête SamEnumUsersInDomain nous prend 42% de CPU, l’IP des clients provoquant ces requêtes n’est malheureusement pas remontée de manière claire via l’outil, nous allons donc utiliser WireShark pour analyser l’activité réseau de notre DC et identifier les clients:
Après un peu d’analyse des trames nous voyons que le protocole de communication Windows (MCPP) utilisé par ces requêtes est MS-SAMR, il nous suffit d’utiliser le filtre Wireshark correspondant (SAMR) pour identifier les clients. Après avoir envoyé la liste de ces derniers au service informatique du site impacté il s’est avéré que ce sont des portables avec le logiciel HP ProtectTools security manager installé. Celui ci a été retiré de la plupart des postes, car les SMART cards n’étaient pas utilisées, et le résultat a été immédiat sur la courbe CPU des DCs:
Afin de d’identifier sur la partie cliente le processus émettant via un protocole particulier vers une autre machine vous pouvez utiliser le logiciel TCPview ou bien CurrPorts que mon collègue de CTXBlog présente dans cet article.
Le problème concernant l’application HP ProtectTools a été discutée sur un des forums HP, la solution serait de passer le Sp41408 de l’application, cependant nous avons fait le choix de désinstaller cette application, car elle était inutile pour nous.
This post is also available in: Anglais