Я думаю, что Вы были бы лучшими от наличия того на сервер. Если Вы будете в среде, где Вы вполне уверены, компромисс одного сервиса не приведет к доступу к ключам других на единственном сервере, то на сервер на сервис.
Издержки управления теми дополнительными ключами не должны быть слишком плохими. То, что Вы получаете, является знанием, что некоторый поставленный под угрозу сервис (говорят, Бакулюмы) не позволит взломщику ставить под угрозу Марионеточные транзакции. Это стоит того? Возможно, но только если можно убедиться, что кто-то врывающийся в сервис не может только получить ключи от тех других сервисов так или иначе.
Не уверенный в этой определенной проблеме, но существуют некоторые красивые комментарии по eventid.net
Если бы эта машина просто работает как DC затем, я рекомендовал бы очень сильно, чтобы Вы создали другой DC, синхронизировали его up\transfer роли и затем закрыли неправильно себя ведущий сервер.
Я использовал эту статью MS для успешного поиска и устранения неисправностей высокого CPU на DC. http://technet.microsoft.com/en-us/library/bb727054.aspx
Поскольку эта проблема возвращается при создании другого DC должен быть внешний фактор, который реагирует на сервер и пронзает процессор. Необходимо смочь доказать это путем отключения сетевого кабеля на DC. Если больше чем после 15 минут, если CPU не спадает почти до ничего, которое можно начать искать внешние сервисы и учетные записи, которые соединились с тем DC.
У команды Active Directory MS также есть более обширное сообщение на, там ведут блог. http://blogs.technet.com/askds/archive/2007/08/20/troubleshooting-high-lsass-cpu-utilization-on-a-domain-controller-part-1-of-2.aspx