Nevracení paměti v procesu služby LSASS v řadičích domény se systémem Windows Server 2012 R2 a server služby AD LDS

Tento článek popisuje problém nevrácení paměti, ke kterému dochází v řadičích domény se systémem Windows Server 2012 R2 a Windows 8.1 nebo počítači se systémem Windows Server 2012 R2 s nainstalovanou rolí serveru Služba Active Directory Lightweight Directory Services (AD LDS). Oprava hotfix je k dispozici řešení tohoto problému. Tato oprava hotfix má předpoklad.

Příznaky

Nové přidělení paměti haldy zápasy byla zavedena v systému Windows Server 2012 R2 verze adresářové služby. Způsobuje nevracení paměti v Lsass.exe (role řadiče domény) a DsaMain.exe Lightweight Directory Service (LDS) proces, který může využívat všechny dostupné paměti v systému Windows Server 2012 R2 řadiče domény nebo na serveru LDS.

Příčina

K tomuto problému dochází v následujících situacích:
  • Povýšení řadiče domény a přidání repliky LDS konfigurační sady

    Po přidání repliky do konfigurace po povýšení řadiče domény nebo přidání LDS instance v systému Windows Server 2012 R2 nebo Windows 8.1, musí stroj replikace replikace všech objektů v názvových kontextů potřeby nové instance. Během úkolu procesu úřad Server služby LSASS (Local Security) nebo DsaMain.exe může způsobit závažné při přiděluje virtuální Potvrzené bajty, i když je velmi nízké reálné využití. Navíc protokolu DCpromo.log se zobrazí následující chybová zpráva:

    Datum ačas[INFO] replikaci dat DC = Contoso,DC = com: XXXXXX přijaté z přibližně XXXXXX objekty a z přibližně XXXXXX XXXXXX rozlišující název (DN) hodnoty...

    Datum čas [Upozornění] bez kritické replikace vrátil 14

    Chyba s kódem 14 přeložena: ERROR_OUTOFMEMORY - není dostatek úložiště je k dokončení této operace.

    Je zaznamenána následující událost do protokolu událostí během nebo krátce po dcpromo povrchové úpravy:
    Protokol událostíZdroj událostiIDPopis
    Adresářové službyReplikace2094Upozornění výkonu: replikace byla zpoždění při provádění změn na následující objekt. Často se objeví tato zpráva, označuje, že replikace dochází pomalu a že server může mít potíže s změny.

    Rozlišující název objektu: CN =název klienta, OU =OU, DC =Contoso, DC =com
    Identifikátor GUID objektu: identifikátor GUID
    DN oddíl: DC =Contoso, DC =com
    Server: záznam DNS _msdcs partnerského serveru pro replikaci
    Uplynulý čas (sekundy): XX

    Akce uživatele

    Častým důvodem pro zobrazení toto zpoždění je mimořádně velký, jeho hodnoty velikosti nebo počtu hodnot tohoto objektu. Nejprve byste měli zvážit, zda lze změnit aplikace ke snížení množství dat uložených v objektu nebo počet hodnot. Pokud se jedná o velkou skupinu nebo distribuční seznam, můžete zvážit zvýšení úrovně funkčnosti doménové struktury systému Windows Server 2003 nebo vyšší, protože tím umožníte replikaci pracovat efektivněji. By měli zvážit, zda serverová platforma poskytuje dostatečný výkon z hlediska spotřeby paměti a zpracování. Nakonec je vhodné zvážit optimalizace databáze služba Active Directory Domain Services přesunutím databáze a protokolů do samostatných oddílů disku.

    Pokud si přejete změnit limit upozornění, dále jsou uvedeny klíče registru. Nulová hodnota zakáže kontrolu.

    Další Data

    Limit upozornění (sekundy): XX

    Omezení klíče registru: Maximální čekací System\CurrentControlSet\Services\NTDS\Parameters\Replicator pro objekt aktualizace (sekundy)
    Adresářové službyKCC1308Kontrola konzistence znalostí (KCC) zjistila, že po sobě jdoucí pokusy o replikaci s následující adresářovou službou selhalo konzistentně.

    Pokusy:
    2
    Adresářové služby:
    CN = NTDS Settings, CNDC001, CN =servery, CN =web1, CN = =servery, CN =Konfigurace, DC =Contoso, DC =com
    Časový úsek (v minutách):
    XXXXXXX

    Objekt připojení adresářové služby budou ignorovány, nové dočasné připojení zřídí a zajistit, že replikace pokračuje. Po této adresářové služby replikace pokračuje, dočasné připojení bude odebrána.

    Další Data
    Chybová hodnota:
    14 není dostatek úložiště je k dokončení této operace.

    Poznámka: Problém nenastane, pokud instalaci z média (IFM) podporu pro řadiče domény. Propagace IFM má však být získávána z stejnou verzi operačního systému.
  • Je zaznamenána následující událost do protokolu událostí během nebo krátce po dcpromo povrchové úpravy:
    Protokol událostíZdroj událostiIDPopis
    Adresářové službyReplikace2094Upozornění výkonu: replikace byla zpoždění při provádění změn na následující objekt. Často se objeví tato zpráva, označuje, že replikace dochází pomalu a že server může mít potíže s změny.

    Rozlišující název objektu: CN =název klienta, OU =OU, DC =Contoso, DC =com
    Identifikátor GUID objektu: identifikátor GUID
    DN oddíl: DC =Contoso, DC =com
    Server: záznam DNS _msdcs partnerského serveru pro replikaci
    Uplynulý čas (sekundy): XX

    Akce uživatele

    Častým důvodem pro zobrazení toto zpoždění je mimořádně velký, jeho hodnoty velikosti nebo počtu hodnot tohoto objektu. Nejprve byste měli zvážit, zda lze změnit aplikace ke snížení množství dat uložených v objektu nebo počet hodnot. Pokud se jedná o velkou skupinu nebo distribuční seznam, můžete zvážit zvýšení úrovně funkčnosti doménové struktury systému Windows Server 2003 nebo vyšší, protože tím umožníte replikaci pracovat efektivněji. By měli zvážit, zda serverová platforma poskytuje dostatečný výkon z hlediska spotřeby paměti a zpracování. Nakonec je vhodné zvážit optimalizace databáze služba Active Directory Domain Services přesunutím databáze a protokolů do samostatných oddílů disku.

    Pokud si přejete změnit limit upozornění, dále jsou uvedeny klíče registru. Nulová hodnota zakáže kontrolu.

    Další Data

    Limit upozornění (sekundy): XX

    Omezení klíče registru: Maximální čekací System\CurrentControlSet\Services\NTDS\Parameters\Replicator pro objekt aktualizace (sekundy)
    Adresářové službyKCC1308Kontrola konzistence znalostí (KCC) zjistila, že po sobě jdoucí pokusy o replikaci s následující adresářovou službou selhalo konzistentně.

    Pokusy:
    2
    Adresářové služby:
    CN = NTDS Settings, CNDC001, CN =servery, CN =web1, CN = =servery, CN =Konfigurace, DC =Contoso, DC =com
    Časový úsek (v minutách):
    XXXXXXX

    Objekt připojení adresářové služby budou ignorovány, nové dočasné připojení zřídí a zajistit, že replikace pokračuje. Po této adresářové služby replikace pokračuje, dočasné připojení bude odebrána.

    Další Data
    Chybová hodnota:
    14 není dostatek úložiště je k dokončení této operace.

    Poznámka: Problém nenastane, pokud instalaci z média (IFM) podporu pro řadiče domény. Propagace IFM má však být získávána z stejnou verzi operačního systému.
  • Chyba s kódem 14 přeložena: ERROR_OUTOFMEMORY - není dostatek úložiště je k dokončení této operace. Je zaznamenána následující událost do protokolu událostí během nebo krátce po dcpromo povrchové úpravy:
    Protokol událostíZdroj událostiIDPopis
    Adresářové službyReplikace2094Upozornění výkonu: replikace byla zpoždění při provádění změn na následující objekt. Často se objeví tato zpráva, označuje, že replikace dochází pomalu a že server může mít potíže s změny.

    Rozlišující název objektu: CN =název klienta, OU =OU, DC =Contoso, DC =com
    Identifikátor GUID objektu: identifikátor GUID
    DN oddíl: DC =Contoso, DC =com
    Server: záznam DNS _msdcs partnerského serveru pro replikaci
    Uplynulý čas (sekundy): XX

    Akce uživatele

    Častým důvodem pro zobrazení toto zpoždění je mimořádně velký, jeho hodnoty velikosti nebo počtu hodnot tohoto objektu. Nejprve byste měli zvážit, zda lze změnit aplikace ke snížení množství dat uložených v objektu nebo počet hodnot. Pokud se jedná o velkou skupinu nebo distribuční seznam, můžete zvážit zvýšení úrovně funkčnosti doménové struktury systému Windows Server 2003 nebo vyšší, protože tím umožníte replikaci pracovat efektivněji. By měli zvážit, zda serverová platforma poskytuje dostatečný výkon z hlediska spotřeby paměti a zpracování. Nakonec je vhodné zvážit optimalizace databáze služba Active Directory Domain Services přesunutím databáze a protokolů do samostatných oddílů disku.

    Pokud si přejete změnit limit upozornění, dále jsou uvedeny klíče registru. Nulová hodnota zakáže kontrolu.

    Další Data

    Limit upozornění (sekundy): XX

    Omezení klíče registru: Maximální čekací System\CurrentControlSet\Services\NTDS\Parameters\Replicator pro objekt aktualizace (sekundy)
    Adresářové službyKCC1308Kontrola konzistence znalostí (KCC) zjistila, že po sobě jdoucí pokusy o replikaci s následující adresářovou službou selhalo konzistentně.

    Pokusy:
    2
    Adresářové služby:
    CN = NTDS Settings, CNDC001, CN =servery, CN =web1, CN = =servery, CN =Konfigurace, DC =Contoso, DC =com
    Časový úsek (v minutách):
    XXXXXXX

    Objekt připojení adresářové služby budou ignorovány, nové dočasné připojení zřídí a zajistit, že replikace pokračuje. Po této adresářové služby replikace pokračuje, dočasné připojení bude odebrána.

    Další Data
    Chybová hodnota:
    14 není dostatek úložiště je k dokončení této operace.

    Poznámka: Problém nenastane, pokud instalaci z média (IFM) podporu pro řadiče domény. Propagace IFM má však být získávána z stejnou verzi operačního systému.
  • Šíření popisovač zabezpečení

    Problém nevrácení paměti může dojít při zabezpečení změnit na objekt kontejneru (kořenovou doménu nebo organizační jednotku (OU)) pochází mnoho podřízených objektů nebo podřízené organizační jednotky v případě šíření SD. V závislosti na položka řízení přístupu (ACE) Chcete-li změnit velikost a počet objektů (například 500 000) šíření informací může trvat dlouhou dobu. Během této doby může proces služby LSASS nebo DsaMain proces neustále rozdělit svěřené bajty.
  • Dlouhotrvající dotazy

    Neočekávaně vysoký virtuální paměť spotřeby během dlouhotrvající dotazy Lightweight Directory Access Protocol (LDAP) na serverech Windows Server 2012 R2 nebo systémem Windows 8.1 LDAP může způsobit výpadky paměti. Dlouhotrvající dotazy spotřebovat paměti haldy pro popisovače zabezpečení každého objektu, který se dotýkal získáním.
V těchto situacích když dosáhnou Potvrzené bajty počet bajtů, které jsou k dispozici, systém nepoužitelný a může dokonce zhroucení.

Řešení

Chcete-li tento problém vyřešit, nainstalujte opravu hotfix, která je uvedena v následující části.

Chcete-li použít opravu hotfix v kontextu z propagace řadiče domény (DCPROMO), postupujte takto:
  1. Instalace role služba Active Directory Domain Services nebo služby AD LDS.
  2. Instalací této aktualizace nebo novější aktualizace systému Windows Server 2012 R2 a aktualizace zabezpečení, které obsahují binární stejné Ntdsai.dll jsou vždy kumulativní.
  3. Povýšení počítače na řadič domény stav.
Důležité: Je-li jazykovou sadu nainstalovat, po instalaci této opravy hotfix, je nutné přeinstalovat tuto opravu hotfix. Proto doporučujeme instalaci jakékoli jazykové sady, které je třeba před instalací této opravy hotfix. Další informace naleznete v tématu Přidání jazykové sady do systému Windows.

Informace o opravě hotfix

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problém popsaný v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému.

Pokud je oprava hotfix je k dispozici ke stažení, je sekce "Hotfix stažení k dispozici" v horní části tohoto článku znalostní báze Knowledge Base. Pokud tento oddíl není zobrazeno, odešlete požadavek na služby zákazníkům společnosti Microsoft a podpoře získat opravu hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Výdaje na technickou podporu použije dalších otázek a problémů, které nejsou způsobilé pro tato konkrétní oprava hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu přejděte na následující web společnosti Microsoft:Poznámka: "Hotfix stažení k dispozici" formulář zobrazí jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, je protože oprava hotfix není k dispozici pro daný jazyk.

Předpoklady

Chcete-li nainstalovat tuto opravu hotfix, musíte mít Duben 2014 kumulativní aktualizace pro Windows RT 8.1, Windows 8.1 a Windows Server 2012 R2 (2919355) v systému Windows 8.1 nebo Windows Server 2012 R2 nainstalována.

Informace o registrech

Chcete-li nainstalovat tuto opravu hotfix, nemáte žádné změny registru.

Požadavek na restartování

Bude pravděpodobně nutné restartovat počítač po instalaci této opravy hotfix.

Informace o nahrazení opravy hotfix

Tato oprava hotfix není nahradit dříve vydané opravy hotfix.

Stav

Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".

Další informace

Pokud povolíte NTDS\Diagnostics "9 interní zpracování" úroveň 2, jak je uvedeno v článku znalostní báze Microsoft Knowledge Base 314980, může se zobrazit následující události ActiveDirectory_DomainService. Tyto události zobrazit Úloha šíření SD dlouhotrvající.
Po replikaci služby Active Directory na jiný řadič domény se systémem Windows Server 2012 R2 nebo LDS instance v doméně stejný problém může nastat, pokud šíření SD se provádí lokálně.

Neuvidíte, že nevracení paměti v Active Directory kolekcí nastavit sestavu protože zobrazuje pouze bajty. Avšak, můžete použít vytvořený výkon data webový soubor kontrola čítače objektu: procesu sledování, Instance: Lsass, čítač: nesdílených bajtů a objekt: paměti Čítač: potvrzené bajty.

Pro delší pozorování vývoje netěsnost můžete použít "Graf s vzorku vlastnosti prvků grafu nástroje Sledování výkonu" každých 60 sekund. Trvání: 15 000 sekund (> 4 hodiny).

Zvýšení přidělení lze pozorovat také v programu Správce úloh, karta výkonpoložku paměť, potvrzený. Zobrazí se pod potvrzený/Available gigabajtů (GB).

Indikátory stavu chyby jsou následující:

repadmin/showrepl vrátí:
Není dostatek úložiště je k dokončení této operace.

Adresářová služba zaznamená událost chyby. 1699:
Tento adresářové službě se nepodařilo načíst požadované změny pro následující oddíl adresáře. V důsledku toho se nepodařilo odeslat žádosti o změny adresářové službě na následující síťové adrese.
Rozšířený kód požadavku: 0
Další Data
Chybová hodnota: 8446 operace replikace se nepodařilo vyhradit paměť.

Místní nabídka aplikace:
Windows – nedostatek virtuální paměti: systém má nedostatek virtuální paměti. Aby se systém Windows spouští správně, zvětšete velikost stránkovacího souboru virtuální paměti. Další informace naleznete v nápovědě.


Odkazy

Další informace o terminologii , kterou společnost Microsoft používá k popisu aktualizací softwaru.

Informace o souboru

Anglická (Spojené státy) verze této aktualizace softwaru instaluje soubory, které mají atributy, které jsou uvedeny v následujících tabulkách. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Uvědomte si, že kalendářní data a časy těchto souborů v místním počítači jsou zobrazeny podle místního času a podle aktuálního letního času. Také data a časy mohou změnit při provádění některých operací se soubory.
Windows 8.1 a Windows Server 2012 R2
Další informace o souborech
Vlastnosti

ID článku: 3083038 - Poslední kontrola: 20. 1. 2017 - Revize: 1

Váš názor