Nevracení paměti v procesu služby LSASS v řadičích domény se systémem Windows Server 2012 R2 a server služby AD LDS

Příznaky

Nové přidělení paměti haldy zápasy byla zavedena v systému Windows Server 2012 R2 verze adresářové služby. Způsobuje nevracení paměti v Lsass.exe (role řadiče domény) a DsaMain.exe Lightweight Directory Service (LDS) proces, který může využívat všechny dostupné paměti v systému Windows Server 2012 R2 řadiče domény nebo na serveru LDS.

Příčina

K tomuto problému dochází v následujících situacích:

• Povýšení řadiče domény a přidání repliky LDS konfigurační sady
  
  Po přidání repliky do konfigurace po povýšení řadiče domény nebo přidání LDS instance v systému Windows Server 2012 R2 nebo Windows 8.1, musí stroj replikace replikace všech objektů v názvových kontextů potřeby nové instance. Během úkolu procesu úřad Server služby LSASS (Local Security) nebo DsaMain.exe může způsobit závažné při přiděluje virtuální Potvrzené bajty, i když je velmi nízké reálné využití. Navíc protokolu DCpromo.log se zobrazí následující chybová zpráva:

  
  Datum ačas[INFO] replikaci dat DC = Contoso,DC = com: XXXXXX přijaté z přibližně XXXXXX objekty a z přibližně XXXXXX XXXXXX rozlišující název (DN) hodnoty...
  
  Datum čas [Upozornění] bez kritické replikace vrátil 14
  

  
  Chyba s kódem 14 přeložena: ERROR_OUTOFMEMORY - není dostatek úložiště je k dokončení této operace.
  
  Je zaznamenána následující událost do protokolu událostí během nebo krátce po dcpromo povrchové úpravy:

  Protokol událostí	Zdroj události	ID	Popis
  Adresářové služby	Replikace	2094	Upozornění výkonu: replikace byla zpoždění při provádění změn na následující objekt. Často se objeví tato zpráva, označuje, že replikace dochází pomalu a že server může mít potíže s změny. Rozlišující název objektu: CN =název klienta, OU =OU, DC =Contoso, DC =com Identifikátor GUID objektu: identifikátor GUID DN oddíl: DC =Contoso, DC =com Server: záznam DNS _msdcs partnerského serveru pro replikaci Uplynulý čas (sekundy): XX Akce uživatele Častým důvodem pro zobrazení toto zpoždění je mimořádně velký, jeho hodnoty velikosti nebo počtu hodnot tohoto objektu. Nejprve byste měli zvážit, zda lze změnit aplikace ke snížení množství dat uložených v objektu nebo počet hodnot. Pokud se jedná o velkou skupinu nebo distribuční seznam, můžete zvážit zvýšení úrovně funkčnosti doménové struktury systému Windows Server 2003 nebo vyšší, protože tím umožníte replikaci pracovat efektivněji. By měli zvážit, zda serverová platforma poskytuje dostatečný výkon z hlediska spotřeby paměti a zpracování. Nakonec je vhodné zvážit optimalizace databáze služba Active Directory Domain Services přesunutím databáze a protokolů do samostatných oddílů disku. Pokud si přejete změnit limit upozornění, dále jsou uvedeny klíče registru. Nulová hodnota zakáže kontrolu. Další Data Limit upozornění (sekundy): XX Omezení klíče registru: Maximální čekací System\CurrentControlSet\Services\NTDS\Parameters\Replicator pro objekt aktualizace (sekundy)
  Adresářové služby	KCC	1308	Kontrola konzistence znalostí (KCC) zjistila, že po sobě jdoucí pokusy o replikaci s následující adresářovou službou selhalo konzistentně. Pokusy: 2 Adresářové služby: CN = NTDS Settings, CNDC001, CN =servery, CN =web1, CN = =servery, CN =Konfigurace, DC =Contoso, DC =com Časový úsek (v minutách): XXXXXXX Objekt připojení adresářové služby budou ignorovány, nové dočasné připojení zřídí a zajistit, že replikace pokračuje. Po této adresářové služby replikace pokračuje, dočasné připojení bude odebrána. Další Data Chybová hodnota: 14 není dostatek úložiště je k dokončení této operace.

  
  Poznámka: Problém nenastane, pokud instalaci z média (IFM) podporu pro řadiče domény. Propagace IFM má však být získávána z stejnou verzi operačního systému.

• Je zaznamenána následující událost do protokolu událostí během nebo krátce po dcpromo povrchové úpravy:

  Protokol událostí	Zdroj události	ID	Popis
  Adresářové služby	Replikace	2094	Upozornění výkonu: replikace byla zpoždění při provádění změn na následující objekt. Často se objeví tato zpráva, označuje, že replikace dochází pomalu a že server může mít potíže s změny. Rozlišující název objektu: CN =název klienta, OU =OU, DC =Contoso, DC =com Identifikátor GUID objektu: identifikátor GUID DN oddíl: DC =Contoso, DC =com Server: záznam DNS _msdcs partnerského serveru pro replikaci Uplynulý čas (sekundy): XX Akce uživatele Častým důvodem pro zobrazení toto zpoždění je mimořádně velký, jeho hodnoty velikosti nebo počtu hodnot tohoto objektu. Nejprve byste měli zvážit, zda lze změnit aplikace ke snížení množství dat uložených v objektu nebo počet hodnot. Pokud se jedná o velkou skupinu nebo distribuční seznam, můžete zvážit zvýšení úrovně funkčnosti doménové struktury systému Windows Server 2003 nebo vyšší, protože tím umožníte replikaci pracovat efektivněji. By měli zvážit, zda serverová platforma poskytuje dostatečný výkon z hlediska spotřeby paměti a zpracování. Nakonec je vhodné zvážit optimalizace databáze služba Active Directory Domain Services přesunutím databáze a protokolů do samostatných oddílů disku. Pokud si přejete změnit limit upozornění, dále jsou uvedeny klíče registru. Nulová hodnota zakáže kontrolu. Další Data Limit upozornění (sekundy): XX Omezení klíče registru: Maximální čekací System\CurrentControlSet\Services\NTDS\Parameters\Replicator pro objekt aktualizace (sekundy)
  Adresářové služby	KCC	1308	Kontrola konzistence znalostí (KCC) zjistila, že po sobě jdoucí pokusy o replikaci s následující adresářovou službou selhalo konzistentně. Pokusy: 2 Adresářové služby: CN = NTDS Settings, CNDC001, CN =servery, CN =web1, CN = =servery, CN =Konfigurace, DC =Contoso, DC =com Časový úsek (v minutách): XXXXXXX Objekt připojení adresářové služby budou ignorovány, nové dočasné připojení zřídí a zajistit, že replikace pokračuje. Po této adresářové služby replikace pokračuje, dočasné připojení bude odebrána. Další Data Chybová hodnota: 14 není dostatek úložiště je k dokončení této operace.

  
  Poznámka: Problém nenastane, pokud instalaci z média (IFM) podporu pro řadiče domény. Propagace IFM má však být získávána z stejnou verzi operačního systému.

• Chyba s kódem 14 přeložena: ERROR_OUTOFMEMORY - není dostatek úložiště je k dokončení této operace. Je zaznamenána následující událost do protokolu událostí během nebo krátce po dcpromo povrchové úpravy:

  Protokol událostí	Zdroj události	ID	Popis
  Adresářové služby	Replikace	2094	Upozornění výkonu: replikace byla zpoždění při provádění změn na následující objekt. Často se objeví tato zpráva, označuje, že replikace dochází pomalu a že server může mít potíže s změny. Rozlišující název objektu: CN =název klienta, OU =OU, DC =Contoso, DC =com Identifikátor GUID objektu: identifikátor GUID DN oddíl: DC =Contoso, DC =com Server: záznam DNS _msdcs partnerského serveru pro replikaci Uplynulý čas (sekundy): XX Akce uživatele Častým důvodem pro zobrazení toto zpoždění je mimořádně velký, jeho hodnoty velikosti nebo počtu hodnot tohoto objektu. Nejprve byste měli zvážit, zda lze změnit aplikace ke snížení množství dat uložených v objektu nebo počet hodnot. Pokud se jedná o velkou skupinu nebo distribuční seznam, můžete zvážit zvýšení úrovně funkčnosti doménové struktury systému Windows Server 2003 nebo vyšší, protože tím umožníte replikaci pracovat efektivněji. By měli zvážit, zda serverová platforma poskytuje dostatečný výkon z hlediska spotřeby paměti a zpracování. Nakonec je vhodné zvážit optimalizace databáze služba Active Directory Domain Services přesunutím databáze a protokolů do samostatných oddílů disku. Pokud si přejete změnit limit upozornění, dále jsou uvedeny klíče registru. Nulová hodnota zakáže kontrolu. Další Data Limit upozornění (sekundy): XX Omezení klíče registru: Maximální čekací System\CurrentControlSet\Services\NTDS\Parameters\Replicator pro objekt aktualizace (sekundy)
  Adresářové služby	KCC	1308	Kontrola konzistence znalostí (KCC) zjistila, že po sobě jdoucí pokusy o replikaci s následující adresářovou službou selhalo konzistentně. Pokusy: 2 Adresářové služby: CN = NTDS Settings, CNDC001, CN =servery, CN =web1, CN = =servery, CN =Konfigurace, DC =Contoso, DC =com Časový úsek (v minutách): XXXXXXX Objekt připojení adresářové služby budou ignorovány, nové dočasné připojení zřídí a zajistit, že replikace pokračuje. Po této adresářové služby replikace pokračuje, dočasné připojení bude odebrána. Další Data Chybová hodnota: 14 není dostatek úložiště je k dokončení této operace.

  
  Poznámka: Problém nenastane, pokud instalaci z média (IFM) podporu pro řadiče domény. Propagace IFM má však být získávána z stejnou verzi operačního systému.

• Šíření popisovač zabezpečení
  
  Problém nevrácení paměti může dojít při zabezpečení změnit na objekt kontejneru (kořenovou doménu nebo organizační jednotku (OU)) pochází mnoho podřízených objektů nebo podřízené organizační jednotky v případě šíření SD. V závislosti na položka řízení přístupu (ACE) Chcete-li změnit velikost a počet objektů (například 500 000) šíření informací může trvat dlouhou dobu. Během této doby může proces služby LSASS nebo DsaMain proces neustále rozdělit svěřené bajty.

• Dlouhotrvající dotazy
  
  Neočekávaně vysoký virtuální paměť spotřeby během dlouhotrvající dotazy Lightweight Directory Access Protocol (LDAP) na serverech Windows Server 2012 R2 nebo systémem Windows 8.1 LDAP může způsobit výpadky paměti. Dlouhotrvající dotazy spotřebovat paměti haldy pro popisovače zabezpečení každého objektu, který se dotýkal získáním.

V těchto situacích když dosáhnou Potvrzené bajty počet bajtů, které jsou k dispozici, systém nepoužitelný a může dokonce zhroucení.

Řešení

Chcete-li tento problém vyřešit, nainstalujte opravu hotfix, která je uvedena v následující části.

Chcete-li použít opravu hotfix v kontextu z propagace řadiče domény (DCPROMO), postupujte takto:

1. Instalace role služba Active Directory Domain Services nebo služby AD LDS.

2. Instalací této aktualizace nebo novější aktualizace systému Windows Server 2012 R2 a aktualizace zabezpečení, které obsahují binární stejné Ntdsai.dll jsou vždy kumulativní.

3. Povýšení počítače na řadič domény stav.

Důležité: Je-li jazykovou sadu nainstalovat, po instalaci této opravy hotfix, je nutné přeinstalovat tuto opravu hotfix. Proto doporučujeme instalaci jakékoli jazykové sady, které je třeba před instalací této opravy hotfix. Další informace naleznete v tématu Přidání jazykové sady do systému Windows.

Stav

Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".

Další informace

Pokud povolíte NTDS\Diagnostics "9 interní zpracování" úroveň 2, jak je uvedeno v článku znalostní báze Microsoft Knowledge Base 314980, může se zobrazit následující události ActiveDirectory_DomainService. Tyto události zobrazit Úloha šíření SD dlouhotrvající.

Události 1257 - označuje začátek šíření SD
Vnitřní událost: Úloha šíření popisovače zabezpečení je zpracování na událost šíření počínaje následující kontejner.
Kontejner: OU = OU, DC = Contoso, DC = com

Události 2007 - označující průběh šíření SD zaznamenána každých 5 minut
Vnitřní událost: Úloha šíření popisovače zabezpečení dosáhl následujících kontejneru a bude pokračovat v šíření.
Kontejner: OU = OU, DC = Contoso, DC = com
Počet objektů dosud zpracována: XXXXXX

Události 1258 - označující konec šíření SD po některých hodin
Vnitřní událost: Úloha šíření popisovače zabezpečení dokončí zpracování na událost šíření počínaje následující kontejner.
Kontejner: OU = OU, DC = Contoso, DC = com
Počet zpracovaných objekty: ZZZZZZ

Po replikaci služby Active Directory na jiný řadič domény se systémem Windows Server 2012 R2 nebo LDS instance v doméně stejný problém může nastat, pokud šíření SD se provádí lokálně.

Neuvidíte, že nevracení paměti v Active Directory kolekcí nastavit sestavu protože zobrazuje pouze bajty. Avšak, můžete použít vytvořený výkon data webový soubor kontrola čítače objektu: procesu sledování, Instance: Lsass, čítač: nesdílených bajtů a objekt: paměti Čítač: potvrzené bajty.

Pro delší pozorování vývoje netěsnost můžete použít "Graf s vzorku vlastnosti prvků grafu nástroje Sledování výkonu" každých 60 sekund. Trvání: 15 000 sekund (> 4 hodiny).

Zvýšení přidělení lze pozorovat také v programu Správce úloh, karta výkonpoložku paměť, potvrzený. Zobrazí se pod potvrzený/Available gigabajtů (GB).

Indikátory stavu chyby jsou následující:

repadmin/showrepl vrátí:

Adresářová služba zaznamená událost chyby. 1699:

Místní nabídka aplikace:

Odkazy

Další informace o terminologii , kterou společnost Microsoft používá k popisu aktualizací softwaru.

Informace o souboru

Anglická (Spojené státy) verze této aktualizace softwaru instaluje soubory, které mají atributy, které jsou uvedeny v následujících tabulkách. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Uvědomte si, že kalendářní data a časy těchto souborů v místním počítači jsou zobrazeny podle místního času a podle aktuálního letního času. Také data a časy mohou změnit při provádění některých operací se soubory.