Windows Server 2012 R2 oder Windows Server 2012-basierten Domänencontroller aktualisieren, April 2016

Dieser Artikel beschreibt ein Update für Windows Server 2012 R2 oder Windows Server 2012-basierten Domänencontroller vom April 2016, die folgenden Fragen:
  • Problem 1 Schnellere Einfügevorgängen zu der Änderungswarteschlange. Details anzeigen.
  • Problem 2 Umbenennen der Domäne beigetretenen Computer mit Microsoft SQL Server können fehlschlagen, wenn die Umbenennung von Windows Server 2012 R2 DCs Einzelheitenbedient wird.
  • Problem 3 Einzelne Anmeldung falsch in Active Directory zwei Anmeldungen ausgewiesen. Details anzeigen.
  • Ausgabe 4 LSSAS tritt mit Fehler "0xC0000005", wenn Clients AAD herstellen, die "vollständigen Import" ausgeführt. Details anzeigen.
  • Problem 5 LSASS tritt beim rekursiven LDAP-Abfrage ein AD-Gruppe verwendet. Details anzeigen.


Bevor Sie dieses Update installieren, lesen Sie den Abschnitt Voraussetzungen.

In diesem Update behobene Probleme

Problem 1 Schnellere fügt in Active Directory ändern Benachrichtigung Warteschlange verzögert Wartung Threadpool Threadwarteschlange (ATQ, Asynchronous Thread Queue), LDAP-Abfragen und Benachrichtigung Replikation.

Wenn diese Bedingung zutrifft, Domänencontroller (DC) Local Security Authority Subsystem Service (LSASS) hohe CPU-Auslastung oder 100 % CPU-Auslastung in extremen Fällen verwendet. Die folgenden Vorgänge werden blockiert, wenn Change Notification Warteschlangen auf einem bestimmten Domänencontroller entwickeln:
  • Active Directory-Replikation durch Benachrichtigung ausgelöst wird verzögert.
  • ATQ Thread Anmeldung oder Abmeldung wird verzögert.
  • Schreibt an den DC werden blockiert.
  • Wenn die Einfügezeichenfolge läuft, wird auch die Verarbeitung der Warteschlange gesperrt. Benachrichtigung Replikation wird während dieses Vorgangs blockiert.
  • CPU-Auslastung für den LSASS-Prozess führt alle mehrere Vorgänge werden blockiert, und des einzigen Threads CPU-Zeit als Active Directory-Replikation auf Domänencontrollern kalt.
Dieses Update enthält eine Obergrenze für die Anzahl ändern Benachrichtigung Elemente, die ein Domänencontroller zur Warteschlange hinzufügen.  Wenn dieser Schwellenwert erreicht ist, antwortet der Domänencontroller mit "ERROR_DS_ADMIN_LIMIT_EXCEEDED".  Standardmäßig ist der Schwellenwert 4096.  Der folgende Registrierungsschlüssel kann hinzugefügt werden, diesen Schwellenwert geändert werden:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maximale gleichzeitige LDAP-Benachrichtigung"
Unnötige Ausfälle Benachrichtigung Clients ändern führen ein maximaler Wert für Benachrichtigungen zu niedrig ist. Daher ist es wichtig dieser Zähler vor der Implementierung des Hotfixes "normal" ermittelt.  Zu den oberen Bereich der Änderungswarteschlange sollten Sie überwachen DS benachrichtigen Warteschlangengröße Zähler auf allen Domänencontrollern in der Gesamtstruktur um Spitzenwerte zu bestimmen.

Berücksichtigen Sie einen Puffer von mindestens 25 % der Spitzenwert erfahrene überwachen diesen Leistungsindikator, um einen geeigneten Wert der maximalen gleichzeitigen LDAP-Benachrichtigung zu ermitteln.

Hinweis Die Fehlerbehebung für dieses Problem ist im Sicherheitsupdate 3160352enthalten.


Problem 2 Umbenennen von Computern Microsoft SQL Server-Domäne schlägt fehl mit Fehler "der Verzeichnisdienst ist ausgelastet".

Dieses Problem tritt auf, wenn Folgendes zutrifft:
  • Microsoft SQL Server ist auf einem Windows-basierten Computer installiert, der Active Directory-Domäne angehört.
  • Der Dienstprinzipalnamens (SPN), die von Microsoft SQL Server oder Microsoft SQL Express registriert enthält nicht numerische Zeichen nach dem ":" Trennzeichen im SPN-Attribut des Computerkontos umbenannt wird.
  • Der Host Microsoft SQL Server wird im Bedienfeld umbenannt.
  • Windows Server 2012 R2 Domänencontroller services die Umbenennung.
Ebenso einen anderen Computernamen hinzufügen schlägt ebenfalls fehl. Und der Befehl NetDom add Computername mit folgenden eine Bildschirmtastatur Fehler:

Kann nicht hinzugefügt newhost.domain.com als ein alternativer Name für den computer
Der Fehler ist:

Die angeforderte Ressource wird verwendet.

Der Befehl konnte nicht erfolgreich abgeschlossen.

Weitere Informationen zu diesem Problem finden Sie in der 3152220 aktualisieren.


Issue 3

Eine einzelne Anmeldung auf der Website zählt als zwei Anmeldeversuche in Active Directory. Daher erhöht Anzahl falsches Kennwort durch zwei statt einem.



Ausgabe 4 LSASS tritt mit Fehler "0xc0000005" in Windows Server 2012 R2 DCs Ziel von Azure AD Connect Identität Sync Clients unter "Vollständiger Import".

Wenn ein Benutzer "Vollständigen Import" auf Azure AD Connect Identität Sync Client für Windows Server 2012 R2-Domänencontroller ausgeführt wird, tritt in LSASS-Prozess und der DC mit Fehlercode "0xc0000005" gestartet. Dieses Problem tritt auf, wenn der Active Directory-Papierkorb deaktiviert ist.

Weitere Informationen zu diesem Problem finden Sie in der 3145339 aktualisieren.



Problem 5

Lsass.exe der DC mit eine stürzt ab, wenn ein Benutzer eine rekursive Lightweight Directory Access Protocol (LDAP) für Active Directory-Gruppen ausgeführt wird, die viele geschachtelte Gruppen.  Ein Beispiel für eine Abfrage, die diese Art von Absturz auslösen können lautet wie folgt:
 
Ldifde – f t.txt – d "dc =Contoso, dc = com" - R "(Memberof:MemberID: Cn =Cn, Cn =Cn= dc =Contoso, dc = com)"

Wie Sie dieses Update erhalten

Wichtig Wenn Sie ein Language Pack installieren, nachdem Sie dieses Update installiert haben, müssen Sie dieses Update erneut installieren. Daher empfehlen wir die Installation aller benötigten Language Packs, bevor Sie dieses Update installieren. Weitere Informationen finden Sie unter Hinzufügen von Sprachpaketen zu Windows


Methode 1: Windows Update

Dieses Update wird als Empfohlenes Update über Windows Update bereitgestellt. Weitere Informationen zum Ausführen von Windows Update finden Sie unter Update über Windows Update erhalten.

Methode 2: Microsoft Update-Katalog

Finden Sie das eigenständige Paket für dieses Update auf der folgenden Microsoft Update-Katalog-Websites:Hinweis Sie müssen Microsoft InternetExplorer 6.0 oder höher ausführen.

Detaillierte Informationen zum Update

Voraussetzungen

Um dieses Update installieren, installieren Sie zuerst April 2014 Updaterollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 (2919355) in Windows Server 2012 R2.

Hinweis Das Update sollte auf Windows Server 2012 R2 oder Windows Server 2012-basierten Computern installiert werden, die Active Directory Domain Services (ADDS) Domänencontrollerfunktion hosten.

Informationen zur Registrierung

Um dieses Update anwenden zu können, müssen Sie die Registrierung NICHT ändern.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie dieses Update angewandt haben.

Ersetzte Updates

Dieses Update ersetzt kein zuvor veröffentlichtes Update.

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Referenzen

Erfahren Sie mehr über die Terminologie, mit der Microsoft Softwareupdates beschrieben werden.

Dateiinformationen

Die englische (bzw. US-) Version dieses Updates installiert Dateien mit den Attributen, die in den folgenden Tabellen aufgeführt sind.

Hinweis Die Dateiattribute der Windows Server 2012 finden Sie Sicherheitsupdate 3160352.
Windows Server 2012 R2
Weitere Dateiinformationen
Eigenschaften

Artikelnummer: 3103709 – Letzte Überarbeitung: 10.01.2017 – Revision: 1

Feedback