Speicherverlust in LSASS-Prozess für Windows Server 2012 R2-basierten Domänencontrollern und AD LDS-server

Problembeschreibung

Eine neue Arena Speicher Heapzuweisung wurde in Windows Server 2012 R2-Version von Verzeichnisdiensten. Es führt einen Speicherverlust Lsass.exe (Domänencontrollerfunktion) und DsaMain.exe Lightweight Directory Service (LDS) beschrieben, die den verfügbaren Speicher auf dem Domänencontroller Windows Server 2012 R2 oder LDS Server nutzen können.

Ursache

Dieses Problem tritt in den folgenden Situationen:

• Heraufstufen eines Domänencontrollers oder Hinzufügen LDS-Replikat Konfiguration
  
  Das Replikationsmodul muss nach dem Hinzufügen eines Replikats einer Konfiguration durch Heraufstufen eines Domänencontrollers oder Hinzufügen von LDS-Instanz für Windows Server 2012 R2 oder Windows 8.1, jedes Objekt auf die neue Instanz erforderlichen Namenskontexte repliziert. Während des Vorgangs verursachen Local Security Authority Server Service (LSASS) Prozess oder DsaMain.exe schwerwiegenden Speicherverlust Wenn es virtuelle zugesicherte Bytes belegt, der tatsächliche Verbrauch sehr niedrig ist. DCpromo.log zeigt außerdem die folgende Fehlermeldung angezeigt:

  
  DatumZeit[INFO] Datenreplikation DC = Contoso,DC = com: empfangene XXXXXX etwa XXXXXX Objekte und XXXXXX aus ca. XXXXXX definierten Namen (DN)...
  
  Datum Zeit [Warnung] nicht kritische Replikation zurückgegeben 14
  

  
  Übersetzt Fehlercode 14: ERROR_OUTOFMEMORY - nicht genügend Speicher für diesen Vorgang verfügbar ist.
  
  Das folgende Ereignis protokolliert, im Ereignisprotokoll während oder kurz nach Dcpromo beendet:

  Ereignisprotokoll	Quelle	ID	Beschreibung
  Verzeichnisdienste	Replikation	2094	Performance-Warnung: Verzögerte Replikation beim Anwenden von Änderungen auf das Objekt. Wenn diese Meldung häufiger auftritt, gibt die Replikation langsam ist und der Server möglicherweise Probleme mit Änderungen an. Objekt-DN: CN =Clientname, OU =Organisationseinheit, DC =Contoso, DC =com Objekt-GUID: GUID Domänenname der Partition: DC =Contoso, DC =com Server: _msdcs DNS-Datensatz der Replikationspartner Verstrichene Zeit (Sekunden): XX Benutzeraktion Ein häufiger Grund für diese Verzögerung sehen ist dieses Objekt sehr, in die Werte oder die Anzahl der Werte. Sie sollten zuerst, ob die Anwendung die Daten auf das Objekt oder die Anzahl der Werte reduzieren geändert werden kann. Ist dies eine große Gruppe oder Verteilerliste, sollten Sie die Gesamtstrukturfunktionsebene auf Windows Server 2003 oder höher auslösen, da diese Replikation effizienter arbeiten kann. Überprüfen Sie, ob die Serverplattform ausreichende Leistung in Bezug auf Speicher und Leistung bietet. Schließlich sollten Sie berücksichtigen, Optimieren der Active Directory-Domänendienste-Datenbank durch Verschieben der Datenbank und Protokolle auf separaten Festplatten. Möchten Sie das Warnungslimit ändern, wird der Registrierungsschlüssel unten aufgeführt. Ein Wert von NULL wird die Prüfung deaktiviert. Zusätzliche Daten Warnstufe (Sek.): XX Limit-Registrierungsschlüssel: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maximale Wartezeit für Update-Objekt (Sek.)
  Verzeichnisdienste	KCC	1308	Knowledge Consistency Checker (KCC) hat festgestellt, dass aufeinander folgende Versuche, mit den folgenden Verzeichnisdienst replizieren immer wieder fehlgeschlagen ist. Versuche: 2 Verzeichnisdienst: CN = NTDS Settings, CN =DC001, CN =Server, CN =site1, CN =Sites, CN =Konfiguration, DC =Contoso, DC =com Zeitraum (Minuten): XXXXXXX Das Verbindungsobjekt für diesen Verzeichnisdienst ignoriert, und eine neue temporäre Verbindung weiterhin sicherstellen, dass die Replikation hergestellt werden. Nachdem die Replikation mit diesem Verzeichnisdienst setzt die temporäre Verbindung entfernt. Zusätzliche Daten Wert: 14 nicht genügend Speicher für diesen Vorgang verfügbar ist.

  
  Hinweis Das Problem tritt nicht ein, wenn Installieren von Medium Promotion für Domänencontroller verwendet. Allerdings hat IFM Förderung aus derselben Betriebssystemversion bezogen werden.

• Das folgende Ereignis protokolliert, im Ereignisprotokoll während oder kurz nach Dcpromo beendet:

  Ereignisprotokoll	Quelle	ID	Beschreibung
  Verzeichnisdienste	Replikation	2094	Performance-Warnung: Verzögerte Replikation beim Anwenden von Änderungen auf das Objekt. Wenn diese Meldung häufiger auftritt, gibt die Replikation langsam ist und der Server möglicherweise Probleme mit Änderungen an. Objekt-DN: CN =Clientname, OU =Organisationseinheit, DC =Contoso, DC =com Objekt-GUID: GUID Domänenname der Partition: DC =Contoso, DC =com Server: _msdcs DNS-Datensatz der Replikationspartner Verstrichene Zeit (Sekunden): XX Benutzeraktion Ein häufiger Grund für diese Verzögerung sehen ist dieses Objekt sehr, in die Werte oder die Anzahl der Werte. Sie sollten zuerst, ob die Anwendung die Daten auf das Objekt oder die Anzahl der Werte reduzieren geändert werden kann. Ist dies eine große Gruppe oder Verteilerliste, sollten Sie die Gesamtstrukturfunktionsebene auf Windows Server 2003 oder höher auslösen, da diese Replikation effizienter arbeiten kann. Überprüfen Sie, ob die Serverplattform ausreichende Leistung in Bezug auf Speicher und Leistung bietet. Schließlich sollten Sie berücksichtigen, Optimieren der Active Directory-Domänendienste-Datenbank durch Verschieben der Datenbank und Protokolle auf separaten Festplatten. Möchten Sie das Warnungslimit ändern, wird der Registrierungsschlüssel unten aufgeführt. Ein Wert von NULL wird die Prüfung deaktiviert. Zusätzliche Daten Warnstufe (Sek.): XX Limit-Registrierungsschlüssel: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maximale Wartezeit für Update-Objekt (Sek.)
  Verzeichnisdienste	KCC	1308	Knowledge Consistency Checker (KCC) hat festgestellt, dass aufeinander folgende Versuche, mit den folgenden Verzeichnisdienst replizieren immer wieder fehlgeschlagen ist. Versuche: 2 Verzeichnisdienst: CN = NTDS Settings, CN =DC001, CN =Server, CN =site1, CN =Sites, CN =Konfiguration, DC =Contoso, DC =com Zeitraum (Minuten): XXXXXXX Das Verbindungsobjekt für diesen Verzeichnisdienst ignoriert, und eine neue temporäre Verbindung weiterhin sicherstellen, dass die Replikation hergestellt werden. Nachdem die Replikation mit diesem Verzeichnisdienst setzt die temporäre Verbindung entfernt. Zusätzliche Daten Wert: 14 nicht genügend Speicher für diesen Vorgang verfügbar ist.

  
  Hinweis Das Problem tritt nicht ein, wenn Installieren von Medium Promotion für Domänencontroller verwendet. Allerdings hat IFM Förderung aus derselben Betriebssystemversion bezogen werden.

• Übersetzt Fehlercode 14: ERROR_OUTOFMEMORY - nicht genügend Speicher für diesen Vorgang verfügbar ist. Das folgende Ereignis protokolliert, im Ereignisprotokoll während oder kurz nach Dcpromo beendet:

  Ereignisprotokoll	Quelle	ID	Beschreibung
  Verzeichnisdienste	Replikation	2094	Performance-Warnung: Verzögerte Replikation beim Anwenden von Änderungen auf das Objekt. Wenn diese Meldung häufiger auftritt, gibt die Replikation langsam ist und der Server möglicherweise Probleme mit Änderungen an. Objekt-DN: CN =Clientname, OU =Organisationseinheit, DC =Contoso, DC =com Objekt-GUID: GUID Domänenname der Partition: DC =Contoso, DC =com Server: _msdcs DNS-Datensatz der Replikationspartner Verstrichene Zeit (Sekunden): XX Benutzeraktion Ein häufiger Grund für diese Verzögerung sehen ist dieses Objekt sehr, in die Werte oder die Anzahl der Werte. Sie sollten zuerst, ob die Anwendung die Daten auf das Objekt oder die Anzahl der Werte reduzieren geändert werden kann. Ist dies eine große Gruppe oder Verteilerliste, sollten Sie die Gesamtstrukturfunktionsebene auf Windows Server 2003 oder höher auslösen, da diese Replikation effizienter arbeiten kann. Überprüfen Sie, ob die Serverplattform ausreichende Leistung in Bezug auf Speicher und Leistung bietet. Schließlich sollten Sie berücksichtigen, Optimieren der Active Directory-Domänendienste-Datenbank durch Verschieben der Datenbank und Protokolle auf separaten Festplatten. Möchten Sie das Warnungslimit ändern, wird der Registrierungsschlüssel unten aufgeführt. Ein Wert von NULL wird die Prüfung deaktiviert. Zusätzliche Daten Warnstufe (Sek.): XX Limit-Registrierungsschlüssel: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maximale Wartezeit für Update-Objekt (Sek.)
  Verzeichnisdienste	KCC	1308	Knowledge Consistency Checker (KCC) hat festgestellt, dass aufeinander folgende Versuche, mit den folgenden Verzeichnisdienst replizieren immer wieder fehlgeschlagen ist. Versuche: 2 Verzeichnisdienst: CN = NTDS Settings, CN =DC001, CN =Server, CN =site1, CN =Sites, CN =Konfiguration, DC =Contoso, DC =com Zeitraum (Minuten): XXXXXXX Das Verbindungsobjekt für diesen Verzeichnisdienst ignoriert, und eine neue temporäre Verbindung weiterhin sicherstellen, dass die Replikation hergestellt werden. Nachdem die Replikation mit diesem Verzeichnisdienst setzt die temporäre Verbindung entfernt. Zusätzliche Daten Wert: 14 nicht genügend Speicher für diesen Vorgang verfügbar ist.

  
  Hinweis Das Problem tritt nicht ein, wenn Installieren von Medium Promotion für Domänencontroller verwendet. Allerdings hat IFM Förderung aus derselben Betriebssystemversion bezogen werden.

• Sicherheitsbeschreibungspropagierungs (SD)
  
  Ein Speicherverlust-Problem kann auftreten, wenn eine Sicherheitsfunktion für ein Containerobjekt (Domänenstamm oder die Organisationseinheit (OU)) untergeordnete Objekte vererbt oder untergeordnete Organisationseinheiten jedoch SD-Verteilung. Die Größe der Zugriffssteuerungseintrag (ACE) geändert werden und die Anzahl der Objekte (z. B. 500.000) kann die Übermittlung sehr lange dauern. Während dieser Zeit kann der LSASS-Prozess oder DsaMain Prozess ständig zugesicherte Bytes reservieren.

• Abfragen
  
  Hohe virtuellen Speicherverbrauch während langer Lightweight Directory Access Protocol (LDAP) Abfragen auf Windows Server 2012 R2 oder Windows 8.1-basierten LDAP-Server kann unerwartet Speicher Ausfälle führen. Lang andauernde Abfragen Speicherplatz erhalten Sie eine Menge für den Sicherheitsdeskriptor jedes Objekt berührt wird.

In diesen Fällen erreicht der zugesicherten Bytes die Anzahl der Bytes, die verfügbar sind, das System unbrauchbar und kann sogar abstürzt.

Problemlösung

Wenden Sie zum Beheben dieses Problems im Abschnitt erwähnte.

Um das Update im Kontext von Domain Controller Aktionen (DCPROMO) verwenden, gehen Sie folgendermaßen vor:

1. Installieren der Active Directory-Domänendienste oder AD LDS-Rolle.

2. Installieren Sie dieses Update oder neuere Windows Server 2012 R2 und Sicherheitsupdates, die die gleiche binäre Ntdsai.dll enthalten, immer kumulativ sind.

3. Heraufstufen des Computers Status des Domänencontrollers.

Wichtig Wenn Sie ein Language Pack installieren, nachdem Sie diesen Hotfix installieren, müssen Sie diesen Hotfix erneut installieren. Daher wird empfohlen, dass jeder Sprache installieren Packs bevor Sie diesen Hotfix installieren. Weitere Informationen finden Sie unter Hinzufügen von Sprachpaketen zu Windows

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Aktivieren Sie NTDS\Diagnostics "9 Internal Processing" Ebene 2 wie in Microsoft Knowledge Base-Artikel 314980sehen Sie Folgendes ActiveDirectory_DomainService. Diese Ereignisse zeigen die Weiterleitungsaufgabe langer SD.

Ereignis 1257 - kennzeichnet den Beginn eines SD-Verteilung
Internes Ereignis: die Security Descriptor Weiterleitungsaufgabe verarbeitet eine Weitergabe Ereignis den folgenden Container ab.
Container: OU = Organisationseinheit, DC = Contoso, DC = com

Ereignis-2007 - der Status der SD Ausbreitung protokolliert alle 5 Minuten
Internes Ereignis: die Security Descriptor Weiterleitungsaufgabe folgenden Container erreicht hat und die Übertragung wird fortgesetzt.
Container: OU = Organisationseinheit, DC = Contoso, DC = com
Anzahl der verarbeiteten Objekte so weit: XXXXXX

Ereignis 1258 -, Ende des SD-Verteilung nach einigen Stunden
Internes Ereignis: die Security Descriptor Weiterleitungsaufgabe wurde verarbeitet eine Weitergabe Ereignis den folgenden Container ab.
Container: OU = Organisationseinheit, DC = Contoso, DC = com
Anzahl der verarbeiteten Objekte: ZZZZZZ

Nach der Replikation AD LDS-Instanzen in der Domäne zu einem anderen Windows Server 2012 R2-Domänencontroller kann das Problem auftreten, SD-Verteilung lokal ausgeführt wird.

Sie sehen nicht der Speicherverlust in Active Directory Collector festgelegt Bericht weil zeigt nur Bytes verwendet. Jedoch können Sie die erstellten Performance Monitor BLG Datei überprüfen Leistungsindikator Objekt: Daten, Instanz: Lsass Zähler: Private Bytes und Objektspeicher: Zähler: Zugesicherte Bytes.

Mehr Beobachtung der Entwicklung Speicherverluste können Sie für "Grafik mit Performance Monitor Eigenschaften Diagrammelemente," alle 60 Sekunden. Dauer: 15.000 Sekunden (> 4 Stunden).

Zunehmende Zuweisung kann auch im Task Manager Registerkarte LeistungElement Speicher, zugesichertbeobachtet. Dies wird unter zugesichert-verfügbar-Gigabyte (GB).

Indikatoren des Fehlerzustands lauten wie folgt:

Repadmin/showrepl gibt:

Verzeichnisdienst protokolliert Ereignis 1699:

Anwendungspopup:

Referenzen

Erfahren Sie mehr über die Terminologie, mit der Microsoft Softwareupdates beschrieben werden.

Dateiinformationen

Die englische (bzw. US-) Version dieses Updates installiert Dateien mit den Attributen, die in den folgenden Tabellen aufgeführt sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Beachten Sie, dass Datums- und Uhrzeitangaben für diese Dateien auf Ihrem lokalen Computer in Ihrer Ortszeit und unter Berücksichtigung der Sommerzeit angezeigt werden. Datums- und Uhrzeitangaben können sich auch ändern, wenn Sie bestimmte Operationen mit den Dateien ausführen.