Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Pérdida de memoria en el proceso LSASS en controladores de dominio basados en Windows Server R2 de 2012 y el servidor de AD LDS

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3083038
Este artículo describe un problema de pérdida de memoria que se produce en los controladores de dominio basados en Windows Server R2 de 2012 y en un equipo basado en Windows Server 2012 R2 que tiene instalada la función del servidor de Active Directory Lightweight Directory Services (AD LDS) o en Windows 8.1. Hay una revisión corregir este problema. La revisión tiene un requisito previo.
Síntomas
Una nueva asignación de memoria del montón de arena se introdujo en la versión R2 de Windows Server 2012 de servicios de directorio. Causa una pérdida de memoria en Lsass.exe (función de controlador de dominio) y DsaMain.exe del proceso de servicio de directorio ligero (LDS) que puede consumir toda la memoria disponible en el controlador de dominio de Windows Server 2012 R2 o servidor LDS.
Causa
Este problema se produce en las siguientes situaciones:
  • Promoción del controlador de dominio o Adición de LDS del conjunto de réplicas para la configuración

    Después de agregar una réplica a una configuración mediante la promoción del controlador de dominio o agregar una instancia LDS en Windows Server 2012 R2 o Windows 8.1, el motor de replicación debe replicar todos los objetos en los contextos de nombres necesarios en la nueva instancia. Durante la tarea, el proceso de servicio de servidor de autoridad de seguridad Local (LSASS) o DsaMain.exe puede causar una pérdida grave cuando asigna virtuales bytes confirmados aunque el uso real es muy bajo. Además, DCpromo.log muestra el siguiente mensaje de error:

    Fecha
    Hora[INFO] Replicación de datos DC = Contoso,DC = com: Recibido de XXXXXX fuera de aproximadamente XXXXXX objetos y XXXXXX fuera de aproximadamente XXXXXX valores de nombre completo (DN)...

    Replicación de DateTime [WARNING] no crítica devuelto 14

    Código de error 14 se traduce en: ERROR_OUTOFMEMORY - no queda suficiente almacenamiento disponible para completar esta operación.

    El suceso siguiente se registra en el registro de eventos durante o poco después dcpromo finalice:
    Registro de eventosOrigen de eventosID.Descripción
    Servicios de directorio Replicación 2094Advertencia de rendimiento: replicación se retrasó al aplicar cambios al objeto siguiente. Si este mensaje aparece con frecuencia, esto indica que la replicación se está produciendo lentamente y que el servidor puede tener dificultades para mantenerse al día con los cambios.

    Objeto DN: CN =Nombre del cliente, OU =UNIDAD ORGANIZATIVA, DC =Contoso, DC =com
    GUID del objeto: GUID
    Partición DN: DC =Contoso, DC =com
    Servidor: registro DNS _msdcs de asociado de replicación
    Tiempo transcurrido (en segundos): XX

    Acción del usuario

    Una razón habitual para ver este retraso es que este objeto es especialmente grande en el tamaño de sus valores, o en el número de valores. En primer lugar, debe considerar si la aplicación se puede cambiar para reducir la cantidad de datos almacenados en el objeto o el número de valores. Si esto es un gran grupo o lista de distribución, considere la posibilidad de elevar el nivel funcional del bosque a Windows Server 2003 o superior, ya que esto le permitirá trabajar más eficientemente la replicación. Debe evaluar si la plataforma de servidor ofrece un rendimiento suficiente en cuanto a memoria y potencia de procesamiento. Por último, desea considere la optimización de la base de datos de servicios de dominio de Active Directory al mover la base de datos y los registros para separar las particiones del disco.

    Si desea cambiar el límite de advertencia, la clave del registro se incluye a continuación. Un valor de cero deshabilitará la comprobación.

    Datos adicionales

    Límite de advertencia (segundos): XX

    Límite clave del registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator objeto de actualización (seg.)
    Servicios de directorioKCC1308El Comprobador de coherencia de réplica (KCC) ha detectado que los intentos sucesivos para replicar con el servicio de directorio siguiente ha fallado constantemente.

    Intentos:
    2
    Servicio de directorio:
    CN = NTDS Settings, CN =DC001, CN =Servidores, CN =sitio1, CN =Sitios, CN =Configuración, DC =Contoso, DC =com
    Período de tiempo (minutos):
    XXXXXXX

    Se omitirá el objeto de conexión para este servicio de directorio, y se establecerá una nueva conexión temporal garantizar que la replicación continúa. Una vez que se reanuda la replicación con este servicio de directorio, se quitará la conexión temporal.

    Datos adicionales
    Valor del error:
    14 no queda suficiente almacenamiento completar esta operación
    .

    Nota: El problema no se produce si instala promoción de medios (IFM) para los controladores de dominio se utiliza. Sin embargo, promoción de IFM tiene que proceden de la misma versión de sistema operativo.
  • El suceso siguiente se registra en el registro de eventos durante o poco después dcpromo finalice:
    Registro de eventosOrigen de eventosID.Descripción
    Servicios de directorio Replicación 2094Advertencia de rendimiento: replicación se retrasó al aplicar cambios al objeto siguiente. Si este mensaje aparece con frecuencia, esto indica que la replicación se está produciendo lentamente y que el servidor puede tener dificultades para mantenerse al día con los cambios.

    Objeto DN: CN =Nombre del cliente, OU =UNIDAD ORGANIZATIVA, DC =Contoso, DC =com
    GUID del objeto: GUID
    Partición DN: DC =Contoso, DC =com
    Servidor: registro DNS _msdcs de asociado de replicación
    Tiempo transcurrido (en segundos): XX

    Acción del usuario

    Una razón habitual para ver este retraso es que este objeto es especialmente grande en el tamaño de sus valores, o en el número de valores. En primer lugar, debe considerar si la aplicación se puede cambiar para reducir la cantidad de datos almacenados en el objeto o el número de valores. Si esto es un gran grupo o lista de distribución, considere la posibilidad de elevar el nivel funcional del bosque a Windows Server 2003 o superior, ya que esto le permitirá trabajar más eficientemente la replicación. Debe evaluar si la plataforma de servidor ofrece un rendimiento suficiente en cuanto a memoria y potencia de procesamiento. Por último, desea considere la optimización de la base de datos de servicios de dominio de Active Directory al mover la base de datos y los registros para separar las particiones del disco.

    Si desea cambiar el límite de advertencia, la clave del registro se incluye a continuación. Un valor de cero deshabilitará la comprobación.

    Datos adicionales

    Límite de advertencia (segundos): XX

    Límite clave del registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator objeto de actualización (seg.)
    Servicios de directorioKCC1308El Comprobador de coherencia de réplica (KCC) ha detectado que los intentos sucesivos para replicar con el servicio de directorio siguiente ha fallado constantemente.

    Intentos:
    2
    Servicio de directorio:
    CN = NTDS Settings, CN =DC001, CN =Servidores, CN =sitio1, CN =Sitios, CN =Configuración, DC =Contoso, DC =com
    Período de tiempo (minutos):
    XXXXXXX

    Se omitirá el objeto de conexión para este servicio de directorio, y se establecerá una nueva conexión temporal garantizar que la replicación continúa. Una vez que se reanuda la replicación con este servicio de directorio, se quitará la conexión temporal.

    Datos adicionales
    Valor del error:
    14 no queda suficiente almacenamiento completar esta operación
    .

    Nota: El problema no se produce si instala promoción de medios (IFM) para los controladores de dominio se utiliza. Sin embargo, promoción de IFM tiene que proceden de la misma versión de sistema operativo.
  • Código de error 14 se traduce en: ERROR_OUTOFMEMORY - no queda suficiente almacenamiento disponible para completar esta operación. El suceso siguiente se registra en el registro de eventos durante o poco después dcpromo finalice:
    Registro de eventosOrigen de eventosID.Descripción
    Servicios de directorio Replicación 2094Advertencia de rendimiento: replicación se retrasó al aplicar cambios al objeto siguiente. Si este mensaje aparece con frecuencia, esto indica que la replicación se está produciendo lentamente y que el servidor puede tener dificultades para mantenerse al día con los cambios.

    Objeto DN: CN =Nombre del cliente, OU =UNIDAD ORGANIZATIVA, DC =Contoso, DC =com
    GUID del objeto: GUID
    Partición DN: DC =Contoso, DC =com
    Servidor: registro DNS _msdcs de asociado de replicación
    Tiempo transcurrido (en segundos): XX

    Acción del usuario

    Una razón habitual para ver este retraso es que este objeto es especialmente grande en el tamaño de sus valores, o en el número de valores. En primer lugar, debe considerar si la aplicación se puede cambiar para reducir la cantidad de datos almacenados en el objeto o el número de valores. Si esto es un gran grupo o lista de distribución, considere la posibilidad de elevar el nivel funcional del bosque a Windows Server 2003 o superior, ya que esto le permitirá trabajar más eficientemente la replicación. Debe evaluar si la plataforma de servidor ofrece un rendimiento suficiente en cuanto a memoria y potencia de procesamiento. Por último, desea considere la optimización de la base de datos de servicios de dominio de Active Directory al mover la base de datos y los registros para separar las particiones del disco.

    Si desea cambiar el límite de advertencia, la clave del registro se incluye a continuación. Un valor de cero deshabilitará la comprobación.

    Datos adicionales

    Límite de advertencia (segundos): XX

    Límite clave del registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator objeto de actualización (seg.)
    Servicios de directorioKCC1308El Comprobador de coherencia de réplica (KCC) ha detectado que los intentos sucesivos para replicar con el servicio de directorio siguiente ha fallado constantemente.

    Intentos:
    2
    Servicio de directorio:
    CN = NTDS Settings, CN =DC001, CN =Servidores, CN =sitio1, CN =Sitios, CN =Configuración, DC =Contoso, DC =com
    Período de tiempo (minutos):
    XXXXXXX

    Se omitirá el objeto de conexión para este servicio de directorio, y se establecerá una nueva conexión temporal garantizar que la replicación continúa. Una vez que se reanuda la replicación con este servicio de directorio, se quitará la conexión temporal.

    Datos adicionales
    Valor del error:
    14 no queda suficiente almacenamiento completar esta operación
    .

    Nota: El problema no se produce si instala promoción de medios (IFM) para los controladores de dominio se utiliza. Sin embargo, promoción de IFM tiene que proceden de la misma versión de sistema operativo.
  • Propagación de descriptor (SD) de seguridad

    Un problema de pérdida de memoria puede ocurrir cuando un cambio de seguridad en un objeto contenedor (raíz del dominio o unidad organizativa (OU)) se hereda en muchos objetos secundarios o subordinadas de la unidades organizativas aunque propagación de SD. Dependiendo del tamaño de la entrada de control de acceso (ACE) que se va a cambiar y el número de objetos (por ejemplo, 500.000), la propagación puede tardar mucho tiempo. Durante este tiempo, el proceso LSASS o proceso DsaMain puede asignar constantemente bytes comprometidos.
  • Consultas de larga ejecución

    Inesperadamente el consumo de memoria virtual durante las consultas de protocolo ligero de acceso a directorios (LDAP) de larga duración en servidores Windows Server 2012 R2 o Windows 8.1 basado en LDAP puede causar interrupciones de memoria. Las consultas de larga ejecución consumen memoria obteniendo un montón para el descriptor de seguridad de cada objeto que se toca.
En estas situaciones, cuando los bytes comprometidos alcanza el número de bytes disponibles, el sistema inutilizable y puede incluso bloquearse.
Solución
Para corregir este problema, aplique la revisión que se menciona en la sección siguiente.

Para utilizar la revisión en el contexto de promociones de controlador de dominio (DCPROMO), siga estos pasos:
  1. Instalar el rol Servicios de dominio de Active Directory o AD LDS.
  2. Instale esta actualización o actualizaciones más recientes de Windows Server 2012 R2 y las actualizaciones de seguridad que contienen la sameNtdsai.dll binario como siempre son acumulativos.
  3. Promover el equipo a un estado de controlador de dominio.
Importante: Si instala un paquete de idioma después de instalar este hotfix, debe volver a instalar este hotfix. Por lo tanto, recomendamos que instale cualquier lenguaje Pack que se necesitan antes de instala este hotfix. Para obtener más información, vea Agregar paquetes de idioma para Windows.

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.

Si la revisión está disponible para su descarga, hay una sección "Revisión descargar disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, envíe una solicitud al servicio al cliente de Microsoft para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte adicionales y problemas que no son aptas para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft: Nota: El formulario de "Descarga de revisión disponible" muestra los idiomas para los que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

Para aplicar este hotfix, debe tener el Paquete acumulativo de actualizaciones de abril de 2014 para Windows RT 8.1 8.1 de Windows y Windows Server 2012 R2 (2919355) instalar en Windows 8.1 o R2 de Windows Server 2012.

Información del registro

Para aplicar este hotfix, no tienes que realizar los cambios en el registro.

Requisito de reinicio

Tendrá que reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a ninguna revisión publicada previamente.
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Si habilita NTDS\Diagnostics "9 Internal Processing" nivel 2, como se ha mencionado en el artículo de Microsoft Knowledge Base 314980, puede ver los siguientes eventos de ActiveDirectory_DomainService. Estos eventos muestran la tarea de propagación de SD de larga duración.


Evento 1257 - que indica el inicio de la propagación de SD
Suceso interno: la tarea de propagación del descriptor de seguridad está procesando un evento de propagación que empieza en el contenedor siguiente.
Contenedor: OU = unidad organizativa, DC = Contoso, DC = com

Evento 2007 - que indica el progreso de la propagación de SD, registra cada 5 minutos
Suceso interno: la tarea de propagación del descriptor de seguridad ha alcanzado el siguiente contenedor y continuará con la propagación.
Contenedor: OU = unidad organizativa, DC = Contoso, DC = com

Número de objetos procesados hasta ahora: XXXXXX

Evento 1258 - que indica el final de la propagación de SD, después de algunas horas
Suceso interno: la tarea de propagación del descriptor de seguridad ha terminado de procesar un evento de propagación que empieza en el contenedor siguiente.
Contenedor: OU = unidad organizativa, DC = Contoso, DC = com

Número de objetos procesados: XXXXXX


Después de la replicación de Active Directory a otro controlador de dominio basado en Windows Server 2012 R2 o instancias LDS en el dominio, el mismo problema puede producirse porque la propagación de SD se realiza localmente.

No verá que la pérdida de memoria en el Active Directory recolector establecido el informe porque muestra sólo utiliza bytes. Sin embargo, puede utilizar el rendimiento creado monitor datos Edif archivo contador objeto: proceso de comprobación, instancia: Lsass, contador: Bytes privados y objeto: memoria, contador: Bytes confirmados.

Para una observación más larga de la evolución de la pérdida, puede utilizar un "gráfico con propiedades, elementos gráficos, Monitor de rendimiento de ejemplo" cada 60 segundos. Duración: 15.000 segundos (> 4 horas).

También se pueden observar la asignación creciente en Administrador de tareas, ficha rendimiento, elemento de memoria, confirmada. Esto se muestra en comprometido/disponibles gigabytes (GB).

Indicadores de la condición de error son los siguientes:

repadmin /showrepl devuelve:
No queda suficiente almacenamiento disponible para completar esta operación.

Servicio de directorio registra el suceso de Error 1699:
Este servicio de directorio no pudo recuperar los cambios solicitados para la siguiente partición de directorio. Como resultado, no pudo enviar las solicitudes de cambio al servicio de directorio en la siguiente dirección de red.
Código de solicitud: 0
Datos adicionales
Valor de error: 8446 la operación de réplica no pudo asignar memoria.

Aplicación emergente:
Windows - fuera memoria Virtual: el sistema está bajo de memoria virtual. Para asegurarse de que Windows se ejecuta correctamente, aumente el tamaño del archivo de paginación de memoria virtual. Para obtener más información, consulte la Ayuda.


Referencias
Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.
Información de archivo
La versión de inglés (Estados Unidos) de esta actualización de software instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Tenga en cuenta que se muestran las fechas y horas de estos archivos en el equipo local en horario local y con la diferencia de horario de verano actual. Las fechas y horas también pueden cambiar cuando realiza determinadas operaciones en los archivos.

Windows 8.1 y Windows Server 2012 R2

Importante: Correcciones urgentes de Windows 8.1 y R2 de Windows Server 2012 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o ambos sistemas operativos, seleccione la revisión que aparece en "Windows 8.1 o Windows Server R2 de 2012" en la página. Siempre hacen referencia a la sección "Aplicable a" de los artículos para determinar el sistema operativo real que se aplica cada revisión.

Notas:
  • Los archivos que se aplican a un producto, hito (RTM, SPn) y servicio (LDR, GDR) se pueden identificar examinando los números de versión del archivo tal como se muestra en la siguiente tabla:
    VersiónProductoHitoTipo de servicio
    6.3.960 0.18 xxxWindows 8.1 y Windows Server 2012 R2RTMGDR
  • Las ramas del servicio GDR contienen solo correcciones de amplia distribución para solucionar problemas críticos extendidos. Las ramas del servicio LDR contienen revisiones además de las correcciones de amplia distribución.
  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno se enumeran en la sección "información de archivo adicional". MUM, MANIFEST y los archivos de catálogo (.cat) de seguridad asociados son muy importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
x86 Windows 8.1
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Ntdsa.MOFNo aplicable227,76518-Jun-201312:21No aplicable
Ntdsai.dll6.3.9600.181162,583,55203-Nov-201502:41x86
x64 Windows 8.1 y R2 de Windows Server 2012
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Ntdsa.MOFNo aplicable227,76518-Jun-201314:45No aplicable
Ntdsai.dll6.3.9600.181163,676,16003-Nov-201502:54x64

Información adicional de archivos

x86 Windows 8.1
Propiedad de archivoValor
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo1.600
Fecha (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNo aplicable
Nombre del archivoX86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest
Versión del archivoNo aplicable
Tamaño de archivo712
Fecha (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNo aplicable
Nombre del archivoX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest
Versión del archivoNo aplicable
Tamaño de archivo3,352
Fecha (UTC)03-Nov-2015
Hora (UTC)09:05
PlataformaNo aplicable
x64 Windows 8.1 y R2 de Windows Server 2012
Propiedad de archivoValor
Nombre del archivoAmd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest
Versión del archivoNo aplicable
Tamaño de archivo716
Fecha (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNo aplicable
Nombre del archivoAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest
Versión del archivoNo aplicable
Tamaño de archivo3.356
Fecha (UTC)03-Nov-2015
Hora (UTC)06:04
PlataformaNo aplicable
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo2,061
Fecha (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNo aplicable

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3083038 - Última revisión: 07/07/2016 18:11:00 - Revisión: 6.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbautohotfix kbhotfixserver kbexpertiseinter kbmt KB3083038 KbMtes
Comentarios