Este artículo describe una actualización de controlador de dominio basado en Windows Server 2012 R2 o Windows Server 2012 con fecha de abril de 2016 que resuelve los problemas siguientes:
-
Problema 1 Inserciones más rápidas a la cola de notificación de cambio. Ver los detalles.
-
Problema 2 Cambia el nombre de los equipos unidos a un dominio que están ejecutando Microsoft SQL Server puede fallar si la operación de cambio de nombre es atendida por Windows Server 2012 R2 DCs. Ver detalles.
-
Problema 3 Los inicios de sesión solo aparecen incorrectamente en Active Directory como dos inicios de sesión. Ver los detalles.
-
Problema 4 Infracción de acceso LSSAS se produce el error "0xC0000005" cuando el destino DAA conectar clientes que ejecutan "importación completa". Ver los detalles.
-
Problema 5 Infracción de acceso LSASS se produce cuando está dirigido por consulta LDAP de recursiva en un grupo de AD. Ver los detalles.
Problemas corregidos en esta actualización
Problema 1 Inserta más rápido para Active Directory cambia notificación el mantenimiento de los retrasos de cola de grupo de subprocesos de cola de subprocesos asincrónica (ATQ), las consultas LDAP y replicación de notificación basada.
Cuando esta condición es true, el controlador de dominio (DC) seguridad autoridad subsistema servicio Local (LSASS) consume mucha CPU o uso de CPU del 100% en casos extremos. Cuando desarrollan colas de notificaciones de cambio en un controlador de dominio determinado, se bloquean las siguientes operaciones:-
Desencadenados por la notificación de cambios de la replicación de Active Directory se retrasa.
-
Subproceso de ATQ registro o anulación del registro se retrasa.
-
Se bloquean las escrituras en el controlador de dominio.
-
Cuando la cadena de inserción está en curso, también se bloquea el procesamiento de la cola de notificación. Replicación de notificación según se bloquea durante esta operación.
-
Uso de CPU para el proceso LSASS ejecuta frío en controladores de dominio que se bloquean todas las operaciones múltiples y el único subproceso obtiene el tiempo de la CPU como la replicación de Active Directory.
Esta actualización incluye un límite superior en el número de elementos de notificación de cambio de un controlador de dominio se agregará a la cola. Cuando se alcanza este umbral, el controlador de dominio responde con "ERROR_DS_ADMIN_LIMIT_EXCEEDED". De forma predeterminada, el umbral es 4096. Puede agregarse la siguiente clave del registro para modificar este umbral según sea necesario:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Notificaciones LDAP simultáneas máximo"Un valor máximo para las notificaciones de cambio demasiado bajo podría resultar en errores innecesarios para cambiar a clientes de notificación. Por lo tanto, es importante determinar el alcance de este contador antes de implementar la revisión "normal". Para establecer el intervalo superior de la cola de notificación de cambio, considere la posibilidad de supervisar el contador tamaño de notificar a la cola DS en todos los controladores de dominio en el bosque para determinar los valores máximos.actualización de seguridad 3160352.
Considere la posibilidad de un búfer de al menos un 25% en la parte superior al valor máximo con experiencia al supervisar este contador para determinar un valor apropiado de máximo notificaciones LDAP simultáneas. Nota: La corrección para este problema se incluye en laProblema 2 Cambia el nombre de dominio conjunto de equipos de miembros de Microsoft SQL Server produce un error con el error "el servicio de directorio está ocupado". Este problema se produce cuando se cumplen las condiciones siguientes:
-
Microsoft SQL Server está instalado en un equipo basado en Windows que se ha unido a un dominio de Active Directory.
-
El servicio de nombre Principal (SPN) que está registrado por Microsoft SQL Server o Microsoft SQL Express contiene caracteres no numéricos, después de la ":" delimitador en el atributo SPN de la cuenta de equipo en el que se cambia el nombre.
-
Se cambia el nombre del equipo que aloja Microsoft SQL Server en el Panel de Control.
-
Un controlador de dominio de Windows Server 2012 R2 de servicios de la operación de cambio de nombre.
De forma similar, agregar un nombre de equipo alternativo también se produce un error. Y se produce un error en el comando NetDom add de nombreDeEquipo con la siguiente una pantalla error:
No se puede agregar newhost.domain.com como un nombre alternativo para el equipo
El error es: El recurso solicitado está en uso. No se pudo completar correctamente el comando.Actualizar 3152220. Issue 3 Un intento de inicio de sesión único en el sitio Web se cuenta como dos intentos de inicio de sesión en Active Directory. Por lo tanto, aumenta el recuento de contraseña incorrecta por dos en lugar de uno. Problema 4 Infracción de acceso LSASS se produce junto con el error "0xc0000005" en Windows Server 2012 R2 DC dirigido por clientes de sincronización de identidad de Azure Connect de AD que ejecutan "Importación completa". Cuando un usuario ejecuta "Importación completa" en Azure Connect AD cliente de sincronización de identidad con un controlador de dominio basado en Windows Server R2 de 2012, se produce una infracción de acceso en el proceso LSASS y se reinicia el controlador de dominio con código de error "0xc0000005". Este problema se produce cuando la Papelera de reciclaje de Active Directory está deshabilitada. Para obtener más información acerca de este problema, vea Actualizar 3145339. Problema 5 Lsass.exe se bloquea en un DC con una infracción de acceso cuando un usuario ejecuta una consulta de protocolo ligero de acceso a directorios (LDAP) de recursiva a un grupo de Active Directory que tiene muchos grupos anidados. Un ejemplo de una consulta que puede desencadenar este tipo de bloqueo es la siguiente:
Para obtener más información acerca de este problema, vealdifde -f t.txt -d "dc =contoso, dc = com" - r "(memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
Cómo obtener esta actualización
Importante: Si instala un paquete de idioma después de instalar esta actualización, debe reinstalar esta actualización. Por lo tanto, se recomienda que instale cualquier paquete de idioma necesario antes de la instalación de esta actualización. Para obtener más información, vea Agregar paquetes de idioma para Windows.
Método 1: Windows Update
Esta actualización se proporciona como una actualización recomendada en Windows Update. Para obtener más información acerca de cómo ejecutar Windows Update, consulte cómo obtener una actualización a través de Windows Update.
Método 2: Catálogo de Microsoft Update
Para obtener el paquete independiente de esta actualización, vaya a uno de los siguientes sitios Web de catálogo de Microsoft Update:
Nota: debe estar ejecutando Microsoft Internet Explorer 6.0 o posterior.
Información detallada de la actualización
Requisitos previos
Para instalar esta actualización, debe instalar primero abril 2014, update rollup para Windows RT 8.1, 8.1 de Windows y Windows Server 2012 R2 (2919355) en Windows Server R2 de 2012. Nota: La actualización debe instalarse en equipos basados en Windows Server 2012 R2 o Windows Server 2012 que alojan la función de controlador de dominio de Active Directory dominio servicios (ADDS).
Información del registro
Para aplicar esta actualización, no es necesario realizar cambios en el registro.
Requisito de reinicio
Es posible que tenga que reiniciar el equipo después de aplicar esta actualización.
Información para sustituir la actualización
Esta actualización no reemplaza a ninguna actualización publicada previamente.
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Referencias
Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.
Información de archivo
La versión en inglés (Estados Unidos) de esta actualización de software instala archivos que tienen los atributos enumerados en las tablas siguientes.3160352 la actualización de seguridad.
Nota: Para los atributos de archivo de Windows Server 2012, consulteNotas:
-
Los archivos que se aplican a un producto, hito (RTM, SPn) y servicio (LDR, GDR) se pueden identificar examinando los números de versión del archivo tal como se muestra en la siguiente tabla:
Versión
Producto
Hito
Tipo de servicio
6.3.960 0.18 xxx
Windows Server 2012 R2
RTM
GDR
-
Las ramas del servicio GDR contienen solo correcciones de amplia distribución para solucionar problemas críticos extendidos. Las ramas del servicio LDR contienen revisiones además de las correcciones de amplia distribución.
-
Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno se enumeran en la sección "información de archivo adicional". MUM, MANIFEST y los archivos de catálogo (.cat) de seguridad asociados son muy importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
x64 Windows Server 2012 R2
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
Requisito de SP |
Tipo de servicio |
---|---|---|---|---|---|---|---|
Dsparse.dll |
6.3.9600.18264 |
30.208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
Ntdsa.mof |
No aplicable |
227,765 |
18-Jun-2013 |
14:45 |
No aplicable |
Ninguno |
No aplicable |
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
Ninguno |
No aplicable |
Dsparse.dll |
6.3.9600.18264 |
24.064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 Windows Server 2012 R2
Propiedad de archivo |
Valor |
---|---|
Nombre del archivo |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
715 |
Fecha (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
No aplicable |
Nombre del archivo |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
717 |
Fecha (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
No aplicable |
Nombre del archivo |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
716 |
Fecha (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
No aplicable |
Nombre del archivo |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
2,613 |
Fecha (UTC) |
10-Mar-2016 |
Hora (UTC) |
19:25 |
Plataforma |
No aplicable |
Nombre del archivo |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
3.356 |
Fecha (UTC) |
10-Mar-2016 |
Hora (UTC) |
19:25 |
Plataforma |
No aplicable |
Nombre del archivo |
Update.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
2.465 |
Fecha (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
No aplicable |
Nombre del archivo |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
2,609 |
Fecha (UTC) |
10-Mar-2016 |
Hora (UTC) |
18:57 |
Plataforma |
No aplicable |