Este artículo describe un problema de pérdida de memoria que se produce en los controladores de dominio basados en Windows Server R2 de 2012 y en un equipo basado en Windows Server 2012 R2 que tiene instalada la función del servidor de Active Directory Lightweight Directory Services (AD LDS) o en Windows 8.1. Hay una revisión corregir este problema. La revisión tiene un requisito previo.

Síntomas

Una nueva asignación de memoria del montón de arena se introdujo en la versión R2 de Windows Server 2012 de servicios de directorio. Causa una pérdida de memoria en Lsass.exe (función de controlador de dominio) y DsaMain.exe del proceso de servicio de directorio ligero (LDS) que puede consumir toda la memoria disponible en el controlador de dominio de Windows Server 2012 R2 o servidor LDS.

Causa

Este problema se produce en las siguientes situaciones:

  • Promoción del controlador de dominio o Agregar LDS de réplica a la configuración establecida

    Después de agregar una réplica a una configuración mediante la promoción del controlador de dominio o agregar una instancia LDS en Windows Server 2012 R2 o Windows 8.1, el motor de replicación debe replicar todos los objetos en los contextos de nombres necesarios en la nueva instancia. Durante la tarea, el proceso de servicio de servidor de autoridad de seguridad Local (LSASS) o DsaMain.exe puede causar una pérdida grave cuando asigna virtuales bytes confirmados aunque el uso real es muy bajo. Además, DCpromo.log muestra el siguiente mensaje de error:


    Fechahora[INFO] replicar datos DC = Contoso,DC = com: recibido XXXXXX fuera alrededor de objetos XXXXXX y XXXXXX fuera aproximadamente XXXXXX distinguen valores name (DN)...

    Fecha hora [WARNING] no crítica replicación devuelto 14


    Código de error 14 se traduce en: ERROR_OUTOFMEMORY - no queda suficiente almacenamiento disponible para completar esta operación.

    El suceso siguiente se registra en el registro de eventos durante o poco después dcpromo finalice:

    Registro de eventos

    Origen de eventos

    ID.

    Descripción

    Servicios de directorio

    Replicación

    2094

    Advertencia de rendimiento: replicación se retrasó al aplicar cambios al objeto siguiente. Si este mensaje aparece con frecuencia, esto indica que la replicación se está produciendo lentamente y que el servidor puede tener dificultades para mantenerse al día con los cambios.

    Objeto DN: CN =nombre del cliente, OU =unidad organizativa, DC =Contoso, DC =com
    GUID de objeto GUID:
    Partición DN: DC =Contoso, DC =com
    Registro DNS _msdcs de asociado de replicación del servidor:
    Tiempo transcurrido (en segundos): XX

    Acción del usuario

    Una razón habitual para ver este retraso es que este objeto es especialmente grande en el tamaño de sus valores, o en el número de valores. En primer lugar, debe considerar si la aplicación se puede cambiar para reducir la cantidad de datos almacenados en el objeto o el número de valores. Si esto es un gran grupo o lista de distribución, considere la posibilidad de elevar el nivel funcional del bosque a Windows Server 2003 o superior, ya que esto le permitirá trabajar más eficientemente la replicación. Debe evaluar si la plataforma de servidor ofrece un rendimiento suficiente en cuanto a memoria y potencia de procesamiento. Por último, desea considere la optimización de la base de datos de servicios de dominio de Active Directory al mover la base de datos y los registros para separar las particiones del disco.

    Si desea cambiar el límite de advertencia, la clave del registro se incluye a continuación. Un valor de cero deshabilitará la comprobación.

    Datos adicionales

    Límite de advertencia (segundos): XX

    Límite clave del registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator objeto de actualización (seg.)

    Servicios de directorio

    KCC

    1308

    El Comprobador de coherencia de réplica (KCC) ha detectado que los intentos sucesivos para replicar con el servicio de directorio siguiente ha fallado constantemente.

    Intentos:
    2
    Servicio de directorio:
    CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =sitios, CN =configuración, DC =Contoso, DC =com
    Período de tiempo (minutos):
    XXXXXXX

    Se omitirá el objeto de conexión para este servicio de directorio, y se establecerá una nueva conexión temporal garantizar que la replicación continúa. Una vez que se reanuda la replicación con este servicio de directorio, se quitará la conexión temporal.

    Datos adicionales
    Valor del error:
    14 no queda suficiente almacenamiento completar esta operación.


    Nota: El problema no se produce si instala promoción de medios (IFM) para los controladores de dominio se utiliza. Sin embargo, promoción de IFM tiene que proceden de la misma versión de sistema operativo.

  • El suceso siguiente se registra en el registro de eventos durante o poco después dcpromo finalice:

    Registro de eventos

    Origen de eventos

    ID.

    Descripción

    Servicios de directorio

    Replicación

    2094

    Advertencia de rendimiento: replicación se retrasó al aplicar cambios al objeto siguiente. Si este mensaje aparece con frecuencia, esto indica que la replicación se está produciendo lentamente y que el servidor puede tener dificultades para mantenerse al día con los cambios.

    Objeto DN: CN =nombre del cliente, OU =unidad organizativa, DC =Contoso, DC =com
    GUID de objeto GUID:
    Partición DN: DC =Contoso, DC =com
    Registro DNS _msdcs de asociado de replicación del servidor:
    Tiempo transcurrido (en segundos): XX

    Acción del usuario

    Una razón habitual para ver este retraso es que este objeto es especialmente grande en el tamaño de sus valores, o en el número de valores. En primer lugar, debe considerar si la aplicación se puede cambiar para reducir la cantidad de datos almacenados en el objeto o el número de valores. Si esto es un gran grupo o lista de distribución, considere la posibilidad de elevar el nivel funcional del bosque a Windows Server 2003 o superior, ya que esto le permitirá trabajar más eficientemente la replicación. Debe evaluar si la plataforma de servidor ofrece un rendimiento suficiente en cuanto a memoria y potencia de procesamiento. Por último, desea considere la optimización de la base de datos de servicios de dominio de Active Directory al mover la base de datos y los registros para separar las particiones del disco.

    Si desea cambiar el límite de advertencia, la clave del registro se incluye a continuación. Un valor de cero deshabilitará la comprobación.

    Datos adicionales

    Límite de advertencia (segundos): XX

    Límite clave del registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator objeto de actualización (seg.)

    Servicios de directorio

    KCC

    1308

    El Comprobador de coherencia de réplica (KCC) ha detectado que los intentos sucesivos para replicar con el servicio de directorio siguiente ha fallado constantemente.

    Intentos:
    2
    Servicio de directorio:
    CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =sitios, CN =configuración, DC =Contoso, DC =com
    Período de tiempo (minutos):
    XXXXXXX

    Se omitirá el objeto de conexión para este servicio de directorio, y se establecerá una nueva conexión temporal garantizar que la replicación continúa. Una vez que se reanuda la replicación con este servicio de directorio, se quitará la conexión temporal.

    Datos adicionales
    Valor del error:
    14 no queda suficiente almacenamiento completar esta operación.


    Nota: El problema no se produce si instala promoción de medios (IFM) para los controladores de dominio se utiliza. Sin embargo, promoción de IFM tiene que proceden de la misma versión de sistema operativo.

  • Código de error 14 se traduce en: ERROR_OUTOFMEMORY - no queda suficiente almacenamiento disponible para completar esta operación. El suceso siguiente se registra en el registro de eventos durante o poco después dcpromo finalice:

    Registro de eventos

    Origen de eventos

    ID.

    Descripción

    Servicios de directorio

    Replicación

    2094

    Advertencia de rendimiento: replicación se retrasó al aplicar cambios al objeto siguiente. Si este mensaje aparece con frecuencia, esto indica que la replicación se está produciendo lentamente y que el servidor puede tener dificultades para mantenerse al día con los cambios.

    Objeto DN: CN =nombre del cliente, OU =unidad organizativa, DC =Contoso, DC =com
    GUID de objeto GUID:
    Partición DN: DC =Contoso, DC =com
    Registro DNS _msdcs de asociado de replicación del servidor:
    Tiempo transcurrido (en segundos): XX

    Acción del usuario

    Una razón habitual para ver este retraso es que este objeto es especialmente grande en el tamaño de sus valores, o en el número de valores. En primer lugar, debe considerar si la aplicación se puede cambiar para reducir la cantidad de datos almacenados en el objeto o el número de valores. Si esto es un gran grupo o lista de distribución, considere la posibilidad de elevar el nivel funcional del bosque a Windows Server 2003 o superior, ya que esto le permitirá trabajar más eficientemente la replicación. Debe evaluar si la plataforma de servidor ofrece un rendimiento suficiente en cuanto a memoria y potencia de procesamiento. Por último, desea considere la optimización de la base de datos de servicios de dominio de Active Directory al mover la base de datos y los registros para separar las particiones del disco.

    Si desea cambiar el límite de advertencia, la clave del registro se incluye a continuación. Un valor de cero deshabilitará la comprobación.

    Datos adicionales

    Límite de advertencia (segundos): XX

    Límite clave del registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator objeto de actualización (seg.)

    Servicios de directorio

    KCC

    1308

    El Comprobador de coherencia de réplica (KCC) ha detectado que los intentos sucesivos para replicar con el servicio de directorio siguiente ha fallado constantemente.

    Intentos:
    2
    Servicio de directorio:
    CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =sitios, CN =configuración, DC =Contoso, DC =com
    Período de tiempo (minutos):
    XXXXXXX

    Se omitirá el objeto de conexión para este servicio de directorio, y se establecerá una nueva conexión temporal garantizar que la replicación continúa. Una vez que se reanuda la replicación con este servicio de directorio, se quitará la conexión temporal.

    Datos adicionales
    Valor del error:
    14 no queda suficiente almacenamiento completar esta operación.


    Nota: El problema no se produce si instala promoción de medios (IFM) para los controladores de dominio se utiliza. Sin embargo, promoción de IFM tiene que proceden de la misma versión de sistema operativo.

  • Propagación de descriptor (SD) de seguridad

    Un problema de pérdida de memoria puede ocurrir cuando un cambio de seguridad en un objeto contenedor (raíz del dominio o unidad organizativa (OU)) se hereda en muchos objetos secundarios o subordinadas de la unidades organizativas aunque propagación de SD. Dependiendo del tamaño de la entrada de control de acceso (ACE) que se va a cambiar y el número de objetos (por ejemplo, 500.000), la propagación puede tardar mucho tiempo. Durante este tiempo, el proceso LSASS o proceso DsaMain puede asignar constantemente bytes comprometidos.

  • Consultas de larga ejecución

    Inesperadamente el consumo de memoria virtual durante las consultas de protocolo ligero de acceso a directorios (LDAP) de larga duración en servidores Windows Server 2012 R2 o Windows 8.1 basado en LDAP puede causar interrupciones de memoria. Las consultas de larga ejecución consumen memoria obteniendo un montón para el descriptor de seguridad de cada objeto que se toca.

En estas situaciones, cuando los bytes comprometidos alcanza el número de bytes disponibles, el sistema inutilizable y puede incluso bloquearse.

Solución

Para corregir este problema, aplique la revisión que se menciona en la sección siguiente.

Para utilizar la revisión en el contexto de promociones de controlador de dominio (DCPROMO), siga estos pasos:

  1. Instalar el rol Servicios de dominio de Active Directory o AD LDS.

  2. Instale esta actualización o actualizaciones más recientes de Windows Server 2012 R2 y las actualizaciones de seguridad que contienen la misma Ntdsai.dll binario como siempre son acumulativos.

  3. Promover el equipo a un estado de controlador de dominio.

Importante: Si instala un paquete de idioma después de instalar este hotfix, debe volver a instalar este hotfix. Por lo tanto, recomendamos que instale cualquier lenguaje Pack que se necesitan antes de instala este hotfix. Para obtener más información, vea Agregar paquetes de idioma para Windows.

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.

Si la revisión está disponible para su descarga, hay una sección "Revisión descargar disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, envíe una solicitud al servicio al cliente de Microsoft para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte adicionales y problemas que no son aptas para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:

http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de revisión disponible" muestra los idiomas para los que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

Para aplicar este hotfix, debe tener el abril 2014 update rollup para Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2 (2919355) instalado en Windows 8.1 o R2 de Windows Server 2012.

Información del registro

Para aplicar este hotfix, no tienes que realizar los cambios en el registro.

Requisito de reinicio

Tendrá que reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a ninguna revisión publicada previamente.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información

Si habilita NTDS\Diagnostics "9 Internal Processing" nivel 2, como se menciona en el artículo de Microsoft Knowledge Base 314980, verá los siguientes eventos de ActiveDirectory_DomainService. Estos eventos muestran la tarea de propagación de SD de larga duración.

Evento 1257 - que indica el inicio de la propagación de SD
Suceso interno: la tarea de propagación del descriptor de seguridad está procesando un evento de propagación que empieza en el contenedor siguiente.
Contenedor: OU = unidad organizativa, DC = Contoso, DC = com

Evento 2007 - que indica el progreso de la propagación de SD, registra cada 5 minutos
Suceso interno: la tarea de propagación del descriptor de seguridad ha alcanzado el siguiente contenedor y continuará con la propagación.
Contenedor: OU = unidad organizativa, DC = Contoso, DC = com
Número de objetos procesados hasta ahora: XXXXXX

Evento 1258 - que indica el final de la propagación de SD, después de algunas horas
Suceso interno: la tarea de propagación del descriptor de seguridad ha terminado de procesar un evento de propagación que empieza en el contenedor siguiente.
Contenedor: OU = unidad organizativa, DC = Contoso, DC = com
Número de objetos procesados: ZZZZZZ

Después de la replicación de Active Directory a otro controlador de dominio basado en Windows Server 2012 R2 o instancias LDS en el dominio, el mismo problema puede producirse porque la propagación de SD se realiza localmente.

No verá que la pérdida de memoria en el Active Directory recolector establecido el informe porque muestra sólo utiliza bytes. Sin embargo, puede utilizar el rendimiento creado monitor datos Edif archivo contador objeto: proceso de comprobación, instancia: Lsass, contador: Bytes privados y objeto: memoria, contador: Bytes confirmados.

Para una observación más larga de la evolución de la pérdida, puede utilizar un "gráfico con propiedades, elementos gráficos, Monitor de rendimiento de ejemplo" cada 60 segundos. Duración: 15.000 segundos (> 4 horas).

También se pueden observar la asignación creciente en Administrador de tareas, ficha rendimiento, elemento de memoria, confirmada. Esto se muestra en comprometido/disponibles gigabytes (GB).

Indicadores de la condición de error son los siguientes:

repadmin /showrepl devuelve:

No queda suficiente almacenamiento disponible para completar esta operación.


Servicio de directorio registra el suceso de Error 1699:

Este servicio de directorio no pudo recuperar los cambios solicitados para la siguiente partición de directorio. Como resultado, no pudo enviar las solicitudes de cambio al servicio de directorio en la siguiente dirección de red.
Código de solicitud: 0
Datos adicionales
Valor de error: 8446 la operación de réplica no pudo asignar memoria.


Aplicación emergente:

Windows - fuera memoria Virtual: el sistema está bajo de memoria virtual. Para asegurarse de que Windows se ejecuta correctamente, aumente el tamaño del archivo de paginación de memoria virtual. Para obtener más información, consulte la Ayuda.


 

Referencias

Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.

Información de archivo

La versión en inglés (Estados Unidos) de esta actualización de software instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Tenga en cuenta que se muestran las fechas y horas de estos archivos en el equipo local en horario local y con la diferencia de horario de verano actual. Las fechas y horas también pueden cambiar cuando realiza determinadas operaciones en los archivos.

Importante: Correcciones urgentes de Windows 8.1 y R2 de Windows Server 2012 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o ambos sistemas operativos, seleccione la revisión que aparece en "Windows 8.1 y Windows Server R2 de 2012" en la página. Siempre consulte la sección "Aplicable a" de los artículos para determinar el sistema operativo real a la que se aplica cada revisión.

Notas:

  • Los archivos que se aplican a un producto, hito (RTM, SPn) y servicio (LDR, GDR) se pueden identificar examinando los números de versión del archivo tal como se muestra en la siguiente tabla:

    Versión

    Producto

    Hito

    Tipo de servicio

    6.3.960 0.18 xxx

    Windows 8.1 y Windows Server 2012 R2

    RTM

    GDR

  • Las ramas del servicio GDR contienen solo correcciones de amplia distribución para solucionar problemas críticos extendidos. Las ramas del servicio LDR contienen revisiones además de las correcciones de amplia distribución.

  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno se enumeran en la sección "información de archivo adicional". MUM, MANIFEST y los archivos de catálogo (.cat) de seguridad asociados son muy importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.

x86 de Windows 8.1

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Ntdsa.mof

No aplicable

227,765

18-Jun-2013

12:21

No aplicable

Ntdsai.dll

6.3.9600.18116

2,583,552

03-Nov-2015

02:41

x86

x64 Windows 8.1 y R2 de Windows Server 2012

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Ntdsa.mof

No aplicable

227,765

18-Jun-2013

14:45

No aplicable

Ntdsai.dll

6.3.9600.18116

3,676,160

03-Nov-2015

02:54

x64


x86 de Windows 8.1

Propiedad de archivo

Valor

Nombre del archivo

Update.mum

Versión del archivo

No aplicable

Tamaño de archivo

1.600

Fecha (UTC)

04-Nov-2015

Hora (UTC)

05:53

Plataforma

No aplicable

Nombre del archivo

X86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest

Versión del archivo

No aplicable

Tamaño de archivo

712

Fecha (UTC)

04-Nov-2015

Hora (UTC)

05:53

Plataforma

No aplicable

Nombre del archivo

X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest

Versión del archivo

No aplicable

Tamaño de archivo

3,352

Fecha (UTC)

03-Nov-2015

Hora (UTC)

05:09

Plataforma

No aplicable

x64 Windows 8.1 y R2 de Windows Server 2012

Propiedad de archivo

Valor

Nombre del archivo

Amd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest

Versión del archivo

No aplicable

Tamaño de archivo

716

Fecha (UTC)

04-Nov-2015

Hora (UTC)

05:53

Plataforma

No aplicable

Nombre del archivo

Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest

Versión del archivo

No aplicable

Tamaño de archivo

3.356

Fecha (UTC)

03-Nov-2015

Hora (UTC)

06:04

Plataforma

No aplicable

Nombre del archivo

Update.mum

Versión del archivo

No aplicable

Tamaño de archivo

2,061

Fecha (UTC)

04-Nov-2015

Hora (UTC)

05:53

Plataforma

No aplicable


¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×