Fuite de mémoire dans le processus LSASS sur les contrôleurs de domaine Windows Server 2012 R2 et un serveur AD LDS

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 3083038
Cet article décrit un problème de fuite de mémoire se produit sur les contrôleurs de domaine Windows Server 2012 R2 et sur un ordinateur Windows Server 2012 R2 qui a le rôle de serveur Active Directory Lightweight Directory Services (AD LDS) installé ou le Windows 8.1. Un correctif est disponible pour résoudre ce problème. Le correctif est une condition préalable.
Symptômes
Une nouvelle allocation de mémoire de tas arène a été introduite dans la version de Windows Server 2012 R2 des Services d’annuaire. Il provoque une fuite de mémoire dans Lsass.exe (rôle de contrôleur de domaine) et de la DsaMain.exe du processus de Service d’annuaire léger (AD LDS) qui peut consommer toute la mémoire disponible sur votre contrôleur de domaine de Windows Server 2012 R2 ou un serveur AD LDS.
Cause
Ce problème se produit dans les situations suivantes :
  • Promotion du contrôleur de domaine ou Ajout d’AD LDS du jeu de réplicas pour la configuration

    Après l’ajout d’un réplica à une configuration par la promotion du contrôleur de domaine ou l’ajout d’une instance AD LDS sur Windows Server 2012 R2 ou Windows 8.1, le moteur de réplication doit répliquer tous les objets dans les contextes de nommage nécessaires sur la nouvelle instance. Au cours de la tâche, les processus de sécurité autorité Server Service LSASS (Local) ou DsaMain.exe peut provoquer une fuite de grave lorsqu’il alloue virtuels octets validés, bien que l’utilisation réelle est très faible. En outre, DCpromo.log indique le message d’erreur suivant :

    Date
    Heure[INFO] Réplication des données DC = Contoso,DC = com: Reçu de XXXXXX sortie d’environ XXXXXX objets et XXXXXX d’environ XXXXXX valeurs nom unique (DN)...

    La réplication critique DateTime [avertissement] Non retourné 14

    Code d’erreur 14 se traduit par : ERROR_OUTOFMEMORY - mémoire insuffisante est disponible pour effectuer cette opération.

    L’événement suivant est enregistré dans le journal des événements au cours ou à la fin de dcpromo peu de temps après :
    Journal des événementsSource de l’événementIDDescription
    Services d’annuaire Réplication 2094Avertissement de performances : la réplication a été retardée lors de l’application des modifications apportées à l’objet suivant. Si ce message se produit fréquemment, il indique que la réplication s’exécute lentement et que le serveur peut avoir des difficultés à maintenir avec les modifications.

    Objet DN : CN =Nom du client, UNITÉ D’ORGANISATION =UNITÉ D’ORGANISATION, DC =Contoso, DC =com
    GUID de l’objet : GUID
    Partition de nom unique : DC =Contoso, DC =com
    Serveur : enregistrement DNS _msdcs du partenaire de réplication
    Temps écoulé (en secondes) : XX

    Action de l’utilisateur

    Une raison courante de l’affichage de ce délai est que cet objet est particulièrement important, la taille de ses valeurs, soit le nombre de valeurs. Vous devez tout d’abord envisager si l’application peut être modifiée pour réduire la quantité de données stockées sur l’objet, ou le nombre de valeurs. S’il s’agit d’un groupe important ou une liste de distribution, vous pouvez envisager d’augmenter le niveau fonctionnel de la forêt vers Windows Server 2003 ou version ultérieure, car cela permettra de travailler plus efficacement la réplication. Vous devez évaluer si la plate-forme de serveur offre des performances suffisantes en termes de puissance de traitement et de mémoire. Enfin, vous souhaiterez peut-être envisager de régler la base de données des Services de domaine Active Directory en déplaçant la base de données et les journaux pour des partitions de disque distinctes.

    Si vous souhaitez modifier la limite d’avertissement, la clé de Registre est fournie ci-dessous. Une valeur égale à zéro désactive la vérification.

    Données supplémentaires

    Limite d’avertissement (secondes) : XX

    Limite de clé de Registre : Attente maximale de System\CurrentControlSet\Services\NTDS\Parameters\Replicator pour mettre à jour objet (s)
    Services d’annuaireKCC1308Le vérificateur de cohérence des connaissances (KCC) a détecté que des tentatives successives pour répliquer avec le service d’annuaire a échoué systématiquement.

    Tentatives :
    2
    Service d’annuaire :
    CN = NTDS Settings, CN =DC001, CN =Serveurs, CN =site1, CN =Sites, CN =Configuration, DC =Contoso, DC =com
    Période de temps (minutes) :
    XXXXXXX

    L’objet de connexion pour ce service d’annuaire est ignorée et une nouvelle connexion temporaire sera établie afin de garantir que la réplication continue. Une fois la reprise de la réplication avec ce service d’annuaire, la connexion temporaire est supprimée.

    Données supplémentaires
    Valeur d’erreur :
    14 non mémoire insuffisante terminer cette opération
    .

    Remarque Le problème ne se produit pas si installation à partir de la promotion du média (IFM) de contrôleurs de domaine est utilisé. Toutefois, les promotions IFM disposent provenir de la même version de système d’exploitation.
  • L’événement suivant est enregistré dans le journal des événements au cours ou à la fin de dcpromo peu de temps après :
    Journal des événementsSource de l’événementIDDescription
    Services d’annuaire Réplication 2094Avertissement de performances : la réplication a été retardée lors de l’application des modifications apportées à l’objet suivant. Si ce message se produit fréquemment, il indique que la réplication s’exécute lentement et que le serveur peut avoir des difficultés à maintenir avec les modifications.

    Objet DN : CN =Nom du client, UNITÉ D’ORGANISATION =UNITÉ D’ORGANISATION, DC =Contoso, DC =com
    GUID de l’objet : GUID
    Partition de nom unique : DC =Contoso, DC =com
    Serveur : enregistrement DNS _msdcs du partenaire de réplication
    Temps écoulé (en secondes) : XX

    Action de l’utilisateur

    Une raison courante de l’affichage de ce délai est que cet objet est particulièrement important, la taille de ses valeurs, soit le nombre de valeurs. Vous devez tout d’abord envisager si l’application peut être modifiée pour réduire la quantité de données stockées sur l’objet, ou le nombre de valeurs. S’il s’agit d’un groupe important ou une liste de distribution, vous pouvez envisager d’augmenter le niveau fonctionnel de la forêt vers Windows Server 2003 ou version ultérieure, car cela permettra de travailler plus efficacement la réplication. Vous devez évaluer si la plate-forme de serveur offre des performances suffisantes en termes de puissance de traitement et de mémoire. Enfin, vous souhaiterez peut-être envisager de régler la base de données des Services de domaine Active Directory en déplaçant la base de données et les journaux pour des partitions de disque distinctes.

    Si vous souhaitez modifier la limite d’avertissement, la clé de Registre est fournie ci-dessous. Une valeur égale à zéro désactive la vérification.

    Données supplémentaires

    Limite d’avertissement (secondes) : XX

    Limite de clé de Registre : Attente maximale de System\CurrentControlSet\Services\NTDS\Parameters\Replicator pour mettre à jour objet (s)
    Services d’annuaireKCC1308Le vérificateur de cohérence des connaissances (KCC) a détecté que des tentatives successives pour répliquer avec le service d’annuaire a échoué systématiquement.

    Tentatives :
    2
    Service d’annuaire :
    CN = NTDS Settings, CN =DC001, CN =Serveurs, CN =site1, CN =Sites, CN =Configuration, DC =Contoso, DC =com
    Période de temps (minutes) :
    XXXXXXX

    L’objet de connexion pour ce service d’annuaire est ignorée et une nouvelle connexion temporaire sera établie afin de garantir que la réplication continue. Une fois la reprise de la réplication avec ce service d’annuaire, la connexion temporaire est supprimée.

    Données supplémentaires
    Valeur d’erreur :
    14 non mémoire insuffisante terminer cette opération
    .

    Remarque Le problème ne se produit pas si installation à partir de la promotion du média (IFM) de contrôleurs de domaine est utilisé. Toutefois, les promotions IFM disposent provenir de la même version de système d’exploitation.
  • Code d’erreur 14 se traduit par : ERROR_OUTOFMEMORY - mémoire insuffisante est disponible pour effectuer cette opération. L’événement suivant est enregistré dans le journal des événements au cours ou à la fin de dcpromo peu de temps après :
    Journal des événementsSource de l’événementIDDescription
    Services d’annuaire Réplication 2094Avertissement de performances : la réplication a été retardée lors de l’application des modifications apportées à l’objet suivant. Si ce message se produit fréquemment, il indique que la réplication s’exécute lentement et que le serveur peut avoir des difficultés à maintenir avec les modifications.

    Objet DN : CN =Nom du client, UNITÉ D’ORGANISATION =UNITÉ D’ORGANISATION, DC =Contoso, DC =com
    GUID de l’objet : GUID
    Partition de nom unique : DC =Contoso, DC =com
    Serveur : enregistrement DNS _msdcs du partenaire de réplication
    Temps écoulé (en secondes) : XX

    Action de l’utilisateur

    Une raison courante de l’affichage de ce délai est que cet objet est particulièrement important, la taille de ses valeurs, soit le nombre de valeurs. Vous devez tout d’abord envisager si l’application peut être modifiée pour réduire la quantité de données stockées sur l’objet, ou le nombre de valeurs. S’il s’agit d’un groupe important ou une liste de distribution, vous pouvez envisager d’augmenter le niveau fonctionnel de la forêt vers Windows Server 2003 ou version ultérieure, car cela permettra de travailler plus efficacement la réplication. Vous devez évaluer si la plate-forme de serveur offre des performances suffisantes en termes de puissance de traitement et de mémoire. Enfin, vous souhaiterez peut-être envisager de régler la base de données des Services de domaine Active Directory en déplaçant la base de données et les journaux pour des partitions de disque distinctes.

    Si vous souhaitez modifier la limite d’avertissement, la clé de Registre est fournie ci-dessous. Une valeur égale à zéro désactive la vérification.

    Données supplémentaires

    Limite d’avertissement (secondes) : XX

    Limite de clé de Registre : Attente maximale de System\CurrentControlSet\Services\NTDS\Parameters\Replicator pour mettre à jour objet (s)
    Services d’annuaireKCC1308Le vérificateur de cohérence des connaissances (KCC) a détecté que des tentatives successives pour répliquer avec le service d’annuaire a échoué systématiquement.

    Tentatives :
    2
    Service d’annuaire :
    CN = NTDS Settings, CN =DC001, CN =Serveurs, CN =site1, CN =Sites, CN =Configuration, DC =Contoso, DC =com
    Période de temps (minutes) :
    XXXXXXX

    L’objet de connexion pour ce service d’annuaire est ignorée et une nouvelle connexion temporaire sera établie afin de garantir que la réplication continue. Une fois la reprise de la réplication avec ce service d’annuaire, la connexion temporaire est supprimée.

    Données supplémentaires
    Valeur d’erreur :
    14 non mémoire insuffisante terminer cette opération
    .

    Remarque Le problème ne se produit pas si installation à partir de la promotion du média (IFM) de contrôleurs de domaine est utilisé. Toutefois, les promotions IFM disposent provenir de la même version de système d’exploitation.
  • Propagation de descripteur de sécurité

    Un problème de fuite de mémoire peut se produire lorsqu’une modification de sécurité sur un objet conteneur (racine du domaine ou l’unité d’organisation (UO)) est héritée sur de nombreux objets enfants ou secondaires des unités d’organisation bien propagation de SD. En fonction de la taille de l’entrée de contrôle d’accès (ACE) doit être modifiée et le nombre d’objets (par exemple, 500 000), la propagation peut prendre beaucoup de temps. Pendant ce temps, le processus LSASS ou DsaMain peut allouer en permanence les octets validés.
  • Requêtes d’exécution longue

    Inopinément la consommation de mémoire virtuelle au cours des requêtes de Lightweight Directory Access Protocol (LDAP) longue sur les serveurs Windows Server 2012 R2 ou basé sur Windows 8.1 de LDAP peut entraîner des pannes de mémoire. Les requêtes de longue durée qui consomment de la mémoire en obtenant un segment de mémoire pour le descripteur de sécurité de chaque objet touché.
Dans ces situations, lorsque les octets validés atteignent le nombre d’octets qui sont disponibles, le système deviendrait inutilisable et peut même tomber en panne.
Résolution
Pour corriger ce problème, appliquez le correctif qui est mentionné dans la section suivante.

Pour utiliser le correctif logiciel dans le cadre de Promotions de contrôleur de domaine (DCPROMO), procédez comme suit :
  1. Installer le rôle Services de domaine Active Directory ou AD LDS.
  2. Installez cette mise à jour ou les nouvelles mises à jour de Windows Server 2012 R2 et les mises à jour de sécurité qui contiennent les sameNtdsai.dll binaire comme ils sont toujours cumulatifs.
  3. Promouvoir l’ordinateur au statut de contrôleur de domaine.
Important Si vous installez un pack de langue après avoir installé ce correctif, vous devez réinstaller ce correctif. Par conséquent, nous vous conseillons d’installer n’importe quel langage packs dont vous avez besoin avant d’installent ce correctif. Pour plus d’informations, reportez-vous à la section. Ajouter des modules linguistiques pour Windows.

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes rencontrant ce problème spécifique.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n’apparaît pas, soumettre une demande au service clientèle de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s’appliqueront aux questions supplémentaires et aux problèmes qui ne relèvent de ce correctif spécifique. Pour une liste complète des numéros de téléphone service clientèle de Microsoft ou pour créer une demande de service distincte, accédez au site Web de Microsoft suivant : Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, il est, car un correctif n’est pas disponible pour cette langue.

Conditions préalables

Pour appliquer ce correctif, vous devez avoir le Correctif cumulatif d’avril 2014 pour Windows RT 8.1, 8.1 de Windows et Windows Server 2012 R2 (2919355) installé sur 8.1 de Windows ou de Windows Server 2012 R2.

Informations concernant le Registre

Pour appliquer ce correctif, vous n’êtes pas obligé d’apporter des modifications au Registre.

Nécessite un redémarrage

Vous devrez peut-être redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun correctif publié précédemment.
Statut
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Plus d'informations
Si vous activez NTDS\Diagnostics « 9 Internal Processing » niveau 2, comme indiqué dans l’article de la Base de connaissances Microsoft. 314980, vous pouvez voir les événements ActiveDirectory_DomainService suivants. Ces événements indiquent la tâche de propagation du SD longue.


Événement 1257 - indiquant le début de la Propagation de la SD
Événement interne : la tâche de propagation de descripteurs de sécurité traite un événement de propagation à partir du conteneur suivant.
Conteneur : OU = unité d’organisation, DC = Contoso, DC = com

2007 événement - indiquant la progression de la Propagation de la SD, enregistré toutes les 5 minutes
Événement interne : la tâche de propagation de descripteurs de sécurité a atteint le conteneur suivant et continue avec la propagation.
Conteneur : OU = unité d’organisation, DC = Contoso, DC = com

Nombre d’objets traités jusqu'à présent : XXXXXX

Événement 1258 - indiquant la fin de la Propagation de la SD, après quelques heures
Événement interne : la tâche de propagation de descripteurs de sécurité a terminé le traitement d’un événement de propagation à partir du conteneur suivant.
Conteneur : OU = unité d’organisation, DC = Contoso, DC = com

Nombre d’objets traités : XXXXXX


Après la réplication d’Active Directory à un autre contrôleur de domaine Windows Server 2012 R2 ou des instances AD LDS dans le domaine, le même problème peut se produire car la propagation SD est effectuée localement.

Vous ne verrez pas que la fuite de mémoire dans le rapport de la valeur de Active Directory collecteur car il montre uniquement utilisé octets. Toutefois, vous pouvez utiliser les performances créé moniteur données BLG fichier compteur objet : processus de vérification, Instance : Lsass, compteur : octets privés et : mémoire de l’objet, compteur : octets dédiés.

Pour plus d ' observation de l’évolution de la fuite, vous pouvez utiliser « Un graphique avec un échantillon de propriétés, d’éléments graphiques, moniteur de Performance » toutes les 60 secondes. Durée : 15 000, secondes (> 4 heures).

L’allocation de plus en plus se laisse également observer dans le Gestionnaire des tâches, l’onglet performances, élément de mémoire, validé. Il s’affiche sous validé disponibles gigaoctets (Go).

Indicateurs de la condition d’erreur sont les suivantes :

repadmin /showrepl renvoie :
Mémoire insuffisante est disponible pour effectuer cette opération.

Service d’annuaire enregistre l’événement d’erreur 1699 :
Ce service d’annuaire n’a pas pu récupérer les modifications demandées pour la partition d’annuaire suivante. Par conséquent, il n’a pas pu envoyer les demandes de modification au service d’annuaire à l’adresse réseau suivante.
Code de requête étendu : 0
Données supplémentaires
Valeur d’erreur : 8446 l’opération de réplication n’a pas pu allouer de la mémoire.

Message de l’application :
Windows - mémoire virtuelle insuffisante : votre système manque de mémoire virtuelle. Pour vous assurer que Windows fonctionne correctement, augmentez la taille de votre fichier de pagination de mémoire virtuelle. Pour plus d’informations, consultez l’aide.


Références
En savoir plus sur la terminologie que Microsoft utilise pour décrire les mises à jour logicielles.
Informations sur les fichiers
La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans les tableaux suivants. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). N'oubliez pas que les dates et heures de ces fichiers sur votre ordinateur local sont affichées dans votre heure locale et avec votre décalage (heure d'été/d'hiver) en cours. Les dates et heures peuvent également changer lorsque vous effectuez certaines opérations sur les fichiers.

Windows 8.1 et Windows Server 2012 R2

Important Les correctifs logiciels Windows 8.1 et Windows Server 2012 R2 sont inclus dans les mêmes packages. Toutefois, les correctifs dans la page demande de correctif sont répertoriés sous les deux systèmes d’exploitation. Pour demander le package de correctif qui s’applique à un ou deux systèmes d’exploitation, sélectionnez le correctif logiciel qui est répertorié sous « Windows 8.1 et Windows Server 2012 R2 » sur la page. Reportez-vous toujours à la section « S’applique à » dans les articles pour déterminer le système d’exploitation actif auquel s’applique chaque correctif.

Remarques
  • Les fichiers qui s'appliquent à un produit spécifique, à un jalon (RTM, SPn) et à un dossier (LDR, GDR) peuvent être identifiés en examinant les numéros de version de fichier comme indiqué dans le tableau suivant :
    Version francaiseProduitJalonBranche de service
    6.3.960 de 0,18 xxxWindows 8.1 et Windows Server 2012 R2RTMGDR
  • Les branches de service GDR contiennent uniquement les correctifs généralement publiés pour résoudre les problèmes critiques répandus. Les branches de service LDR contiennent des correctifs en plus des correctifs généralement publiés.
  • Les fichiers MANIFEST (.manifest) et MUM (.mum) qui sont installés pour chaque environnement sont répertoriés dans la section « informations de fichiers supplémentaires ». Les fichiers MUM, MANIFEST et ceux du catalogue de sécurité (.cat) associés sont très importants pour conserver l'état des composants mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.
x86 Windows 8.1
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Ntdsa.mofNe s'applique pas227,76518-Jun-201312:21Ne s'applique pas
Ntdsai.dll6.3.9600.181162,583,55203-Nov-201502:41x 86
x64 8.1 de Windows et de Windows Server 2012 R2
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Ntdsa.mofNe s'applique pas227,76518-Jun-201314 h 45Ne s'applique pas
Ntdsai.dll6.3.9600.181163,676,16003-Nov-201502:54x64

Informations sur les fichiers supplémentaires

x86 Windows 8.1
Propriété de fichierValeur
Nom de fichierUpdate.mum
Version de fichierNe s'applique pas
Taille du fichier1 600
Date (UTC)04-Nov-2015
Heure (UTC)05:53
PlateformeNe s'applique pas
Nom de fichierX86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest
Version de fichierNe s'applique pas
Taille du fichier712
Date (UTC)04-Nov-2015
Heure (UTC)05:53
PlateformeNe s'applique pas
Nom de fichierX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest
Version de fichierNe s'applique pas
Taille du fichier3,352
Date (UTC)03-Nov-2015
Heure (UTC)05:09
PlateformeNe s'applique pas
x64 8.1 de Windows et de Windows Server 2012 R2
Propriété de fichierValeur
Nom de fichierAmd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest
Version de fichierNe s'applique pas
Taille du fichier716
Date (UTC)04-Nov-2015
Heure (UTC)05:53
PlateformeNe s'applique pas
Nom de fichierAmd64_microsoft-windows-d.. toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest
Version de fichierNe s'applique pas
Taille du fichier3,356
Date (UTC)03-Nov-2015
Heure (UTC)06:04
PlateformeNe s'applique pas
Nom de fichierUpdate.mum
Version de fichierNe s'applique pas
Taille du fichier2,061
Date (UTC)04-Nov-2015
Heure (UTC)05:53
PlateformeNe s'applique pas

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 3083038 - Dernière mise à jour : 07/07/2016 18:13:00 - Révision : 6.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbautohotfix kbhotfixserver kbexpertiseinter kbmt KB3083038 KbMtfr
Commentaires