מאמר זה מתאר עדכון עבור בקר קבוצת מחשבים מבוססי Windows Server 2012 R2 או מבוססי Windows Server 2012 מיום 2016 באפריל המטפלת בבעיות הבאות:
-
בעיה 1 הוספות מהיר יותר לתור ההודעות שינוי. ראה פרטים.
-
בעיה 2 שינוי שם של מחשבים לתחום שבו פועל Microsoft SQL Server עשוי להיכשל אם פעולת שינוי השם טיפל Windows Server 2012 R2 Dc. לקבלת פרטים.
-
בעיה 3 כניסות יחיד ידווחו באופן שגוי ב- Active Directory כ שתי כניסות. ראה פרטים.
-
בעיה 4 מתרחשת הפרת גישה LSSAS עם השגיאה "0xC0000005" כאשר לפלח על-ידי לקוחות AAD להתחבר הפועלות "ייבוא מלא". ראה פרטים.
-
בעיה 5 LSASS הפרת גישה מתרחשת כאשר הוא הוקצה על-ידי שאילתת LDAP רקורסיבית מול קבוצת AD. ראה פרטים.
לפני התקנת עדכון זה, עיין בסעיף תנאים מוקדמים .
בעיות הנפתרות בעדכון זה
בעיה 1 הוספת מהירה יותר ל- Active Directory לשנות הדיווחים תור עיכובים במתן שירות מאגר משנה (thread) של התור הליך משנה אסינכרוני (ATQ), שאילתות של LDAP ושכפול דיווח המבוסס.
כאשר תנאי זה מתקיים, בקר התחום (DC) המקומי אבטחה רשות המשנה של השירות (LSASS) צורכת גבוה ב- cpu או 100% ב- cpu במקרים קיצוניים. הפעולות הבאות נחסמות כאשר תורי ההודעות שינוי לפתח ב- DC נתון:
-
שכפול הספריות active המופעלות על-ידי דיווח על שינוי מתעכבת.
-
רישום של הליך משנה ATQ או על הסרת מתעכבת.
-
כתיבות אל ה-DC חסומים.
-
כאשר מתקיימת מחרוזת הכניסה, חסומה גם העיבוד של תור ההודעות. שכפול ההודעות מבוסס חסומה במהלך פעולה זו.
-
השימוש ב- CPU עבור התהליך LSASS שבו פועל קר ב- Dc כל פעולות מרובות נחסמים ולא רק הליך המשנה מקבל זמן ה-CPU כמו שכפול Active Directory.
עדכון זה כולל גבול עליון על מספר פריטים ההודעות שינוי בקר תחום תוסיף לתור. לאחר שהמכסה מתמלאת, ה-DC יגיב עם "ERROR_DS_ADMIN_LIMIT_EXCEEDED". כברירת מחדל, הסף הוא 4096. ניתן להוסיף את מפתח הרישום הבא כדי לשנות את סף זה לפי הצורך:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "LDAP המקבילות המירבי דיווחים"הערך המרבי עבור הודעות על שינוי נמוך מדי עלול להוביל כשלים שאינן נחוצות כדי לשנות את ההודעות ללקוחות. לכן, חשוב לקבוע את טווח "רגילה" של מונה זה לפני יישום התיקון החם. כדי לקבוע את הטווח העליון של תור ההודעות שינוי, שקול פיקוח על מונה גודל התור להודיע DS על כל בקרי קבוצות המחשבים ביער לקביעת ערכי שיא.
שקול מאגר לפחות 25% מעל הערך שיא מנוסים בעת פיקוח על מונה זה לקביעת ערך מתאים של הודעות LDAP המקבילות המירבי.
הערה התיקון עבור בעיה זו נכללת עדכון אבטחה 3160352.
בעיה 2 שינוי שם של מחשבים חברים לתחום של Microsoft SQL Server נכשל עם השגיאה "שירות מדריך הכתובות אינו פנוי".
בעיה זו מתרחשת כאשר מתקיימים התנאים הבאים:
-
Microsoft SQL Server מותקן במחשב מבוסס Windows שמצורף לקבוצת מחשבים של Active Directory.
-
הקרן שם שירות (SPN) הרשום על-ידי Microsoft SQL Server או Microsoft SQL Express מכיל תווים שאינם מספריים לאחר ":" מפריד בתכונה SPN של חשבון המחשב הוא שינוי שם.
-
המחשב המארח שרת Microsoft SQL משתנה בלוח הבקרה.
-
בקר תחום Windows Server 2012 R2 שירותי את פעולת שינוי השם.
באופן דומה, הוספת שם של מחשב חלופי גם נכשלת. הפקודה הוסף NetDom computername נכשל עם הבאות המסך שגיאה:
אין אפשרות להוסיף newhost.domain.com כשם חלופי עבור המחשב
השגיאה היא:
המשאב המבוקש נמצא בשימוש.
הפקודה לא הושלמה בהצלחה.
לקבלת מידע נוסף אודות בעיה זו, ראה עדכון 3152220.
Issue 3
ניסיון כניסה יחידה באתר נספר כ שני ניסיונות כניסה ב- Active Directory. לכן, ספירה של סיסמה שגויה מגדיל פי שתיים במקום על-ידי אחת.
בעיה 4 מתרחשת הפרת גישה LSASS יחד עם השגיאה "0xc0000005" ב- Windows Server 2012 R2 DCs לפלח על-ידי לקוחות הסינכרון של זהות התחבר AD תכלת הרקיע הפועלות "ייבוא מלא".
כאשר משתמש מפעיל "ייבוא מלא" בלקוח סינכרון זהות התחבר AD תכלת הרקיע מול בקר תחום מבוסס Windows Server 2012 R2, מתרחשת הפרת גישה ב- LSASS תהליך, והפעלה מחדש של בקר קבוצת המחשבים עם קוד שגיאה "0xc0000005". בעיה זו מתרחשת כאשר Active Directory המיחזור אינו זמין.
לקבלת מידע נוסף אודות בעיה זו, ראה עדכון 3145339.
בעיה 5
Lsass.exe קורס ב- DC הפרת גישה כאשר משתמש מפעיל שאילתה Lightweight Directory Access פרוטוקול (LDAP) רקורסיבי מול קבוצת Active Directory בעל קבוצות מקוננות רבות. דוגמה של שאילתה אשר עשויה לגרום לקריסת מסוג זה הוא כדלהלן:
ldifde -f t.txt -d "dc =contoso, dc = com" - r "(memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
כיצד לקבל עדכון זה
חשוב אם התקנת ערכת שפה לאחר שתתקין עדכון זה, עליך להתקין מחדש עדכון זה. לכן, אנו ממליצים לך להתקין בכל שפה ערכות הדרוש לך לפני התקנת עדכון זה. לקבלת מידע נוסף, ראה הוספת ערכות שפה ל- Windows.
שיטה 1: Windows Update
עדכון זה מסופק כעדכון מומלץ באתר Windows Update. לקבלת מידע נוסף אודות האופן שבו ניתן להפעיל את Windows Update, ראה כיצד לקבל עדכון באמצעות Windows Update.
שיטה 2: קטלוג Microsoft Update
כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל אחד מאתרי האינטרנט הבאים של Microsoft Update קטלוג:
הערה אתה חייב לפעול ב- Microsoft Internet Explorer 6.0 ואילך.
מידע על פרטי העדכון
דרישות מוקדמות
כדי להתקין עדכון זה, עליך להתקין תחילה באפריל 2014, אוסף עדכונים עבור Windows RT 8.1, Windows 8.1, ו- Windows Server 2012 R2 (2919355) ב- Windows Server 2012 R2.
הערה יש להתקין את העדכון במחשבים מבוססי Windows Server 2012 R2 או מבוססי Windows Server 2012 המארחים תפקיד בקר תחום של Active Directory בתחום השירותים (הוספה).
מידע בנושא רישום
כדי להחיל עדכון זה, אין צורך לבצע שינויים כלשהם ברישום.
דרישת הפעלה מחדש
ייתכן שיהיה עליך להפעיל מחדש את המחשב לאחר החלת עדכון זה.
מידע על החלפת עדכונים
עדכון זה אינו מחליף עדכון שפורסם בעבר.
מצב
Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft הרשומים במקטע 'חל על'.
הפניות
למד אודות המינוח שבו Microsoft משתמשת לתיאור עדכוני תוכנה.
פרטי קובץ
הגירסה האנגלית (ארה"ב) של עדכון תוכנה זה מתקינה קבצים הכוללים את התכונות המפורטות בטבלאות הבאות.
הערה עבור תכונות קובץ של 2012 שרת של Windows, ראה עדכון 3160352 אבטחה.
הערות
-
ניתן לזהות את הקבצים החלים על מוצר, אבן דרך (RTM, SPn), וענף שירות (LDR, GDR) על-ידי בדיקת מספרי גירסת הקובץ כמוצג בטבלה הבאה:
גירסה
מוצר
אבן דרך
ענף שירות
6.3.960 0.18 xxx
Windows Server 2012 R2
RTM
GDR
-
ענפי שירות של GDR מכילים רק תיקונים שפורסמו בהיקף רחב כדי לטפל בהתפשטות של בעיות קריטיות. ענפי שירות של LDR מכילים תיקונים חמים בנוסף לתיקונים שפורסמו בהיקף רחב.
-
קובצי MANIFEST (. manifest) וקובצי MUM (. mum) המותקנים עבור כל סביבה מפורטים בסעיף 'פרטי קבצים נוספים'. קובצי MUM, קובצי MANIFEST וקובצי קטלוג האבטחה המשוייכים (.cat) חשובים מאוד לשמירה על מצב הרכיבים המעודכנים. קובצי קטלוג האבטחה, שעבורם לא מפורטות תכונות, נחתמים באמצעות חתימה דיגיטלית של Microsoft
x64 Windows Server 2012 R2
|
שם קובץ |
גירסת קובץ |
גודל קובץ |
תאריך |
שעה |
פלטפורמה |
דרישת SP |
ענף שירות |
|---|---|---|---|---|---|---|---|
|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
|
Ntdsa.mof |
לא ישים |
227,765 |
18-Jun-2013 |
14:45 |
לא ישים |
ללא |
לא ישים |
|
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
ללא |
לא ישים |
|
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 Windows Server 2012 R2
|
מאפיין קובץ |
ערך |
|---|---|
|
שם קובץ |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
715 |
|
תאריך (UTC) |
11-Mar-2016 |
|
שעה (UTC) |
06:59 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
717 |
|
תאריך (UTC) |
11-Mar-2016 |
|
שעה (UTC) |
06:59 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
716 |
|
תאריך (UTC) |
11-Mar-2016 |
|
שעה (UTC) |
06:59 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
2,613 |
|
תאריך (UTC) |
10-Mar-2016 |
|
שעה (UTC) |
19:25 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
3,356 |
|
תאריך (UTC) |
10-Mar-2016 |
|
שעה (UTC) |
19:25 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Update.mum |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
2,465 |
|
תאריך (UTC) |
11-Mar-2016 |
|
שעה (UTC) |
06:59 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
2,609 |
|
תאריך (UTC) |
10-Mar-2016 |
|
שעה (UTC) |
18:57 |
|
פלטפורמה |
לא ישים |
