Artikel ini menjelaskan pemutakhiran untuk kontroler domain berbasis Windows Server 2012 R2 atau berbasis Windows Server 2012 tertanggal April 2016 yang membahas masalah berikut ini:
-
Masalah 1 Sisipan lebih cepat ke antrian pemberitahuan perubahan. Lihat rincian.
-
Masalah 2Â Mengubah nama komputer bergabung dengan domain yang menjalankan Microsoft SQL Server mungkin gagal jika operasi rename dilakukan oleh Windows Server 2012 R2 DC. Lihat rincian.
-
Masalah 3 Logon tunggal yang salah dilaporkan di direktori aktif sebagai dua logon. Lihat rincian.
-
Masalah 4 Pelanggaran akses LSSAS terjadi kesalahan "0xC0000005" ketika ditargetkan oleh AAD menghubungkan klien yang menjalankan "Impor penuh". Lihat rincian.
-
Masalah 5 Pelanggaran akses LSASS terjadi ketika ditargetkan secara berulang LDAP kueri terhadap grup iklan. Lihat rincian.
Masalah yang diperbaiki dalam pemutakhiran ini
Masalah 1 Menyisipkan lebih cepat ke direktori aktif mengubah pemberitahuan antrian penundaan Layanan asinkron Thread antrian (ATQ) thread pool, permintaan LDAP, dan pemberitahuan berbasis replikasi.
Saat kondisi ini benar, pengontrol domain (DC) lokal keamanan otoritas subsistem Layanan (LSASS) mengkonsumsi penggunaan CPU yang tinggi atau penggunaan CPU 100% dalam kasus yang ekstrem. Operasi berikut ini diblokir saat antrian pemberitahuan perubahan mengembangkan di DC diberikan:-
Replikasi direktori aktif dipicu oleh pemberitahuan perubahan tertunda.
-
ATQ thread pendaftaran atau dan ditunda.
-
Penulisan ke DC diblokir.
-
Ketika penyisipan string sedang berlangsung, pengolahan antrian pemberitahuan juga diblokir. Pemberitahuan berbasis replikasi diblokir selama operasi ini.
-
Penggunaan CPU LSASS proses berjalan dingin di DC semua beberapa operasi yang diblokir dan thread hanya mendapatkan CPU saat replikasi direktori aktif.
Pemutakhiran ini mencakup batas atas jumlah item pemberitahuan perubahan yang pengontrol domain akan ditambahkan ke antrian. Setelah batas ini tercapai, DC akan merespons dengan "ERROR_DS_ADMIN_LIMIT_EXCEEDED". Secara default, ambang adalah 4096. Kunci registri berikut dapat ditambahkan untuk mengubah batas ini diperlukan:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maksimum bersamaan LDAP pemberitahuan"Nilai maksimum untuk pemberitahuan perubahan yang terlalu rendah dapat menyebabkan kegagalan tidak diperlukan untuk mengubah pemberitahuan klien. Oleh karena itu, sangat penting untuk menentukan kisaran "normal" penghitung ini sebelum menerapkan perbaikan terbaru. Untuk menetapkan atas kisaran antrian pemberitahuan perubahan, pertimbangkan untuk memantau penghitung DS beritahu antrian ukuran pada semua pengontrol domain di hutan untuk menentukan nilai puncak.pembaruan keamanan 3160352.
Pertimbangkan buffer setidaknya 25% dari total nilai puncak berpengalaman saat memantau penghitung ini untuk menentukan nilai maksimum bersamaan LDAP pemberitahuan yang sesuai. Catatan Perbaikan untuk masalah ini termasuk dalamMasalah 2Â Renames bergabung dengan domain Microsoft SQL Server anggota komputer gagal dengan galat "Layanan Direktori ini sibuk". Masalah ini terjadi jika kondisi berikut benar:
-
Microsoft SQL Server diinstal pada komputer berbasis Windows yang bergabung ke domain direktori aktif.
-
Prinsip Layanan nama (SPN) yang terdaftar dengan Microsoft SQL Server atau Microsoft SQL Express berisi karakter non-numerik setelah ":" pembatas dalam atribut SPN account komputer yang sedang diganti nama.
-
Komputer yang menjadi inang Microsoft SQL Server diganti nama di Panel kontrol.
-
Pengontrol domain Windows Server 2012 R2 Layanan operasi ganti nama.
Demikian pula, menambah nama komputer alternatif juga akan gagal. Computername NetDom Tambahkan perintah gagal dengan yang berikut layar galat:
Tidak dapat menambahkan newhost.domain.com sebagai nama alternatif untuk komputer
Galat ini: Sumber daya yang diminta sedang digunakan. Perintah gagal berhasil diselesaikan.pembaruan 3152220. Issue 3 Upaya logon tunggal di situs web dihitung sebagai dua upaya logon di direktori aktif. Oleh karena itu, jumlah sandi salah meningkatkan oleh dua bukan oleh salah satu. Masalah 4 Pelanggaran akses LSASS terjadi bersama-sama dengan galat "0xc0000005" pada Windows Server 2012 R2 DC Ditarget oleh Azure AD menyambung identitas sinkronisasi klien yang menjalankan "Impor penuh". Saat pengguna berjalan "Impor penuh" di Azure AD menyambung identitas sinkronisasi klien terhadap DC berbasis Windows Server 2012 R2, terjadi pelanggaran akses pada proses LSASS, dan DC restart dengan kode galat "0xc0000005". Masalah ini terjadi saat tampungan daur ulang direktori aktif akan dinonaktifkan. Untuk informasi selengkapnya tentang masalah ini, lihat memperbarui 3145339. Masalah 5 Lsass.exe lumpuh di DC dengan pelanggaran akses ketika pengguna menjalankan kueri protokol akses direktori ringan (LDAP) berulang terhadap grup Active Directory yang memiliki banyak bersarang kelompok. Contoh permintaan yang dapat memicu lumpuh semacam ini adalah sebagai berikut:
Untuk informasi selengkapnya tentang masalah ini, lihatldifde -f t.txt -d "dc =contoso, dc = com" - r "(menarik:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
Cara mendapatkan pembaruan ini
Penting Jika Anda menginstal paket bahasa setelah Anda menginstal pembaruan ini, Anda harus menginstal pembaruan ini. Oleh karena itu, kami menyarankan Anda menginstal bahasa setiap paket yang Anda butuhkan sebelum Anda menginstal pembaruan ini. Untuk informasi selengkapnya, lihat Tambah paket bahasa untuk Windows.
Metode 1: Pemutakhiran Windows
Pembaruan ini tersedia sebagai pembaruan disarankan di Windows Update. Untuk informasi selengkapnya tentang cara menjalankan Pemutakhiran Windows, lihat bagaimana cara mendapatkan Pemutakhiran melalui Pemutakhiran Windows.
Metode 2: Katalog Pembaruan Microsoft
Untuk mendapatkan paket berdiri sendiri untuk pembaruan ini, kunjungi salah satu dari situs web Katalog Pembaruan Microsoft berikut ini:
Catatan Anda harus menjalankan Microsoft Internet Explorer 6.0 atau yang lebih baru.
Rincian informasi pemutakhiran
Prasyarat
Untuk menginstal pembaruan ini, Anda harus terlebih dulu menginstal April 2014, Batal pemutakhiran untuk Windows RT 8.1, Windows 8.1, dan Windows Server 2012 R2 (2919355) di Windows Server 2012 R2. Catatan Pembaruan yang harus diinstal pada komputer berbasis Windows Server 2012 R2 atau berbasis Windows Server 2012 yang meladeni peran kontroler domain direktori aktif domain Layanan (MENAMBAHKAN).
Informasi registri
Untuk menerapkan pemutakhiran ini, Anda tidak perlu melakukan perubahan apa pun pada registri.
Persyaratan menghidupkan ulang
Anda mungkin harus menghidupkan ulang komputer setelah menerapkan pemutakhiran ini.
Informasi penggantian pemutakhiran
Pembaruan ini tidak menggantikan pemutakhiran yang diedarkan sebelumnya.
Status
Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".
Referensi
Pelajari tentang peristilahan yang digunakan untuk menjelaskan pembaruan perangkat lunak Microsoft.
Informasi berkas
Versi bahasa Inggris (Amerika Serikat) dari pemutakhiran perangkat lunak ini menginstal berkas yang memiliki atribut yang tercantum dalam tabel berikut.pemutakhiran 3160352 keamanan.
Catatan Atribut berkas Windows Server 2012, lihatCatatan
-
Berkas yang berlaku untuk produk tertentu, peristiwa penting (RTM, SPn), dan cabang layanan (LDR, GDR) dapat diidentifikasi dengan memeriksa nomor versi berkas seperti yang ditunjukkan pada tabel berikut ini:
Versi
Produk
Peristiwa Penting
Cabang Layanan
6.3.960 0,18 xxx
Windows Server 2012 R2
RTM
GDR
-
Cabang Layanan GDR hanya berisi hotfix yang dirilis secara luas untuk mengatasi masalah yang tersebar luas dan penting. Cabang layanan LDR berisi hotfix selain perbaikan yang diedarkan secara luas.
-
Berkas MANIFEST (.manifest) dan berkas MUM (.mum) yang diinstal untuk setiap lingkungan tercantum di bagian "informasi berkas tambahan". File MUM dan MANIFEST dan terkait keamanan file Katalog (.cat), yang sangat penting untuk mempertahankan status komponen pemutakhiran. File Katalog keamanan, di mana atribut tidak dicantumkan, ditandai dengan tanda tangan digital Microsoft.
x64 Windows Server 2012 R2
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
Persyaratan SP |
Cabang Layanan |
---|---|---|---|---|---|---|---|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
Ntdsa.mof |
Tidak dapat diterapkan |
227,765 |
18-Jun-2013 |
14:45 |
Tidak dapat diterapkan |
Tidak ada |
Tidak dapat diterapkan |
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
Tidak ada |
Tidak dapat diterapkan |
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 Windows Server 2012 R2
Properti file |
Nilai |
---|---|
Nama file |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
Versi file |
Tidak dapat diterapkan |
Ukuran file |
715 |
Tanggal (UTC) |
11-Mar-2016 |
Waktu (UTC) |
06:59 |
Platform |
Tidak dapat diterapkan |
Nama file |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
Versi file |
Tidak dapat diterapkan |
Ukuran file |
717 |
Tanggal (UTC) |
11-Mar-2016 |
Waktu (UTC) |
06:59 |
Platform |
Tidak dapat diterapkan |
Nama file |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
Versi file |
Tidak dapat diterapkan |
Ukuran file |
716 |
Tanggal (UTC) |
11-Mar-2016 |
Waktu (UTC) |
06:59 |
Platform |
Tidak dapat diterapkan |
Nama file |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
Versi file |
Tidak dapat diterapkan |
Ukuran file |
2,613 |
Tanggal (UTC) |
10-Mar-2016 |
Waktu (UTC) |
19:25 |
Platform |
Tidak dapat diterapkan |
Nama file |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
Versi file |
Tidak dapat diterapkan |
Ukuran file |
3,356 |
Tanggal (UTC) |
10-Mar-2016 |
Waktu (UTC) |
19:25 |
Platform |
Tidak dapat diterapkan |
Nama file |
Update.mum |
Versi file |
Tidak dapat diterapkan |
Ukuran file |
2,465 |
Tanggal (UTC) |
11-Mar-2016 |
Waktu (UTC) |
06:59 |
Platform |
Tidak dapat diterapkan |
Nama file |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
Versi file |
Tidak dapat diterapkan |
Ukuran file |
2.609 |
Tanggal (UTC) |
10-Mar-2016 |
Waktu (UTC) |
18:57 |
Platform |
Tidak dapat diterapkan |