Artikel ini menjelaskan pemutakhiran untuk kontroler domain berbasis Windows Server 2012 R2 atau berbasis Windows Server 2012 tertanggal April 2016 yang membahas masalah berikut ini:

  • Masalah 1 Sisipan lebih cepat ke antrian pemberitahuan perubahan. Lihat rincian.

  • Masalah 2 Mengubah nama komputer bergabung dengan domain yang menjalankan Microsoft SQL Server mungkin gagal jika operasi rename dilakukan oleh Windows Server 2012 R2 DC. Lihat rincian.

  • Masalah 3 Logon tunggal yang salah dilaporkan di direktori aktif sebagai dua logon. Lihat rincian.

  • Masalah 4 Pelanggaran akses LSSAS terjadi kesalahan "0xC0000005" ketika ditargetkan oleh AAD menghubungkan klien yang menjalankan "Impor penuh". Lihat rincian.

  • Masalah 5 Pelanggaran akses LSASS terjadi ketika ditargetkan secara berulang LDAP kueri terhadap grup iklan. Lihat rincian.


Sebelum Anda menginstal pembaruan ini, lihat bagian prasyarat .

Masalah yang diperbaiki dalam pemutakhiran ini

Masalah 1 Menyisipkan lebih cepat ke direktori aktif mengubah pemberitahuan antrian penundaan Layanan asinkron Thread antrian (ATQ) thread pool, permintaan LDAP, dan pemberitahuan berbasis replikasi.

Saat kondisi ini benar, pengontrol domain (DC) lokal keamanan otoritas subsistem Layanan (LSASS) mengkonsumsi penggunaan CPU yang tinggi atau penggunaan CPU 100% dalam kasus yang ekstrem. Operasi berikut ini diblokir saat antrian pemberitahuan perubahan mengembangkan di DC diberikan:

  • Replikasi direktori aktif dipicu oleh pemberitahuan perubahan tertunda.

  • ATQ thread pendaftaran atau dan ditunda.

  • Penulisan ke DC diblokir.

  • Ketika penyisipan string sedang berlangsung, pengolahan antrian pemberitahuan juga diblokir. Pemberitahuan berbasis replikasi diblokir selama operasi ini.

  • Penggunaan CPU LSASS proses berjalan dingin di DC semua beberapa operasi yang diblokir dan thread hanya mendapatkan CPU saat replikasi direktori aktif.

Pemutakhiran ini mencakup batas atas jumlah item pemberitahuan perubahan yang pengontrol domain akan ditambahkan ke antrian.  Setelah batas ini tercapai, DC akan merespons dengan "ERROR_DS_ADMIN_LIMIT_EXCEEDED".  Secara default, ambang adalah 4096.  Kunci registri berikut dapat ditambahkan untuk mengubah batas ini diperlukan:

HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maksimum bersamaan LDAP pemberitahuan"Nilai maksimum untuk pemberitahuan perubahan yang terlalu rendah dapat menyebabkan kegagalan tidak diperlukan untuk mengubah pemberitahuan klien. Oleh karena itu, sangat penting untuk menentukan kisaran "normal" penghitung ini sebelum menerapkan perbaikan terbaru.  Untuk menetapkan atas kisaran antrian pemberitahuan perubahan, pertimbangkan untuk memantau penghitung DS beritahu antrian ukuran pada semua pengontrol domain di hutan untuk menentukan nilai puncak.

Pertimbangkan buffer setidaknya 25% dari total nilai puncak berpengalaman saat memantau penghitung ini untuk menentukan nilai maksimum bersamaan LDAP pemberitahuan yang sesuai.

Catatan Perbaikan untuk masalah ini termasuk dalam pembaruan keamanan 3160352.



Masalah 2 Renames bergabung dengan domain Microsoft SQL Server anggota komputer gagal dengan galat "Layanan Direktori ini sibuk".

Masalah ini terjadi jika kondisi berikut benar:

  • Microsoft SQL Server diinstal pada komputer berbasis Windows yang bergabung ke domain direktori aktif.

  • Prinsip Layanan nama (SPN) yang terdaftar dengan Microsoft SQL Server atau Microsoft SQL Express berisi karakter non-numerik setelah ":" pembatas dalam atribut SPN account komputer yang sedang diganti nama.

  • Komputer yang menjadi inang Microsoft SQL Server diganti nama di Panel kontrol.

  • Pengontrol domain Windows Server 2012 R2 Layanan operasi ganti nama.

Demikian pula, menambah nama komputer alternatif juga akan gagal. Computername NetDom Tambahkan perintah gagal dengan yang berikut layar galat:

Tidak dapat menambahkan newhost.domain.com sebagai nama alternatif untuk komputer
Galat ini:

Sumber daya yang diminta sedang digunakan.

Perintah gagal berhasil diselesaikan.


Untuk informasi selengkapnya tentang masalah ini, lihat pembaruan 3152220.


Issue 3

Upaya logon tunggal di situs web dihitung sebagai dua upaya logon di direktori aktif. Oleh karena itu, jumlah sandi salah meningkatkan oleh dua bukan oleh salah satu.



Masalah 4 Pelanggaran akses LSASS terjadi bersama-sama dengan galat "0xc0000005" pada Windows Server 2012 R2 DC Ditarget oleh Azure AD menyambung identitas sinkronisasi klien yang menjalankan "Impor penuh".

Saat pengguna berjalan "Impor penuh" di Azure AD menyambung identitas sinkronisasi klien terhadap DC berbasis Windows Server 2012 R2, terjadi pelanggaran akses pada proses LSASS, dan DC restart dengan kode galat "0xc0000005". Masalah ini terjadi saat tampungan daur ulang direktori aktif akan dinonaktifkan.

Untuk informasi selengkapnya tentang masalah ini, lihat memperbarui 3145339.



Masalah 5

Lsass.exe lumpuh di DC dengan pelanggaran akses ketika pengguna menjalankan kueri protokol akses direktori ringan (LDAP) berulang terhadap grup Active Directory yang memiliki banyak bersarang kelompok.  Contoh permintaan yang dapat memicu lumpuh semacam ini adalah sebagai berikut:

ldifde -f t.txt -d "dc =contoso, dc = com" - r "(menarik:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"

Cara mendapatkan pembaruan ini

Penting Jika Anda menginstal paket bahasa setelah Anda menginstal pembaruan ini, Anda harus menginstal pembaruan ini. Oleh karena itu, kami menyarankan Anda menginstal bahasa setiap paket yang Anda butuhkan sebelum Anda menginstal pembaruan ini. Untuk informasi selengkapnya, lihat Tambah paket bahasa untuk Windows.


Metode 1: Pemutakhiran Windows

Pembaruan ini tersedia sebagai pembaruan disarankan di Windows Update. Untuk informasi selengkapnya tentang cara menjalankan Pemutakhiran Windows, lihat bagaimana cara mendapatkan Pemutakhiran melalui Pemutakhiran Windows.

Metode 2: Katalog Pembaruan Microsoft

Untuk mendapatkan paket berdiri sendiri untuk pembaruan ini, kunjungi salah satu dari situs web Katalog Pembaruan Microsoft berikut ini:

Catatan Anda harus menjalankan Microsoft Internet Explorer 6.0 atau yang lebih baru.

Rincian informasi pemutakhiran

Prasyarat

Untuk menginstal pembaruan ini, Anda harus terlebih dulu menginstal April 2014, Batal pemutakhiran untuk Windows RT 8.1, Windows 8.1, dan Windows Server 2012 R2 (2919355) di Windows Server 2012 R2.

Catatan Pembaruan yang harus diinstal pada komputer berbasis Windows Server 2012 R2 atau berbasis Windows Server 2012 yang meladeni peran kontroler domain direktori aktif domain Layanan (MENAMBAHKAN).

Informasi registri

Untuk menerapkan pemutakhiran ini, Anda tidak perlu melakukan perubahan apa pun pada registri.

Persyaratan menghidupkan ulang

Anda mungkin harus menghidupkan ulang komputer setelah menerapkan pemutakhiran ini.

Informasi penggantian pemutakhiran

Pembaruan ini tidak menggantikan pemutakhiran yang diedarkan sebelumnya.

Status

Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".

Referensi

Pelajari tentang peristilahan yang digunakan untuk menjelaskan pembaruan perangkat lunak Microsoft.

Informasi berkas

Versi bahasa Inggris (Amerika Serikat) dari pemutakhiran perangkat lunak ini menginstal berkas yang memiliki atribut yang tercantum dalam tabel berikut.

Catatan Atribut berkas Windows Server 2012, lihat pemutakhiran 3160352 keamanan.

Catatan

  • Berkas yang berlaku untuk produk tertentu, peristiwa penting (RTM, SPn), dan cabang layanan (LDR, GDR) dapat diidentifikasi dengan memeriksa nomor versi berkas seperti yang ditunjukkan pada tabel berikut ini:

    Versi

    Produk

    Peristiwa Penting

    Cabang Layanan

    6.3.960 0,18 xxx

    Windows Server 2012 R2

    RTM

    GDR

  • Cabang Layanan GDR hanya berisi hotfix yang dirilis secara luas untuk mengatasi masalah yang tersebar luas dan penting. Cabang layanan LDR berisi hotfix selain perbaikan yang diedarkan secara luas.

  • Berkas MANIFEST (.manifest) dan berkas MUM (.mum) yang diinstal untuk setiap lingkungan tercantum di bagian "informasi berkas tambahan". File MUM dan MANIFEST dan terkait keamanan file Katalog (.cat), yang sangat penting untuk mempertahankan status komponen pemutakhiran. File Katalog keamanan, di mana atribut tidak dicantumkan, ditandai dengan tanda tangan digital Microsoft.

x64 Windows Server 2012 R2

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Platform

Persyaratan SP

Cabang Layanan

Dsparse.dll

6.3.9600.18264

30,208

10-Mar-2016

17:03

x64

SPA

AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP

Ntdsa.mof

Tidak dapat diterapkan

227,765

18-Jun-2013

14:45

Tidak dapat diterapkan

Tidak ada

Tidak dapat diterapkan

Ntdsai.dll

6.3.9600.18264

3,688,960

10-Mar-2016

16:35

x64

Tidak ada

Tidak dapat diterapkan

Dsparse.dll

6.3.9600.18264

24,064

10-Mar-2016

16:48

x86

SPA

X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP


x64 Windows Server 2012 R2

Properti file

Nilai

Nama file

Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

715

Tanggal (UTC)

11-Mar-2016

Waktu (UTC)

06:59

Platform

Tidak dapat diterapkan

Nama file

Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

717

Tanggal (UTC)

11-Mar-2016

Waktu (UTC)

06:59

Platform

Tidak dapat diterapkan

Nama file

Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

716

Tanggal (UTC)

11-Mar-2016

Waktu (UTC)

06:59

Platform

Tidak dapat diterapkan

Nama file

Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

2,613

Tanggal (UTC)

10-Mar-2016

Waktu (UTC)

19:25

Platform

Tidak dapat diterapkan

Nama file

Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

3,356

Tanggal (UTC)

10-Mar-2016

Waktu (UTC)

19:25

Platform

Tidak dapat diterapkan

Nama file

Update.mum

Versi file

Tidak dapat diterapkan

Ukuran file

2,465

Tanggal (UTC)

11-Mar-2016

Waktu (UTC)

06:59

Platform

Tidak dapat diterapkan

Nama file

X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

2.609

Tanggal (UTC)

10-Mar-2016

Waktu (UTC)

18:57

Platform

Tidak dapat diterapkan


Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas terjemahannya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×