In questo articolo viene descritto un aggiornamento per controller di dominio basato su Windows Server 2012 o Windows Server 2012 R2 datato aprile 2016 che risolve i seguenti problemi:
-
Problema 1 Più veloci le operazioni di inserimento nella coda di notifica di modifica. Visualizzare i dettagli.
-
Problema 2 Ridenominazione di computer appartenenti a un dominio che eseguono Microsoft SQL Server potrebbero non riuscire se l'operazione di ridenominazione viene gestita da Windows Server 2012 R2 DCs. visualizzare i dettagli.
-
Problema 3 Accesso singolo vengono segnalati correttamente in Active Directory come due accessi. Visualizzare i dettagli.
-
Problema 4 LSSAS violazione di accesso con l'errore "0xC0000005" quando viene indirizzato da AAD connettere i client che eseguono "importazione completa". Visualizzare i dettagli.
-
Problema 5 Violazione di accesso LSASS quando essa è la destinazione query LDAP ricorsiva un gruppo di Active Directory. Visualizzare i dettagli.
Prima di installare questo aggiornamento, vedere la sezione i requisiti .
Problemi risolti dall'aggiornamento
Problema 1 Inserisce più veloce in Active Directory modificare ritardi di notifica coda manutenzione di pool di thread della coda di Thread asincroni (ATQ), le query LDAP e replica basate sulle notifiche.
Se questa condizione è vera, il controller di dominio (DC) LSASS Local Security Authority Subsystem Service () utilizza un utilizzo elevato della CPU o 100% della CPU in casi estremi. Le seguenti operazioni vengono bloccate quando sviluppano code di notifiche di modifica su un controller di dominio specificato:
-
Ritardo di replica di Active Directory attivato per la notifica delle modifiche.
-
Registrazione di thread ATQ o annullamento della registrazione viene ritardata.
-
Scrive nel controller di dominio sono bloccati.
-
Quando la stringa di inserimento è in corso l'elaborazione della coda di notifica viene anche bloccato. La replica basate sulle notifiche è bloccata durante l'operazione.
-
Utilizzo della CPU per il processo LSASS esegue freddo sui controller di dominio vengono bloccate tutte le operazioni più e il thread Ottiene il tempo di CPU come la replica di Active Directory.
Questo aggiornamento include un limite superiore al numero di elementi di notifica di modifica che un controller di dominio verrà aggiunto alla coda. Una volta raggiunta questa soglia, il controller di dominio risponde con "ERROR_DS_ADMIN_LIMIT_EXCEEDED". Per impostazione predefinita, la soglia è 4096. Aggiungere la seguente chiave del Registro di sistema per modificare la soglia in base alle esigenze:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maximum Concurrent LDAP Notifications" (Numero massimo notifiche LDAP simultanee)Un valore massimo per le notifiche di modifica che è troppo basso potrebbe causare errori non necessari per modificare il client di notifica. Pertanto, è importante determinare l'intervallo "normale" di questo contatore prima di implementare la correzione. Per stabilire l'intervallo superiore della coda di notifica di modifica, si consiglia di monitorare il contatore Dimensione coda di notifica DS in tutti i controller di dominio nell'insieme di strutture per determinare i valori di picco.
Prendere in considerazione un buffer di almeno il 25% oltre il valore di picco sperimentato durante il monitoraggio di questo contatore per determinare un valore appropriato per il numero massimo di notifiche LDAP simultanee.
Nota: La correzione di questo problema è incluso nell'aggiornamento di protezione 3160352.
Problema 2 Ridenominazione del dominio di computer membri di Microsoft SQL Server ha esito negativo con errore "il servizio di directory è occupato".
Questo problema si verifica quando sono vere le seguenti condizioni:
-
Microsoft SQL Server è installato in un computer basato su Windows appartenente a un dominio Active Directory.
-
Il nome dell'entità servizio (SPN) registrato da Microsoft SQL Server o Microsoft SQL Express contiene caratteri non numerici dopo il delimitatore ":" nell'attributo SPN dell'account del computer da rinominare.
-
Il computer che ospita Microsoft SQL Server viene rinominato nel Pannello di controllo.
-
Un controller di dominio Windows Server 2012 R2 di servizi l'operazione di ridenominazione.
Analogamente, l'aggiunta di un nome alternativo di computer anche non funziona. E il comando di nomecomputer NetDom add non riesce con il seguente un schermo errore:
Impossibile aggiungere newhost.domain.com come nome alternativo per il computer
L'errore è:
La risorsa richiesta è in uso.
Il comando non riuscita.
Per ulteriori informazioni su questo problema, vedere aggiornamento di 3152220.
Issue 3
Un tentativo di accesso singolo nel sito Web viene contato come due tentativi di accesso in Active Directory. Pertanto, conteggio delle password non corretta aumenta due anziché uno.
Problema 4 Violazione di accesso LSASS si verifica con errore "0xc0000005" in Windows Server 2012 R2 controller di dominio destinato a client di sincronizzazione di identità Azure Connect di Active Directory che eseguono "Importazione completa".
Quando un utente esegue "Importazione completa" nel client di sincronizzazione identità Azure Connect di Active Directory su un controller di dominio basato su Windows Server 2012 R2, violazione di accesso nel processo LSASS e riavviato il controller di dominio con il codice di errore "0xc0000005". Questo problema si verifica quando l'Active Directory Cestino è disattivato.
Per ulteriori informazioni su questo problema, vedere aggiornamento di 3145339.
Problema 5
Lsass.exe si blocca su un controller di dominio con una violazione di accesso quando un utente esegue una query Lightweight Directory Access Protocol (LDAP) ricorsiva rispetto a un gruppo di Active Directory che dispone di molti gruppi nidificati. Un esempio di una query in grado di attivare questo tipo di arresto anomalo è la seguente:
ldifde -f t.txt -d "dc =contoso, dc = com" - r "(memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
Come ottenere questo aggiornamento
Importante Se si installa un Language Pack dopo aver installato questo aggiornamento, è necessario reinstallare questo aggiornamento. Pertanto, si consiglia di installare qualsiasi Language Pack di cui si ha bisogno prima di installare questo aggiornamento. Per ulteriori informazioni, vedere aggiunta di language pack per Windows.
Metodo 1: Windows Update
Questo aggiornamento è disponibile come aggiornamento consigliato su Windows Update. Per ulteriori informazioni su come eseguire Windows Update, vedere come ottenere un aggiornamento tramite Windows Update.
Metodo 2: Catalogo di Microsoft Update
Per ottenere il pacchetto autonomo per questo aggiornamento, visitare uno dei seguenti siti Web Microsoft Update Catalog:
Nota: È necessario essere in esecuzione Microsoft Internet Explorer 6.0 o versione successiva.
Dettagli sull'aggiornamento
Prerequisiti
Per installare questo aggiornamento, è necessario innanzitutto installare aprile 2014, l'aggiornamento cumulativo per Windows RT 8.1, 8.1, a Windows e Windows Server 2012 R2 (2919355) in Windows Server 2012 R2.
Nota: L'aggiornamento deve essere installato nei computer basati su Windows Server 2012 o Windows Server 2012 R2 che ospitano ruolo controller di dominio Active Directory domain services (ADDS).
Informazioni del Registro di sistema
Per applicare questo aggiornamento non è necessario apportare modifiche al Registro di sistema.
Richiesta di riavvio
Potrebbe essere necessario riavviare il computer dopo avere applicato questo aggiornamento.
Informazioni sulla sostituzione dell'aggiornamento
Questo aggiornamento non sostituisce un aggiornamento rilasciato in precedenza.
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Riferimenti
Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.
Informazioni sui file
La versione inglese (Stati Uniti) di questo aggiornamento software consente di installare file con gli attributi elencati nelle tabelle seguenti.
Nota: Per gli attributi di file di Windows Server 2012, vedere protezione di 3160352.
Note
-
I file relativi a un prodotto, un'attività cardine (RTM, SPn) e un ramo del servizio (LDR, GDR) possono essere identificati esaminando i numeri di versione del file come illustrato nella tabella riportata di seguito:
Versione
Prodotto
Attività cardine
Ramo del servizio
6.3.960 di 0,18 xxx
Windows Server 2012 R2
RTM
GDR
-
I rami del servizio GDR contengono solo correzioni rilasciate che risolvono problemi critici diffusi. I rami del servizio LDR contengono hotfix in aggiunta alle correzioni rilasciate.
-
I file MANIFEST (manifest) e il MUM (mum) installati per ogni ambiente sono elencati nella sezione "ulteriori informazioni sui file". MUM, manifesto e i file di catalogo (CAT) di protezione associati sono molto importanti per mantenere lo stato dei componenti aggiornati. I file catalogo di protezione elencati senza attributi sono firmati con firma digitale Microsoft.
x64 R2 di Windows Server 2012
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
Requisiti SP |
Ramo del servizio |
---|---|---|---|---|---|---|---|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
Ntdsa.mof |
Non applicabile |
227,765 |
18-Jun-2013 |
14:45 |
Non applicabile |
Nessuno |
Non applicabile |
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
Nessuno |
Non applicabile |
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 R2 di Windows Server 2012
Proprietà file |
Valore |
---|---|
Nome del file |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
715 |
Data (UTC) |
11-Mar-2016 |
Ora (UTC) |
06:59 |
Piattaforma |
Non applicabile |
Nome del file |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
717 |
Data (UTC) |
11-Mar-2016 |
Ora (UTC) |
06:59 |
Piattaforma |
Non applicabile |
Nome del file |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
716 |
Data (UTC) |
11-Mar-2016 |
Ora (UTC) |
06:59 |
Piattaforma |
Non applicabile |
Nome del file |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
2,613 |
Data (UTC) |
10-Mar-2016 |
Ora (UTC) |
19:25 |
Piattaforma |
Non applicabile |
Nome del file |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
3,356 |
Data (UTC) |
10-Mar-2016 |
Ora (UTC) |
19:25 |
Piattaforma |
Non applicabile |
Nome del file |
Update.mum |
Versione del file |
Non applicabile |
Dimensione del file |
2,465 |
Data (UTC) |
11-Mar-2016 |
Ora (UTC) |
06:59 |
Piattaforma |
Non applicabile |
Nome del file |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
2,609 |
Data (UTC) |
10-Mar-2016 |
Ora (UTC) |
18:57 |
Piattaforma |
Non applicabile |