AD LDS サーバーの Windows Server 2012 R2 ベースのドメイン コント ローラー上の LSASS プロセスでメモリ リークが発生

現象

新しい分野のヒープのメモリ割り当ては、ディレクトリ サービスの Windows Server 2012 R2 のバージョンで導入されました。Lsass.exe (ドメイン コント ローラーの役割) と、Windows Server 2012 R2 のドメイン コント ローラーまたは LDS のサーバー上のすべての利用可能なメモリを消費する可能性があります軽量のディレクトリ サービス (LDS) プロセスの DsaMain.exe にメモリ リークが発生します。

原因

この問題は、次の状況で発生します。

• ドメイン コント ローラーへの昇格、または設定を構成する LDS のレプリカを追加します。
  
  構成にドメイン コント ローラー昇格してレプリカを追加するか、Windows Server 2012 R2 または Windows 8.1 の LDS インスタンスを追加した後の新しいインスタンスに必要な名前付けコンテキストのすべてのオブジェクトをレプリケートするレプリケーション エンジンがあります。このタスクでは、ローカル セキュリティ機関サーバー サービス (LSASS) のプロセスまたは DsaMain.exe 可能性がありますリークが発生する重大な仮想のコミットされたバイト数が割り当てられますが、実際の使用率が非常に低いとき。また、DCpromo.log は、次のエラー メッセージを示しています。

  
  日付時刻[INFO] データをレプリケートするDC = Contoso、DC = com: XXXXXXオブジェクト約XXXXXX受信とXXXXXX約から XXXXXX は、名 (DN) の値を区別しています.
  
  日付に [警告] 以外の重要なレプリケーションには、14 が返されます
  

  
  エラー コード 14 に変換: ERROR_OUTOFMEMORY の記憶領域の不足がこの操作を完了します。
  
  中にイベント ログに次のイベントを記録またはすぐ後に dcpromo が終了するとします。

  イベント ログ	イベント ソース	ID	説明
  ディレクトリ サービス	レプリケーション	2094	パフォーマンスに関する警告: 次のオブジェクトに変更を適用するときにレプリケーションが遅延します。このメッセージが頻繁に発生する場合は、レプリケーションの実行が遅れていると、サーバーの変更についていくことが困難な場合があることを示します。 オブジェクト DN: CN =クライアントの名前OU =、OUDC =contoso 社DC =com GUIDのオブジェクトの GUID。 パーティション識別名: DC =contoso 社DC =com _Msdcs DNS のレコードのサーバー: 経過時間 (秒): XX ユーザーの操作 この遅延を表示するための一般的な理由は、このオブジェクトが、値のサイズまたは値の数のいずれか、特に大きなことです。オブジェクト、または値の数に格納されているデータの量を減らすために、アプリケーションを変更できるかどうかをまず検討する必要があります。場合、大規模なグループまたは配布リストより効率的に作業するのにはレプリケーションを有効にするにはこのため、フォレストの機能レベルを Windows Server 2003 またはそれ以上を発生させることを検討する可能性があります。サーバー プラットフォームは、メモリと処理能力の観点から十分なパフォーマンスを提供するかどうかを評価する必要があります。最後に、データベースとログを別のディスク パーティションに移動することによって Active Directory ドメイン サービス データベースのチューニングを検討することがあります。 警告制限を変更する場合は、以下のレジストリ キーが含まれています。0 の値は、チェックを無効になります。 追加データ 警告制限 (秒): XX オブジェクト (秒) の更新プログラムのレジストリ キーの制限値: System\CurrentControlSet\Services\NTDS\Parameters\Replicator の最大待機
  ディレクトリ サービス	KCC	1308	次のディレクトリ サービスにレプリケートする試行が連続して失敗したとき、知識整合性チェッカー (KCC) がいます。 試行回数: 2 ディレクトリ サービス: CN = ntds SETTINGS]、[CN =DC001CN =サーバーCN =site1CN =サイトCN =構成DC =contoso 社DC =com 期間 (分): XXXXXXX このディレクトリ サービスの接続オブジェクトは無視されますが、確実に引き続き新しい一時的な接続が確立されます。このディレクトリ サービスのレプリケーションが再開されると、一時接続は削除されます。 追加データ エラー値: 14 のないこの操作を完了する十分な記憶域があります。

  
  注: 問題はない場合に発生するドメイン コント ローラーが使用されるメディア (IFM) のプロモーションからインストールします。ただし、ifm による昇格は、同じバージョンのオペレーティング システムからデータを取得するのには。

• 中にイベント ログに次のイベントを記録またはすぐ後に dcpromo が終了するとします。

  イベント ログ	イベント ソース	ID	説明
  ディレクトリ サービス	レプリケーション	2094	パフォーマンスに関する警告: 次のオブジェクトに変更を適用するときにレプリケーションが遅延します。このメッセージが頻繁に発生する場合は、レプリケーションの実行が遅れていると、サーバーの変更についていくことが困難な場合があることを示します。 オブジェクト DN: CN =クライアントの名前OU =、OUDC =contoso 社DC =com GUIDのオブジェクトの GUID。 パーティション識別名: DC =contoso 社DC =com _Msdcs DNS のレコードのサーバー: 経過時間 (秒): XX ユーザーの操作 この遅延を表示するための一般的な理由は、このオブジェクトが、値のサイズまたは値の数のいずれか、特に大きなことです。オブジェクト、または値の数に格納されているデータの量を減らすために、アプリケーションを変更できるかどうかをまず検討する必要があります。場合、大規模なグループまたは配布リストより効率的に作業するのにはレプリケーションを有効にするにはこのため、フォレストの機能レベルを Windows Server 2003 またはそれ以上を発生させることを検討する可能性があります。サーバー プラットフォームは、メモリと処理能力の観点から十分なパフォーマンスを提供するかどうかを評価する必要があります。最後に、データベースとログを別のディスク パーティションに移動することによって Active Directory ドメイン サービス データベースのチューニングを検討することがあります。 警告制限を変更する場合は、以下のレジストリ キーが含まれています。0 の値は、チェックを無効になります。 追加データ 警告制限 (秒): XX オブジェクト (秒) の更新プログラムのレジストリ キーの制限値: System\CurrentControlSet\Services\NTDS\Parameters\Replicator の最大待機
  ディレクトリ サービス	KCC	1308	次のディレクトリ サービスにレプリケートする試行が連続して失敗したとき、知識整合性チェッカー (KCC) がいます。 試行回数: 2 ディレクトリ サービス: CN = ntds SETTINGS]、[CN =DC001CN =サーバーCN =site1CN =サイトCN =構成DC =contoso 社DC =com 期間 (分): XXXXXXX このディレクトリ サービスの接続オブジェクトは無視されますが、確実に引き続き新しい一時的な接続が確立されます。このディレクトリ サービスのレプリケーションが再開されると、一時接続は削除されます。 追加データ エラー値: 14 のないこの操作を完了する十分な記憶域があります。

  
  注: 問題はない場合に発生するドメイン コント ローラーが使用されるメディア (IFM) のプロモーションからインストールします。ただし、ifm による昇格は、同じバージョンのオペレーティング システムからデータを取得するのには。

• エラー コード 14 に変換: ERROR_OUTOFMEMORY の記憶領域の不足がこの操作を完了します。中にイベント ログに次のイベントを記録またはすぐ後に dcpromo が終了するとします。

  イベント ログ	イベント ソース	ID	説明
  ディレクトリ サービス	レプリケーション	2094	パフォーマンスに関する警告: 次のオブジェクトに変更を適用するときにレプリケーションが遅延します。このメッセージが頻繁に発生する場合は、レプリケーションの実行が遅れていると、サーバーの変更についていくことが困難な場合があることを示します。 オブジェクト DN: CN =クライアントの名前OU =、OUDC =contoso 社DC =com GUIDのオブジェクトの GUID。 パーティション識別名: DC =contoso 社DC =com _Msdcs DNS のレコードのサーバー: 経過時間 (秒): XX ユーザーの操作 この遅延を表示するための一般的な理由は、このオブジェクトが、値のサイズまたは値の数のいずれか、特に大きなことです。オブジェクト、または値の数に格納されているデータの量を減らすために、アプリケーションを変更できるかどうかをまず検討する必要があります。場合、大規模なグループまたは配布リストより効率的に作業するのにはレプリケーションを有効にするにはこのため、フォレストの機能レベルを Windows Server 2003 またはそれ以上を発生させることを検討する可能性があります。サーバー プラットフォームは、メモリと処理能力の観点から十分なパフォーマンスを提供するかどうかを評価する必要があります。最後に、データベースとログを別のディスク パーティションに移動することによって Active Directory ドメイン サービス データベースのチューニングを検討することがあります。 警告制限を変更する場合は、以下のレジストリ キーが含まれています。0 の値は、チェックを無効になります。 追加データ 警告制限 (秒): XX オブジェクト (秒) の更新プログラムのレジストリ キーの制限値: System\CurrentControlSet\Services\NTDS\Parameters\Replicator の最大待機
  ディレクトリ サービス	KCC	1308	次のディレクトリ サービスにレプリケートする試行が連続して失敗したとき、知識整合性チェッカー (KCC) がいます。 試行回数: 2 ディレクトリ サービス: CN = ntds SETTINGS]、[CN =DC001CN =サーバーCN =site1CN =サイトCN =構成DC =contoso 社DC =com 期間 (分): XXXXXXX このディレクトリ サービスの接続オブジェクトは無視されますが、確実に引き続き新しい一時的な接続が確立されます。このディレクトリ サービスのレプリケーションが再開されると、一時接続は削除されます。 追加データ エラー値: 14 のないこの操作を完了する十分な記憶域があります。

  
  注: 問題はない場合に発生するドメイン コント ローラーが使用されるメディア (IFM) のプロモーションからインストールします。ただし、ifm による昇格は、同じバージョンのオペレーティング システムからデータを取得するのには。

• セキュリティ記述子 (SD) の伝達
  
  (ルートのドメインまたは組織単位 (OU)) は、コンテナー オブジェクトのセキュリティの変更が多くの子オブジェクトに継承された場合に発生するメモリ リークの問題は、下位 Ou は、SD 伝達。アクセス制御エントリ (ACE) は変更のサイズと、オブジェクト (たとえば、500,000) の数によって、伝達に時間がかかる場合があります。この間、LSASS プロセスまたは DsaMain プロセスが常に割り当てるコミットされたバイト数。

• 時間のかかるクエリ
  
  予期せず Windows Server 2012 R2 または Windows 8.1 ベース LDAP サーバー上のライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリの実行時間の長い時に仮想メモリの消費メモリの停止可能性があります。実行時間の長いクエリは、タッチは、各オブジェクトのセキュリティ記述子のヒープを取得することによってメモリを消費します。

このような場合は、コミットされたバイトの数、使用可能なバイト数に到達すると、システム使用できなくなり、クラッシュすることさえ可能性があります。

解決策

この問題を解決するには、次のセクションに記載されている修正プログラムを適用します。

修正プログラムを使用して、コンテキストのドメイン コント ローラー昇格 (DCPROMO) で、以下の手順を実行します。

1. Active Directory ドメイン サービスまたは AD LDS の役割をインストールします。

2. この更新プログラムまたは Windows Server 2012 R2 の新しい更新プログラムおよび累積は常に同じ Ntdsai.dll バイナリにはが含まれているセキュリティ更新プログラムをインストールします。

3. コンピューターのドメイン コント ローラーの状態に昇格させます。

重要 この修正プログラムをインストールした後に言語パックをインストールする場合は、この修正プログラムを再インストールする必要があります。したがって、この修正プログラムをインストールする前に、必要な言語パックをインストールすることを推奨します。詳細については、「Windows への言語パックの追加」を参照してください。

状況

マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。

詳細

NTDS\Diagnostics「9 の内部処理」レベル 2 の Microsoft サポート技術情報記事314980で説明したように、有効にした場合は、次の ActiveDirectory_DomainService イベントを参照してください可能性があります。これらのイベントは、実行時間の長い SD 伝達のタスクを表示します。

イベント 1257 - SD 伝達の開始を示す
内部イベント: セキュリティ記述子の伝達タスクは、次のコンテナーから開始する伝達イベントを処理します。
コンテナー: OU = OU, DC = Contoso, DC = com

イベント 2007年- SD の公開は、5 分ごとの記録の進行状況を示す
内部イベント: セキュリティ記述子の伝達タスクは、次のコンテナーに達したし、伝達で続行されます。
コンテナー: OU = OU, DC = Contoso, DC = com
オブジェクトの数がこれまでに処理される: XXXXXX

イベント 1258 - いくつかの時間後、SD の伝達の終了を示す
内部イベント: セキュリティ記述子の伝達タスクが次のコンテナーから開始する伝達イベントの処理を完了します。
コンテナー: OU = OU, DC = Contoso, DC = com
処理されるオブジェクトの数: ZZZZZZ

その他の Windows Server 2012 R2 ベースのドメイン コント ローラーまたはドメイン内の LDS インスタンスを Active Directory のレプリケーション後 SD 伝達がローカルで実行されるため、同じ問題に発生します。

Active Directory コレクター設定レポートで、メモリ リークことを示すためにのみ使用バイト数が表示されません。ただし、ことができますを使用する作成されたパフォーマンス モニター データ作成ファイル チェック カウンター オブジェクト: プロセス、インスタンス: Lsass、カウンター: プライベート バイトのサイズ、およびオブジェクト、メモリ カウンター: コミットされたバイト数です。

リークの開発の長い観測は、60 秒ごと「パフォーマンス モニター グラフの要素のプロパティのサンプルを使用してグラフ」を使用できます。期間: 15,000 秒 (> 4 時間)。

増加の割り当ては、タスク マネージャーで、タブのパフォーマンスメモリ、予約の項目観察できます。予約または空きギガバイト (GB)] の下に表示されます。

エラー状態のインジケーターは次のとおりです。

repadmin/showrepl を返します。

ディレクトリ サービスでは、1699 のエラー イベントが記録されます。

アプリケーション ポップアップ:

関連情報

Microsoft がソフトウェア更新プログラムを説明するために使用している用語について説明します。

ファイル情報

このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイル群がインストールされます。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ローカル コンピューターにおけるこれらのファイルの日付と時刻は、現在の夏時間を使用したローカル時刻で表示されます。ファイルに対して特定の操作を実行すると、日時が変更される場合があります。