Windows Server 2012 R2 ベースまたは Windows Server 2012 ベースのドメイン コント ローラーを更新、2016年 4 月

適用対象: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials

この資料では、Windows Server 2012 R2 ベースまたは Windows Server 2012 ベースのドメイン ・ コント ローラー用 2016年 4 月日にリリースされた以下の問題に対処する更新プログラムについて説明します。
  • 問題 1変更の通知キューをより高速な挿入します。詳細を参照してください
  • 問題 2名前の変更操作は Windows Server 2012 R2 ドメイン コント ローラーです。詳細を参照してサービスと Microsoft SQL Server を実行しているドメインに参加しているコンピューターの名前を変更することががあります。
  • 問題 31 つのログオンが報告される正しく Active Directory にログオンが 2 回。詳細を参照してください
  • 第 4 号"0xC0000005"「フル インポート」を実行している AAD の接続のクライアントを対象としたときのエラーでは、LSSAS のアクセス違反が発生します。詳細を参照してください
  • 問題 5LSASS のアクセス違反は、AD グループに対して、再帰的な LDAP クエリは、対象となる場合に発生します。詳細を参照してください


この更新プログラムをインストールする前に、「前提条件」を参照してください。

この更新プログラムで修正される問題


問題 1Active Directory への高速な挿入では、スレッド プールの非同期スレッド キュー (ATQ)、LDAP クエリ、および通知を基にレプリケーションのキューの遅延のサービスを通知を変更します。

この条件が true の場合、ドメイン コント ローラー (DC) ローカル セキュリティ機関サブシステム サービス (LSASS) CPU 使用率が高いか、極端な場合に CPU 使用率が 100% を消費します。変更の通知キューを特定のドメイン コント ローラーで開発するとき、次の操作はブロックされます。
  • 変更通知によってトリガーされる active Directory のレプリケーションが遅延します。
  • ATQ スレッドの登録または登録解除が延期されます。
  • ドメイン コント ローラーへの書き込みがブロックされています。
  • 挿入文字列処理中は、通知キューの処理もブロックされます。通知を基に複製は、この操作中にブロックされます。
  • LSASS プロセスの CPU 使用率は、複数のすべての操作がブロックされ、Active Directory の複製としての CPU 時間を取得する唯一のスレッドと Dc のコールド実行されます。
この更新プログラムには、ドメイン コント ローラーはキューに追加される変更通知の項目数の上限値が含まれています。 このしきい値に達すると、ドメイン コント ローラーは、"ERROR_DS_ADMIN_LIMIT_EXCEEDED"で応答します。 しきい値は、既定では、4096 です。 必要に応じて、このしきい値を変更するのには、次のレジストリ キーを追加できます。
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD「最大同時 LDAP 通知」
変更通知の最大値が小さすぎると、通知クライアントを変更するのには不要な障害が発生する可能性があります。したがって、修正プログラムを実装する前にこのカウンターの通常の範囲を決定する重要なです。 変更通知キューの範囲の上限を設定するには、ピーク時の値を決定するのには、フォレスト内のすべてのドメイン コント ローラー上の DS 通知キュー サイズ カウンターを検討してください。

最大の同時 LDAP 通知の適切な値を決定するには、このカウンターを監視しながら、経験豊富なピーク値の上に 25% 以上のバッファーを検討します。

セキュリティ更新プログラムの 3160352では、この問題に対する修正が含まれます。


問題 2「ディレクトリ サービスはビジー状態です」エラーで失敗する Microsoft SQL Server のドメインに参加しているメンバーのコンピューターの名前を変更します。

この問題は、次の条件に該当する場合に発生します。
  • Microsoft SQL Server は、Active Directory ドメインに参加している Windows ベースのコンピューターにインストールされます。
  • サービス プリンシパル名 (SPN) Microsoft SQL Server または Microsoft SQL Express によって登録されているには、後の数字以外の文字が含まれている、":"の名前を変更するコンピューター アカウントの SPN 属性内の区切り記号。
  • Microsoft SQL Server をホストしているコンピューターは、[コントロール パネル] に変更されます。
  • Windows Server 2012 R2 のドメイン コント ローラーは、名前の変更操作をサービスします。
同様に、代替コンピューター名を追加することでも問題が発生します。次のNetDom add computernameコマンドが失敗した場合と、画面に表示されるエラー。

コンピューターの代替名としてnewhost.domain.comを追加できません。
エラーは次のとおりです。

要求されたリソースは、使用中です。

コマンドが正常に完了できませんでした。

この問題の詳細については、 3152220 の更新を参照してください。


Issue 3

Web サイトの 1 つのログオンの試行が Active Directory 内の 2 つのログオン試行としてカウントされます。したがって、1 つに 2 つの代わりに、間違ったパスワードの数が増加します。



第 4 号LSASS アクセス違反が発生は、エラー"0xc0000005"と「フル インポート」を実行している Azure AD 接続 id の同期クライアントが対象となる Windows Server 2012 R2 の Dc で発生します。

ユーザーは、Azure AD 接続の id の同期クライアントに対して Windows Server 2012 R2 ベースの DC で、[フル インポート」を実行して、LSASS プロセスでアクセス違反が発生エラー コード"0xc0000005"がドメイン コント ローラーを再起動します。この問題は、Active Directory のごみ箱を無効にした場合に発生します。

この問題の詳細については、 3145339 の更新を参照してください。



問題 5

Lsass.exe は、ユーザーは、多くの入れ子になったグループを持つ Active Directory グループに対して再帰的なライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリを実行するとき、アクセス違反が発生してドメイン コント ローラーでクラッシュします。 このようなクラッシュを発生させることができますクエリの例は次のとおりです。
 
ldifde-f t.txt-d"dc =contoso 社では、dc = com"-r」(memberof:memberID: = cn =cncn =cndc =contoso 社では、dc = com)」

この更新プログラムの入手方法


重要 この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。詳細については、「Windows への言語パックの追加」を参照してください。


方法 1: Windows Update

この更新プログラムは、Windows Update で推奨される更新プログラムとして提供されます。Windows Update を実行する方法の詳細については、 Windows Update から更新プログラムを取得する方法を参照してください。

方法 2: マイクロソフトの更新プログラム カタログ

この更新プログラムのスタンドアロン パッケージを取得するには、次の Microsoft Update カタログ web サイトのいずれかに移動します。6.0 またはそれ以降現在の Microsoft Internet Explorer を実行する必要があります。

更新プログラムの詳細情報


必要条件

この更新プログラムをインストールするには、まず Windows Server 2012 R2 の2014 年 4 月、Windows RT 8.1、Windows 8.1 では、Windows Server 2012 R2 (2919355) の更新プログラムのロールアップをインストールする必要があります。

注: Active Directory ドメイン サービス (ADDS) ドメイン コント ローラーの役割をホストしている Windows Server 2012 R2 ベースまたは Windows Server 2012 ベースのコンピューターに更新プログラムをインストールしてください。

レジストリ情報

この更新プログラムを適用するには、レジストリに変更を加える必要はありません。

再起動の必要性

この更新プログラムの適用後、コンピューターの再起動が必要になる場合があります。

更新プログラムの置き換えに関する情報

この更新プログラムを適用しても、以前にリリースされた更新プログラムは置き換えられません。

状況


マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。

関連情報


Microsoft がソフトウェア更新プログラムを説明するために使用している用語について説明します。

ファイル情報


このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイル群がインストールされます。

注: Windows Server 2012 のファイル属性は、セキュリティ更新プログラムの 3160352を参照してください。