R2 또는 Windows Server 2012 기반 도메인 컨트롤러를 Windows Server 2012 2016 년 4 월 업데이트

이 업데이트에서 해결된 문제

문제 1 빠른 삽입에는 Active Directory 변경 알림 기반의 복제, LDAP 쿼리 비동기 스레드 큐 (ATQ) 스레드 풀의 대기열 지연 서비스 알림.

이 조건이 참일 경우, 도메인 컨트롤러 (DC) 로컬 보안 기관 하위 시스템 서비스 (LSASS) 높은 CPU 사용 또는 극단적인 경우에 CPU 사용률 100%를 사용 합니다. 다음 작업이 해당된 DC에서 변경 알림 큐를 개발 하는 경우 차단 됩니다.

• 변경 통지에 의해 발생 하는 active Directory 복제가 지연 됩니다.

• ATQ 스레드 등록 또는 등록 취소가 지연 됩니다.

• DC에 대 한 쓰기 차단 됩니다.

• 삽입 문자열은 지속적인 알림 큐를 처리 차단 됩니다. 알림 기반 복제가이 작업 하는 동안 차단 됩니다.

• LSASS 프로세스의 CPU 사용률이 차가 dc 워 지 모든 여러 작업이 차단 되 고 해당 스레드는 Active Directory 복제로 CPU 시간을 가져옵니다.

변경 알림 항목을 큐에 추가할 도메인 컨트롤러의 수에는 상한선이 포함 되어 있습니다.  이 임계값에 도달 하면, DC "ERROR_DS_ADMIN_LIMIT_EXCEEDED"로 응답 합니다.  기본적으로 임계값은 4096입니다.  필요에 따라이 임계값을 수정 하려면 다음 레지스트리 키를 추가할 수 있습니다.

HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "최대 동시 LDAP 알림"불필요 한 실패 알림 클라이언트 변경 하려면이 너무 낮은 최대 값 변경 알림이 발생할 수 있습니다. 따라서이 핫픽스를 구현 하기 전에이 카운터의 "정상적인" 범위를 결정 하는 것이 중요 합니다.  변경 알림 큐의 위 범위를 설정 하려면 최대 값을 결정 하는 포리스트의 모든 도메인 컨트롤러에서 DS 알림 큐 크기 카운터를 모니터링 하는 것이 좋습니다.

최대 동시 LDAP 알림 적절 한 값을 확인 하려면이 카운터를 모니터링 하는 동안 숙련 된 최고 값 위에 25%의 버퍼를 고려 합니다.

참고: 이 문제에 대 한 수정 프로그램은 보안 업데이트 3160352에포함 됩니다.

문제 2 Microsoft SQL Server 도메인에 가입한 구성원 컴퓨터의 이름을 "디렉터리 서비스 사용 중 입니다" 오류와 함께 실패 합니다.

이 문제는 다음 조건에 해당할 때 발생합니다.

• Microsoft SQL Server Active Directory 도메인에 가입 되어 있는 Windows 기반 컴퓨터에 설치 되어 있습니다.

• 뒤에 숫자가 아닌 문자를 포함 하는 SPN 서비스 사용자 이름 ()에서 Microsoft SQL Server 또는 Microsoft SQL Express 등록 된 ":"는 이름을 바꿀 컴퓨터 계정의 SPN 특성에 구분 기호.

• Microsoft SQL Server 호스팅하는 컴퓨터의 제어판에서 이름이 바뀝니다.

• Windows Server 2012 R2 도메인 컨트롤러 이름 바꾸기 작업을 서비스합니다.

마찬가지로, 대체 컴퓨터 이름에 추가 되지 않습니다. 다음으로 컴퓨터 이름 을 NetDom add 명령을 실패는 화면 오류:

이 문제에 대 한 자세한 내용은 업데이트 3152220를참조 하십시오.


Issue 3

웹 사이트에서 단일 로그온 시도는 Active Directory에서 두 개의 로그온 시도로 계산 됩니다. 따라서 잘못 된 암호 횟수가 증가 하나 대신 두 개의 합니다.



문제 4 "전체 가져오기"를 실행 하는 Azure AD 연결 identity 동기화 클라이언트의 대상 Windows Server 2012 R2 Dc "0xc0000005" 오류와 함께 LSASS 액세스 위반이 발생 합니다.

R2 Windows Server 2012 기반 DC에 대 한 AD 연결 Azure identity 동기화 클라이언트에서 실행 한 "전체 가져오기" LSASS 프로세스에서 액세스 위반이 발생 하 고 오류 코드 "0xc0000005" DC를 다시 시작. 이 문제는 Active Directory 휴지통을 사용 하지 않으면 발생 합니다.

이 문제에 대 한 자세한 내용은 업데이트 3145339를참조 하십시오.



문제 5

사용자는 많은 중첩 된 그룹에는 Active Directory 그룹에 대 한 재귀 경량 디렉터리 액세스 프로토콜 (LDAP) 쿼리를 실행할 때 Lsass.exe 액세스 위반과 함께 DC에서 충돌 합니다.  이러한 유형의 충돌을 트리거할 수 있는 쿼리 예는 다음과 같습니다.

ldifde-f t.txt-d "dc =contoso, dc = com"-r "(소속 그룹:memberID: cn =cn, cn =cn= dc =contoso, dc = com)"

이 업데이트를 얻는 방법

중요: 이 업데이트를 설치한 후 언어팩을 설치한 경우, 이 업데이트를 다시 설치해야 합니다. 따라서, 필요한 언어팩을 먼저 설치한 후에 이 업데이트를 설치할 것을 권장합니다. 자세한 내용은 Windows에 언어 팩 추가를 참조하십시오.

업데이트 세부 정보

상태

Microsoft는 이 문제가 '적용 대상' 섹션에 나열된 Microsoft 제품의 문제임을 확인했습니다.

참조

Microsoft가 소프트웨어 업데이트를 설명하기 위해 사용 하는 용어 에 대해 알아봅니다.

파일 정보

이 소프트웨어 업데이트의 영어(미국) 버전은 다음 표에 나열된 특성을 갖는 파일을 설치합니다.

참고: Windows Server 2012 파일 특성 보안 업데이트 3160352를참조 하십시오.