Oppdaterer Windows Server 2012 R2-basert eller Windows Server 2012-basert domenekontroller, April 2016

Denne artikkelen beskriver en oppdatering for Windows Server 2012 R2-basert eller Windows Server 2012-basert domenekontroller datert April 2016 som løser følgende problemer:
  • Problem 1 Raskere innsettinger til endre meldingen køen. Se detaljer.
  • Problem 2 Gir nytt navn til domenetilknyttede datamaskiner som kjører Microsoft SQL Server kan mislykkes hvis operasjonen rename betjenes av Windows Server 2012 R2 DCs. Se detaljer.
  • 3-problem Enkel pålogging er feil rapportert i Active Directory som to pålogginger. Se detaljer.
  • Problemet 4 LSSAS brudd på tilgangstillatelse oppstår med feil "0xC0000005" når angitt av AAD koble klienter som kjører "fullstendig import". Se detaljer.
  • Problemet 5 LSASS-brudd på tilgangstillatelse forekommer når det er angitt som rekursiv LDAP-spørring mot en AD-gruppe. Se detaljer.


Før du installerer denne oppdateringen, kan du se delen Forutsetninger .

Problemer som er løst i denne oppdateringen

Problem 1 Raskere innlegg til Active Directory endre meldingen køen forsinkelser vedlikehold av trådutvalget asynkrone tråden køen (ATQ), LDAP-spørringer og varsling basert replikering.

Når denne betingelsen er SANN, domenekontrolleren (DC) lokale Security Authority Subsystem Service (LSASS) forbruker høyt forbruk av CPU eller 100% CPU-bruk i ekstreme tilfeller. Følgende operasjoner er blokkert når endre varsling køer utvikler på en gitt DC:
  • Active Directory-replikering utløses av endringsmeddelelse er forsinket.
  • ATQ tråd registrering eller avregistrering er forsinket.
  • Skriveoperasjoner til DC er blokkert.
  • Når innsettingspunktet strengen er kontinuerlig, blokkeres også behandling av melding om køen. Varsel om basert replikering er blokkert under denne operasjonen.
  • CPU-bruken for LSASS-prosessen kjører kaldt på domenekontrollere som alle flere operasjoner er blokkert og bare tråden mottar prosessortid som Active Directory-replikering.
Denne oppdateringen inneholder en øvre grense for antall endre varsling elementer som en domenekontroller blir lagt til i køen.  Når denne terskelen er nådd, svarer DCEN med "ERROR_DS_ADMIN_LIMIT_EXCEEDED".  Som standard er innstillingen for Grenseverdi 4096.  Følgende registernøkkel kan legges til å endre denne terskelen, etter behov:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maksimalt antall samtidige LDAP-varslinger"
En maksimumsverdi for endringsvarsler som er for lav. kan føre til unødvendige feil å endre varsling klienter. Derfor er det viktig å finne "normal" området for denne telleren før implementering av hurtigreparasjonen.  For å etablere øvre området for køen endre varsling, bør du vurdere å overvåke telleren DS varsle køen størrelsen på alle domenekontrollere i skogen til å bestemme høyeste verdiene.

Vurdere en buffer med minst 25% over den høyeste verdien erfarne mens du overvåker denne telleren for å finne en passende verdi for maksimalt antall samtidige LDAP-meldinger.

Obs! Hurtigreparasjonen for dette problemet er inkludert i sikkerhetsoppdatering 3160352.


Problem 2 Gir nytt navn til domenetilknyttede datamaskiner for Microsoft SQL Server-medlem mislykkes med feil "katalogtjenesten er opptatt".

Dette problemet oppstår når følgende betingelser er oppfylt:
  • Microsoft SQL Server er installert på en Windows-basert datamaskin som er koblet til et Active Directory-domene.
  • Den Service Principal Name (SPN) som er registrert av Microsoft SQL Server eller Microsoft SQL Express inneholder ikke-numeriske tegn etter den ":" skilletegn i SPN-attributtet for datamaskinkontoen som får nytt navn.
  • Datamaskinen som er vert for Microsoft SQL Server får nytt navn i Kontrollpanel.
  • En domenekontroller for Windows Server 2012 R2 tjenester rename-operasjon.
På samme måte mislykkes å legge til en alternativ datamaskinnavn også. Og NetDom legge til datamaskinnavn kommandoen mislykkes med følgende et skjermtastatur feil:

Kan ikke legge til newhost.domain.com som et alternativt navn for datamaskinen
Feilen er:

Den forespurte ressursen er i bruk.

Kommandoen ble ikke fullført.

Hvis du vil ha mer informasjon om dette problemet, kan du se oppdatere 3152220.


Issue 3

Et enkelt påloggingsforsøk på webområdet telles som to påloggingsforsøk i Active Directory. Derfor øker antallet feil passord med to i stedet for én.



Problemet 4 LSASS-brudd på tilgangstillatelse oppstår med feil "0xc0000005" på Windows Server 2012 R2 DCs rettet av Azure AD koble identiteten synkronisering klienter som kjører "Fullstendig Import".

Når en bruker kjører "Fullstendig Import" på Azure AD koble identiteten synkronisering klient mot en Windows Server 2012 R2-basert Domenekontroller, brudd på tilgangstillatelsen oppstår i LSASS-prosessen, og Domenekontrolleren startes på nytt med feilkoden "0xc0000005". Dette problemet oppstår når Active Directory papirkurven er deaktivert.

Hvis du vil ha mer informasjon om dette problemet, kan du se oppdatere 3145339.



Problemet 5

Lsass.exe krasjer på en Domenekontroller med et tilgangsbrudd når en bruker kjører en rekursiv Lightweight Directory Access Protocol (LDAP)-spørring mot Active Directory-gruppe som har mange nestede grupper.  Et eksempel på en spørring som kan utløse denne typen krasj er som følger:
 
LDIFDE -f t.txt -d "dc =contoso, dc = com" - r "(medlem av:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"

Slik får du denne oppdateringen

Viktig Hvis du installerer en språkpakke etter at du installerer denne oppdateringen, må du installere denne oppdateringen. Vi anbefaler derfor at du installerer alle språk pakker før du installerer denne oppdateringen. Hvis du vil ha mer informasjon, se legge til språkpakker i Windows.


Metode 1: Windows Update

Denne oppdateringen gis som en anbefalt oppdatering på Windows Update. Hvis du vil ha mer informasjon om hvordan du kjører Windows Update, kan du se hvordan du får en oppdatering via Windows Update.

Metode 2: Microsoft Update-katalogen

Hvis du vil hente den frittstående pakken for denne oppdateringen, kan du gå til ett av følgende webområder for Microsoft Update-katalogen:Obs! Du må kjøre Microsoft Internet Explorer 6.0 eller senere.

Detaljert oppdateringsinformasjon

Forutsetninger

Hvis du vil installere denne oppdateringen, må du først installere April 2014, samleoppdatering for Windows RT 8.1, 8.1 for Windows, og Windows Server 2012 R2 (2919355) i Windows Server 2012 R2.

Obs! Oppdateringen bør installeres på Windows Server 2012 R2-basert eller Windows Server 2012-baserte datamaskiner som er vert for Active Directory domain services (legger til) rolle for domenekontroller.

Informasjonen i registeret

Hvis du vil installere denne oppdateringen, kan du ikke trenger å foreta endringer i registret.

Krav om omstart

Du må kanskje starte datamaskinen på nytt etter at du har installert denne oppdateringen.

Informasjon om erstatning av oppdatering

Denne oppdateringen erstatter ikke tidligere utgitte oppdateringer.

Status

Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".

Referanser

Lær mer om terminologien som Microsoft bruker til å beskrive oppdateringer av programvare.

Filinformasjon

Den engelskspråklige (USA) versjonen av denne programvareoppdateringen installerer filer med attributtene som er oppført i tabellene nedenfor.

Obs! Se 3160352 for sikkerhetsoppdateringfor filattributter for Windows Server 2012.
Windows Server 2012 R2
Mer filinformasjon
Egenskaper

Artikkel-ID: 3103709 – Forrige gjennomgang: 12. feb. 2017 – Revisjon: 1

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation

Tilbakemelding