Minnelekkasje i LSASS-prosessen i Windows Server 2012 R2-baserte domenekontrollere og AD LDS-serveren

VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.

Den engelske versjonen av denne artikkelen er den følgende: 3083038
Denne artikkelen beskriver et problem med minnelekkasje som oppstår på Windows Server 2012 R2-baserte domenekontrollere og en 8.1 for Windows eller Windows Server 2012 R2-baserte datamaskinen som har serverrollen Active Directory Lightweight-katalogtjenester (AD LDS) installert. En hurtigreparasjon er tilgjengelig for å løse dette problemet. Hurtigreparasjonen er en forutsetning.
Symptom
En ny arena heap minnetildeling ble innført i Windows Server 2012 R2 versjon av katalogtjenester. Den forårsaker en minnelekkasje i Lsass.exe (rolle for domenekontroller) og DsaMain.exe av Lightweight Directory Service (LDS) prosess som kan oppta alt tilgjengelig minne på Windows Server 2012 R2 domenekontrolleren eller LDS-serveren.
Årsak
Dette problemet oppstår i følgende situasjoner:
  • Forfremmelse for domenekontrolleren eller legge til LDS replikasett konfigurasjonen

    Etter å legge til en replika i en konfigurasjon av forfremmelse for domenekontrolleren, eller legge til en forekomst av LDS på Windows Server 2012 R2 eller Windows 8.1, har replikering motoren å replikere alle objektene i navngivingskonteksten som trengs på den nye forekomsten. Under oppgaven, kan LSASS Local Security Authority Server Service ()-prosess- eller DsaMain.exe forårsake en alvorlig lekkasje når den tilordner virtuelle tildelte byte, selv om den virkelige bruken er svært lav. DCpromo.log viser i tillegg følgende feilmelding:

    Dato
    Tid[INFO] Replikering av data DC = Contoso,DC = com: Mottatt XXXXXX ut av ca. XXXXXX objekter og XXXXXX av ca. XXXXXX unikt navn (DN) verdier...

    DateTime [advarsel] ikke kritisk replikering returnerte 14

    Feilkode 14 oversetter til: ERROR_OUTOFMEMORY - er ikke nok minne til å fullføre denne operasjonen.

    Følgende hendelse logges i hendelsesloggen under eller kort tid etter dcpromo er fullført:
    HendelsesloggHendelseskildenIDBeskrivelse
    Katalogtjenester Replikering 2094Ytelsesadvarsel: replikeringen ble forsinket ved bruk av endringer i følgende objektet. Hvis denne meldingen vises ofte, angir det at replikeringen skjer for sakte, og at serveren kan ha problemer med å holde tritt med endringene.

    Objektet DN: CN =Klientnavnet, OU =OU, DC =Contoso, DC =com
    Objekt-GUID: GUID
    Partisjon DN: DC =Contoso, DC =com
    Server: _msdcs DNS-post for replikasjonspartner
    Hvor lang tid (sek): XX

    Brukerhandling

    En vanlig årsak til å se denne forsinkelsen er at dette objektet er spesielt store i størrelsen på de tilhørende verdiene, eller antall verdier. Først bør du vurdere om programmet kan endres til å redusere mengden data som er lagret i objektet, eller antall verdier. Hvis dette er en stor gruppe eller distribusjonsliste, kan du vurdere å øke funksjonsnivået til Windows Server 2003 eller senere, siden dette gjør at replikering skal arbeide mer effektivt. Du bør vurdere om serverplattformen gir god nok ytelse når det gjelder minne og ytelse. Til slutt vil vurdere å justere Active Directory Domain Services-databasen ved å flytte databasen og logger til separate diskpartisjoner.

    Hvis du vil endre advarselsgrensen for, inkluderes registernøkkelen nedenfor. Verdien 0 deaktiverer sjekken.

    Flere Data

    Advarselsgrense (sek): XX

    Grense-registernøkkelen: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maksimal Vent til oppdateringen objekt (sek)
    KatalogtjenesterKCC1308Knowledge konsekvens Checker (KCC) har oppdaget at påfølgende forsøk på å replikere med følgende katalogtjenesten konsekvent mislyktes.

    Forsøk:
    2
    Katalogtjenesten:
    CN = NTDS-innstillinger, CN =DC001, CN =Servere, CN =område1, CN =Områder, CN =Konfigurasjon, DC =Contoso, DC =com
    Tidsperiode (minutter):
    XXXXXXX

    Connection-objektet for denne katalogtjenesten vil bli ignorert, og en ny midlertidig tilkobling vil bli opprettet for å sikre at replikering fortsetter. Når replikering med denne katalogtjenesten gjenopptas, midlertidig tilkobling vil bli fjernet.

    Flere Data
    Feilverdi:
    14 ikke er nok minne til å fullføre denne operasjonen
    .

    Obs! Problemet oppstår ikke hvis installere fra Media (IFM) forfremmelse domenekontrollere er i bruk. IFM kampanjen har imidlertid å være kilde fra den samme versjonen av operativsystemet.
  • Følgende hendelse logges i hendelsesloggen under eller kort tid etter dcpromo er fullført:
    HendelsesloggHendelseskildenIDBeskrivelse
    Katalogtjenester Replikering 2094Ytelsesadvarsel: replikeringen ble forsinket ved bruk av endringer i følgende objektet. Hvis denne meldingen vises ofte, angir det at replikeringen skjer for sakte, og at serveren kan ha problemer med å holde tritt med endringene.

    Objektet DN: CN =Klientnavnet, OU =OU, DC =Contoso, DC =com
    Objekt-GUID: GUID
    Partisjon DN: DC =Contoso, DC =com
    Server: _msdcs DNS-post for replikasjonspartner
    Hvor lang tid (sek): XX

    Brukerhandling

    En vanlig årsak til å se denne forsinkelsen er at dette objektet er spesielt store i størrelsen på de tilhørende verdiene, eller antall verdier. Først bør du vurdere om programmet kan endres til å redusere mengden data som er lagret i objektet, eller antall verdier. Hvis dette er en stor gruppe eller distribusjonsliste, kan du vurdere å øke funksjonsnivået til Windows Server 2003 eller senere, siden dette gjør at replikering skal arbeide mer effektivt. Du bør vurdere om serverplattformen gir god nok ytelse når det gjelder minne og ytelse. Til slutt vil vurdere å justere Active Directory Domain Services-databasen ved å flytte databasen og logger til separate diskpartisjoner.

    Hvis du vil endre advarselsgrensen for, inkluderes registernøkkelen nedenfor. Verdien 0 deaktiverer sjekken.

    Flere Data

    Advarselsgrense (sek): XX

    Grense-registernøkkelen: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maksimal Vent til oppdateringen objekt (sek)
    KatalogtjenesterKCC1308Knowledge konsekvens Checker (KCC) har oppdaget at påfølgende forsøk på å replikere med følgende katalogtjenesten konsekvent mislyktes.

    Forsøk:
    2
    Katalogtjenesten:
    CN = NTDS-innstillinger, CN =DC001, CN =Servere, CN =område1, CN =Områder, CN =Konfigurasjon, DC =Contoso, DC =com
    Tidsperiode (minutter):
    XXXXXXX

    Connection-objektet for denne katalogtjenesten vil bli ignorert, og en ny midlertidig tilkobling vil bli opprettet for å sikre at replikering fortsetter. Når replikering med denne katalogtjenesten gjenopptas, midlertidig tilkobling vil bli fjernet.

    Flere Data
    Feilverdi:
    14 ikke er nok minne til å fullføre denne operasjonen
    .

    Obs! Problemet oppstår ikke hvis installere fra Media (IFM) forfremmelse domenekontrollere er i bruk. IFM kampanjen har imidlertid å være kilde fra den samme versjonen av operativsystemet.
  • Feilkode 14 oversetter til: ERROR_OUTOFMEMORY - er ikke nok minne til å fullføre denne operasjonen. Følgende hendelse logges i hendelsesloggen under eller kort tid etter dcpromo er fullført:
    HendelsesloggHendelseskildenIDBeskrivelse
    Katalogtjenester Replikering 2094Ytelsesadvarsel: replikeringen ble forsinket ved bruk av endringer i følgende objektet. Hvis denne meldingen vises ofte, angir det at replikeringen skjer for sakte, og at serveren kan ha problemer med å holde tritt med endringene.

    Objektet DN: CN =Klientnavnet, OU =OU, DC =Contoso, DC =com
    Objekt-GUID: GUID
    Partisjon DN: DC =Contoso, DC =com
    Server: _msdcs DNS-post for replikasjonspartner
    Hvor lang tid (sek): XX

    Brukerhandling

    En vanlig årsak til å se denne forsinkelsen er at dette objektet er spesielt store i størrelsen på de tilhørende verdiene, eller antall verdier. Først bør du vurdere om programmet kan endres til å redusere mengden data som er lagret i objektet, eller antall verdier. Hvis dette er en stor gruppe eller distribusjonsliste, kan du vurdere å øke funksjonsnivået til Windows Server 2003 eller senere, siden dette gjør at replikering skal arbeide mer effektivt. Du bør vurdere om serverplattformen gir god nok ytelse når det gjelder minne og ytelse. Til slutt vil vurdere å justere Active Directory Domain Services-databasen ved å flytte databasen og logger til separate diskpartisjoner.

    Hvis du vil endre advarselsgrensen for, inkluderes registernøkkelen nedenfor. Verdien 0 deaktiverer sjekken.

    Flere Data

    Advarselsgrense (sek): XX

    Grense-registernøkkelen: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maksimal Vent til oppdateringen objekt (sek)
    KatalogtjenesterKCC1308Knowledge konsekvens Checker (KCC) har oppdaget at påfølgende forsøk på å replikere med følgende katalogtjenesten konsekvent mislyktes.

    Forsøk:
    2
    Katalogtjenesten:
    CN = NTDS-innstillinger, CN =DC001, CN =Servere, CN =område1, CN =Områder, CN =Konfigurasjon, DC =Contoso, DC =com
    Tidsperiode (minutter):
    XXXXXXX

    Connection-objektet for denne katalogtjenesten vil bli ignorert, og en ny midlertidig tilkobling vil bli opprettet for å sikre at replikering fortsetter. Når replikering med denne katalogtjenesten gjenopptas, midlertidig tilkobling vil bli fjernet.

    Flere Data
    Feilverdi:
    14 ikke er nok minne til å fullføre denne operasjonen
    .

    Obs! Problemet oppstår ikke hvis installere fra Media (IFM) forfremmelse domenekontrollere er i bruk. IFM kampanjen har imidlertid å være kilde fra den samme versjonen av operativsystemet.
  • Security descriptor (SD)-overføring

    Et problem med minnelekkasje kan oppstå når en sikkerhetsendring på et beholderobjekt (domenerot eller organisasjonsenheten (OU)) hentes på mange underordnede objekter eller underordnede organisasjonsenheter via SD-overføring. Overføringen kan ta lang tid, avhengig av størrelsen på tilgangskontrolloppføringen (ACE) som skal endres og antall objekter (for eksempel 500 000). I løpet av denne tiden kan LSASS-prosessen eller prosessen for DsaMain kontinuerlig tildele tildelte byte.
  • Tidkrevende spørringer

    Uventet kan høy virtuelt minneforbruk under tidkrevende spørringer for Lightweight Directory Access Protocol (LDAP) på Windows Server 2012 R2 eller Windows 8.1-baserte LDAP-servere føre til nedetid for minne. Tidkrevende spørringer forbruke minne ved å få en heap for sikkerhetsbeskrivelsen for hvert objekt som er i berøring.
I slike tilfeller, når de tildelte bytene antallet byte som er tilgjengelig, systemet blir ubrukelig og kan selv krasj.
Løsning
Bruk hurtigreparasjonen som nevnes i delen nedenfor hvis du vil løse dette problemet.

Hvis du vil bruke denne hurtigreparasjonen i konteksten av Domain Controller kampanjer (DCPROMO), gjør du følgende:
  1. Installere Active Directory Domain Services- eller AD LDS-rollen.
  2. Installer denne oppdateringen eller nyere Windows Server 2012 R2-oppdateringer og sikkerhetsoppdateringer som inneholder de binære sameNtdsai.dll som de er kumulativ.
  3. Utnevne datamaskinen til en status for domenekontrolleren.
Viktig Hvis du installerer en språkpakke etter at du har installert denne hurtigreparasjonen, må du installere denne hurtigreparasjonen på nytt. Vi anbefaler derfor at du installerer alle språk pakker før du installerer denne hurtigreparasjonen. Hvis du vil ha mer informasjon, se Legge til språkpakker i Windows.

Informasjon om hurtigreparasjon

En støttet hurtigreparasjon er tilgjengelig fra Microsoft. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har dette bestemte problemet.

Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Hotfix Download-Available" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du sende en forespørsel til Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.

Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde: Obs! Hotfix Download Available-skjemaet viser språkene som hurtigreparasjonen er tilgjengelig på. Hvis du ikke finner språket ditt, er det fordi en hurtigreparasjon er ikke tilgjengelig for dette språket.

Forutsetninger

Hvis du vil bruke denne hurtigreparasjonen, må du ha den April 2014 Samleoppdatering for Windows RT 8.1 8.1 for Windows og Windows Server 2012 R2 (2919355) installert på Windows 8.1 eller Windows Server 2012 R2.

Registerinformasjon

Hvis du vil bruke denne hurtigreparasjonen, kan du ikke trenger å foreta endringer i registret.

Krav om omstart

Du må kanskje starte datamaskinen på nytt etter at du har installert denne hurtigreparasjonen.

Informasjon om erstatning av hurtigreparasjoner

Denne hurtigreparasjonen erstatter ikke tidligere utgitte hurtigreparasjoner.
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Mer informasjon
Hvis du aktiverer NTDS\Diagnostics "9 intern behandling" nivå 2, som nevnt i Microsoft Knowledge Base-artikkel 314980, kan du se følgende ActiveDirectory_DomainService hendelser. Disse hendelsene viser den langvarige SD overføring av aktiviteten.


Hendelsen 1257 - som angir begynnelsen på SD-overføring
Intern hendelse: security descriptor overføring oppgaven behandler en hendelse for overføring fra følgende beholderen.
Beholder: OU = OU, DC = Contoso, DC = com

Hendelsen 2007 – som viser fremdriften for SD-overføring, logges hvert 5.
Intern hendelse: aktiviteten security descriptor overføring har nådd følgende beholderen og fortsetter med overføringen.
Beholder: OU = OU, DC = Contoso, DC = com

Antall objekter som er behandlet så langt: XXXXXX

Hendelsen 1258 - som angir slutten på SD-overføring etter noen timer
Intern hendelse: security descriptor overføring aktiviteten har fullført behandling av en hendelse for overføring fra følgende beholderen.
Beholder: OU = OU, DC = Contoso, DC = com

Antall objekter som er behandlet: XXXXXX


Det samme problemet kan oppstå fordi SD-overføringen utføres lokalt etter Active Directory-replikering til eventuelle andre Windows Server 2012 R2-basert domenekontroller eller LDS forekomster i domenet.

Vil du ikke se minnelekkasje i Active Directory Collector angi rapporten fordi den viser bare brukt byte. Du kan imidlertid bruke den opprettet ytelse skjerm BLG filkontroll teller objekt: prosess, forekomst: Lsass, teller: Private byte og objekt: minne, teller: utført byte.

For lengre observasjon av lekkasje utviklingen, kan du bruke en "graf med ytelse skjerm egenskaper, diagramelementer, for eksempel" hver 60. Varighet: 15 000 sekunder (> 4 timer).

Økende fordelingen kan også bli observert i Oppgavebehandling, i kategorien ytelse, element minne, innført. Dette vises under innført/tilgjengelig gigabyte (GB).

Indikatorer til feilen er som følger:

Repadmin /showrepl returnerer:
Det er ikke nok minne til å fullføre denne operasjonen.

Katalogtjenesten logger feilhendelse 1699:
Denne mappen kan ikke hente endringene forespurt for følgende mappepartisjonen. Det var som et resultat kan ikke sende forespørsler om endring til katalogtjenesten på følgende nettverksadresse.
Utvidet Forespørselskoden: 0
Flere Data
Feilverdi: 8446 i replikeringen kan ikke tildele minne.

Hurtigmeny for programmet:
Windows - ikke nok virtuelt minne: systemet har lite virtuelt minne. For å sikre at Windows kjører på riktig måte, kan du øke størrelsen på sidevekslingsfilen i virtuelt minne. Hvis du vil ha mer informasjon, se Hjelp.


Referanser
Lær mer om den terminologi som Microsoft bruker for å beskrive programvareoppdateringer.
Filinformasjon
Den engelskspråklige (USA) versjonen av denne programvareoppdateringen installerer filer med attributtene som er oppført i tabellene nedenfor. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Vær oppmerksom på at datoene og klokkeslettene for disse filene på den lokale datamaskinen, vises i lokal tid og med din gjeldende tidsforskjell for sommertid. Datoene og klokkeslettene kan også endres når du utfører bestemte operasjoner på filene.

Windows 8.1 og Windows Server 2012 R2

Viktig Hurtigreparasjoner for Windows Server 2012 R2 og Windows 8.1 hurtigreparasjoner er inkludert i de samme pakkene. Hurtigreparasjoner på siden "Be om hurtigreparasjonen" er imidlertid oppført under begge operativsystemene. Hvis du vil be om hurtigreparasjonspakken som gjelder ett eller begge operativsystemene, kan du velge hurtigreparasjonen som er oppført under "Windows 8.1/Windows Server 2012 R2" på siden. Se delen "Gjelder" i artiklene for å fastslå det faktiske operativsystemet som hver hurtigreparasjon gjelder for.

Notater
  • Filene som gjelder for et bestemt produkt, en bestemt milepæl (RTM, SPn) og avdeling (LDR, GDR), kan identifiseres ved å kontrollere filversjonsnumrene som vist i følgende tabell:
    VersjonProduktMilepælAvdeling
    6.3.960 0.18 xxxWindows 8.1 og Windows Server 2012 R2RTMGDR
  • GDR-avdelinger inneholder bare de reparasjonene som utgis for et bredt publikum for å løse omfattende, kritiske problemer. LDR-avdelinger inneholder hurtigreparasjoner i tillegg til reparasjoner som utgis til et bredt publikum.
  • MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført i delen "mer informasjon". MUM, MANIFEST og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er svært viktige for å opprettholde statusen til de oppdaterte komponentene. Sikkerhetskatalogfilene, hvor attributtene ikke er oppført, er signert med Microsofts digitale signatur.
x86 Windows 8.1
FilnavnFilversjonFilstørrelseDatoTidPlattform
Ntdsa.MOFIkke tilgjengelig227,76518-Jun-201312:21Ikke tilgjengelig
Ntdsai.dll6.3.9600.181162,583,55203-Nov-201502:41x 86
x64 8.1 for Windows og Windows Server 2012 R2
FilnavnFilversjonFilstørrelseDatoTidPlattform
Ntdsa.MOFIkke tilgjengelig227,76518-Jun-201314:45Ikke tilgjengelig
Ntdsai.dll6.3.9600.181163,676,16003-Nov-201502:54x64

Informasjon om tilleggsfiler

x86 Windows 8.1
FilegenskapenVerdi
FilnavnUpdate.mum
FilversjonIkke tilgjengelig
Filstørrelse1 600
Dato (UTC)04-Nov-2015
Tid (UTC)05:53
PlattformIkke tilgjengelig
FilnavnX86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest
FilversjonIkke tilgjengelig
Filstørrelse712
Dato (UTC)04-Nov-2015
Tid (UTC)05:53
PlattformIkke tilgjengelig
FilnavnX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest
FilversjonIkke tilgjengelig
Filstørrelse3,352
Dato (UTC)03-Nov-2015
Tid (UTC)05:09
PlattformIkke tilgjengelig
x64 8.1 for Windows og Windows Server 2012 R2
FilegenskapenVerdi
FilnavnAmd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest
FilversjonIkke tilgjengelig
Filstørrelse716
Dato (UTC)04-Nov-2015
Tid (UTC)05:53
PlattformIkke tilgjengelig
FilnavnAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest
FilversjonIkke tilgjengelig
Filstørrelse3,356
Dato (UTC)03-Nov-2015
Tid (UTC)06:04
PlattformIkke tilgjengelig
FilnavnUpdate.mum
FilversjonIkke tilgjengelig
Filstørrelse2,061
Dato (UTC)04-Nov-2015
Tid (UTC)05:53
PlattformIkke tilgjengelig

Advarsel: Denne artikkelen er autooversatt

Egenskaper

Artikkel-ID: 3083038 – Forrige gjennomgang: 07/07/2016 18:33:00 – Revisjon: 6.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbautohotfix kbhotfixserver kbexpertiseinter kbmt KB3083038 KbMtno
Tilbakemelding