Denne artikkelen beskriver en oppdatering for Windows Server 2012 R2-basert eller Windows Server 2012-basert domenekontroller datert April 2016 som løser følgende problemer:

  • Problem 1 Raskere innsettinger til endre meldingen køen. Se detaljer.

  • Problem 2 Gir nytt navn til domenetilknyttede datamaskiner som kjører Microsoft SQL Server kan mislykkes hvis operasjonen rename betjenes av Windows Server 2012 R2 DCs. Se detaljer.

  • 3-problem Enkel pålogging er feil rapportert i Active Directory som to pålogginger. Se detaljer.

  • Problemet 4 LSSAS brudd på tilgangstillatelse oppstår med feil "0xC0000005" når angitt av AAD koble klienter som kjører "fullstendig import". Se detaljer.

  • Problemet 5 LSASS-brudd på tilgangstillatelse forekommer når det er angitt som rekursiv LDAP-spørring mot en AD-gruppe. Se detaljer.


Før du installerer denne oppdateringen, kan du se delen Forutsetninger .

Problemer som er løst i denne oppdateringen

Problem 1 Raskere innlegg til Active Directory endre meldingen køen forsinkelser vedlikehold av trådutvalget asynkrone tråden køen (ATQ), LDAP-spørringer og varsling basert replikering.

Når denne betingelsen er SANN, domenekontrolleren (DC) lokale Security Authority Subsystem Service (LSASS) forbruker høyt forbruk av CPU eller 100% CPU-bruk i ekstreme tilfeller. Følgende operasjoner er blokkert når endre varsling køer utvikler på en gitt DC:

  • Active Directory-replikering utløses av endringsmeddelelse er forsinket.

  • ATQ tråd registrering eller avregistrering er forsinket.

  • Skriveoperasjoner til DC er blokkert.

  • Når innsettingspunktet strengen er kontinuerlig, blokkeres også behandling av melding om køen. Varsel om basert replikering er blokkert under denne operasjonen.

  • CPU-bruken for LSASS-prosessen kjører kaldt på domenekontrollere som alle flere operasjoner er blokkert og bare tråden mottar prosessortid som Active Directory-replikering.

Denne oppdateringen inneholder en øvre grense for antall endre varsling elementer som en domenekontroller blir lagt til i køen.  Når denne terskelen er nådd, svarer DCEN med "ERROR_DS_ADMIN_LIMIT_EXCEEDED".  Som standard er innstillingen for Grenseverdi 4096.  Følgende registernøkkel kan legges til å endre denne terskelen, etter behov:

HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maksimalt antall samtidige LDAP-varslinger"En maksimumsverdi for endringsvarsler som er for lav. kan føre til unødvendige feil å endre varsling klienter. Derfor er det viktig å finne "normal" området for denne telleren før implementering av hurtigreparasjonen.  For å etablere øvre området for køen endre varsling, bør du vurdere å overvåke telleren DS varsle køen størrelsen på alle domenekontrollere i skogen til å bestemme høyeste verdiene.

Vurdere en buffer med minst 25% over den høyeste verdien erfarne mens du overvåker denne telleren for å finne en passende verdi for maksimalt antall samtidige LDAP-meldinger.

Obs! Hurtigreparasjonen for dette problemet er inkludert i sikkerhetsoppdatering 3160352.



Problem 2 Gir nytt navn til domenetilknyttede datamaskiner for Microsoft SQL Server-medlem mislykkes med feil "katalogtjenesten er opptatt".

Dette problemet oppstår når følgende betingelser er oppfylt:

  • Microsoft SQL Server er installert på en Windows-basert datamaskin som er koblet til et Active Directory-domene.

  • Den Service Principal Name (SPN) som er registrert av Microsoft SQL Server eller Microsoft SQL Express inneholder ikke-numeriske tegn etter den ":" skilletegn i SPN-attributtet for datamaskinkontoen som får nytt navn.

  • Datamaskinen som er vert for Microsoft SQL Server får nytt navn i Kontrollpanel.

  • En domenekontroller for Windows Server 2012 R2 tjenester rename-operasjon.

På samme måte mislykkes å legge til en alternativ datamaskinnavn også. Og NetDom legge til datamaskinnavn kommandoen mislykkes med følgende et skjermtastatur feil:

Kan ikke legge til newhost.domain.com som et alternativt navn for datamaskinen
Feilen er:

Den forespurte ressursen er i bruk.

Kommandoen ble ikke fullført.


Hvis du vil ha mer informasjon om dette problemet, kan du se oppdatere 3152220.


Issue 3

Et enkelt påloggingsforsøk på webområdet telles som to påloggingsforsøk i Active Directory. Derfor øker antallet feil passord med to i stedet for én.



Problemet 4 LSASS-brudd på tilgangstillatelse oppstår med feil "0xc0000005" på Windows Server 2012 R2 DCs rettet av Azure AD koble identiteten synkronisering klienter som kjører "Fullstendig Import".

Når en bruker kjører "Fullstendig Import" på Azure AD koble identiteten synkronisering klient mot en Windows Server 2012 R2-basert Domenekontroller, brudd på tilgangstillatelsen oppstår i LSASS-prosessen, og Domenekontrolleren startes på nytt med feilkoden "0xc0000005". Dette problemet oppstår når Active Directory papirkurven er deaktivert.

Hvis du vil ha mer informasjon om dette problemet, kan du se oppdatere 3145339.



Problemet 5

Lsass.exe krasjer på en Domenekontroller med et tilgangsbrudd når en bruker kjører en rekursiv Lightweight Directory Access Protocol (LDAP)-spørring mot Active Directory-gruppe som har mange nestede grupper.  Et eksempel på en spørring som kan utløse denne typen krasj er som følger:

LDIFDE -f t.txt -d "dc =contoso, dc = com" - r "(medlem av:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"

Slik får du denne oppdateringen

Viktig Hvis du installerer en språkpakke etter at du installerer denne oppdateringen, må du installere denne oppdateringen. Vi anbefaler derfor at du installerer alle språk pakker før du installerer denne oppdateringen. Hvis du vil ha mer informasjon, se legge til språkpakker i Windows.


Metode 1: Windows Update

Denne oppdateringen gis som en anbefalt oppdatering på Windows Update. Hvis du vil ha mer informasjon om hvordan du kjører Windows Update, kan du se hvordan du får en oppdatering via Windows Update.

Metode 2: Microsoft Update-katalogen

Hvis du vil hente den frittstående pakken for denne oppdateringen, kan du gå til ett av følgende webområder for Microsoft Update-katalogen:

Obs! Du må kjøre Microsoft Internet Explorer 6.0 eller senere.

Detaljert oppdateringsinformasjon

Forutsetninger

Hvis du vil installere denne oppdateringen, må du først installere April 2014, samleoppdatering for Windows RT 8.1, 8.1 for Windows, og Windows Server 2012 R2 (2919355) i Windows Server 2012 R2.

Obs! Oppdateringen bør installeres på Windows Server 2012 R2-basert eller Windows Server 2012-baserte datamaskiner som er vert for Active Directory domain services (legger til) rolle for domenekontroller.

Informasjonen i registeret

Hvis du vil installere denne oppdateringen, kan du ikke trenger å foreta endringer i registret.

Krav om omstart

Du må kanskje starte datamaskinen på nytt etter at du har installert denne oppdateringen.

Informasjon om erstatning av oppdatering

Denne oppdateringen erstatter ikke tidligere utgitte oppdateringer.

Status

Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".

Referanser

Lær mer om terminologien som Microsoft bruker til å beskrive oppdateringer av programvare.

Filinformasjon

Den engelskspråklige (USA) versjonen av denne programvareoppdateringen installerer filer med attributtene som er oppført i tabellene nedenfor.

Obs! Se 3160352 for sikkerhetsoppdateringfor filattributter for Windows Server 2012.

Notater

  • Filene som gjelder for et bestemt produkt, en bestemt milepæl (RTM, SPn) og avdeling (LDR, GDR), kan identifiseres ved å kontrollere filversjonsnumrene som vist i følgende tabell:

    Versjon

    Produkt

    Milepæl

    Avdeling

    6.3.960 0.18 xxx

    Windows Server 2012 R2

    RTM

    GDR

  • GDR-grener inneholder bare de reparasjonene som er bredt publikum for å løse omfattende, kritiske problemer. LDR-avdelinger inneholder hurtigreparasjoner i tillegg til mye utgis.

  • MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført i delen "mer informasjon". MUM, MANIFEST og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er svært viktig å opprettholde statusen for de oppdaterte komponentene. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.

x64 Windows Server 2012 R2

Filnavn

Filversjon

Filstørrelse

Dato

Tid

Plattform

SP-krav

Avdeling

Dsparse.dll

6.3.9600.18264

30,208

10-Mar-2016

17:03

x64

SPA

AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP

Ntdsa.mof

Ikke tilgjengelig

227,765

18-Jun-2013

14:45

Ikke tilgjengelig

Ingen

Ikke tilgjengelig

Ntdsai.dll

6.3.9600.18264

3,688,960

10-Mar-2016

16:35

x64

Ingen

Ikke tilgjengelig

Dsparse.dll

6.3.9600.18264

24,064

10-Mar-2016

16:48

x86

SPA

X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP


x64 Windows Server 2012 R2

Filegenskapen

Verdi

Filnavn

Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

715

Dato (UTC)

11-Mar-2016

Tid (UTC)

06:59

Plattform

Ikke tilgjengelig

Filnavn

Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

717

Dato (UTC)

11-Mar-2016

Tid (UTC)

06:59

Plattform

Ikke tilgjengelig

Filnavn

Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

716

Dato (UTC)

11-Mar-2016

Tid (UTC)

06:59

Plattform

Ikke tilgjengelig

Filnavn

Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

2,613

Dato (UTC)

10-Mar-2016

Tid (UTC)

19:25

Plattform

Ikke tilgjengelig

Filnavn

Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

3,356

Dato (UTC)

10-Mar-2016

Tid (UTC)

19:25

Plattform

Ikke tilgjengelig

Filnavn

Update.mum

Filversjon

Ikke tilgjengelig

Filstørrelse

2,465

Dato (UTC)

11-Mar-2016

Tid (UTC)

06:59

Plattform

Ikke tilgjengelig

Filnavn

X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

2,609

Dato (UTC)

10-Mar-2016

Tid (UTC)

18:57

Plattform

Ikke tilgjengelig


Trenger du mer hjelp?

Utvid ferdighetene dine

Utforsk opplæring >

Vær først ute med de nye funksjonene

BLI MED I MICROSOFT INSIDERS >

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×