Denne artikkelen beskriver en oppdatering for Windows Server 2012 R2-basert eller Windows Server 2012-basert domenekontroller datert April 2016 som løser følgende problemer:
-
Problem 1 Raskere innsettinger til endre meldingen køen. Se detaljer.
-
Problem 2 Gir nytt navn til domenetilknyttede datamaskiner som kjører Microsoft SQL Server kan mislykkes hvis operasjonen rename betjenes av Windows Server 2012 R2 DCs. Se detaljer.
-
3-problem Enkel pålogging er feil rapportert i Active Directory som to pålogginger. Se detaljer.
-
Problemet 4 LSSAS brudd på tilgangstillatelse oppstår med feil "0xC0000005" når angitt av AAD koble klienter som kjører "fullstendig import". Se detaljer.
-
Problemet 5 LSASS-brudd på tilgangstillatelse forekommer når det er angitt som rekursiv LDAP-spørring mot en AD-gruppe. Se detaljer.
Før du installerer denne oppdateringen, kan du se delen Forutsetninger .
Problemer som er løst i denne oppdateringen
Problem 1 Raskere innlegg til Active Directory endre meldingen køen forsinkelser vedlikehold av trådutvalget asynkrone tråden køen (ATQ), LDAP-spørringer og varsling basert replikering.
Når denne betingelsen er SANN, domenekontrolleren (DC) lokale Security Authority Subsystem Service (LSASS) forbruker høyt forbruk av CPU eller 100% CPU-bruk i ekstreme tilfeller. Følgende operasjoner er blokkert når endre varsling køer utvikler på en gitt DC:
-
Active Directory-replikering utløses av endringsmeddelelse er forsinket.
-
ATQ tråd registrering eller avregistrering er forsinket.
-
Skriveoperasjoner til DC er blokkert.
-
Når innsettingspunktet strengen er kontinuerlig, blokkeres også behandling av melding om køen. Varsel om basert replikering er blokkert under denne operasjonen.
-
CPU-bruken for LSASS-prosessen kjører kaldt på domenekontrollere som alle flere operasjoner er blokkert og bare tråden mottar prosessortid som Active Directory-replikering.
Denne oppdateringen inneholder en øvre grense for antall endre varsling elementer som en domenekontroller blir lagt til i køen. Når denne terskelen er nådd, svarer DCEN med "ERROR_DS_ADMIN_LIMIT_EXCEEDED". Som standard er innstillingen for Grenseverdi 4096. Følgende registernøkkel kan legges til å endre denne terskelen, etter behov:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maksimalt antall samtidige LDAP-varslinger"En maksimumsverdi for endringsvarsler som er for lav. kan føre til unødvendige feil å endre varsling klienter. Derfor er det viktig å finne "normal" området for denne telleren før implementering av hurtigreparasjonen. For å etablere øvre området for køen endre varsling, bør du vurdere å overvåke telleren DS varsle køen størrelsen på alle domenekontrollere i skogen til å bestemme høyeste verdiene.
Vurdere en buffer med minst 25% over den høyeste verdien erfarne mens du overvåker denne telleren for å finne en passende verdi for maksimalt antall samtidige LDAP-meldinger.
Obs! Hurtigreparasjonen for dette problemet er inkludert i sikkerhetsoppdatering 3160352.
Problem 2 Gir nytt navn til domenetilknyttede datamaskiner for Microsoft SQL Server-medlem mislykkes med feil "katalogtjenesten er opptatt".
Dette problemet oppstår når følgende betingelser er oppfylt:
-
Microsoft SQL Server er installert på en Windows-basert datamaskin som er koblet til et Active Directory-domene.
-
Den Service Principal Name (SPN) som er registrert av Microsoft SQL Server eller Microsoft SQL Express inneholder ikke-numeriske tegn etter den ":" skilletegn i SPN-attributtet for datamaskinkontoen som får nytt navn.
-
Datamaskinen som er vert for Microsoft SQL Server får nytt navn i Kontrollpanel.
-
En domenekontroller for Windows Server 2012 R2 tjenester rename-operasjon.
På samme måte mislykkes å legge til en alternativ datamaskinnavn også. Og NetDom legge til datamaskinnavn kommandoen mislykkes med følgende et skjermtastatur feil:
Kan ikke legge til newhost.domain.com som et alternativt navn for datamaskinen
Feilen er:
Den forespurte ressursen er i bruk.
Kommandoen ble ikke fullført.
Hvis du vil ha mer informasjon om dette problemet, kan du se oppdatere 3152220.
Issue 3
Et enkelt påloggingsforsøk på webområdet telles som to påloggingsforsøk i Active Directory. Derfor øker antallet feil passord med to i stedet for én.
Problemet 4 LSASS-brudd på tilgangstillatelse oppstår med feil "0xc0000005" på Windows Server 2012 R2 DCs rettet av Azure AD koble identiteten synkronisering klienter som kjører "Fullstendig Import".
Når en bruker kjører "Fullstendig Import" på Azure AD koble identiteten synkronisering klient mot en Windows Server 2012 R2-basert Domenekontroller, brudd på tilgangstillatelsen oppstår i LSASS-prosessen, og Domenekontrolleren startes på nytt med feilkoden "0xc0000005". Dette problemet oppstår når Active Directory papirkurven er deaktivert.
Hvis du vil ha mer informasjon om dette problemet, kan du se oppdatere 3145339.
Problemet 5
Lsass.exe krasjer på en Domenekontroller med et tilgangsbrudd når en bruker kjører en rekursiv Lightweight Directory Access Protocol (LDAP)-spørring mot Active Directory-gruppe som har mange nestede grupper. Et eksempel på en spørring som kan utløse denne typen krasj er som følger:
LDIFDE -f t.txt -d "dc =contoso, dc = com" - r "(medlem av:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
Slik får du denne oppdateringen
Viktig Hvis du installerer en språkpakke etter at du installerer denne oppdateringen, må du installere denne oppdateringen. Vi anbefaler derfor at du installerer alle språk pakker før du installerer denne oppdateringen. Hvis du vil ha mer informasjon, se legge til språkpakker i Windows.
Metode 1: Windows Update
Denne oppdateringen gis som en anbefalt oppdatering på Windows Update. Hvis du vil ha mer informasjon om hvordan du kjører Windows Update, kan du se hvordan du får en oppdatering via Windows Update.
Metode 2: Microsoft Update-katalogen
Hvis du vil hente den frittstående pakken for denne oppdateringen, kan du gå til ett av følgende webområder for Microsoft Update-katalogen:
Obs! Du må kjøre Microsoft Internet Explorer 6.0 eller senere.
Detaljert oppdateringsinformasjon
Forutsetninger
Hvis du vil installere denne oppdateringen, må du først installere April 2014, samleoppdatering for Windows RT 8.1, 8.1 for Windows, og Windows Server 2012 R2 (2919355) i Windows Server 2012 R2.
Obs! Oppdateringen bør installeres på Windows Server 2012 R2-basert eller Windows Server 2012-baserte datamaskiner som er vert for Active Directory domain services (legger til) rolle for domenekontroller.
Informasjonen i registeret
Hvis du vil installere denne oppdateringen, kan du ikke trenger å foreta endringer i registret.
Krav om omstart
Du må kanskje starte datamaskinen på nytt etter at du har installert denne oppdateringen.
Informasjon om erstatning av oppdatering
Denne oppdateringen erstatter ikke tidligere utgitte oppdateringer.
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Referanser
Lær mer om terminologien som Microsoft bruker til å beskrive oppdateringer av programvare.
Filinformasjon
Den engelskspråklige (USA) versjonen av denne programvareoppdateringen installerer filer med attributtene som er oppført i tabellene nedenfor.
Obs! Se 3160352 for sikkerhetsoppdateringfor filattributter for Windows Server 2012.
Notater
-
Filene som gjelder for et bestemt produkt, en bestemt milepæl (RTM, SPn) og avdeling (LDR, GDR), kan identifiseres ved å kontrollere filversjonsnumrene som vist i følgende tabell:
Versjon
Produkt
Milepæl
Avdeling
6.3.960 0.18 xxx
Windows Server 2012 R2
RTM
GDR
-
GDR-grener inneholder bare de reparasjonene som er bredt publikum for å løse omfattende, kritiske problemer. LDR-avdelinger inneholder hurtigreparasjoner i tillegg til mye utgis.
-
MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført i delen "mer informasjon". MUM, MANIFEST og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er svært viktig å opprettholde statusen for de oppdaterte komponentene. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.
x64 Windows Server 2012 R2
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
SP-krav |
Avdeling |
---|---|---|---|---|---|---|---|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
Ntdsa.mof |
Ikke tilgjengelig |
227,765 |
18-Jun-2013 |
14:45 |
Ikke tilgjengelig |
Ingen |
Ikke tilgjengelig |
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
Ingen |
Ikke tilgjengelig |
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 Windows Server 2012 R2
Filegenskapen |
Verdi |
---|---|
Filnavn |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
715 |
Dato (UTC) |
11-Mar-2016 |
Tid (UTC) |
06:59 |
Plattform |
Ikke tilgjengelig |
Filnavn |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
717 |
Dato (UTC) |
11-Mar-2016 |
Tid (UTC) |
06:59 |
Plattform |
Ikke tilgjengelig |
Filnavn |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
716 |
Dato (UTC) |
11-Mar-2016 |
Tid (UTC) |
06:59 |
Plattform |
Ikke tilgjengelig |
Filnavn |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
2,613 |
Dato (UTC) |
10-Mar-2016 |
Tid (UTC) |
19:25 |
Plattform |
Ikke tilgjengelig |
Filnavn |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
3,356 |
Dato (UTC) |
10-Mar-2016 |
Tid (UTC) |
19:25 |
Plattform |
Ikke tilgjengelig |
Filnavn |
Update.mum |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
2,465 |
Dato (UTC) |
11-Mar-2016 |
Tid (UTC) |
06:59 |
Plattform |
Ikke tilgjengelig |
Filnavn |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
2,609 |
Dato (UTC) |
10-Mar-2016 |
Tid (UTC) |
18:57 |
Plattform |
Ikke tilgjengelig |