Dit artikel bevat een update voor Windows Server 2012 R2- of Windows Server 2012-domeincontroller gedateerd April 2016 de volgende problemen opgelost worden:
-
Probleem 1 Invoegingen sneller naar de wachtrij wijzigen. Zie voor meer informatie.
-
Probleem 2 De naam van een domein behoren computers met Microsoft SQL Server kunnen mislukken als de naamswijziging wordt verwerkt door Windows Server 2012 R2 DCs. Zie voor meer informatie.
-
Probleem 3 Enkele aanmeldingen zijn juist in Active Directory als twee aanmeldingen nodig. Zie voor meer informatie.
-
Editie 4 LSSAS toegangsfout met fout "0xC0000005" wanneer het doelwit van AAD verbinding maken met clients met 'volledige import'. Zie voor meer informatie.
-
Probleem 5 LSASS-toegangsfout treedt op wanneer het is aangewezen door de LDAP-query recursief tegen een AD-groep. Zie voor meer informatie.
Voordat u deze update installeert, zie de sectie Vereisten .
Problemen die in deze update worden opgelost
Probleem 1 Snellere voegt naar Active Directory wijzigen kennisgeving wachtrij vertragingen onderhoud threadgroep asynchrone Thread-wachtrij (ATQ), LDAP-query's en melding op basis van replicatie.
Als deze voorwaarde waar is, de domeincontroller (DC) Local Security Authority Subsystem Service (LSASS) verbruikt hoog CPU-gebruik of 100% CPU-gebruik in extreme gevallen. De volgende bewerkingen worden geblokkeerd als de wijziging melding wachtrijen op een bepaalde DC ontwikkelen:
-
Active Directory-replicatie geactiveerd door het wijzigingsbericht wordt vertraagd.
-
ATQ thread registratie of verwijdering is vertraagd.
-
Schrijfbewerkingen naar de DC geblokkeerd.
-
Wanneer de invoegpositie tekenreeks lopende is, wordt de verwerking van de wachtrij is ook geblokkeerd. Melding op basis van replicatie wordt tijdens deze bewerking geblokkeerd.
-
CPU-gebruik voor het LSASS-proces uitgevoerd op DCs koud, zoals alle meerdere bewerkingen worden geblokkeerd en de enige thread CPU-tijd als Active Directory-replicatie wordt.
Deze update bevat een bovengrens voor het aantal items van bericht wijzigen dat een domeincontroller in de wachtrij. Zodra deze drempel is bereikt, wordt de DC beantwoorden met 'ERROR_DS_ADMIN_LIMIT_EXCEEDED'. De drempelwaarde is standaard 4096. De volgende registersleutel kan worden toegevoegd aan deze drempel zo nodig te wijzigen:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD 'Maximale gelijktijdige LDAP-meldingen'Een maximale waarde voor meldingen te laag kan leiden tot onnodige storingen clients kennisgeving te wijzigen. Daarom is het belangrijk om te bepalen van het "normale" bereik van dit item voor de toepassing van de hotfix. Om vast te stellen in het bovenste bereik van de wachtrij wijzigen, moet u rekening houden toezicht op de teller DS kennis wachtrijgrootte op alle domeincontrollers in het forest om piek waarden te bepalen.
Rekening houden met een buffer van ten minste 25% boven de piekwaarde ervaren bij het controleren van deze waarde om te bepalen van de juiste waarde van Maximum gelijktijdige LDAP-meldingen.
Opmerking De correctie voor dit probleem is opgenomen in beveiligingsupdate 3160352.
Probleem 2 De naam van een domein behoren Microsoft SQL Server-lidcomputers mislukt met foutcode 'Active Directory is bezig'.
Dit probleem treedt op wanneer de volgende voorwaarden voldaan wordt:
-
Microsoft SQL Server is geïnstalleerd op een Windows-computer die lid is van een Active Directory-domein.
-
De belangrijkste naam SPN (Service) die geregistreerd door Microsoft SQL Server of Microsoft SQL Express bevat niet-numerieke tekens na de ":" als scheidingsteken in het SPN-kenmerk van de computeraccount die naam wordt gewijzigd.
-
De naam van de computer waarop Microsoft SQL Server wordt gewijzigd in het Configuratiescherm.
-
Een domeincontroller voor Windows Server 2012 R2 services de naamswijziging.
Op dezelfde manier toevoegen de naam van een andere computer ook niet. En de opdracht NetDom add computernaam mislukt met de volgende een op het scherm fout:
Kan niet worden newhost.domain.com als een alternatieve naam voor de computer toevoegen
De fout is:
De aangevraagde bron is in gebruik.
De opdracht is niet voltooid.
Zie voor meer informatie over dit probleem 3152220 bijwerken.
Issue 3
Een enkele aanmeldingspoging op de website wordt geteld als twee aanmeldingspogingen in Active Directory. Daarom neemt aantal onjuist wachtwoord met twee in plaats van een.
Editie 4 LSASS-toegangsfout treedt op met "0xc0000005" fout op Windows Server 2012 R2 DCs doelwit van Azure AD verbinden identiteit sync clients met 'Volledige Import'.
Wanneer een gebruiker 'Volledige Import' op Azure AD verbinden identiteit sync client op basis van een DC op basis van Windows Server 2012 R2 wordt uitgevoerd, treedt een toegangsfout op in LSASS-proces en de domeincontroller opnieuw is opgestart met foutcode "0xc0000005". Dit probleem treedt op wanneer de Prullenbak van Active Directory is uitgeschakeld.
Zie voor meer informatie over dit probleem 3145339 bijwerken.
Probleem 5
Lsass.exe loopt vast op een domeincontroller met een toegangsfout wanneer een gebruiker een recursieve Lightweight Directory Access Protocol (LDAP)-query uitvoert op een Active Directory-groep met veel geneste groepen. Een voorbeeld van een query die dit type crash kan worden geactiveerd, is als volgt:
ldifde -f t.txt -d "dc =contoso, dc = com" - r "(memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
Hoe krijg ik deze update
Belangrijk Als u een taalpakket installeert nadat u deze update installeert, moet u deze update opnieuw installeren. Daarom wordt aangeraden dat u de taalpakketten die u nodig hebt, installeert voordat u deze update installeert. Zie voor meer informatie Taalpakketten toevoegen aan Windows.
Methode 1: Windows Update
Deze update is bedoeld als een aanbevolen update via Windows Update. Zie voor meer informatie over het uitvoeren van Windows Update, het verkrijgen van een update via Windows Update.
Methode 2: Microsoft Update-catalogus
Als u het zelfstandige pakket voor deze update, gaat u naar een van de volgende websites van Microsoft Update-catalogus:
Opmerking U moet gebruik maken van Microsoft Internet Explorer 6.0 of hoger.
Gedetailleerde informatie over deze update
Vereisten
Als u deze update installeert, moet u eerst April 2014, updatepakket voor Windows RT 8.1, Windows 8.1, en Windows Server 2012 R2 (2919355) installeren in Windows Server 2012 R2.
Opmerking De update moet worden geïnstalleerd op computers met Windows Server 2012 R2 of Windows Server 2012 waarop de domeincontroller van Active Directory domain services (ADDS).
Informatie over het register
Als u deze update hebt toegepast, hoeft u geen wijzigingen aan te brengen in het register.
Opnieuw opstarten
U moet de computer opnieuw opstarten nadat u deze update hebt toegepast.
Informatie over het vervangen van updates
Deze update vervangt geen eerder uitgebrachte update.
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Referenties
Meer informatie over de terminologie die door Microsoft wordt gebruikt om software-updates te beschrijven.
Informatie over bestanden
De Engelse (Verenigde Staten) versie van deze software-update installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven.
Opmerking Zie de 3160352 van de beveiligingsupdatevoor de bestandskenmerken van Windows Server 2012.
Opmerkingen
-
De bestanden die van toepassing zijn op een specifiek product, mijlpaal (RTM, SPn), en servicestructuur (LDR, GDR) kunnen worden geïdentificeerd door de bestandsversienummers te onderzoeken zoals deze zijn aangegeven in de volgende tabel:
Versie
Product
Mijlpaal
Servicestructuur
6.3.960 0.18 xxx
Windows Server 2012 R2
RTM
GDR
-
GDR-servicestructuren bevatten uitsluitend de oplossingen die algemeen worden vrijgegeven om wijdverbreide kritieke problemen aan te pakken. LDR-servicestructuren bevatten hotfixes die op grote schaal beschikbaar gestelde oplossingen aanvullen.
-
De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn vermeld in de sectie 'Aanvullende bestandsinformatie'. MUM, MANIFEST en de bijbehorende beveiligingscatalogusbestanden (.cat) zijn zeer belangrijk voor het statusbeheer van de bijgewerkte onderdelen. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
x64 Windows Server 2012 R2
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
SP-vereiste |
Servicestructuur |
---|---|---|---|---|---|---|---|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
BEVEILIGD-WACHTWOORDVERIFICATIE |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
Ntdsa.mof |
Niet van toepassing |
227,765 |
18-Jun-2013 |
14:45 |
Niet van toepassing |
Geen |
Niet van toepassing |
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
Geen |
Niet van toepassing |
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
BEVEILIGD-WACHTWOORDVERIFICATIE |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 Windows Server 2012 R2
Bestandseigenschap |
Waarde |
---|---|
Bestandsnaam |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
715 |
Datum (UTC) |
11-Mar-2016 |
Tijd (UTC) |
06:59 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
717 |
Datum (UTC) |
11-Mar-2016 |
Tijd (UTC) |
06:59 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
716 |
Datum (UTC) |
11-Mar-2016 |
Tijd (UTC) |
06:59 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
2,613 |
Datum (UTC) |
10-Mar-2016 |
Tijd (UTC) |
19:25 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
3,356 |
Datum (UTC) |
10-Mar-2016 |
Tijd (UTC) |
19:25 |
Platform |
Niet van toepassing |
Bestandsnaam |
Update.mum |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
2,465 |
Datum (UTC) |
11-Mar-2016 |
Tijd (UTC) |
06:59 |
Platform |
Niet van toepassing |
Bestandsnaam |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
2,609 |
Datum (UTC) |
10-Mar-2016 |
Tijd (UTC) |
18:57 |
Platform |
Niet van toepassing |