W tym artykule opisano aktualizację dla kontrolera domeny z systemem Windows Server 2012 R2 lub systemem Windows Server 2012 z dnia kwietnia 2016, który rozwiązuje następujące problemy:
-
Wydanie 1 Szybsze wstawienia do kolejki zmiany powiadomienia. Zobacz szczegóły.
-
Problem 2 Zmienia nazwę systemu przyłączonych do domeny komputerach z systemem Microsoft SQL Server może się nie powieść, jeśli operacja zmiany nazwy jest obsługiwane przez system Windows Server 2012 R2 DCs. Zobacz szczegóły.
-
Problem 3 Pojedynczego logowania są zgłaszane niepoprawnie w usłudze Active Directory jako dwa logowania. Zobacz szczegóły.
-
Problem 4 LSSAS naruszenie zasad dostępu występuje z powodu błędu "0xC0000005" kierowane przez łączenie AAD klientów działających "pełnego importu". Zobacz szczegóły.
-
Wydanie 5 Usługa LSASS naruszenie zasad dostępu występuje, gdy paradoksalnie cykliczne kwerendy LDAP w odniesieniu grupy w usłudze AD. Zobacz szczegóły.
Przed zainstalowaniem tej aktualizacji, zobacz sekcję wymagania wstępne .
Problemy rozwiązane w tej aktualizacji
Wydanie 1 Szybsze wkładki do usługi Active Directory zmienić powiadomienie kolejki opóźnienia obsługi puli wątków asynchronicznego wątku kolejki (ATQ), kwerend LDAP i replikacji powiadomienie oparte.
Jeżeli ten warunek jest spełniony, kontroler domeny (DC) lokalnego uwierzytelniania zabezpieczeń podsystemu Service (LSASS) zużywa obciążenia Procesora lub użycie Procesora 100% w sytuacjach nadzwyczajnych. Następujące operacje są blokowane, gdy zmiany powiadomienia kolejek opracowanie na danym kontrolerze domeny:
-
Replikacja usługi Active Directory wyzwalane przez zmiany powiadomienia jest opóźnione.
-
Rejestracja wątków ATQ lub wyrejestrowania jest opóźniona.
-
Zapisy do kontrolera domeny są zablokowane.
-
Podczas wstawiania ciąg jest w toku, przetwarzanie kolejki powiadamiania jest zablokowany. Replikacja powiadomienie oparte jest zablokowany podczas tej operacji.
-
Użycie Procesora przez proces LSASS działa zimno na kontrolerach domeny, ponieważ wszystkie wielu operacji są zablokowane i tylko wątek otrzymuje czas Procesora jako replikacji usługi Active Directory.
Ta aktualizacja zawiera górny limit na liczbę pozostałych elementów powiadomienia Zmień kontrolera domeny spowoduje dodanie do kolejki. Po osiągnięciu tego progu, kontroler domeny będzie odpowiadać z "ERROR_DS_ADMIN_LIMIT_EXCEEDED". Domyślnie próg wynosi 4096. Aby zmodyfikować ten próg, w razie potrzeby mogą być dodawane następujący klucz rejestru:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maksymalna równoczesnych LDAP powiadomienia"Maksymalna wartość dla powiadomienia o zmianie, która jest zbyt niska może spowodować błędy niepotrzebne, aby zmienić powiadomienie klientów. Dlatego ważne jest określenie "normalnego" zakresu tego licznika przed wprowadzeniem poprawek. Ustanowienie Górny zakres kolejki powiadomień zmiany, należy rozważyć monitorowanie licznika rozmiar kolejki powiadomienia DS na wszystkich kontrolerach domeny w lesie, do określenia wartości szczytowe.
Należy wziąć pod uwagę bufor o co najmniej 25% na górze wartość szczytowa doświadczonych podczas monitorowania ten licznik, aby określić odpowiednią wartość maksymalna równoczesnych powiadomień LDAP.
Uwaga: Poprawkę dotyczącą tego problemu jest zawarte w aktualizacji zabezpieczeń 3160352.
Problem 2 Zmienia nazwę domeny komputerów członkowskich Microsoft SQL Server nie powiedzie się błąd "Usługa katalogowa jest zajęta".
Ten problem występuje, gdy są spełnione następujące warunki:
-
Microsoft SQL Server jest zainstalowany na komputerze systemu Windows, który jest przyłączony do domeny usługi Active Directory.
-
Główna nazwa usługi zarejestrowana przez Microsoft SQL Server lub Microsoft SQL Express zawiera znaki nienumeryczne po ":" ogranicznik w atrybut SPN konta komputera, która jest zmieniana.
-
Komputera, na którym uruchomiono program Microsoft SQL Server jest zmieniana w Panelu sterowania.
-
Kontroler domeny systemu Windows Server 2012 R2 usług operacji zmiany nazwy.
Podobnie dodanie nazwy komputera alternatywnych również kończy się niepowodzeniem. I polecenia NetDom add nazwa_komputera kończy się niepowodzeniem z następujących czynności na ekranie o błędzie:
Nie można dodać newhost.domain.com jako alternatywna nazwa komputera
Błąd jest:
Żądany zasób jest w użyciu.
Polecenie nie może zakończyć się pomyślnie.
Aby uzyskać więcej informacji o tym problemie zobacz Aktualizacja 3152220.
Issue 3
Próba logowania jednokrotnego na stronie internetowej jest liczone jako dwie próby logowania w usłudze Active Directory. W związku z tym licznik niepoprawne hasło zwiększa się przez dwa, a nie przez jednego.
Problem 4 Usługa LSASS naruszenie zasad dostępu występuje wraz z błąd "0xc0000005" na kierowane przez Azure Połącz AD tożsamości synchronizacji klienci z systemem "Pełnego importu" Windows Server 2012 R2 DCs.
Gdy użytkownik uruchamia "Pełnego importu" na Azure Połącz AD tożsamości klienta synchronizacji z kontrolera domeny z systemem Windows Server 2012 R2, występuje naruszenie zasad dostępu w procesie LSASS, a kontroler domeny jest uruchamiany z kodem błędu "0xc0000005". Ten problem występuje po wyłączeniu Active Directory Kosza.
Aby uzyskać więcej informacji o tym problemie zobacz Aktualizacja 3145339.
Wydanie 5
LSASS.exe ulega awarii na kontrolerze domeny błąd naruszenia zasad dostępu, gdy użytkownik uruchamia kwerendę cykliczną Lightweight Directory Access Protocol (LDAP) przeciwko grupę usługi Active Directory, który ma wiele grup zagnieżdżonych. Przykład kwerendy, który może wywołać tego rodzaju awarii jest następująca:
ldifde -f t.txt -d "dc =contoso, dc = com" - r "(memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
Jak uzyskać tę aktualizację
Ważne Jeśli po zainstalowaniu tej aktualizacji zainstalowany zostanie pakiet językowy, należy ponownie zainstalować tę aktualizację. Dlatego przed zainstalowaniem tej aktualizacji zaleca się zainstalowanie potrzebnego pakietu językowego. Aby uzyskać więcej informacji zobacz Dodawanie pakietów językowych systemu Windows.
Metoda 1: Usługi Windows Update
Ta aktualizacja jest dostępna jako zalecana aktualizacja w witrynie Windows Update. Aby uzyskać więcej informacji dotyczących sposobu uruchamiania usługi Windows Update, zobacz jak uzyskać aktualizację za pośrednictwem witryny Windows Update.
Metoda 2: Katalog Microsoft Update
Aby uzyskać pakiet autonomiczny tej aktualizacji, przejdź do jednego z następujących witryn wykazu usługi Microsoft Update w sieci Web:
Uwaga: Zostanie uruchomiony program Microsoft Internet Explorer 6.0 lub nowszy.
Szczegółowe informacje o aktualizacji
Wymagania wstępne
Aby zainstalować tę aktualizację, należy najpierw zainstalować kwietnia 2014 r., pakiet zbiorczy aktualizacji dla systemu Windows RT 8.1, 8.1 systemu Windows i systemu Windows Server 2012 R2 (2919355) w systemie Windows Server 2012 R2.
Uwaga Tę aktualizację należy zainstalować na komputerach z systemem Windows Server 2012 R2 lub systemem Windows Server 2012, przechowujących rolę kontrolera domeny usługi Active Directory domeny usługi (dodanie).
Informacje dotyczące rejestru
Aby zastosować tę aktualizację, nie trzeba wprowadzać żadnych zmian w rejestrze.
Wymagania dotyczące ponownego uruchomienia
Może być konieczne ponowne uruchomienie komputera po zastosowaniu tej aktualizacji.
Informacje dotyczące zastępowania aktualizacji
Ta aktualizacja nie zastępuje uprzednio wydanej aktualizacji.
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Powiązane artykuły
Zobacz więcej informacji na temat terminologii stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.
Informacje o pliku
Wersja angielskojęzyczna (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki, których atrybuty wymieniono w poniższych tabelach.
Uwaga Atrybuty plików systemu Windows Server 2012 zobacz 3160352 aktualizacji zabezpieczeń.
Uwagi
-
Pliki, które dotyczą określonego produktu, etapu rozwoju (RTM, SPn) i składnika usługi (LDR, GDR) można zidentyfikować przez sprawdzenie wersji pliku, jak pokazano w poniższej tabeli:
Wersja
Produkt
Kamień milowy
Składnik usługi
6.3.960 0,18 xxx
Windows Server 2012 R2
RTM
GDR
-
Składniki usługi GDR zawierają tylko te poprawki, które są publicznie wydane w celu rozwiązania często występujących, krytycznych problemów. Składniki usługi LDR zawierają też inne poprawki, a nie tylko publicznie rozpowszechniane poprawki.
-
Pliki MANIFESTU (manifest) i pliki MUM (mum) zainstalowane dla każdego środowiska są wymienione w sekcji "informacje o dodatkowych plikach". Pliki MUM, MANIFESTU oraz skojarzone pliki wykazu zabezpieczeń (.cat), muszą posiadać zaktualizowane składniki. Pliki katalogu zabezpieczeń, których atrybuty nie zostały wymienione, są podpisane za pomocą podpisu cyfrowego firmy Microsoft.
x64 systemu Windows Server 2012 R2
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
Dodatek SP |
Składnik usługi |
|---|---|---|---|---|---|---|---|
|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
BEZPIECZNE UWIERZYTELNIANIE HASŁA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
|
Ntdsa.mof |
Nie dotyczy |
227,765 |
18-Jun-2013 |
14:45 |
Nie dotyczy |
Brak |
Nie dotyczy |
|
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
Brak |
Nie dotyczy |
|
Dsparse.dll |
6.3.9600.18264 |
24064 |
10-Mar-2016 |
16:48 |
x86 |
BEZPIECZNE UWIERZYTELNIANIE HASŁA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 systemu Windows Server 2012 R2
|
Właściwości pliku |
Wartość |
|---|---|
|
Nazwa pliku |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
715 |
|
Data (UTC) |
11-Mar-2016 |
|
Godzina (UTC) |
06:59 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
717 |
|
Data (UTC) |
11-Mar-2016 |
|
Godzina (UTC) |
06:59 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
716 |
|
Data (UTC) |
11-Mar-2016 |
|
Godzina (UTC) |
06:59 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
2,613 |
|
Data (UTC) |
10-Mar-2016 |
|
Godzina (UTC) |
19:25 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
3,356 |
|
Data (UTC) |
10-Mar-2016 |
|
Godzina (UTC) |
19:25 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Update.mum |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
2 465 |
|
Data (UTC) |
11-Mar-2016 |
|
Godzina (UTC) |
06:59 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
2,609 |
|
Data (UTC) |
10-Mar-2016 |
|
Godzina (UTC) |
18:57 |
|
Platforma |
Nie dotyczy |
