W tym artykule opisano aktualizację dla kontrolera domeny z systemem Windows Server 2012 R2 lub systemem Windows Server 2012 z dnia kwietnia 2016, który rozwiązuje następujące problemy:

  • Wydanie 1 Szybsze wstawienia do kolejki zmiany powiadomienia. Zobacz szczegóły.

  • Problem 2 Zmienia nazwę systemu przyłączonych do domeny komputerach z systemem Microsoft SQL Server może się nie powieść, jeśli operacja zmiany nazwy jest obsługiwane przez system Windows Server 2012 R2 DCs. Zobacz szczegóły.

  • Problem 3 Pojedynczego logowania są zgłaszane niepoprawnie w usłudze Active Directory jako dwa logowania. Zobacz szczegóły.

  • Problem 4 LSSAS naruszenie zasad dostępu występuje z powodu błędu "0xC0000005" kierowane przez łączenie AAD klientów działających "pełnego importu". Zobacz szczegóły.

  • Wydanie 5 Usługa LSASS naruszenie zasad dostępu występuje, gdy paradoksalnie cykliczne kwerendy LDAP w odniesieniu grupy w usłudze AD. Zobacz szczegóły.


Przed zainstalowaniem tej aktualizacji, zobacz sekcję wymagania wstępne .

Problemy rozwiązane w tej aktualizacji

Wydanie 1 Szybsze wkładki do usługi Active Directory zmienić powiadomienie kolejki opóźnienia obsługi puli wątków asynchronicznego wątku kolejki (ATQ), kwerend LDAP i replikacji powiadomienie oparte.

Jeżeli ten warunek jest spełniony, kontroler domeny (DC) lokalnego uwierzytelniania zabezpieczeń podsystemu Service (LSASS) zużywa obciążenia Procesora lub użycie Procesora 100% w sytuacjach nadzwyczajnych. Następujące operacje są blokowane, gdy zmiany powiadomienia kolejek opracowanie na danym kontrolerze domeny:

  • Replikacja usługi Active Directory wyzwalane przez zmiany powiadomienia jest opóźnione.

  • Rejestracja wątków ATQ lub wyrejestrowania jest opóźniona.

  • Zapisy do kontrolera domeny są zablokowane.

  • Podczas wstawiania ciąg jest w toku, przetwarzanie kolejki powiadamiania jest zablokowany. Replikacja powiadomienie oparte jest zablokowany podczas tej operacji.

  • Użycie Procesora przez proces LSASS działa zimno na kontrolerach domeny, ponieważ wszystkie wielu operacji są zablokowane i tylko wątek otrzymuje czas Procesora jako replikacji usługi Active Directory.

Ta aktualizacja zawiera górny limit na liczbę pozostałych elementów powiadomienia Zmień kontrolera domeny spowoduje dodanie do kolejki.  Po osiągnięciu tego progu, kontroler domeny będzie odpowiadać z "ERROR_DS_ADMIN_LIMIT_EXCEEDED".  Domyślnie próg wynosi 4096.  Aby zmodyfikować ten próg, w razie potrzeby mogą być dodawane następujący klucz rejestru:

HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maksymalna równoczesnych LDAP powiadomienia"Maksymalna wartość dla powiadomienia o zmianie, która jest zbyt niska może spowodować błędy niepotrzebne, aby zmienić powiadomienie klientów. Dlatego ważne jest określenie "normalnego" zakresu tego licznika przed wprowadzeniem poprawek.  Ustanowienie Górny zakres kolejki powiadomień zmiany, należy rozważyć monitorowanie licznika rozmiar kolejki powiadomienia DS na wszystkich kontrolerach domeny w lesie, do określenia wartości szczytowe.

Należy wziąć pod uwagę bufor o co najmniej 25% na górze wartość szczytowa doświadczonych podczas monitorowania ten licznik, aby określić odpowiednią wartość maksymalna równoczesnych powiadomień LDAP.

Uwaga: Poprawkę dotyczącą tego problemu jest zawarte w aktualizacji zabezpieczeń 3160352.



Problem 2 Zmienia nazwę domeny komputerów członkowskich Microsoft SQL Server nie powiedzie się błąd "Usługa katalogowa jest zajęta".

Ten problem występuje, gdy są spełnione następujące warunki:

  • Microsoft SQL Server jest zainstalowany na komputerze systemu Windows, który jest przyłączony do domeny usługi Active Directory.

  • Główna nazwa usługi zarejestrowana przez Microsoft SQL Server lub Microsoft SQL Express zawiera znaki nienumeryczne po ":" ogranicznik w atrybut SPN konta komputera, która jest zmieniana.

  • Komputera, na którym uruchomiono program Microsoft SQL Server jest zmieniana w Panelu sterowania.

  • Kontroler domeny systemu Windows Server 2012 R2 usług operacji zmiany nazwy.

Podobnie dodanie nazwy komputera alternatywnych również kończy się niepowodzeniem. I polecenia NetDom add nazwa_komputera kończy się niepowodzeniem z następujących czynności na ekranie o błędzie:

Nie można dodać newhost.domain.com jako alternatywna nazwa komputera
Błąd jest:

Żądany zasób jest w użyciu.

Polecenie nie może zakończyć się pomyślnie.


Aby uzyskać więcej informacji o tym problemie zobacz Aktualizacja 3152220.


Issue 3

Próba logowania jednokrotnego na stronie internetowej jest liczone jako dwie próby logowania w usłudze Active Directory. W związku z tym licznik niepoprawne hasło zwiększa się przez dwa, a nie przez jednego.



Problem 4 Usługa LSASS naruszenie zasad dostępu występuje wraz z błąd "0xc0000005" na kierowane przez Azure Połącz AD tożsamości synchronizacji klienci z systemem "Pełnego importu" Windows Server 2012 R2 DCs.

Gdy użytkownik uruchamia "Pełnego importu" na Azure Połącz AD tożsamości klienta synchronizacji z kontrolera domeny z systemem Windows Server 2012 R2, występuje naruszenie zasad dostępu w procesie LSASS, a kontroler domeny jest uruchamiany z kodem błędu "0xc0000005". Ten problem występuje po wyłączeniu Active Directory Kosza.

Aby uzyskać więcej informacji o tym problemie zobacz Aktualizacja 3145339.



Wydanie 5

LSASS.exe ulega awarii na kontrolerze domeny błąd naruszenia zasad dostępu, gdy użytkownik uruchamia kwerendę cykliczną Lightweight Directory Access Protocol (LDAP) przeciwko grupę usługi Active Directory, który ma wiele grup zagnieżdżonych.  Przykład kwerendy, który może wywołać tego rodzaju awarii jest następująca:

ldifde -f t.txt -d "dc =contoso, dc = com" - r "(memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"

Jak uzyskać tę aktualizację

Ważne Jeśli po zainstalowaniu tej aktualizacji zainstalowany zostanie pakiet językowy, należy ponownie zainstalować tę aktualizację. Dlatego przed zainstalowaniem tej aktualizacji zaleca się zainstalowanie potrzebnego pakietu językowego. Aby uzyskać więcej informacji zobacz Dodawanie pakietów językowych systemu Windows.


Metoda 1: Usługi Windows Update

Ta aktualizacja jest dostępna jako zalecana aktualizacja w witrynie Windows Update. Aby uzyskać więcej informacji dotyczących sposobu uruchamiania usługi Windows Update, zobacz jak uzyskać aktualizację za pośrednictwem witryny Windows Update.

Metoda 2: Katalog Microsoft Update

Aby uzyskać pakiet autonomiczny tej aktualizacji, przejdź do jednego z następujących witryn wykazu usługi Microsoft Update w sieci Web:

Uwaga: Zostanie uruchomiony program Microsoft Internet Explorer 6.0 lub nowszy.

Szczegółowe informacje o aktualizacji

Wymagania wstępne

Aby zainstalować tę aktualizację, należy najpierw zainstalować kwietnia 2014 r., pakiet zbiorczy aktualizacji dla systemu Windows RT 8.1, 8.1 systemu Windows i systemu Windows Server 2012 R2 (2919355) w systemie Windows Server 2012 R2.

Uwaga Tę aktualizację należy zainstalować na komputerach z systemem Windows Server 2012 R2 lub systemem Windows Server 2012, przechowujących rolę kontrolera domeny usługi Active Directory domeny usługi (dodanie).

Informacje dotyczące rejestru

Aby zastosować tę aktualizację, nie trzeba wprowadzać żadnych zmian w rejestrze.

Wymagania dotyczące ponownego uruchomienia

Może być konieczne ponowne uruchomienie komputera po zastosowaniu tej aktualizacji.

Informacje dotyczące zastępowania aktualizacji

Ta aktualizacja nie zastępuje uprzednio wydanej aktualizacji.

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.

Powiązane artykuły

Zobacz więcej informacji na temat terminologii stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.

Informacje o pliku

Wersja angielskojęzyczna (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki, których atrybuty wymieniono w poniższych tabelach.

Uwaga Atrybuty plików systemu Windows Server 2012 zobacz 3160352 aktualizacji zabezpieczeń.

Uwagi

  • Pliki, które dotyczą określonego produktu, etapu rozwoju (RTM, SPn) i składnika usługi (LDR, GDR) można zidentyfikować przez sprawdzenie wersji pliku, jak pokazano w poniższej tabeli:

    Wersja

    Produkt

    Kamień milowy

    Składnik usługi

    6.3.960 0,18 xxx

    Windows Server 2012 R2

    RTM

    GDR

  • Składniki usługi GDR zawierają tylko te poprawki, które są publicznie wydane w celu rozwiązania często występujących, krytycznych problemów. Składniki usługi LDR zawierają też inne poprawki, a nie tylko publicznie rozpowszechniane poprawki.

  • Pliki MANIFESTU (manifest) i pliki MUM (mum) zainstalowane dla każdego środowiska są wymienione w sekcji "informacje o dodatkowych plikach". Pliki MUM, MANIFESTU oraz skojarzone pliki wykazu zabezpieczeń (.cat), muszą posiadać zaktualizowane składniki. Pliki katalogu zabezpieczeń, których atrybuty nie zostały wymienione, są podpisane za pomocą podpisu cyfrowego firmy Microsoft.

x64 systemu Windows Server 2012 R2

Nazwa pliku

Wersja pliku

Rozmiar pliku

Data

Godzina

Platforma

Dodatek SP

Składnik usługi

Dsparse.dll

6.3.9600.18264

30,208

10-Mar-2016

17:03

x64

BEZPIECZNE UWIERZYTELNIANIE HASŁA

AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP

Ntdsa.mof

Nie dotyczy

227,765

18-Jun-2013

14:45

Nie dotyczy

Brak

Nie dotyczy

Ntdsai.dll

6.3.9600.18264

3,688,960

10-Mar-2016

16:35

x64

Brak

Nie dotyczy

Dsparse.dll

6.3.9600.18264

24064

10-Mar-2016

16:48

x86

BEZPIECZNE UWIERZYTELNIANIE HASŁA

X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP


x64 systemu Windows Server 2012 R2

Właściwości pliku

Wartość

Nazwa pliku

Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest

Wersja pliku

Nie dotyczy

Rozmiar pliku

715

Data (UTC)

11-Mar-2016

Godzina (UTC)

06:59

Platforma

Nie dotyczy

Nazwa pliku

Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest

Wersja pliku

Nie dotyczy

Rozmiar pliku

717

Data (UTC)

11-Mar-2016

Godzina (UTC)

06:59

Platforma

Nie dotyczy

Nazwa pliku

Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest

Wersja pliku

Nie dotyczy

Rozmiar pliku

716

Data (UTC)

11-Mar-2016

Godzina (UTC)

06:59

Platforma

Nie dotyczy

Nazwa pliku

Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest

Wersja pliku

Nie dotyczy

Rozmiar pliku

2,613

Data (UTC)

10-Mar-2016

Godzina (UTC)

19:25

Platforma

Nie dotyczy

Nazwa pliku

Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest

Wersja pliku

Nie dotyczy

Rozmiar pliku

3,356

Data (UTC)

10-Mar-2016

Godzina (UTC)

19:25

Platforma

Nie dotyczy

Nazwa pliku

Update.mum

Wersja pliku

Nie dotyczy

Rozmiar pliku

2 465

Data (UTC)

11-Mar-2016

Godzina (UTC)

06:59

Platforma

Nie dotyczy

Nazwa pliku

X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest

Wersja pliku

Nie dotyczy

Rozmiar pliku

2,609

Data (UTC)

10-Mar-2016

Godzina (UTC)

18:57

Platforma

Nie dotyczy


Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×