Vazamento de memória no processo LSASS em controladores de domínio baseados no Windows Server 2012 R2 e servidor AD LDS

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3083038
Este artigo descreve um problema de vazamento de memória ocorre em controladores de domínio baseados no Windows Server 2012 R2 e em um Windows 8.1 ou computador baseado no Windows Server 2012 R2 que tem a função de servidor do Active Directory Lightweight Directory Services (AD LDS) instalada. Um hotfix está disponível para corrigir esse problema. O hotfix tem um pré-requisito.
Sintomas
Uma nova alocação de memória de heap arena foi introduzida na versão Windows Server 2012 R2 de serviços de diretório. Ele causa um vazamento de memória no Lsass.exe (função de controlador de domínio) e DsaMain.exe do processo de serviço de diretório leve (LDS) que pode consumir toda a memória disponível em seu controlador de domínio do Windows Server 2012 R2 ou servidor LDS.
Causa
Esse problema ocorre nas seguintes situações:
  • Promoção de controlador de domínio ou adicionando LDS do conjunto de réplicas para configuração

    Após adicionar uma réplica para uma configuração por promoção de controlador de domínio ou adicionar uma instância do LDS no Windows Server 2012 R2 ou Windows 8.1, o mecanismo de replicação deve duplicar todos os objetos em contextos de nomeação necessários na nova instância. Durante a tarefa, processo de serviço de servidor de autoridade de segurança Local (LSASS) ou DsaMain.exe pode causar uma perda grave quando aloca virtuais bytes confirmados, embora o uso real é muito baixo. Além disso, o Dcpromo mostra a seguinte mensagem de erro:

    Data
    Hora[INFO] Replicação de dados DC = Contoso,DC = com: Recebido XXXXXX fora de aproximadamente XXXXXX objetos e XXXXXX de aproximadamente XXXXXX valores de nome distinto (DN)...

    Replicação crítica do DateTime [aviso] não retornou 14

    Código de erro 14 se traduz em: ERROR_OUTOFMEMORY - não há armazenamento suficiente está disponível para concluir esta operação.

    O seguinte evento é registrado no log de eventos durante ou dcpromo logo após termina:
    Log de eventosOrigem do eventoIDDescrição
    Serviços de diretório Replicação 2094Aviso de desempenho: replicação foi atrasada ao aplicar as alterações para o objeto a seguir. Se esta mensagem ocorrer com freqüência, isso indica que a replicação está ocorrendo lentamente e que o servidor pode ter dificuldade para acompanhar as alterações.

    Objeto DN: CN =Nome do cliente, UO =UNIDADE ORGANIZACIONAL, DC =Contoso, DC =com
    GUID de objeto: GUID
    Partição DN: DC =Contoso, DC =com
    Servidor: registro DNS msdcs de parceiro de replicação
    Tempo decorrido (s): XX

    Ação do usuário

    Uma razão comum para ver esse atraso é que esse objeto é especialmente grande, o tamanho de seus valores ou o número de valores. Primeiro, você deve considerar se o aplicativo pode ser alterado para reduzir a quantidade de dados armazenados no objeto, ou o número de valores. Se este é um grande grupo ou lista de distribuição, considere aumentar o nível funcional da floresta para Windows Server 2003 ou posterior, já que isso permitirá a replicação para trabalhar com mais eficiência. Você deve avaliar se a plataforma de servidor oferece desempenho suficiente em termos de memória e potência de processamento. Finalmente, convém considerar o ajuste do banco de dados do Active Directory Domain Services, movendo o banco de dados e os logs para separar partições de disco.

    Se você desejar alterar o limite de aviso, a chave do registro está incluída abaixo. Um valor de zero desabilitará a verificação.

    Dados adicionais

    Limite de aviso (s): XX

    Limite de chave de registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator para atualizar objeto (s)
    Serviços de diretórioKCC1308O Knowledge Consistency Checker (KCC) detectou que tentativas sucessivas de duplicar com o serviço de diretório a seguir consistentemente falhou.

    Tentativas:
    2
    Serviço de diretório:
    CN = NTDS Settings, CN =DC001, CN =Servidores, CN =site1, CN =Sites, CN =Configuração, DC =Contoso, DC =com
    Período de tempo (minutos):
    XXXXXXX

    O objeto de conexão para esse serviço de diretório será ignorado e será estabelecida uma nova conexão temporária garantir que a replicação continua. Uma vez que reinicia a replicação com esse serviço de diretório, a conexão temporária será removida.

    Dados adicionais
    Valor de erro:
    14 não há armazenamento suficiente está disponível para concluir esta operação
    .

    Observação: O problema não ocorre se instalar a partir de promoção da mídia (IFM) para controladores de domínio é usado. No entanto, promoção IFM deve ser originado da mesma versão do sistema operacional.
  • O seguinte evento é registrado no log de eventos durante ou dcpromo logo após termina:
    Log de eventosOrigem do eventoIDDescrição
    Serviços de diretório Replicação 2094Aviso de desempenho: replicação foi atrasada ao aplicar as alterações para o objeto a seguir. Se esta mensagem ocorrer com freqüência, isso indica que a replicação está ocorrendo lentamente e que o servidor pode ter dificuldade para acompanhar as alterações.

    Objeto DN: CN =Nome do cliente, UO =UNIDADE ORGANIZACIONAL, DC =Contoso, DC =com
    GUID de objeto: GUID
    Partição DN: DC =Contoso, DC =com
    Servidor: registro DNS msdcs de parceiro de replicação
    Tempo decorrido (s): XX

    Ação do usuário

    Uma razão comum para ver esse atraso é que esse objeto é especialmente grande, o tamanho de seus valores ou o número de valores. Primeiro, você deve considerar se o aplicativo pode ser alterado para reduzir a quantidade de dados armazenados no objeto, ou o número de valores. Se este é um grande grupo ou lista de distribuição, considere aumentar o nível funcional da floresta para Windows Server 2003 ou posterior, já que isso permitirá a replicação para trabalhar com mais eficiência. Você deve avaliar se a plataforma de servidor oferece desempenho suficiente em termos de memória e potência de processamento. Finalmente, convém considerar o ajuste do banco de dados do Active Directory Domain Services, movendo o banco de dados e os logs para separar partições de disco.

    Se você desejar alterar o limite de aviso, a chave do registro está incluída abaixo. Um valor de zero desabilitará a verificação.

    Dados adicionais

    Limite de aviso (s): XX

    Limite de chave de registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator para atualizar objeto (s)
    Serviços de diretórioKCC1308O Knowledge Consistency Checker (KCC) detectou que tentativas sucessivas de duplicar com o serviço de diretório a seguir consistentemente falhou.

    Tentativas:
    2
    Serviço de diretório:
    CN = NTDS Settings, CN =DC001, CN =Servidores, CN =site1, CN =Sites, CN =Configuração, DC =Contoso, DC =com
    Período de tempo (minutos):
    XXXXXXX

    O objeto de conexão para esse serviço de diretório será ignorado e será estabelecida uma nova conexão temporária garantir que a replicação continua. Uma vez que reinicia a replicação com esse serviço de diretório, a conexão temporária será removida.

    Dados adicionais
    Valor de erro:
    14 não há armazenamento suficiente está disponível para concluir esta operação
    .

    Observação: O problema não ocorre se instalar a partir de promoção da mídia (IFM) para controladores de domínio é usado. No entanto, promoção IFM deve ser originado da mesma versão do sistema operacional.
  • Código de erro 14 se traduz em: ERROR_OUTOFMEMORY - não há armazenamento suficiente está disponível para concluir esta operação. O seguinte evento é registrado no log de eventos durante ou dcpromo logo após termina:
    Log de eventosOrigem do eventoIDDescrição
    Serviços de diretório Replicação 2094Aviso de desempenho: replicação foi atrasada ao aplicar as alterações para o objeto a seguir. Se esta mensagem ocorrer com freqüência, isso indica que a replicação está ocorrendo lentamente e que o servidor pode ter dificuldade para acompanhar as alterações.

    Objeto DN: CN =Nome do cliente, UO =UNIDADE ORGANIZACIONAL, DC =Contoso, DC =com
    GUID de objeto: GUID
    Partição DN: DC =Contoso, DC =com
    Servidor: registro DNS msdcs de parceiro de replicação
    Tempo decorrido (s): XX

    Ação do usuário

    Uma razão comum para ver esse atraso é que esse objeto é especialmente grande, o tamanho de seus valores ou o número de valores. Primeiro, você deve considerar se o aplicativo pode ser alterado para reduzir a quantidade de dados armazenados no objeto, ou o número de valores. Se este é um grande grupo ou lista de distribuição, considere aumentar o nível funcional da floresta para Windows Server 2003 ou posterior, já que isso permitirá a replicação para trabalhar com mais eficiência. Você deve avaliar se a plataforma de servidor oferece desempenho suficiente em termos de memória e potência de processamento. Finalmente, convém considerar o ajuste do banco de dados do Active Directory Domain Services, movendo o banco de dados e os logs para separar partições de disco.

    Se você desejar alterar o limite de aviso, a chave do registro está incluída abaixo. Um valor de zero desabilitará a verificação.

    Dados adicionais

    Limite de aviso (s): XX

    Limite de chave de registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator para atualizar objeto (s)
    Serviços de diretórioKCC1308O Knowledge Consistency Checker (KCC) detectou que tentativas sucessivas de duplicar com o serviço de diretório a seguir consistentemente falhou.

    Tentativas:
    2
    Serviço de diretório:
    CN = NTDS Settings, CN =DC001, CN =Servidores, CN =site1, CN =Sites, CN =Configuração, DC =Contoso, DC =com
    Período de tempo (minutos):
    XXXXXXX

    O objeto de conexão para esse serviço de diretório será ignorado e será estabelecida uma nova conexão temporária garantir que a replicação continua. Uma vez que reinicia a replicação com esse serviço de diretório, a conexão temporária será removida.

    Dados adicionais
    Valor de erro:
    14 não há armazenamento suficiente está disponível para concluir esta operação
    .

    Observação: O problema não ocorre se instalar a partir de promoção da mídia (IFM) para controladores de domínio é usado. No entanto, promoção IFM deve ser originado da mesma versão do sistema operacional.
  • Propagação (SD) do descritor de segurança

    Um problema de vazamento de memória pode ocorrer quando uma alteração de segurança em um objeto de recipiente (raiz de domínio ou unidade organizacional (OU)) é herdada em muitos objetos filho ou subordinados OUs embora propagação SD. Dependendo do tamanho da entrada de controle de acesso (ACE) a ser alterado e o número de objetos (por exemplo, 500.000), a propagação pode levar muito tempo. Durante esse tempo, o processo LSASS ou DsaMain constantemente pode alocar bytes confirmados.
  • Consultas de execução demorada

    Inesperadamente o consumo de memória virtual alto durante as consultas de Lightweight Directory Access Protocol (LDAP) de longa duração em servidores Windows Server 2012 R2 ou com base em Windows 8.1 LDAP pode resultar em paralisações de memória. As consultas de execução demorada consomem memória obtendo uma pilha para o descritor de segurança de cada objeto é alterado.
Nessas situações, quando os bytes confirmados atingem o número de bytes que estão disponíveis, o sistema se torne inutilizável e pode até falhar.
Resolução
Para corrigir esse problema, aplique o hotfix mencionado na seção a seguir.

Para usar o hotfix no contexto de promoções de controlador de domínio (DCPROMO), siga estas etapas:
  1. Instale a função Serviços de domínio Active Directory ou AD LDS.
  2. Instale esta atualização ou atualizações do Windows Server 2012 R2 mais recentes e atualizações de segurança que contêm sameNtdsai.dll binários são sempre cumulativas.
  3. Promova o computador para um status de controlador de domínio.
Importante Se você instalar um pacote de idiomas depois de instalar esse hotfix, você deverá reinstalar esse hotfix. Portanto, recomendamos que você instale qualquer idioma pacotes necessárias antes de instalar esse hotfix. Para obter mais informações, consulte Adicionar pacotes de idiomas para o Windows.

Informações sobre o hotfix

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que apresentarem esse problema específico.

Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, envie uma solicitação ao suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação: Caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicadas a perguntas de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e Suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft: Observação: "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos:

Para aplicar esse hotfix, você deve ter o Conjunto de actualizações de abril de 2014 para Windows RT 8.1, 8.1 para Windows e Windows Server 2012 R2 (2919355) instalado em Windows 8.1 ou o Windows Server 2012 R2.

Informações do registro:

Para aplicar esse hotfix, você não precisa fazer alterações no registro.

Requisitos de reinicialização:

Você terá que reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix:

Esse hotfix não substitui um hotfix lançado anteriormente.
Situação
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais Informações
Se você habilitar NTDS\Diagnostics "9 Internal Processing" nível 2, como mencionado no artigo da Base de Conhecimento Microsoft 314980, você poderá ver os seguintes eventos de ActiveDirectory_DomainService. Esses eventos mostram a tarefa de propagação de SD de longa duração.


Evento 1257 - indicando o início da propagação SD
Evento interno: A tarefa de propagação de descritor de segurança está processando o seguinte recipiente a partir de um evento de propagação.
Recipiente: OU = unidade Organizacional, DC = Contoso, DC = com

Evento de 2007 - indicando o andamento da propagação SD, conectado a cada 5 minutos
Evento interno: A tarefa de propagação de descritor de segurança atingiu o seguinte recipiente e continuará com a propagação.
Recipiente: OU = unidade Organizacional, DC = Contoso, DC = com

Número de objetos processada até o momento: XXXXXX

Evento 1258 - indicando o fim da propagação SD, depois de algumas horas
Evento interno: A tarefa de propagação de descritor de segurança terminou de processar o seguinte recipiente a partir de um evento de propagação.
Recipiente: OU = unidade Organizacional, DC = Contoso, DC = com

Número de objetos processadas: XXXXXX


Após a replicação do Active Directory para qualquer outro controlador de domínio baseado no Windows Server 2012 R2 ou instâncias LDS no domínio, o mesmo problema pode ocorrer porque a propagação de SD é executada localmente.

Você não verá que o vazamento de memória no Active Directory coletor Definir relatório porque ele mostra só usado bytes. No entanto, você pode usar o desempenho criado monitor dados blog arquivo contador objeto: processo de verificação, instância: Lsass, contador: Private Bytes e objeto: memória, contador: Bytes confirmados.

Para maior Observação do desenvolvimento do vazamento, você pode usar um "gráfico com amostra de propriedades, elementos gráficos, de Monitor de desempenho" cada 60 segundos. Duração: 15.000 segundos (> 4 horas).

A alocação de aumenta também pode ser observada no Gerenciador de tarefas, guia desempenho, item memória, confirmado. Isso é exibido em disponível/confirmado gigabytes (GB).

Indicadores de condição de erro são as seguintes:

Repadmin /showrepl retorna:
Não há armazenamento suficiente está disponível para concluir esta operação.

Evento de erro 1699 logs do serviço de diretório:
Esse serviço de diretório não pôde recuperar as alterações solicitadas para a partição de diretório a seguir. Como resultado, era impossível enviar solicitações de alteração para o serviço de diretório no seguinte endereço da rede.
Estendido código de solicitação: 0
Dados adicionais
Valor de erro: 8446 a operação de replicação não pôde alocar memória.

Popup de aplicativo:
Windows - sem memória Virtual: O sistema está com pouco memória virtual. Para garantir que o Windows seja executado adequadamente, aumente o tamanho do seu arquivo de paginação de memória virtual. Para obter mais informações, consulte a Ajuda.


Referências
Saiba mais sobre o terminologia que a Microsoft usa para descrever as atualizações de software.
Informações sobre o arquivo
A versão em inglês (Estados Unidos) dessa atualização de software instala arquivos que possuam os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas na Hora Universal Coordenada (UTC). Lembre-se de que as datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença do horário de verão atual. As datas e horas também podem ser alteradas quando você realizar determinadas operações nos arquivos.

para Windows 8.1 e o Windows Server 2012 R2

Importante: do Windows 8.1 e hotfixes do Windows Server 2012 R2 estão incluídos nos mesmos pacotes. No entanto, os hotfixes na página solicitação de Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix listado em "Windows 8.1/Windows Server 2012 R2" na página. Sempre consulte a seção "Aplica-se a" nos artigos para determinar o sistema operacional real que cada hotfix se aplica.

Observações:
  • Os arquivos que se aplicam a um produto, etapa (RTM, SPn) e ramificação do serviço (LDR, GDR) podem ser identificados ao examinar os números de versão do arquivo conforme mostrado na tabela a seguir:
    VersãoProdutoEtapa do projetoRamificação do serviço
    6.3.960 0.18 xxxpara Windows 8.1 e o Windows Server 2012 R2RTMGDR
  • As ramificações do serviço GDR contêm somente correções amplamente disponibilizadas para resolver problemas críticos que sejam bastante conhecidos. As ramificações do serviço LDR contém hotfixes, além de correções amplamente disponibilizadas.
  • Os arquivos MANIFEST (.manifest) e os arquivos MUM (.mum) instalados para cada ambiente são listados na seção "Informações adicionais de arquivo". Os arquivos de catálogo de segurança associados (.cat), MUM e MANIFEST, são muito importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
x86 Windows 8.1
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Ntdsa.MOFNão aplicável227,76518 de junho de 201312:21Não aplicável
Ntdsai.dll6.3.9600.181162,583,55203-Nov-201502:41x86
x64 Windows 8.1 e do Windows Server 2012 R2
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Ntdsa.MOFNão aplicável227,76518 de junho de 201314:45Não aplicável
Ntdsai.dll6.3.9600.181163,676,16003-Nov-201502:54x64

Informações adicionais sobre o arquivo:

x86 Windows 8.1
Propriedade de arquivoValor
Nome do ArquivoUpdate.mum
Versão do arquivoNão aplicável
Tamanho do arquivo1.600
Data (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNão aplicável
Nome do ArquivoX86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo712
Data (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNão aplicável
Nome do ArquivoX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo3,352
Data (UTC)03-Nov-2015
Hora (UTC)05:09
PlataformaNão aplicável
x64 Windows 8.1 e do Windows Server 2012 R2
Propriedade de arquivoValor
Nome do ArquivoAmd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo716
Data (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNão aplicável
Nome do ArquivoAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo3,356
Data (UTC)03-Nov-2015
Hora (UTC)06:04
PlataformaNão aplicável
Nome do ArquivoUpdate.mum
Versão do arquivoNão aplicável
Tamanho do arquivo2,061
Data (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNão aplicável

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3083038 - Última Revisão: 07/07/2016 18:37:00 - Revisão: 6.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbautohotfix kbhotfixserver kbexpertiseinter kbmt KB3083038 KbMtpt
Comentários