Este artigo descreve um problema de vazamento de memória ocorre em controladores de domínio baseados no Windows Server 2012 R2 e em um Windows 8.1 ou computador baseado no Windows Server 2012 R2 que tem a função de servidor do Active Directory Lightweight Directory Services (AD LDS) instalada. Um hotfix está disponível para corrigir esse problema. O hotfix tem um pré-requisito.
Sintomas
Uma nova alocação de memória de heap arena foi introduzida na versão Windows Server 2012 R2 de serviços de diretório. Ele causa um vazamento de memória no Lsass.exe (função de controlador de domínio) e DsaMain.exe do processo de serviço de diretório leve (LDS) que pode consumir toda a memória disponível em seu controlador de domínio do Windows Server 2012 R2 ou servidor LDS.
Causa
Esse problema ocorre nas seguintes situações:
-
Promoção de controlador de domínio ou adição de réplica LDS a configuração definidaApós adicionar uma réplica para uma configuração por promoção de controlador de domínio ou adicionar uma instância do LDS no Windows Server 2012 R2 ou Windows 8.1, o mecanismo de replicação deve duplicar todos os objetos em contextos de nomeação necessários na nova instância. Durante a tarefa, processo de serviço de servidor de autoridade de segurança Local (LSASS) ou DsaMain.exe pode causar uma perda grave quando aloca virtuais bytes confirmados, embora o uso real é muito baixo. Além disso, o Dcpromo mostra a seguinte mensagem de erro:
Data ehora[INFO] replicar dados DC = Contoso,DC = com: recebido XXXXXX aproximadamente XXXXXX objetos e XXXXXX de aproximadamente XXXXXX distintos valores DN (nome)...Replicação crítica do data hora [aviso] não retornou 14
Código de erro 14 se traduz em: ERROR_OUTOFMEMORY - não há armazenamento suficiente está disponível para concluir esta operação.O seguinte evento é registrado no log de eventos durante ou dcpromo logo após termina:
Log de eventos
Origem do evento
ID
Descrição
Serviços de diretório
Replicação
2094
Aviso de desempenho: replicação foi atrasada ao aplicar as alterações para o objeto a seguir. Se esta mensagem ocorrer com frequência, isso indica que a replicação está ocorrendo lentamente e que o servidor pode ter dificuldade para acompanhar as alterações.Objeto DN: CN =nome do cliente, OU =unidade Organizacional, DC =Contoso, DC =comObjeto GUID: GUIDPartição DN: DC =Contoso, DC =comRegistro DNS msdcs de parceiro de replicação do servidor:Tempo decorrido (s): XXAção do usuárioUma razão comum para ver esse atraso é que esse objeto é especialmente grande, o tamanho de seus valores ou o número de valores. Primeiro, você deve considerar se o aplicativo pode ser alterado para reduzir a quantidade de dados armazenados no objeto, ou o número de valores. Se este é um grande grupo ou lista de distribuição, considere aumentar o nível funcional da floresta para Windows Server 2003 ou posterior, já que isso permitirá a replicação para trabalhar com mais eficiência. Você deve avaliar se a plataforma de servidor oferece desempenho suficiente em termos de memória e potência de processamento. Finalmente, convém considerar o ajuste do banco de dados do Active Directory Domain Services, movendo o banco de dados e os logs para separar partições de disco.Se você desejar alterar o limite de aviso, a chave do registro está incluída abaixo. Um valor de zero desabilitará a verificação.Dados adicionaisLimite de aviso (s): XXLimite de chave de registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator para atualizar objeto (s)
Serviços de diretório
KCC
1308
O Knowledge Consistency Checker (KCC) detectou que tentativas sucessivas de duplicar com o serviço de diretório a seguir consistentemente falhou.Tentativas:2Serviço de diretório:CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =Sites, CN =configuração, DC =Contoso, DC =comPeríodo de tempo (minutos):XXXXXXXO objeto de Conexão para esse serviço de diretório será ignorado e será estabelecida uma nova conexão temporária garantir que a replicação continua. Uma vez que reinicia a replicação com esse serviço de diretório, conexão temporário será removido.Dados adicionaisValor de erro:14 não há armazenamento suficiente está disponível para concluir esta operação.
Observação: O problema não ocorre se instalar a partir de promoção da mídia (IFM) para controladores de domínio é usado. No entanto, promoção IFM deve ser originado da mesma versão do sistema operacional.
-
O seguinte evento é registrado no log de eventos durante ou dcpromo logo após termina:
Log de eventos
Origem do evento
ID
Descrição
Serviços de diretório
Replicação
2094
Aviso de desempenho: replicação foi atrasada ao aplicar as alterações para o objeto a seguir. Se esta mensagem ocorrer com frequência, isso indica que a replicação está ocorrendo lentamente e que o servidor pode ter dificuldade para acompanhar as alterações.Objeto DN: CN =nome do cliente, OU =unidade Organizacional, DC =Contoso, DC =comObjeto GUID: GUIDPartição DN: DC =Contoso, DC =comRegistro DNS msdcs de parceiro de replicação do servidor:Tempo decorrido (s): XXAção do usuárioUma razão comum para ver esse atraso é que esse objeto é especialmente grande, o tamanho de seus valores ou o número de valores. Primeiro, você deve considerar se o aplicativo pode ser alterado para reduzir a quantidade de dados armazenados no objeto, ou o número de valores. Se este é um grande grupo ou lista de distribuição, considere aumentar o nível funcional da floresta para Windows Server 2003 ou posterior, já que isso permitirá a replicação para trabalhar com mais eficiência. Você deve avaliar se a plataforma de servidor oferece desempenho suficiente em termos de memória e potência de processamento. Finalmente, convém considerar o ajuste do banco de dados do Active Directory Domain Services, movendo o banco de dados e os logs para separar partições de disco.Se você desejar alterar o limite de aviso, a chave do registro está incluída abaixo. Um valor de zero desabilitará a verificação.Dados adicionaisLimite de aviso (s): XXLimite de chave de registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator para atualizar objeto (s)
Serviços de diretório
KCC
1308
O Knowledge Consistency Checker (KCC) detectou que tentativas sucessivas de duplicar com o serviço de diretório a seguir consistentemente falhou.Tentativas:2Serviço de diretório:CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =Sites, CN =configuração, DC =Contoso, DC =comPeríodo de tempo (minutos):XXXXXXXO objeto de Conexão para esse serviço de diretório será ignorado e será estabelecida uma nova conexão temporária garantir que a replicação continua. Uma vez que reinicia a replicação com esse serviço de diretório, conexão temporário será removido.Dados adicionaisValor de erro:14 não há armazenamento suficiente está disponível para concluir esta operação.
Observação: O problema não ocorre se instalar a partir de promoção da mídia (IFM) para controladores de domínio é usado. No entanto, promoção IFM deve ser originado da mesma versão do sistema operacional.
-
Código de erro 14 se traduz em: ERROR_OUTOFMEMORY - não há armazenamento suficiente está disponível para concluir esta operação. O seguinte evento é registrado no log de eventos durante ou dcpromo logo após termina:
Log de eventos
Origem do evento
ID
Descrição
Serviços de diretório
Replicação
2094
Aviso de desempenho: replicação foi atrasada ao aplicar as alterações para o objeto a seguir. Se esta mensagem ocorrer com frequência, isso indica que a replicação está ocorrendo lentamente e que o servidor pode ter dificuldade para acompanhar as alterações.Objeto DN: CN =nome do cliente, OU =unidade Organizacional, DC =Contoso, DC =comObjeto GUID: GUIDPartição DN: DC =Contoso, DC =comRegistro DNS msdcs de parceiro de replicação do servidor:Tempo decorrido (s): XXAção do usuárioUma razão comum para ver esse atraso é que esse objeto é especialmente grande, o tamanho de seus valores ou o número de valores. Primeiro, você deve considerar se o aplicativo pode ser alterado para reduzir a quantidade de dados armazenados no objeto, ou o número de valores. Se este é um grande grupo ou lista de distribuição, considere aumentar o nível funcional da floresta para Windows Server 2003 ou posterior, já que isso permitirá a replicação para trabalhar com mais eficiência. Você deve avaliar se a plataforma de servidor oferece desempenho suficiente em termos de memória e potência de processamento. Finalmente, convém considerar o ajuste do banco de dados do Active Directory Domain Services, movendo o banco de dados e os logs para separar partições de disco.Se você desejar alterar o limite de aviso, a chave do registro está incluída abaixo. Um valor de zero desabilitará a verificação.Dados adicionaisLimite de aviso (s): XXLimite de chave de registro: Espera máximo System\CurrentControlSet\Services\NTDS\Parameters\Replicator para atualizar objeto (s)
Serviços de diretório
KCC
1308
O Knowledge Consistency Checker (KCC) detectou que tentativas sucessivas de duplicar com o serviço de diretório a seguir consistentemente falhou.Tentativas:2Serviço de diretório:CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =Sites, CN =configuração, DC =Contoso, DC =comPeríodo de tempo (minutos):XXXXXXXO objeto de Conexão para esse serviço de diretório será ignorado e será estabelecida uma nova conexão temporária garantir que a replicação continua. Uma vez que reinicia a replicação com esse serviço de diretório, conexão temporário será removido.Dados adicionaisValor de erro:14 não há armazenamento suficiente está disponível para concluir esta operação.
Observação: O problema não ocorre se instalar a partir de promoção da mídia (IFM) para controladores de domínio é usado. No entanto, promoção IFM deve ser originado da mesma versão do sistema operacional.
-
Propagação (SD) do descritor de segurançaUm problema de vazamento de memória pode ocorrer quando uma alteração de segurança em um objeto de recipiente (raiz de domínio ou unidade organizacional (OU)) é herdada em muitos objetos filho ou subordinados OUs embora propagação SD. Dependendo do tamanho da entrada de controle de acesso (ACE) a ser alterado e o número de objetos (por exemplo, 500.000), a propagação pode levar muito tempo. Durante esse tempo, o processo LSASS ou DsaMain constantemente pode alocar bytes confirmados.
-
Consultas de execução demoradaInesperadamente o consumo de memória virtual alto durante as consultas de Lightweight Directory Access Protocol (LDAP) de longa duração em servidores Windows Server 2012 R2 ou com base em Windows 8.1 LDAP pode resultar em paralisações de memória. As consultas de execução demorada consomem memória obtendo uma pilha para o descritor de segurança de cada objeto é alterado.
Nessas situações, quando os bytes confirmados atingem o número de bytes que estão disponíveis, o sistema se torne inutilizável e pode até falhar.
Resolução
Para corrigir esse problema, aplique o hotfix mencionado na seção a seguir.Para usar o hotfix no contexto de promoções de controlador de domínio (DCPROMO), siga estas etapas:
-
Instale a função Serviços de domínio Active Directory ou AD LDS.
-
Instale esta atualização ou atualizações do Windows Server 2012 R2 mais recentes e atualizações de segurança que contêm o mesmo Ntdsai.dll binários são sempre cumulativas.
-
Promova o computador para um status de controlador de domínio.
Importante: Se você instalar um pacote de idiomas depois de instalar esse hotfix, você deverá reinstalar esse hotfix. Portanto, recomendamos que você instale qualquer idioma pacotes necessárias antes de instalar esse hotfix. Para obter mais informações, consulte Adicionar pacotes de idiomas para o Windows
Informações sobre o hotfix
Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que apresentarem esse problema específico.Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, envie uma solicitação ao suporte e atendimento ao cliente Microsoft para obter o hotfix.Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicadas a perguntas de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportObservação: "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.
Pré-requisitos:
Para aplicar esse hotfix, você deve ter a abril de 2014 update rollup para o Windows RT 8.1, Windows 8.1 e o Windows Server 2012 R2 (2919355) instalado no Windows Server 2012 R2 ou o Windows 8.1.
Informações do registro:
Para aplicar esse hotfix, você não precisa fazer alterações no registro.
Requisitos de reinicialização:
Você terá que reiniciar o computador após aplicar esse hotfix.
Informações de substituição do hotfix:
Esse hotfix não substitui um hotfix lançado anteriormente.
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais informações
Se você habilitar NTDS\Diagnostics "9 Internal Processing" nível 2 como mencionado no artigo de Base de Conhecimento Microsoft 314980, você poderá ver os seguintes eventos de ActiveDirectory_DomainService. Esses eventos mostram a tarefa de propagação de SD de longa duração.
Evento 1257 - indicando o início da propagação SDEvento interno: A tarefa de propagação de descritor de segurança está processando o seguinte recipiente a partir de um evento de propagação.Recipiente: OU = unidade Organizacional, DC = Contoso, DC = com
Evento 2007 - indicando o andamento da propagação SD, conectado a cada 5 minutosEvento interno: A tarefa de propagação de descritor de segurança atingiu o seguinte recipiente e continuará com a propagação.Recipiente: OU = unidade Organizacional, DC = Contoso, DC = comNúmero de objetos é processada até o momento: XXXXXX
Evento 1258 - indicando o fim da propagação SD, depois de algumas horasEvento interno: A tarefa de propagação de descritor de segurança terminou de processar o seguinte recipiente a partir de um evento de propagação.Recipiente: OU = unidade Organizacional, DC = Contoso, DC = comNúmero de objetos processados: ZZZZZZ
Após a replicação do Active Directory para qualquer outro controlador de domínio baseado no Windows Server 2012 R2 ou instâncias LDS no domínio, o mesmo problema pode ocorrer porque a propagação de SD é executada localmente.Você não verá que o vazamento de memória no Active Directory coletor Definir relatório porque ele mostra só usado bytes. No entanto, você pode usar o desempenho criado monitor dados blog arquivo contador objeto: processo de verificação, instância: Lsass, contador: Private Bytes e objeto: memória, contador: Bytes confirmados.Para maior Observação do desenvolvimento do vazamento, você pode usar um "gráfico com amostra de propriedades, elementos gráficos, de Monitor de desempenho" cada 60 segundos. Duração: segundos 15.000 (> 4 horas).A alocação de aumenta também pode ser observada no Gerenciador de tarefas, guia desempenho, item memória, confirmado. Isso é exibido em disponível/confirmado gigabytes (GB).Indicadores de condição de erro são as seguintes:Repadmin /showrepl retorna:
Não há armazenamento suficiente está disponível para concluir esta operação.
Evento de erro 1699 logs do serviço de diretório:
Esse serviço de diretório não pôde recuperar as alterações solicitadas para a partição de diretório a seguir. Como resultado, era impossível enviar solicitações de alteração para o serviço de diretório no seguinte endereço da rede.Estendido código de solicitação: 0Dados adicionaisValor de erro: 8446 a operação de replicação não pôde alocar memória.
Popup de aplicativo:
Windows - sem memória Virtual: O sistema está com pouco memória virtual. Para garantir que o Windows seja executado adequadamente, aumente o tamanho do seu arquivo de paginação de memória virtual. Para obter mais informações, consulte a Ajuda.
Referências
Saiba mais sobre a terminologia usada pela Microsoft para descrever as atualizações de software.
Informações sobre o arquivo
A versão em inglês (Estados Unidos) dessa atualização de software instala arquivos que possuam os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas na Hora Universal Coordenada (UTC). Lembre-se de que as datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença do horário de verão atual. As datas e horas também podem ser alteradas quando você realizar determinadas operações nos arquivos.
Importante: do Windows 8.1 e hotfixes do Windows Server 2012 R2 estão incluídos nos mesmos pacotes. No entanto, os hotfixes na página solicitação de Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix listado em "Windows 8.1 / Windows Server 2012 R2" na página. Sempre consulte a seção "Aplica-se a" nos artigos para determinar o sistema operacional real que cada hotfix se aplica.Observações:
-
Os arquivos que se aplicam a um produto, etapa (RTM, SPn) e ramificação do serviço (LDR, GDR) podem ser identificados ao examinar os números de versão do arquivo conforme mostrado na tabela a seguir:
Versão
Produto
Etapa do projeto
Ramificação do serviço
6.3.960 0.18 xxx
para Windows 8.1 e o Windows Server 2012 R2
RTM
GDR
-
As ramificações do serviço GDR contêm somente correções amplamente disponibilizadas para resolver problemas críticos que sejam bastante conhecidos. As ramificações do serviço LDR contém hotfixes, além de correções amplamente disponibilizadas.
-
Os arquivos MANIFEST (.manifest) e os arquivos MUM (.mum) instalados para cada ambiente são listados na seção "Informações adicionais de arquivo". Os arquivos de catálogo de segurança associados (.cat), MUM e MANIFEST, são muito importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
x86 Windows 8.1
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
12:21 |
Não aplicável |
|
Ntdsai.dll |
6.3.9600.18116 |
2,583,552 |
03-Nov-2015 |
02:41 |
x86 |
x64 Windows 8.1 e do Windows Server 2012 R2
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
14:45 |
Não aplicável |
|
Ntdsai.dll |
6.3.9600.18116 |
3,676,160 |
03-Nov-2015 |
02:54 |
x64 |
x86 Windows 8.1
|
Propriedade de arquivo |
Valor |
|---|---|
|
Nome do Arquivo |
Update.mum |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
1.600 |
|
Data (UTC) |
04-Nov-2015 |
|
Hora (UTC) |
05:53 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
X86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
712 |
|
Data (UTC) |
04-Nov-2015 |
|
Hora (UTC) |
05:53 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
3,352 |
|
Data (UTC) |
03-Nov-2015 |
|
Hora (UTC) |
05:09 |
|
Plataforma |
Não aplicável |
x64 Windows 8.1 e do Windows Server 2012 R2
|
Propriedade de arquivo |
Valor |
|---|---|
|
Nome do Arquivo |
Amd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
716 |
|
Data (UTC) |
04-Nov-2015 |
|
Hora (UTC) |
05:53 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
3,356 |
|
Data (UTC) |
03-Nov-2015 |
|
Hora (UTC) |
06:04 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Update.mum |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
2,061 |
|
Data (UTC) |
04-Nov-2015 |
|
Hora (UTC) |
05:53 |
|
Plataforma |
Não aplicável |
