Este artigo descreve uma atualização para o controlador de domínio baseado em Windows Server 2012 R2 ou o Windows Server 2012 datada de abril de 2016 corrige os seguintes problemas:
-
Problema 1 Inserções mais rápidas para a fila de notificação de alteração. Ver os detalhes.
-
Problema 2 Renomeações de computadores de domínio que estão executando o Microsoft SQL Server podem falhar se a operação de renomeação é atendida pelo Windows Server 2012 R2 DCs. ver detalhes.
-
Problema 3 Logon único é relatado incorretamente no Active Directory como dois logons. Ver os detalhes.
-
Problema 4 LSSAS violação de acesso ocorre com o erro "0xC0000005" quando almejado AAD conectar clientes "importação completa". Ver os detalhes.
-
Problema 5 Violação de acesso LSASS ocorre quando ele é direcionado pela consulta recursiva LDAP um grupo do AD. Ver os detalhes.
Antes de instalar esta atualização, consulte a seção Pré-requisitos .
Problemas corrigidos nesta atualização
Problema 1 Inserções mais rápidas para o Active Directory alterar notificação fila atrasos na manutenção do pool de threads de fila de Thread assíncronas (ATQ), consultas LDAP e notificação com base em replicação.
Quando essa condição for verdadeira, o controlador de domínio (DC) LSASS Local Security Authority Subsystem Service () consome alto uso da CPU ou 100% da CPU em casos extremos. As operações a seguir são bloqueadas quando desenvolvem filas de notificação de alteração em um determinado controlador de domínio:
-
Acionada por notificação de alteração da replicação do Active Directory está atrasada.
-
Registro de segmentos ATQ ou cancelamento de registro está atrasado.
-
Gravações para o controlador de domínio são bloqueadas.
-
Quando a cadeia de caracteres de inserção é um processo contínua, o processamento da fila de notificação também é bloqueado. Notificação com base em replicação bloqueada durante a operação.
-
Uso da CPU para o processo LSASS executa frio em controladores de domínio como todas as várias operações são bloqueadas e o único thread obtém o tempo de CPU, como a replicação do Active Directory.
Esta atualização inclui um limite superior para o número de itens de notificação de alteração de um controlador de domínio será adicionado à fila. Quando esse limite for atingido, o controlador de domínio responderá com "ERROR_DS_ADMIN_LIMIT_EXCEEDED". Por padrão, o limite é de 4096. Pode ser adicionada a seguinte chave do registro para modificar esse limite, conforme necessário:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Notificações LDAP simultâneas máximo"Um valor máximo para notificações de alteração é muito baixo pode resultar em falhas desnecessárias alterar clientes de notificação. Portanto, é importante determinar o intervalo desse contador antes de implementar o hotfix "normal". Para estabelecer o intervalo superior da fila de notificação de alteração, considere a possibilidade de monitorar o contador de tamanho da fila de notificação de DS em todos os controladores de domínio na floresta para determinar os valores de pico.
Considere um buffer pelo menos 25% sobre o valor de pico experientes ao monitorar esse contador para determinar um valor apropriado de máximo notificações LDAP simultâneas.
Observação: A correção para esse problema está incluída na atualização de segurança 3160352.
Problema 2 Renomeações de domínio computadores de membros do Microsoft SQL Server falhar com o erro "o serviço de diretório está ocupado".
Esse problema ocorre quando as seguintes condições forem verdadeiras:
-
Microsoft SQL Server é instalado em um computador baseado no Windows que tenha ingressado em um domínio do Active Directory.
-
O serviço de nome Principal (SPN) é registrado pelo Microsoft SQL Server ou o Microsoft SQL Express contém caracteres não-numéricos após o ":" delimitador no atributo SPN da conta do computador que está sendo renomeado.
-
O computador que está hospedando o Microsoft SQL Server é renomeado no painel de controle.
-
A operação de renomeação de serviços de um controlador de domínio do Windows Server 2012 R2.
Da mesma forma, adicionar um nome de computador alternativo também apresenta falhas. E Adicionar NetDom computername falhar com a seguinte uma tela erro:
Não é possível adicionar newhost.domain.com como um nome alternativo para o computador
O erro é:
O recurso solicitado está em uso.
O comando não foi concluída com êxito.
Para obter mais informações sobre esse problema, consulte a atualização 3152220.
Issue 3
Uma tentativa de logon único no site é contada como duas tentativas de logon no Active Directory. Portanto, aumenta a contagem de senha incorreta por dois, em vez de um.
Problema 4 Violação de acesso LSASS ocorre com o erro "0xc0000005" em DCs do Windows Server 2012 R2 alvo de clientes de sincronização do Azure Connect AD identidade que executam "Importação completa".
Quando um usuário executa "Importação completa" no cliente de sincronização do Azure Connect AD identidade em relação a um controlador de domínio baseado no Windows Server 2012 R2, violação de acesso ocorre no processo LSASS e o controlador de domínio for reiniciado com código de erro "0xc0000005". Esse problema ocorre quando o Active Directory Recycle Bin é desativado.
Para obter mais informações sobre esse problema, consulte a atualização 3145339.
Problema 5
Lsass.exe falha em um controlador de domínio com uma violação de acesso quando um usuário executa uma consulta de Lightweight Directory Access Protocol (LDAP) recursiva em relação a um grupo do Active Directory que tem muitos grupos aninhados. Um exemplo de uma consulta que pode disparar esse tipo de falha é da seguinte maneira:
t.txt de -f de LDIFDE -d "dc =contoso, dc = com" - r "(memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
Como obter essa atualização
Importante: se você instalar um pacote de idiomas depois de instalar esta atualização, é necessário reinstalá-la. Portanto, recomendamos que você instale qualquer pacote de idioma necessário antes de instalar essa atualização. Para obter mais informações, consulte Adicionar pacotes de idiomas para o Windows
Método 1: Windows Update
Esta atualização é fornecida como uma atualização recomendada no Windows Update. Para obter mais informações sobre como executar o Windows Update, consulte como obter uma atualização no Windows Update.
Método 2: Catálogo do Microsoft Update
Para obter o pacote autônomo para essa atualização, visite um dos seguintes sites do catálogo do Microsoft Update:
Observação: Você deve executar o Microsoft Internet Explorer 6.0 ou posterior.
Informações detalhadas da atualização
Pré-requisitos:
Para instalar essa atualização, você deve primeiro instalar abril de 2014, update rollup para o Windows RT 8.1, 8.1 para Windows e Windows Server 2012 R2 (2919355) no Windows Server 2012 R2.
Observação: A atualização deve ser instalada em computadores Windows Server 2012 R2 ou no Windows Server 2012 que hospedam a função de controlador de domínio do Active Directory domínio serviços (ADDS).
Informações do registro:
Para aplicar essa atualização, você não precisa fazer alterações no registro.
Requisitos de reinicialização:
Você terá que reiniciar o computador após aplicar essa atualização.
Informações de substituição da atualização
Esta atualização não substitui outra atualização lançada previamente.
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Referências
Saiba mais sobre a terminologia usada pela Microsoft para descrever as atualizações de software.
Informações sobre o arquivo
A versão em inglês (Estados Unidos) dessa atualização de software instala arquivos que possuam os atributos listados nas tabelas a seguir.
Observação: Para os atributos de arquivo do Windows Server 2012, consulte 3160352 de atualização de segurança.
Observações:
-
Os arquivos que se aplicam a um produto, etapa (RTM, SPn) e ramificação do serviço (LDR, GDR) podem ser identificados ao examinar os números de versão do arquivo conforme mostrado na tabela a seguir:
Versão
Produto
Etapa do projeto
Ramificação do serviço
6.3.960 0.18 xxx
Windows Server 2012 R2
RTM
GDR
-
As ramificações do serviço GDR contêm somente correções amplamente disponibilizadas para resolver problemas críticos que sejam bastante conhecidos. As ramificações do serviço LDR contém hotfixes, além de correções amplamente disponibilizadas.
-
Os arquivos MANIFEST (.manifest) e os arquivos MUM (.mum) instalados para cada ambiente são listados na seção "Informações adicionais de arquivo". Os arquivos de catálogo de segurança associados (.cat), MUM e MANIFEST, são muito importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
x64 do Windows Server 2012 R2
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
Requisito de SP |
Ramificação do serviço |
---|---|---|---|---|---|---|---|
Dsparse.dll |
6.3.9600.18264 |
30.208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
14:45 |
Não aplicável |
Nenhum |
Não aplicável |
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
Nenhum |
Não aplicável |
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 do Windows Server 2012 R2
Propriedade de arquivo |
Valor |
---|---|
Nome do Arquivo |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
715 |
Data (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
Não aplicável |
Nome do Arquivo |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
717 |
Data (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
Não aplicável |
Nome do Arquivo |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
716 |
Data (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
Não aplicável |
Nome do Arquivo |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
2,613 |
Data (UTC) |
10-Mar-2016 |
Hora (UTC) |
19:25 |
Plataforma |
Não aplicável |
Nome do Arquivo |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
3,356 |
Data (UTC) |
10-Mar-2016 |
Hora (UTC) |
19:25 |
Plataforma |
Não aplicável |
Nome do Arquivo |
Update.mum |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
2,465 |
Data (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
Não aplicável |
Nome do Arquivo |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
2,609 |
Data (UTC) |
10-Mar-2016 |
Hora (UTC) |
18:57 |
Plataforma |
Não aplicável |