Fuga de memória no processo de LSASS em controladores de domínio baseado no Windows Server R2 de 2012 e de servidor AD LDS

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3083038
Este artigo descreve um problema de fuga de memória que ocorre nos controladores de domínio baseado no Windows Server R2 de 2012 e num computador baseado no Windows Server 2012 R2 que tenha a função de servidor de Serviços LDS do Active Directory (AD LDS) instalada ou Windows 8.1. Uma correcção está disponível para corrigir este problema. A correcção tem um pré-requisito.
Sintomas
Foi introduzida uma alocação de memória de pilha arena novo na versão do Windows Server 2012 R2 dos serviços de directório. Causar uma fuga de memória no Lsass.exe (função de controlador de domínio) e DsaMain.exe do processo de serviço de directório Lightweight (LDS) que pode consumir toda a memória disponível no controlador de domínio do Windows Server 2012 R2 ou no servidor LDS.
Causa
Este problema ocorre nas seguintes situações:
  • Promoção do controlador de domínio ou Adicionar LDS do conjunto de réplicas para configuração

    Depois de adicionar uma réplica para uma configuração por promoção do controlador de domínio ou adicionar uma instância LDS no Windows Server 2012 R2 ou 8.1 do Windows, o motor de replicação tem de replicar todos os objectos em contextos de nomenclatura necessárias sobre a nova instância. Durante a tarefa, processo de Local Security Authority servidor Service (LSASS) ou DsaMain.exe podem causar uma fuga de grave quando atribui virtuais bytes dedicados embora a utilização real é muito baixa. Além disso, Dcpromo mostra a seguinte mensagem de erro:

    Data
    Hora[INFO] Replicação de dados DC = Contoso,DC = com: Recebidos XXXXXX fora de aproximadamente XXXXXX objectos e XXXXXX de aproximadamente XXXXXX valores de nome distinto (DN)...

    Data/hora [aviso] não crítica replicação devolvido 14

    Código de erro 14 converte: ERROR_OUTOFMEMORY - não existe memória suficiente está disponível para concluir esta operação.

    O seguinte evento é registado no registo de eventos durante ou pouco tempo após dcpromo concluída:
    Registo de eventosOrigem do eventoIDDescrição
    Serviços de directório Replicação 2094Aviso de desempenho: a replicação foi atrasada ao aplicar as alterações para o objecto seguinte. Se esta mensagem ocorrer frequentemente, indica que a replicação ocorrer lentamente e que o servidor pode ter dificuldades em manter com as alterações.

    Objecto DN: CN =Nome do cliente, UO =OR, DC =Contoso, DC =com
    GUID de objecto: GUID
    Partição DN: DC =Contoso, DC =com
    Servidor: registo DNS msdcs de parceiro de replicação
    Tempo decorrido (segs.): XX

    Acção do utilizador

    Um motivo comum para ver este atraso é que este objecto é especialmente grande, o tamanho dos seus valores ou no número de valores. Deve primeiro considerar se a aplicação pode ser alterada para reduzir a quantidade de dados armazenados no objecto ou o número de valores. Se se tratar de um grande grupo ou lista de distribuição, poderá considerar aumentar o nível funcional da floresta para o Windows Server 2003 ou superior, uma vez que este irá activar a replicação trabalhar mais eficientemente. Deve avaliar se a plataforma de servidor fornece desempenho suficiente em termos de potência de processamento e memória. Finalmente, poderá pretender considerar a optimização da base de dados de serviços de domínio do Active Directory, movendo a base de dados e registos de partições de disco separadas.

    Se pretender alterar o limite de aviso, a chave de registo é incluída em baixo. Um valor de zero irá desactivar a verificação.

    Dados adicionais

    Aviso limite (segs.): XX

    Limite de chave de registo: System\CurrentControlSet\Services\NTDS\Parameters\Replicator máximo de espera para o objecto de actualização (seg.)
    Serviços de directórioKCC1308O Verificador de consistência de conhecimento (KCC) detectou que tentativas sucessivas para replicar com o serviço de directório seguinte consistentemente falhou.

    Tentativas:
    2
    Serviço de directório:
    CN = NTDS Settings, CN =DC001, CN =Servidores, CN =site1, CN =Sites, CN =Configuração, DC =Contoso, DC =com
    Período de tempo (minutos):
    XXXXXXX

    O objecto de ligação para este serviço de directório será ignorado e será estabelecida uma ligação temporária nova para se certificar de que a replicação continua. Depois de retomar o funcionamento a replicação com este serviço de directório, a ligação temporária será removida.

    Dados adicionais
    Valor de erro:
    14 não existe memória suficiente concluir esta operação
    .

    Nota O problema não ocorre se instalar a partir de promoção de suportes de dados (IFM) para controladores de domínio é utilizado. No entanto, a promoção de IFM tem de ser originário da mesma versão do sistema operativo.
  • O seguinte evento é registado no registo de eventos durante ou pouco tempo após dcpromo concluída:
    Registo de eventosOrigem do eventoIDDescrição
    Serviços de directório Replicação 2094Aviso de desempenho: a replicação foi atrasada ao aplicar as alterações para o objecto seguinte. Se esta mensagem ocorrer frequentemente, indica que a replicação ocorrer lentamente e que o servidor pode ter dificuldades em manter com as alterações.

    Objecto DN: CN =Nome do cliente, UO =OR, DC =Contoso, DC =com
    GUID de objecto: GUID
    Partição DN: DC =Contoso, DC =com
    Servidor: registo DNS msdcs de parceiro de replicação
    Tempo decorrido (segs.): XX

    Acção do utilizador

    Um motivo comum para ver este atraso é que este objecto é especialmente grande, o tamanho dos seus valores ou no número de valores. Deve primeiro considerar se a aplicação pode ser alterada para reduzir a quantidade de dados armazenados no objecto ou o número de valores. Se se tratar de um grande grupo ou lista de distribuição, poderá considerar aumentar o nível funcional da floresta para o Windows Server 2003 ou superior, uma vez que este irá activar a replicação trabalhar mais eficientemente. Deve avaliar se a plataforma de servidor fornece desempenho suficiente em termos de potência de processamento e memória. Finalmente, poderá pretender considerar a optimização da base de dados de serviços de domínio do Active Directory, movendo a base de dados e registos de partições de disco separadas.

    Se pretender alterar o limite de aviso, a chave de registo é incluída em baixo. Um valor de zero irá desactivar a verificação.

    Dados adicionais

    Aviso limite (segs.): XX

    Limite de chave de registo: System\CurrentControlSet\Services\NTDS\Parameters\Replicator máximo de espera para o objecto de actualização (seg.)
    Serviços de directórioKCC1308O Verificador de consistência de conhecimento (KCC) detectou que tentativas sucessivas para replicar com o serviço de directório seguinte consistentemente falhou.

    Tentativas:
    2
    Serviço de directório:
    CN = NTDS Settings, CN =DC001, CN =Servidores, CN =site1, CN =Sites, CN =Configuração, DC =Contoso, DC =com
    Período de tempo (minutos):
    XXXXXXX

    O objecto de ligação para este serviço de directório será ignorado e será estabelecida uma ligação temporária nova para se certificar de que a replicação continua. Depois de retomar o funcionamento a replicação com este serviço de directório, a ligação temporária será removida.

    Dados adicionais
    Valor de erro:
    14 não existe memória suficiente concluir esta operação
    .

    Nota O problema não ocorre se instalar a partir de promoção de suportes de dados (IFM) para controladores de domínio é utilizado. No entanto, a promoção de IFM tem de ser originário da mesma versão do sistema operativo.
  • Código de erro 14 converte: ERROR_OUTOFMEMORY - não existe memória suficiente está disponível para concluir esta operação. O seguinte evento é registado no registo de eventos durante ou pouco tempo após dcpromo concluída:
    Registo de eventosOrigem do eventoIDDescrição
    Serviços de directório Replicação 2094Aviso de desempenho: a replicação foi atrasada ao aplicar as alterações para o objecto seguinte. Se esta mensagem ocorrer frequentemente, indica que a replicação ocorrer lentamente e que o servidor pode ter dificuldades em manter com as alterações.

    Objecto DN: CN =Nome do cliente, UO =OR, DC =Contoso, DC =com
    GUID de objecto: GUID
    Partição DN: DC =Contoso, DC =com
    Servidor: registo DNS msdcs de parceiro de replicação
    Tempo decorrido (segs.): XX

    Acção do utilizador

    Um motivo comum para ver este atraso é que este objecto é especialmente grande, o tamanho dos seus valores ou no número de valores. Deve primeiro considerar se a aplicação pode ser alterada para reduzir a quantidade de dados armazenados no objecto ou o número de valores. Se se tratar de um grande grupo ou lista de distribuição, poderá considerar aumentar o nível funcional da floresta para o Windows Server 2003 ou superior, uma vez que este irá activar a replicação trabalhar mais eficientemente. Deve avaliar se a plataforma de servidor fornece desempenho suficiente em termos de potência de processamento e memória. Finalmente, poderá pretender considerar a optimização da base de dados de serviços de domínio do Active Directory, movendo a base de dados e registos de partições de disco separadas.

    Se pretender alterar o limite de aviso, a chave de registo é incluída em baixo. Um valor de zero irá desactivar a verificação.

    Dados adicionais

    Aviso limite (segs.): XX

    Limite de chave de registo: System\CurrentControlSet\Services\NTDS\Parameters\Replicator máximo de espera para o objecto de actualização (seg.)
    Serviços de directórioKCC1308O Verificador de consistência de conhecimento (KCC) detectou que tentativas sucessivas para replicar com o serviço de directório seguinte consistentemente falhou.

    Tentativas:
    2
    Serviço de directório:
    CN = NTDS Settings, CN =DC001, CN =Servidores, CN =site1, CN =Sites, CN =Configuração, DC =Contoso, DC =com
    Período de tempo (minutos):
    XXXXXXX

    O objecto de ligação para este serviço de directório será ignorado e será estabelecida uma ligação temporária nova para se certificar de que a replicação continua. Depois de retomar o funcionamento a replicação com este serviço de directório, a ligação temporária será removida.

    Dados adicionais
    Valor de erro:
    14 não existe memória suficiente concluir esta operação
    .

    Nota O problema não ocorre se instalar a partir de promoção de suportes de dados (IFM) para controladores de domínio é utilizado. No entanto, a promoção de IFM tem de ser originário da mesma versão do sistema operativo.
  • Propagação do descritor (SD) de segurança

    Um problema de fuga de memória pode ocorrer quando uma alteração de segurança num objecto de contentor (raiz de domínio ou unidade organizacional (UO)) é herdada em muitos objectos subordinados ou subordinados UOs embora propagação SD. Dependendo do tamanho de entrada de controlo de acesso (ACE) a ser alterado e o número de objectos (por exemplo, com cerca de 500.000), a propagação pode demorar muito tempo. Durante este tempo, o processo LSASS ou DsaMain constantemente podem atribuir bytes dedicados.
  • Consultas de execução longa

    Inesperadamente, consumo de memória virtual elevada durante as consultas de Lightweight Directory Access Protocol (LDAP) de execução longa em servidores Windows Server 2012 R2 ou baseado em Windows 8.1 LDAP pode resultar em falhas de memória. As consultas de execução longa consumam memória através da obtenção de uma pilha para o descritor de segurança de cada objecto que está a ser processada.
Nestas situações, quando os bytes dedicados atingirem o número de bytes que estão disponíveis, o sistema torna-se inutilizável e pode mesmo falhar.
Resolução
Para corrigir este problema, aplique a correcção mencionada na secção seguinte.

Para utilizar a correcção no contexto de promoções de controlador de domínio (DCPROMO), siga estes passos:
  1. Instale a função Serviços de domínio do Active Directory ou AD LDS.
  2. Instale esta actualização ou actualizações mais recentes do Windows Server R2 de 2012 e actualizações de segurança que contêm sameNtdsai.dll binários, tal como são sempre cumulativas.
  3. Promova o computador para um Estado de controlador de domínio.
Importante Se instalar um language pack depois de instalar esta correcção, terá de reinstalar esta correcção. Por conseguinte, recomendamos que instalar quaisquer language packs que necessita antes de instalar esta correcção. Para mais informações, consulte Adicionar language packs para Windows.

Informações sobre correção

Existe uma correção suportada pela Microsoft. No entanto, esta correcção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.

Se a correcção está disponível para transferência, existe uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se não aparecer nesta secção, submeta um pedido para suporte e serviço de cliente Microsoft para obter a correcção.

Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a perguntas de suporte adicionais e questões não incluídos nesta correcção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, vá para o seguinte Web site da Microsoft: Nota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Para aplicar esta correcção, tem de ter o Conjunto de actualizações de Abril de 2014 para Windows RT 8.1, 8.1 do Windows e Windows Server 2012 R2 (2919355) instalado no Windows 8.1 ou Windows Server R2 de 2012.

Informações de registo

Para aplicar esta correcção, não precisa de efectuar quaisquer alterações ao registo.

Requisito de reinício

Poderá ter de reiniciar o computador depois de aplicar esta correção.

Informações sobre substituição da correção

Esta correcção não substitui uma correcção disponibilizada anteriormente.
Ponto Da Situação
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais Informação
Se activar NTDS\Diagnostics "Tratamento interno 9" nível 2, tal como referido no artigo da Base de dados de conhecimento da Microsoft 314980, poderá ver os seguintes eventos de ActiveDirectory_DomainService. Essas manifestações mostram a tarefa de propagação de SD de execução demorada.


Evento 1257 - indicar o início de propagação SD
Evento interno: A tarefa de propagação do descritor de segurança está a processar um evento de propagação a partir do seguinte contentor.
Contentor: OU = UO, DC = Contoso, DC = com

Evento de 2007 - indicando a evolução de propagação SD, iniciado em 5 minutos
Evento interno: A tarefa de propagação do descritor de segurança atingiu o seguinte contentor e continuará com a propagação.
Contentor: OU = UO, DC = Contoso, DC = com

Número de objectos processados até agora: XXXXXX

Evento 1258 - indicando o final de propagação SD, após algumas horas
Evento interno: A tarefa de propagação do descritor de segurança terminou o processamento de um evento de propagação a partir do seguinte contentor.
Contentor: OU = UO, DC = Contoso, DC = com

Número de objectos processados: XXXXXX


Após a replicação do Active Directory a qualquer outro controlador de domínio baseado no Windows Server 2012 R2 ou instâncias LDS no domínio, o mesmo problema pode ocorrer porque a propagação de SD é efectuada localmente.

Não verá que a fuga de memória no Active Directory Recolectores Definir relatório porque mostra apenas utilizados bytes. No entanto, pode utilizar o desempenho criado monitor dados blog BLOGUE ficheiro contador objecto: processo de verificação, instância: Lsass, contador: Private Bytes e objecto: memória, contador: Bytes dedicados.

Para mais observações a evolução de fuga, pode utilizar um "gráfico com a amostra de propriedades, elementos gráficos, Monitor de desempenho" cada 60 segundos. Duração: 15.000 segundos (> 4 horas).

A atribuição crescente também pode ser observada no Gestor de tarefas, separador Desempenho, item de memória, dedicado. Este é apresentado em dedicado/disponível gigabytes (GB).

Indicadores da condição de erro são os seguintes:

Devolve o Repadmin /showrepl:
Não existe memória suficiente está disponível para concluir esta operação.

Serviço de directório regista o evento de erro 1699:
Este serviço de directório não conseguiu obter as alterações exigidas para a partição de directório seguinte. Como resultado, não foi possível enviar pedidos de alteração para o serviço de directório no seguinte endereço de rede.
Expandido o código do pedido: 0
Dados adicionais
Valor de erro: 8446 a operação de replicação falhou ao atribuir memória.

Sobreposição de aplicação:
Windows - falta de memória Virtual: O sistema está com pouco memória virtual. Para garantir que o Windows é executado correctamente, aumente o tamanho do ficheiro de paginação de memória virtual. Para mais informações, consulte a ajuda.


Referências
Obter informações sobre o terminologia que a Microsoft utiliza para descrever atualizações de software.
Informações de ficheiro
A versão inglesa (Estados Unidos) desta actualização de software instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Tenha em atenção de que as datas e horas destes ficheiros no computador local são apresentadas na hora local e com a compensação de hora de Verão actual. As datas e horas também podem ser alteradas quando são executadas determinadas operações nos ficheiros.

8.1 do Windows e Windows Server 2012 R2

Importante Windows 8.1 hotfixes e correcções do Windows Server 2012 R2 são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 8.1/Windows Server 2012 R2" na página. Consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.

Notas
  • Os ficheiros aplicáveis a um determinado produto, marco (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro tal como é mostrado na seguinte tabela:
    VersãoProdutoMarcoRamo de serviço
    6.3.960 0.18 xxx8.1 do Windows e Windows Server 2012 R2RTMGDR
  • Ramos de serviço GDR contêm apenas as correções amplamente distribuídas para resolver problemas críticos generalizados. Os ramos de serviço LDR contêm outras correcções além das correcções amplamente distribuídas.
  • Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados na secção "informações sobre ficheiros adicionais". MUM, MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
x86 Windows 8.1
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Ntdsa.MOFNão aplicável227,76518-Jun-201312:21Não aplicável
Ntdsai.dll6.3.9600.181162,583,55203-Nov-201502:41x86
x64 Windows 8.1 e Windows Server 2012 R2
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Ntdsa.MOFNão aplicável227,76518-Jun-201314:45Não aplicável
Ntdsai.dll6.3.9600.181163,676,16003-Nov-201502:54x64

Informações sobre ficheiros adicionais

x86 Windows 8.1
Propriedade de ficheiroValor
Nome do ficheiroUpdate.mum
Versão do ficheiroNão aplicável
Tamanho do ficheiro1.600
Data (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNão aplicável
Nome do ficheiroX86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro712
Data (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNão aplicável
Nome do ficheiroX86_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro3,352
Data (UTC)03-Nov-2015
Hora (UTC)05:09
PlataformaNão aplicável
x64 Windows 8.1 e Windows Server 2012 R2
Propriedade de ficheiroValor
Nome do ficheiroAmd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro716
Data (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNão aplicável
Nome do ficheiroAmd64_microsoft-windows-d... toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro3,356
Data (UTC)03-Nov-2015
Hora (UTC)06:04
PlataformaNão aplicável
Nome do ficheiroUpdate.mum
Versão do ficheiroNão aplicável
Tamanho do ficheiro2,061
Data (UTC)04-Nov-2015
Hora (UTC)05:53
PlataformaNão aplicável

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3083038 - Última Revisão: 07/07/2016 18:38:00 - Revisão: 6.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbautohotfix kbhotfixserver kbexpertiseinter kbmt KB3083038 KbMtpt
Comentários