Este artigo descreve uma actualização para o controlador de domínio baseado no Windows Server 2012 R2 ou baseados no Windows Server 2012 datada de Abril de 2016 que resolve os seguintes problemas:
-
Problema 1 Inserções mais rápidas para a fila de notificação de alteração. Ver detalhes.
-
Problema 2 Muda o nome de domínio computadores que executem o Microsoft SQL Server pode falhar se a operação de mudança de nome é servida pelo Windows Server 2012 R2 DC. Ver detalhes.
-
Problema 3 Inícios de sessão único são reportados incorrectamente no Active Directory como dois inícios de sessão. Ver detalhes.
-
Problema 4 Violação de acesso LSSAS ocorre com o erro "0xC0000005" quando o destino das ligar clientes que executam "importação completa". Ver detalhes.
-
Problema 5 Violação de acesso LSASS ocorre quando destina-se por consulta LDAP recursiva contra um grupo do AD. Ver detalhes.
Antes de instalar esta actualização, consulte a secção Pré-requisitos .
Problemas corrigidos nesta actualização
Problema 1 Insere mais rápido para o Active Directory alterar notificação fila atrasos de manutenção de conjunto de threads de fila de Thread assíncrono (ATQ), as consultas LDAP e replicação de notificação com base.
Quando esta condição for verdadeira, o controlador de domínio (DC) Local Security Authority Subsystem Service (LSASS) consome utilização elevada da CPU ou 100% da CPU em casos extremos. As seguintes operações são bloqueadas quando as filas de notificação de alteração desenvolver-se num determinado DC:
-
Replicação do Active Directory accionados por notificação de alteração é atrasada.
-
Registo de threads ATQ ou anulação do registo é atrasada.
-
Escreve o DC é bloqueadas.
-
Quando a cadeia de inserção está em curso, o processamento de fila de notificação de também é bloqueado. Replicação de notificação com base é bloqueada durante esta operação.
-
Utilização da CPU para o processo de LSASS executa fria no DC que todas as várias operações são bloqueadas e o thread apenas obtém o tempo de CPU como a replicação do Active Directory.
Esta actualização inclui um limite máximo no número de itens de notificação de alteração que irá adicionar um controlador de domínio para a fila. Uma vez atingido este limiar, o DC irá responder com "ERROR_DS_ADMIN_LIMIT_EXCEEDED". Por predefinição, o limiar é 4096. A seguinte chave de registo pode ser adicionada para modificar este limiar, conforme necessário:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Máximo LDAP simultâneas notificações"Um valor máximo para as notificações de alterações é demasiado baixo pode resultar em falhas desnecessárias para alterar os clientes de notificação. Por conseguinte, é importante determinar o intervalo "normal" deste contador antes da implementação da correcção. Para estabelecer o intervalo superior de fila de notificação de alteração, considere a monitorizar o contador de tamanho da fila notificar DS em todos os controladores de domínio na floresta para determinar os valores de pico.
Considere uma memória intermédia de, pelo menos, 25% sobre o valor de pico experientes durante a monitorização deste contador para determinar um valor adequado de máximo notificações de LDAP em simultâneo.
Nota A correcção para este problema está incluída na actualização de segurança 3160352.
Problema 2 Muda o nome de domínio computadores do Microsoft SQL Server membros falha com erro "o serviço de directório está ocupado".
Este problema ocorre quando se verificam as seguintes condições:
-
Microsoft SQL Server é instalado num computador baseado no Windows que esteja associado a um domínio do Active Directory.
-
O nome do SPN (Service Principal) que é registado pelo Microsoft SQL Server ou Microsoft SQL Express contém caracteres não numéricos após o ":" delimitadores no atributo de SPN da conta de computador que está a ser renomeada.
-
No painel de controlo, é atribuído ao computador que hospeda o Microsoft SQL Server.
-
A operação de mudança de nome de serviços de um controlador de domínio do Windows Server R2 de 2012.
Do mesmo modo, adicionar um nome de computador alternativo também irá falhar. E o comando de NomeComputador NetDom adicionar falhar com a seguinte um ecrã erro:
Não é possível adicionar newhost.domain.com como um nome alternativo para o computador
O erro é:
O recurso pedido está em utilização.
O comando não foi concluída com êxito.
Para mais informações sobre este problema, consulte a actualização 3152220.
Issue 3
Uma tentativa de início de sessão único no Web site é contada como duas tentativas de início de sessão no Active Directory. Por conseguinte, a contagem de palavra-passe incorrecta aumenta por dois, em vez de por uma.
Problema 4 Violação de acesso LSASS ocorre em conjunto com o erro "0xc0000005" no Windows Server 2012 R2 DC Azure AD ligar identidade sincronização clientes que executam "Importação completa" o destino.
Quando um utilizador executa "Importação completa" no cliente de sincronização de identidade Azure AD ligar contra um controlador de domínio baseado no Windows Server R2 de 2012, violação de acesso ocorre no processo de LSASS e reinicia o DC com código de erro "0xc0000005". Este problema ocorre quando o Active Directory ' Reciclagem ' está desactivada.
Para mais informações sobre este problema, consulte a actualização 3145339.
Problema 5
Lsass.exe falha num DC com uma violação de acesso quando um utilizador executa uma consulta de Lightweight Directory Access Protocol (LDAP) recursiva contra um grupo do Active Directory que tenha muitos grupos aninhados. Um exemplo de uma consulta que pode accionar este tipo de falha de sistema é o seguinte:
t.txt de -f de ldifde -d "dc =contoso, dc = com" - r "(memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
Como obter esta actualização
Importante Se instalar um language pack depois de instalar esta actualização, terá de reinstalar esta actualização. Por conseguinte, recomendamos que instalar quaisquer language packs que necessita antes de instalar esta actualização. Para mais informações, consulte adicionar language packs para Windows.
Método 1: Windows Update
Esta actualização é fornecida como uma actualização recomendada no Windows Update. Para mais informações sobre como executar o Windows Update, consulte como obter uma actualização através do Windows Update.
Método 2: O catálogo do Microsoft Update
Para obter o pacote autónomo para esta actualização, vá para um dos seguintes Web sites da catálogo Microsoft Update:
Nota Terá de ter o Microsoft Internet Explorer 6.0 ou posterior.
Atualizar informações detalhadas
Pré-requisitos
Para instalar esta actualização, deve primeiro instalar de Abril de 2014, o update rollup para Windows RT 8.1, 8.1 do Windows e Windows Server 2012 R2 (2919355) no Windows Server R2 de 2012.
Nota A actualização deve ser instalada em computadores baseados no Windows Server 2012 R2 ou baseados no Windows Server 2012 que estiverem a hospedar a função de controlador de domínio de serviços (adiciona) de domínio de Active Directory.
Informações de registo
Para aplicar esta actualização, não precisa de efectuar quaisquer alterações ao registo.
Requisito de reinício
Poderá ter de reiniciar o computador depois de aplicar esta atualização.
Atualizar informações de substituição
Esta actualização não substitui uma actualização anteriormente lançada.
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Referências
Obter informações sobre a terminologia utilizada pela Microsoft para descrever actualizações de software.
Informações de ficheiro
A versão inglesa (Estados Unidos) desta actualização de software instala ficheiros que têm os atributos listados nas tabelas seguintes.
Nota Para atributos de ficheiro do Windows Server 2012, consulte 3160352 de actualização de segurança.
Notas
-
Os ficheiros aplicáveis a um determinado produto, marco (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro tal como é mostrado na seguinte tabela:
Versão
Produto
Marco
Ramo de serviço
6.3.960 0.18 xxx
Windows Server 2012 R2
RTM
GDR
-
Ramos de serviço GDR contêm apenas as correções amplamente distribuídas para resolver problemas críticos generalizados. Os ramos de serviço LDR contêm outras correcções além das correcções amplamente distribuídas.
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados na secção "informações sobre ficheiros adicionais". MUM, MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
x64 Windows Server 2012 R2
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
Requisito de SP |
Ramo de serviço |
---|---|---|---|---|---|---|---|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
14:45 |
Não aplicável |
Nenhum |
Não aplicável |
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
Nenhum |
Não aplicável |
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 Windows Server 2012 R2
Propriedade de ficheiro |
Valor |
---|---|
Nome do ficheiro |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
715 |
Data (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
717 |
Data (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
716 |
Data (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
2,613 |
Data (UTC) |
10-Mar-2016 |
Hora (UTC) |
19:25 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
3,356 |
Data (UTC) |
10-Mar-2016 |
Hora (UTC) |
19:25 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Update.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
2,465 |
Data (UTC) |
11-Mar-2016 |
Hora (UTC) |
06:59 |
Plataforma |
Não aplicável |
Nome do ficheiro |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
2,609 |
Data (UTC) |
10-Mar-2016 |
Hora (UTC) |
18:57 |
Plataforma |
Não aplicável |