Este artigo descreve um problema de fuga de memória que ocorre nos controladores de domínio baseado no Windows Server R2 de 2012 e num computador baseado no Windows Server 2012 R2 que tenha a função de servidor de Serviços LDS do Active Directory (AD LDS) instalada ou de Windows 8.1. Uma correcção está disponível para corrigir este problema. A correcção tem um pré-requisito.
Sintomas
Foi introduzida uma alocação de memória de pilha arena novo na versão do Windows Server 2012 R2 dos serviços de directório. Causar uma fuga de memória no Lsass.exe (função de controlador de domínio) e DsaMain.exe do processo de serviço de directório Lightweight (LDS) que pode consumir toda a memória disponível no controlador de domínio do Windows Server 2012 R2 ou no servidor LDS.
Causa
Este problema ocorre nas seguintes situações:
-
Promoção do controlador de domínio ou Adicionar réplica LDS configuração definir
Depois de adicionar uma réplica para uma configuração por promoção do controlador de domínio ou adicionar uma instância LDS no Windows Server 2012 R2 ou do Windows 8.1, o motor de replicação tem de replicar todos os objectos em contextos de nomenclatura necessárias sobre a nova instância. Durante a tarefa, processo de Local Security Authority servidor Service (LSASS) ou DsaMain.exe podem causar uma fuga de grave quando atribui virtuais bytes dedicados embora a utilização real é muito baixa. Além disso, Dcpromo mostra a seguinte mensagem de erro:Registo de eventos
Origem do evento
ID
Descrição
Serviços de directório
Replicação
2094
Aviso de desempenho: a replicação foi atrasada ao aplicar as alterações para o objecto seguinte. Se esta mensagem ocorrer frequentemente, indica que a replicação ocorrer lentamente e que o servidor pode ter dificuldades em manter com as alterações.
Objecto DN: CN =nome do cliente, UO =UO, DC =Contoso, DC =com GUID de objecto: GUID Partição DN: DC =Contoso, DC =com Servidor: registo DNS msdcs de parceiro de replicação Tempo decorrido (segs.): XX Acção do utilizador Um motivo comum para ver este atraso é que este objecto é especialmente grande, o tamanho dos seus valores ou no número de valores. Deve primeiro considerar se a aplicação pode ser alterada para reduzir a quantidade de dados armazenados no objecto ou o número de valores. Se se tratar de um grande grupo ou lista de distribuição, poderá considerar aumentar o nível funcional da floresta para o Windows Server 2003 ou superior, uma vez que este irá activar a replicação trabalhar mais eficientemente. Deve avaliar se a plataforma de servidor fornece desempenho suficiente em termos de potência de processamento e memória. Finalmente, poderá pretender considerar a optimização da base de dados de serviços de domínio do Active Directory, movendo a base de dados e registos de partições de disco separadas. Se pretender alterar o limite de aviso, a chave de registo é incluída em baixo. Um valor de zero irá desactivar a verificação. Dados adicionais Aviso limite (segs.): XX Limite de chave de registo: System\CurrentControlSet\Services\NTDS\Parameters\Replicator máximo de espera para o objecto de actualização (seg.)Serviços de directório
KCC
1308
O Verificador de consistência de conhecimento (KCC) detectou que tentativas sucessivas para replicar com o serviço de directório seguinte consistentemente falhou.
Tentativas: 2 Serviço de directório: CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =Sites, CN =configuração, DC =Contoso, DC =com Período de tempo (minutos): XXXXXXX O objecto de ligação para este serviço de directório será ignorado e será estabelecida uma ligação temporária nova para se certificar de que a replicação continua. Depois de retomar o funcionamento a replicação com este serviço de directório, a ligação temporária será removida. Dados adicionais Valor de erro: 14 não existe memória suficiente concluir esta operação. -
O seguinte evento é registado no registo de eventos durante ou pouco tempo após dcpromo concluída:
Registo de eventos
Origem do evento
ID
Descrição
Serviços de directório
Replicação
2094
Aviso de desempenho: a replicação foi atrasada ao aplicar as alterações para o objecto seguinte. Se esta mensagem ocorrer frequentemente, indica que a replicação ocorrer lentamente e que o servidor pode ter dificuldades em manter com as alterações.
Objecto DN: CN =nome do cliente, UO =UO, DC =Contoso, DC =com GUID de objecto: GUID Partição DN: DC =Contoso, DC =com Servidor: registo DNS msdcs de parceiro de replicação Tempo decorrido (segs.): XX Acção do utilizador Um motivo comum para ver este atraso é que este objecto é especialmente grande, o tamanho dos seus valores ou no número de valores. Deve primeiro considerar se a aplicação pode ser alterada para reduzir a quantidade de dados armazenados no objecto ou o número de valores. Se se tratar de um grande grupo ou lista de distribuição, poderá considerar aumentar o nível funcional da floresta para o Windows Server 2003 ou superior, uma vez que este irá activar a replicação trabalhar mais eficientemente. Deve avaliar se a plataforma de servidor fornece desempenho suficiente em termos de potência de processamento e memória. Finalmente, poderá pretender considerar a optimização da base de dados de serviços de domínio do Active Directory, movendo a base de dados e registos de partições de disco separadas. Se pretender alterar o limite de aviso, a chave de registo é incluída em baixo. Um valor de zero irá desactivar a verificação. Dados adicionais Aviso limite (segs.): XX Limite de chave de registo: System\CurrentControlSet\Services\NTDS\Parameters\Replicator máximo de espera para o objecto de actualização (seg.)Serviços de directório
KCC
1308
O Verificador de consistência de conhecimento (KCC) detectou que tentativas sucessivas para replicar com o serviço de directório seguinte consistentemente falhou.
Tentativas: 2 Serviço de directório: CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =Sites, CN =configuração, DC =Contoso, DC =com Período de tempo (minutos): XXXXXXX O objecto de ligação para este serviço de directório será ignorado e será estabelecida uma ligação temporária nova para se certificar de que a replicação continua. Depois de retomar o funcionamento a replicação com este serviço de directório, a ligação temporária será removida. Dados adicionais Valor de erro: 14 não existe memória suficiente concluir esta operação. -
Código de erro 14 converte: ERROR_OUTOFMEMORY - não existe memória suficiente está disponível para concluir esta operação. O seguinte evento é registado no registo de eventos durante ou pouco tempo após dcpromo concluída:
Registo de eventos
Origem do evento
ID
Descrição
Serviços de directório
Replicação
2094
Aviso de desempenho: a replicação foi atrasada ao aplicar as alterações para o objecto seguinte. Se esta mensagem ocorrer frequentemente, indica que a replicação ocorrer lentamente e que o servidor pode ter dificuldades em manter com as alterações.
Objecto DN: CN =nome do cliente, UO =UO, DC =Contoso, DC =com GUID de objecto: GUID Partição DN: DC =Contoso, DC =com Servidor: registo DNS msdcs de parceiro de replicação Tempo decorrido (segs.): XX Acção do utilizador Um motivo comum para ver este atraso é que este objecto é especialmente grande, o tamanho dos seus valores ou no número de valores. Deve primeiro considerar se a aplicação pode ser alterada para reduzir a quantidade de dados armazenados no objecto ou o número de valores. Se se tratar de um grande grupo ou lista de distribuição, poderá considerar aumentar o nível funcional da floresta para o Windows Server 2003 ou superior, uma vez que este irá activar a replicação trabalhar mais eficientemente. Deve avaliar se a plataforma de servidor fornece desempenho suficiente em termos de potência de processamento e memória. Finalmente, poderá pretender considerar a optimização da base de dados de serviços de domínio do Active Directory, movendo a base de dados e registos de partições de disco separadas. Se pretender alterar o limite de aviso, a chave de registo é incluída em baixo. Um valor de zero irá desactivar a verificação. Dados adicionais Aviso limite (segs.): XX Limite de chave de registo: System\CurrentControlSet\Services\NTDS\Parameters\Replicator máximo de espera para o objecto de actualização (seg.)Serviços de directório
KCC
1308
O Verificador de consistência de conhecimento (KCC) detectou que tentativas sucessivas para replicar com o serviço de directório seguinte consistentemente falhou.
Tentativas: 2 Serviço de directório: CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =Sites, CN =configuração, DC =Contoso, DC =com Período de tempo (minutos): XXXXXXX O objecto de ligação para este serviço de directório será ignorado e será estabelecida uma ligação temporária nova para se certificar de que a replicação continua. Depois de retomar o funcionamento a replicação com este serviço de directório, a ligação temporária será removida. Dados adicionais Valor de erro: 14 não existe memória suficiente concluir esta operação. -
Propagação do descritor (SD) de segurança
Um problema de fuga de memória pode ocorrer quando uma alteração de segurança num objecto de contentor (raiz de domínio ou unidade organizacional (UO)) é herdada em muitos objectos subordinados ou subordinados UOs embora propagação SD. Dependendo do tamanho de entrada de controlo de acesso (ACE) a ser alterado e o número de objectos (por exemplo, com cerca de 500.000), a propagação pode demorar muito tempo. Durante este tempo, o processo LSASS ou DsaMain constantemente podem atribuir bytes dedicados. -
Consultas de execução longa
Inesperadamente, consumo de memória virtual elevada durante as consultas de Lightweight Directory Access Protocol (LDAP) de execução longa em servidores Windows Server 2012 R2 ou baseado em Windows 8.1 LDAP pode resultar em falhas de memória. As consultas de execução longa consumam memória através da obtenção de uma pilha para o descritor de segurança de cada objecto que está a ser processada.
Nestas situações, quando os bytes dedicados atingirem o número de bytes que estão disponíveis, o sistema torna-se inutilizável e pode mesmo falhar.
Resolução
Para corrigir este problema, aplique a correcção mencionada na secção seguinte.
Para utilizar a correcção no contexto de promoções de controlador de domínio (DCPROMO), siga estes passos:-
Instale a função Serviços de domínio do Active Directory ou AD LDS.
-
Instale esta actualização ou actualizações mais recentes do Windows Server R2 de 2012 e actualizações de segurança que contêm o mesmo Ntdsai.dll binários, tal como são sempre cumulativas.
-
Promova o computador para um Estado de controlador de domínio.
Importante Se instalar um language pack depois de instalar esta correcção, terá de reinstalar esta correcção. Por conseguinte, recomendamos que instalar quaisquer language packs que necessita antes de instalar esta correcção. Para mais informações, consulte adicionar language packs para Windows.
Informações sobre correção
Existe uma correção suportada pela Microsoft. No entanto, esta correcção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.
Se a correcção está disponível para transferência, existe uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se não aparecer nesta secção, submeta um pedido para suporte e serviço de cliente Microsoft para obter a correcção. Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a perguntas de suporte adicionais e questões não incluídos nesta correcção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, vá para o seguinte Web site da Microsoft:http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.
Pré-requisitos
Para aplicar esta correcção, tem de ter o de Abril de 2014 update rollup para o Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 (2919355) instalado no Windows 8.1 ou no Windows Server R2 de 2012.
Informações de registo
Para aplicar esta correcção, não precisa de efectuar quaisquer alterações ao registo.
Requisito de reinício
Poderá ter de reiniciar o computador depois de aplicar esta correção.
Informações sobre substituição da correção
Esta correcção não substitui uma correcção disponibilizada anteriormente.
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Se activar o nível de "Processamento interno 9" NTDS\Diagnostics 2 conforme mencionado na Microsoft Knowledge Base artigo 314980, poderá ver os seguintes eventos de ActiveDirectory_DomainService. Essas manifestações mostram a tarefa de propagação de SD de execução demorada.
Evento 1257 - indicar o início de propagação SD
Evento interno: A tarefa de propagação do descritor de segurança está a processar um evento de propagação a partir do seguinte contentor. Contentor: OU = UO, DC = Contoso, DC = comEvento 2007 - indicando a evolução de propagação SD, iniciado em 5 minutos
Evento interno: A tarefa de propagação do descritor de segurança atingiu o seguinte contentor e continuará com a propagação. Contentor: OU = UO, DC = Contoso, DC = com Número de objectos processados até ao momento: XXXXXXEvento 1258 - indicando o final de propagação SD, após algumas horas
Evento interno: A tarefa de propagação do descritor de segurança terminou o processamento de um evento de propagação a partir do seguinte contentor. Contentor: OU = UO, DC = Contoso, DC = com Número de objectos processados: ZZZZZZApós a replicação do Active Directory a qualquer outro controlador de domínio baseado no Windows Server 2012 R2 ou instâncias LDS no domínio, o mesmo problema pode ocorrer porque a propagação de SD é efectuada localmente.
Não verá que a fuga de memória no Active Directory Recolectores Definir relatório porque mostra apenas utilizados bytes. No entanto, pode utilizar o desempenho criado monitor dados blog BLOGUE ficheiro contador objecto: processo de verificação, instância: Lsass, contador: Private Bytes e objecto: memória, contador: Bytes dedicados. Para mais observações a evolução de fuga, pode utilizar um "gráfico com a amostra de propriedades, elementos gráficos, Monitor de desempenho" cada 60 segundos. Duração: 15.000 segundos (> 4 horas). A atribuição crescente também pode ser observada no Gestor de tarefas, separador Desempenho, item de memória, dedicado. Este é apresentado em dedicado/disponível gigabytes (GB). Indicadores da condição de erro são os seguintes: Devolve o Repadmin /showrepl:Não existe memória suficiente está disponível para concluir esta operação.
Serviço de directório regista o evento de erro 1699:
Este serviço de directório não conseguiu obter as alterações exigidas para a partição de directório seguinte. Como resultado, não foi possível enviar pedidos de alteração para o serviço de directório no seguinte endereço de rede.
Expandido o código do pedido: 0 Dados adicionais Valor de erro: 8446 a operação de replicação falhou ao atribuir memória.Sobreposição de aplicação:
Windows - falta de memória Virtual: O sistema está com pouco memória virtual. Para garantir que o Windows é executado correctamente, aumente o tamanho do ficheiro de paginação de memória virtual. Para mais informações, consulte a ajuda.
Referências
Obter informações sobre a terminologia utilizada pela Microsoft para descrever actualizações de software.
Informações de ficheiro
A versão inglesa (Estados Unidos) desta actualização de software instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Tenha em atenção de que as datas e horas destes ficheiros no computador local são apresentadas na hora local e com a compensação de hora de Verão actual. As datas e horas também podem ser alteradas quando são executadas determinadas operações nos ficheiros.
Importante Windows 8.1 hotfixes e correcções do Windows Server 2012 R2 são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 8.1 / Windows Server 2012 R2" na página. Consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.
Notas-
Os ficheiros aplicáveis a um determinado produto, marco (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro tal como é mostrado na seguinte tabela:
Versão
Produto
Marco
Ramo de serviço
6.3.960 0.18 xxx
Windows 8.1 e Windows Server 2012 R2
RTM
GDR
-
Ramos de serviço GDR contêm apenas as correções amplamente distribuídas para resolver problemas críticos generalizados. Os ramos de serviço LDR contêm outras correcções além das correcções amplamente distribuídas.
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados na secção "informações sobre ficheiros adicionais". MUM, MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
x86 do Windows 8.1
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
12:21 |
Não aplicável |
Ntdsai.dll |
6.3.9600.18116 |
2,583,552 |
03-Nov-2015 |
02:41 |
x86 |
x64 Windows 8.1 e Windows Server 2012 R2
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Ntdsa.mof |
Não aplicável |
227,765 |
18-Jun-2013 |
14:45 |
Não aplicável |
Ntdsai.dll |
6.3.9600.18116 |
3,676,160 |
03-Nov-2015 |
02:54 |
x64 |
x86 do Windows 8.1
Propriedade de ficheiro |
Valor |
---|---|
Nome do ficheiro |
Update.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1.600 |
Data (UTC) |
04-Nov-2015 |
Hora (UTC) |
05:53 |
Plataforma |
Não aplicável |
Nome do ficheiro |
X86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
712 |
Data (UTC) |
04-Nov-2015 |
Hora (UTC) |
05:53 |
Plataforma |
Não aplicável |
Nome do ficheiro |
X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
3,352 |
Data (UTC) |
03-Nov-2015 |
Hora (UTC) |
05:09 |
Plataforma |
Não aplicável |
x64 Windows 8.1 e Windows Server 2012 R2
Propriedade de ficheiro |
Valor |
---|---|
Nome do ficheiro |
Amd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
716 |
Data (UTC) |
04-Nov-2015 |
Hora (UTC) |
05:53 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
3,356 |
Data (UTC) |
03-Nov-2015 |
Hora (UTC) |
06:04 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Update.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
2,061 |
Data (UTC) |
04-Nov-2015 |
Hora (UTC) |
05:53 |
Plataforma |
Não aplicável |