Este artigo descreve um problema de fuga de memória que ocorre nos controladores de domínio baseado no Windows Server R2 de 2012 e num computador baseado no Windows Server 2012 R2 que tenha a função de servidor de Serviços LDS do Active Directory (AD LDS) instalada ou de Windows 8.1. Uma correcção está disponível para corrigir este problema. A correcção tem um pré-requisito.

Sintomas

Foi introduzida uma alocação de memória de pilha arena novo na versão do Windows Server 2012 R2 dos serviços de directório. Causar uma fuga de memória no Lsass.exe (função de controlador de domínio) e DsaMain.exe do processo de serviço de directório Lightweight (LDS) que pode consumir toda a memória disponível no controlador de domínio do Windows Server 2012 R2 ou no servidor LDS.

Causa

Este problema ocorre nas seguintes situações:

  • Promoção do controlador de domínio ou Adicionar réplica LDS configuração definirDepois de adicionar uma réplica para uma configuração por promoção do controlador de domínio ou adicionar uma instância LDS no Windows Server 2012 R2 ou do Windows 8.1, o motor de replicação tem de replicar todos os objectos em contextos de nomenclatura necessárias sobre a nova instância. Durante a tarefa, processo de Local Security Authority servidor Service (LSASS) ou DsaMain.exe podem causar uma fuga de grave quando atribui virtuais bytes dedicados embora a utilização real é muito baixa. Além disso, Dcpromo mostra a seguinte mensagem de erro:

    Datahora[INFO] replicar dados DC = Contoso,DC = com: recebidos XXXXXX da aproximadamente XXXXXX objectos e XXXXXX da aproximadamente XXXXXX distinguem valores de nome (DN)...Data hora [aviso] não crítica replicação devolvido 14

    Código de erro 14 converte: ERROR_OUTOFMEMORY - não existe memória suficiente está disponível para concluir esta operação.O seguinte evento é registado no registo de eventos durante ou pouco tempo após dcpromo concluída:

    Registo de eventos

    Origem do evento

    ID

    Descrição

    Serviços de directório

    Replicação

    2094

    Aviso de desempenho: a replicação foi atrasada ao aplicar as alterações para o objecto seguinte. Se esta mensagem ocorrer frequentemente, indica que a replicação ocorrer lentamente e que o servidor pode ter dificuldades em manter com as alterações.Objecto DN: CN =nome do cliente, UO =UO, DC =Contoso, DC =comGUID de objecto: GUIDPartição DN: DC =Contoso, DC =comServidor: registo DNS msdcs de parceiro de replicaçãoTempo decorrido (segs.): XXAcção do utilizadorUm motivo comum para ver este atraso é que este objecto é especialmente grande, o tamanho dos seus valores ou no número de valores. Deve primeiro considerar se a aplicação pode ser alterada para reduzir a quantidade de dados armazenados no objecto ou o número de valores. Se se tratar de um grande grupo ou lista de distribuição, poderá considerar aumentar o nível funcional da floresta para o Windows Server 2003 ou superior, uma vez que este irá activar a replicação trabalhar mais eficientemente. Deve avaliar se a plataforma de servidor fornece desempenho suficiente em termos de potência de processamento e memória. Finalmente, poderá pretender considerar a optimização da base de dados de serviços de domínio do Active Directory, movendo a base de dados e registos de partições de disco separadas.Se pretender alterar o limite de aviso, a chave de registo é incluída em baixo. Um valor de zero irá desactivar a verificação.Dados adicionaisAviso limite (segs.): XXLimite de chave de registo: System\CurrentControlSet\Services\NTDS\Parameters\Replicator máximo de espera para o objecto de actualização (seg.)

    Serviços de directório

    KCC

    1308

    O Verificador de consistência de conhecimento (KCC) detectou que tentativas sucessivas para replicar com o serviço de directório seguinte consistentemente falhou.Tentativas:2Serviço de directório:CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =Sites, CN =configuração, DC =Contoso, DC =comPeríodo de tempo (minutos):XXXXXXXO objecto de ligação para este serviço de directório será ignorado e será estabelecida uma ligação temporária nova para se certificar de que a replicação continua. Depois de retomar o funcionamento a replicação com este serviço de directório, a ligação temporária será removida.Dados adicionaisValor de erro:14 não existe memória suficiente concluir esta operação.

    Nota O problema não ocorre se instalar a partir de promoção de suportes de dados (IFM) para controladores de domínio é utilizado. No entanto, a promoção de IFM tem de ser originário da mesma versão do sistema operativo.

  • O seguinte evento é registado no registo de eventos durante ou pouco tempo após dcpromo concluída:

    Registo de eventos

    Origem do evento

    ID

    Descrição

    Serviços de directório

    Replicação

    2094

    Aviso de desempenho: a replicação foi atrasada ao aplicar as alterações para o objecto seguinte. Se esta mensagem ocorrer frequentemente, indica que a replicação ocorrer lentamente e que o servidor pode ter dificuldades em manter com as alterações.Objecto DN: CN =nome do cliente, UO =UO, DC =Contoso, DC =comGUID de objecto: GUIDPartição DN: DC =Contoso, DC =comServidor: registo DNS msdcs de parceiro de replicaçãoTempo decorrido (segs.): XXAcção do utilizadorUm motivo comum para ver este atraso é que este objecto é especialmente grande, o tamanho dos seus valores ou no número de valores. Deve primeiro considerar se a aplicação pode ser alterada para reduzir a quantidade de dados armazenados no objecto ou o número de valores. Se se tratar de um grande grupo ou lista de distribuição, poderá considerar aumentar o nível funcional da floresta para o Windows Server 2003 ou superior, uma vez que este irá activar a replicação trabalhar mais eficientemente. Deve avaliar se a plataforma de servidor fornece desempenho suficiente em termos de potência de processamento e memória. Finalmente, poderá pretender considerar a optimização da base de dados de serviços de domínio do Active Directory, movendo a base de dados e registos de partições de disco separadas.Se pretender alterar o limite de aviso, a chave de registo é incluída em baixo. Um valor de zero irá desactivar a verificação.Dados adicionaisAviso limite (segs.): XXLimite de chave de registo: System\CurrentControlSet\Services\NTDS\Parameters\Replicator máximo de espera para o objecto de actualização (seg.)

    Serviços de directório

    KCC

    1308

    O Verificador de consistência de conhecimento (KCC) detectou que tentativas sucessivas para replicar com o serviço de directório seguinte consistentemente falhou.Tentativas:2Serviço de directório:CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =Sites, CN =configuração, DC =Contoso, DC =comPeríodo de tempo (minutos):XXXXXXXO objecto de ligação para este serviço de directório será ignorado e será estabelecida uma ligação temporária nova para se certificar de que a replicação continua. Depois de retomar o funcionamento a replicação com este serviço de directório, a ligação temporária será removida.Dados adicionaisValor de erro:14 não existe memória suficiente concluir esta operação.

    Nota O problema não ocorre se instalar a partir de promoção de suportes de dados (IFM) para controladores de domínio é utilizado. No entanto, a promoção de IFM tem de ser originário da mesma versão do sistema operativo.

  • Código de erro 14 converte: ERROR_OUTOFMEMORY - não existe memória suficiente está disponível para concluir esta operação. O seguinte evento é registado no registo de eventos durante ou pouco tempo após dcpromo concluída:

    Registo de eventos

    Origem do evento

    ID

    Descrição

    Serviços de directório

    Replicação

    2094

    Aviso de desempenho: a replicação foi atrasada ao aplicar as alterações para o objecto seguinte. Se esta mensagem ocorrer frequentemente, indica que a replicação ocorrer lentamente e que o servidor pode ter dificuldades em manter com as alterações.Objecto DN: CN =nome do cliente, UO =UO, DC =Contoso, DC =comGUID de objecto: GUIDPartição DN: DC =Contoso, DC =comServidor: registo DNS msdcs de parceiro de replicaçãoTempo decorrido (segs.): XXAcção do utilizadorUm motivo comum para ver este atraso é que este objecto é especialmente grande, o tamanho dos seus valores ou no número de valores. Deve primeiro considerar se a aplicação pode ser alterada para reduzir a quantidade de dados armazenados no objecto ou o número de valores. Se se tratar de um grande grupo ou lista de distribuição, poderá considerar aumentar o nível funcional da floresta para o Windows Server 2003 ou superior, uma vez que este irá activar a replicação trabalhar mais eficientemente. Deve avaliar se a plataforma de servidor fornece desempenho suficiente em termos de potência de processamento e memória. Finalmente, poderá pretender considerar a optimização da base de dados de serviços de domínio do Active Directory, movendo a base de dados e registos de partições de disco separadas.Se pretender alterar o limite de aviso, a chave de registo é incluída em baixo. Um valor de zero irá desactivar a verificação.Dados adicionaisAviso limite (segs.): XXLimite de chave de registo: System\CurrentControlSet\Services\NTDS\Parameters\Replicator máximo de espera para o objecto de actualização (seg.)

    Serviços de directório

    KCC

    1308

    O Verificador de consistência de conhecimento (KCC) detectou que tentativas sucessivas para replicar com o serviço de directório seguinte consistentemente falhou.Tentativas:2Serviço de directório:CN = NTDS Settings, CN =DC001, CN =servidores, CN =site1, CN =Sites, CN =configuração, DC =Contoso, DC =comPeríodo de tempo (minutos):XXXXXXXO objecto de ligação para este serviço de directório será ignorado e será estabelecida uma ligação temporária nova para se certificar de que a replicação continua. Depois de retomar o funcionamento a replicação com este serviço de directório, a ligação temporária será removida.Dados adicionaisValor de erro:14 não existe memória suficiente concluir esta operação.

    Nota O problema não ocorre se instalar a partir de promoção de suportes de dados (IFM) para controladores de domínio é utilizado. No entanto, a promoção de IFM tem de ser originário da mesma versão do sistema operativo.

  • Propagação do descritor (SD) de segurançaUm problema de fuga de memória pode ocorrer quando uma alteração de segurança num objecto de contentor (raiz de domínio ou unidade organizacional (UO)) é herdada em muitos objectos subordinados ou subordinados UOs embora propagação SD. Dependendo do tamanho de entrada de controlo de acesso (ACE) a ser alterado e o número de objectos (por exemplo, com cerca de 500.000), a propagação pode demorar muito tempo. Durante este tempo, o processo LSASS ou DsaMain constantemente podem atribuir bytes dedicados.

  • Consultas de execução longaInesperadamente, consumo de memória virtual elevada durante as consultas de Lightweight Directory Access Protocol (LDAP) de execução longa em servidores Windows Server 2012 R2 ou baseado em Windows 8.1 LDAP pode resultar em falhas de memória. As consultas de execução longa consumam memória através da obtenção de uma pilha para o descritor de segurança de cada objecto que está a ser processada.

Nestas situações, quando os bytes dedicados atingirem o número de bytes que estão disponíveis, o sistema torna-se inutilizável e pode mesmo falhar.

Resolução

Para corrigir este problema, aplique a correcção mencionada na secção seguinte.Para utilizar a correcção no contexto de promoções de controlador de domínio (DCPROMO), siga estes passos:

  1. Instale a função Serviços de domínio do Active Directory ou AD LDS.

  2. Instale esta actualização ou actualizações mais recentes do Windows Server R2 de 2012 e actualizações de segurança que contêm o mesmo Ntdsai.dll binários, tal como são sempre cumulativas.

  3. Promova o computador para um Estado de controlador de domínio.

Importante Se instalar um language pack depois de instalar esta correcção, terá de reinstalar esta correcção. Por conseguinte, recomendamos que instalar quaisquer language packs que necessita antes de instalar esta correcção. Para mais informações, consulte adicionar language packs para Windows.

Informações sobre correção

Existe uma correção suportada pela Microsoft. No entanto, esta correcção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.Se a correcção está disponível para transferência, existe uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se não aparecer nesta secção, submeta um pedido para suporte e serviço de cliente Microsoft para obter a correcção.Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a perguntas de suporte adicionais e questões não incluídos nesta correcção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, vá para o seguinte Web site da Microsoft:

http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Para aplicar esta correcção, tem de ter o de Abril de 2014 update rollup para o Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 (2919355) instalado no Windows 8.1 ou no Windows Server R2 de 2012.

Informações de registo

Para aplicar esta correcção, não precisa de efectuar quaisquer alterações ao registo.

Requisito de reinício

Poderá ter de reiniciar o computador depois de aplicar esta correção.

Informações sobre substituição da correção

Esta correcção não substitui uma correcção disponibilizada anteriormente.

Estado

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais informações

Se activar o nível de "Processamento interno 9" NTDS\Diagnostics 2 conforme mencionado na Microsoft Knowledge Base artigo 314980, poderá ver os seguintes eventos de ActiveDirectory_DomainService. Essas manifestações mostram a tarefa de propagação de SD de execução demorada.

Evento 1257 - indicar o início de propagação SDEvento interno: A tarefa de propagação do descritor de segurança está a processar um evento de propagação a partir do seguinte contentor.Contentor: OU = UO, DC = Contoso, DC = com

Evento 2007 - indicando a evolução de propagação SD, iniciado em 5 minutosEvento interno: A tarefa de propagação do descritor de segurança atingiu o seguinte contentor e continuará com a propagação.Contentor: OU = UO, DC = Contoso, DC = comNúmero de objectos processados até ao momento: XXXXXX

Evento 1258 - indicando o final de propagação SD, após algumas horasEvento interno: A tarefa de propagação do descritor de segurança terminou o processamento de um evento de propagação a partir do seguinte contentor.Contentor: OU = UO, DC = Contoso, DC = comNúmero de objectos processados: ZZZZZZ

Após a replicação do Active Directory a qualquer outro controlador de domínio baseado no Windows Server 2012 R2 ou instâncias LDS no domínio, o mesmo problema pode ocorrer porque a propagação de SD é efectuada localmente.Não verá que a fuga de memória no Active Directory Recolectores Definir relatório porque mostra apenas utilizados bytes. No entanto, pode utilizar o desempenho criado monitor dados blog BLOGUE ficheiro contador objecto: processo de verificação, instância: Lsass, contador: Private Bytes e objecto: memória, contador: Bytes dedicados.Para mais observações a evolução de fuga, pode utilizar um "gráfico com a amostra de propriedades, elementos gráficos, Monitor de desempenho" cada 60 segundos. Duração: 15.000 segundos (> 4 horas).A atribuição crescente também pode ser observada no Gestor de tarefas, separador Desempenho, item de memória, dedicado. Este é apresentado em dedicado/disponível gigabytes (GB).Indicadores da condição de erro são os seguintes:Devolve o Repadmin /showrepl:

Não existe memória suficiente está disponível para concluir esta operação.

Serviço de directório regista o evento de erro 1699:

Este serviço de directório não conseguiu obter as alterações exigidas para a partição de directório seguinte. Como resultado, não foi possível enviar pedidos de alteração para o serviço de directório no seguinte endereço de rede.Expandido o código do pedido: 0Dados adicionaisValor de erro: 8446 a operação de replicação falhou ao atribuir memória.

Sobreposição de aplicação:

Windows - falta de memória Virtual: O sistema está com pouco memória virtual. Para garantir que o Windows é executado correctamente, aumente o tamanho do ficheiro de paginação de memória virtual. Para mais informações, consulte a ajuda.

 

Referências

Obter informações sobre a terminologia utilizada pela Microsoft para descrever actualizações de software.

Informações de ficheiro

A versão inglesa (Estados Unidos) desta actualização de software instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Tenha em atenção de que as datas e horas destes ficheiros no computador local são apresentadas na hora local e com a compensação de hora de Verão actual. As datas e horas também podem ser alteradas quando são executadas determinadas operações nos ficheiros.

Importante Windows 8.1 hotfixes e correcções do Windows Server 2012 R2 são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 8.1 / Windows Server 2012 R2" na página. Consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.Notas

  • Os ficheiros aplicáveis a um determinado produto, marco (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro tal como é mostrado na seguinte tabela:

    Versão

    Produto

    Marco

    Ramo de serviço

    6.3.960 0.18 xxx

    Windows 8.1 e Windows Server 2012 R2

    RTM

    GDR

  • Ramos de serviço GDR contêm apenas as correções amplamente distribuídas para resolver problemas críticos generalizados. Os ramos de serviço LDR contêm outras correcções além das correcções amplamente distribuídas.

  • Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados na secção "informações sobre ficheiros adicionais". MUM, MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.

x86 do Windows 8.1

Nome do ficheiro

Versão do ficheiro

Tamanho do ficheiro

Data

Hora

Plataforma

Ntdsa.mof

Não aplicável

227,765

18-Jun-2013

12:21

Não aplicável

Ntdsai.dll

6.3.9600.18116

2,583,552

03-Nov-2015

02:41

x86

x64 Windows 8.1 e Windows Server 2012 R2

Nome do ficheiro

Versão do ficheiro

Tamanho do ficheiro

Data

Hora

Plataforma

Ntdsa.mof

Não aplicável

227,765

18-Jun-2013

14:45

Não aplicável

Ntdsai.dll

6.3.9600.18116

3,676,160

03-Nov-2015

02:54

x64

x86 do Windows 8.1

Propriedade de ficheiro

Valor

Nome do ficheiro

Update.mum

Versão do ficheiro

Não aplicável

Tamanho do ficheiro

1.600

Data (UTC)

04-Nov-2015

Hora (UTC)

05:53

Plataforma

Não aplicável

Nome do ficheiro

X86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest

Versão do ficheiro

Não aplicável

Tamanho do ficheiro

712

Data (UTC)

04-Nov-2015

Hora (UTC)

05:53

Plataforma

Não aplicável

Nome do ficheiro

X86_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest

Versão do ficheiro

Não aplicável

Tamanho do ficheiro

3,352

Data (UTC)

03-Nov-2015

Hora (UTC)

05:09

Plataforma

Não aplicável

x64 Windows 8.1 e Windows Server 2012 R2

Propriedade de ficheiro

Valor

Nome do ficheiro

Amd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest

Versão do ficheiro

Não aplicável

Tamanho do ficheiro

716

Data (UTC)

04-Nov-2015

Hora (UTC)

05:53

Plataforma

Não aplicável

Nome do ficheiro

Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest

Versão do ficheiro

Não aplicável

Tamanho do ficheiro

3,356

Data (UTC)

03-Nov-2015

Hora (UTC)

06:04

Plataforma

Não aplicável

Nome do ficheiro

Update.mum

Versão do ficheiro

Não aplicável

Tamanho do ficheiro

2,061

Data (UTC)

04-Nov-2015

Hora (UTC)

05:53

Plataforma

Não aplicável

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.