В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Утечка памяти в процессе LSASS на контроллерах домена под управлением Windows Server 2012 R2 и сервер AD LDS

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 3083038
В данной статье описаны проблемы утечки памяти, которая возникает на контроллерах домена под управлением Windows Server 2012 R2 и Windows 8.1 и Windows Server 2012 R2 на компьютере с установленной ролью сервера служб Active Directory облегченного доступа к каталогам (AD LDS). Доступно исправление для устранения этой проблемы. Содержит исправления Предварительное условие.
Проблема
Новое выделение памяти кучи области была представлена в версии Windows Server 2012 R2 служб каталогов. Он вызывает утечку памяти в Lsass.exe (роль контроллера домена) и DsaMain.exe облегченный службы каталогов (LDS) процесса, который может использовать всю доступную память на контроллере домена Windows Server 2012 R2 или сервер LDS.
Причина
Эта проблема возникает в следующих ситуациях:
  • Повышение роли контроллера домена или Добавление LDS набора реплик для конфигурации

    После добавления реплики в конфигурацию, повышение роли контроллера домена или экземпляра LDS на Windows Server 2012 R2 или Windows 8.1, механизм репликации должен реплицировать каждый объект в контекстов именования, необходимые на новый экземпляр. Во время задания процесс локальной безопасности центра сертификации сервера службы (LSASS) или DsaMain.exe может привести к серьезной утечке когда он выделяет память байт выделенной виртуальной памяти, хотя реального использования очень мала. Кроме того DCpromo.log отображается следующее сообщение об ошибке:

    Дата
    Время[INFO] Репликация данных DC = Contoso,DC = com: Получено XXXXXX пределы приблизительно XXXXXX объекты и XXXXXX из приблизительно XXXXXX различающееся имя (DN) значения...

    Даты и времени [внимание] не критическую репликацию возвращается 14

    Преобразует код ошибки 14 для: ERROR_OUTOFMEMORY - недостаточно памяти для завершения этой операции.

    Следующее событие записывается в журнал событий, во время или dcpromo вскоре после завершения:
    Журнал событийИсточник событийИДЕНТИФИКАТОРОписание
    Службы каталогов Репликация 2094Предупреждение о производительности: репликация была задержана во время применения изменений на следующий объект. Если это сообщение появляется часто, это означает, что репликация происходит медленно и что сервер может иметь трудности, придерживаясь изменения.

    Объект DN: CN =Имя клиента, OU =ПОДРАЗДЕЛЕНИЕ, DC =Contoso, DC =COM
    Объект GUID: ИДЕНТИФИКАТОР GUID
    Различающееся имя раздела: DC =Contoso, DC =COM
    Сервер: дочерний домен _msdcs DNS-запись партнера репликации
    Затраченное время (сек): XX

    Действия пользователя

    Распространенной причиной для просмотра Эта задержка является особенно большой объем его значения, или в число значений этого объекта. Сначала следует учитывать, можно ли изменить приложение для уменьшения объема данных, хранящихся в объекте или количество значений. Если это большой группы или списка рассылки, может потребоваться создание функциональный уровень леса до Windows Server 2003 или более поздней, так как при этом включается репликация для более эффективной работы. Необходимо выяснить ли Серверная платформа предоставляет достаточно производительности в терминах памяти и вычислительной мощности. Наконец необходимо учитывать настройки базы данных доменных служб Active Directory путем перемещения базы данных и журналов для отдельных разделов диска.

    Если вы хотите изменить порог предупреждения, ниже приведены в разделе реестра. Значение 0 отключает проверку.

    Дополнительные данные

    Порог предупреждений (сек): XX

    Ограничение реестра: System\CurrentControlSet\Services\NTDS\Parameters\Replicator ожидания для объекта обновления (сек)
    Службы каталоговKCCкодом 1308Средство проверки согласованности знаний (KCC) обнаружила, что последовательные попытки репликации каталогов службой последовательно не удалась.

    Попыток:
    2
    Служба каталогов:
    CN = Параметры NTDS, CN =DC001, CN =Серверы, CN =узел1, CN =Веб-узлы, CN =Конфигурация, DC =Contoso, DC =COM
    Период времени (в минутах):
    XXXXXXX

    Объект подключения для данной службы каталогов будут игнорироваться и новое временное подключение будет установлено, чтобы убедиться, что репликация продолжается. После репликации с этой службой каталогов возобновляется, временное подключение будет удалено.

    Дополнительные данные
    Значение ошибки:
    14 не хватает памяти для завершения этой операции
    .

    Примечание Эта проблема не возникает при установке с носителя (IFM) рекламной акции для контроллеров домена используется. Однако повышение IFM должен быть изготовлены из той же версии операционной системы.
  • Следующее событие записывается в журнал событий, во время или dcpromo вскоре после завершения:
    Журнал событийИсточник событийИДЕНТИФИКАТОРОписание
    Службы каталогов Репликация 2094Предупреждение о производительности: репликация была задержана во время применения изменений на следующий объект. Если это сообщение появляется часто, это означает, что репликация происходит медленно и что сервер может иметь трудности, придерживаясь изменения.

    Объект DN: CN =Имя клиента, OU =ПОДРАЗДЕЛЕНИЕ, DC =Contoso, DC =COM
    Объект GUID: ИДЕНТИФИКАТОР GUID
    Различающееся имя раздела: DC =Contoso, DC =COM
    Сервер: дочерний домен _msdcs DNS-запись партнера репликации
    Затраченное время (сек): XX

    Действия пользователя

    Распространенной причиной для просмотра Эта задержка является особенно большой объем его значения, или в число значений этого объекта. Сначала следует учитывать, можно ли изменить приложение для уменьшения объема данных, хранящихся в объекте или количество значений. Если это большой группы или списка рассылки, может потребоваться создание функциональный уровень леса до Windows Server 2003 или более поздней, так как при этом включается репликация для более эффективной работы. Необходимо выяснить ли Серверная платформа предоставляет достаточно производительности в терминах памяти и вычислительной мощности. Наконец необходимо учитывать настройки базы данных доменных служб Active Directory путем перемещения базы данных и журналов для отдельных разделов диска.

    Если вы хотите изменить порог предупреждения, ниже приведены в разделе реестра. Значение 0 отключает проверку.

    Дополнительные данные

    Порог предупреждений (сек): XX

    Ограничение реестра: System\CurrentControlSet\Services\NTDS\Parameters\Replicator ожидания для объекта обновления (сек)
    Службы каталоговKCCкодом 1308Средство проверки согласованности знаний (KCC) обнаружила, что последовательные попытки репликации каталогов службой последовательно не удалась.

    Попыток:
    2
    Служба каталогов:
    CN = Параметры NTDS, CN =DC001, CN =Серверы, CN =узел1, CN =Веб-узлы, CN =Конфигурация, DC =Contoso, DC =COM
    Период времени (в минутах):
    XXXXXXX

    Объект подключения для данной службы каталогов будут игнорироваться и новое временное подключение будет установлено, чтобы убедиться, что репликация продолжается. После репликации с этой службой каталогов возобновляется, временное подключение будет удалено.

    Дополнительные данные
    Значение ошибки:
    14 не хватает памяти для завершения этой операции
    .

    Примечание Эта проблема не возникает при установке с носителя (IFM) рекламной акции для контроллеров домена используется. Однако повышение IFM должен быть изготовлены из той же версии операционной системы.
  • Преобразует код ошибки 14 для: ERROR_OUTOFMEMORY - недостаточно памяти для завершения этой операции. Следующее событие записывается в журнал событий, во время или dcpromo вскоре после завершения:
    Журнал событийИсточник событийИДЕНТИФИКАТОРОписание
    Службы каталогов Репликация 2094Предупреждение о производительности: репликация была задержана во время применения изменений на следующий объект. Если это сообщение появляется часто, это означает, что репликация происходит медленно и что сервер может иметь трудности, придерживаясь изменения.

    Объект DN: CN =Имя клиента, OU =ПОДРАЗДЕЛЕНИЕ, DC =Contoso, DC =COM
    Объект GUID: ИДЕНТИФИКАТОР GUID
    Различающееся имя раздела: DC =Contoso, DC =COM
    Сервер: дочерний домен _msdcs DNS-запись партнера репликации
    Затраченное время (сек): XX

    Действия пользователя

    Распространенной причиной для просмотра Эта задержка является особенно большой объем его значения, или в число значений этого объекта. Сначала следует учитывать, можно ли изменить приложение для уменьшения объема данных, хранящихся в объекте или количество значений. Если это большой группы или списка рассылки, может потребоваться создание функциональный уровень леса до Windows Server 2003 или более поздней, так как при этом включается репликация для более эффективной работы. Необходимо выяснить ли Серверная платформа предоставляет достаточно производительности в терминах памяти и вычислительной мощности. Наконец необходимо учитывать настройки базы данных доменных служб Active Directory путем перемещения базы данных и журналов для отдельных разделов диска.

    Если вы хотите изменить порог предупреждения, ниже приведены в разделе реестра. Значение 0 отключает проверку.

    Дополнительные данные

    Порог предупреждений (сек): XX

    Ограничение реестра: System\CurrentControlSet\Services\NTDS\Parameters\Replicator ожидания для объекта обновления (сек)
    Службы каталоговKCCкодом 1308Средство проверки согласованности знаний (KCC) обнаружила, что последовательные попытки репликации каталогов службой последовательно не удалась.

    Попыток:
    2
    Служба каталогов:
    CN = Параметры NTDS, CN =DC001, CN =Серверы, CN =узел1, CN =Веб-узлы, CN =Конфигурация, DC =Contoso, DC =COM
    Период времени (в минутах):
    XXXXXXX

    Объект подключения для данной службы каталогов будут игнорироваться и новое временное подключение будет установлено, чтобы убедиться, что репликация продолжается. После репликации с этой службой каталогов возобновляется, временное подключение будет удалено.

    Дополнительные данные
    Значение ошибки:
    14 не хватает памяти для завершения этой операции
    .

    Примечание Эта проблема не возникает при установке с носителя (IFM) рекламной акции для контроллеров домена используется. Однако повышение IFM должен быть изготовлены из той же версии операционной системы.
  • Распространения дескриптор безопасности

    Утечка памяти может возникнуть, когда изменение безопасности для объекта контейнера (корневой домен или подразделение (OU)) наследуется на множество дочерних объектов или подчиненных подразделений хотя SD распространения. В зависимости от записи управления доступом (ACE) может быть изменен размер и количество объектов (например, 500 000) распространение может занять много времени. В течение этого времени процесса LSASS или DsaMain процесс может постоянно выделять фиксировано байт.
  • Долго выполняющиеся запросы

    Неожиданно потребление высокой виртуальной памяти во время длительных запросов Lightweight Directory Access Protocol (LDAP) на серверах под управлением Windows 8.1 LDAP или Windows Server 2012 R2 может привести сбои памяти. Длительные запросы потребляют память, получая кучи для дескриптор безопасности каждого объекта, который был затронут.
При достижении фиксировано байт числа байтов, доступных в этих случаях система непригодна к использованию и может даже перестать.
Решение
Чтобы устранить эту проблему, установите исправление, описанное в следующем разделе.

Для использования исправления в контексте продвижения контроллера домена (DCPROMO), выполните следующие действия.
  1. Установка роли доменных служб Active Directory или AD LDS.
  2. Установите это обновление или установку новых обновлений Windows Server 2012 R2 и обновления безопасности, которые содержат двоичные sameNtdsai.dll как они носят накопительный характер.
  3. Повысьте уровень компьютера статус контроллера домена.
Важно: Если установить языковой пакет после установки данного исправления, необходимо переустановить это исправление. Таким образом, рекомендуется установить все языковые пакеты, которые прежде чем установить данное исправление. Дополнительные сведения см. Добавление языковых пакетов для Windows.

Сведения об исправлении

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему.

Если исправление доступно для загрузки, имеется раздел «Исправление загрузки доступно» в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос на получение исправления в службу технической поддержки и поддержки.

Примечание Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Затраты на обычные службы поддержки будет применяться к Дополнительные вопросы и проблемы, с которыми не данным исправлением, оплачиваются. Чтобы просмотреть полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт: Примечание В форме «Доступна загрузка исправления» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, это потому, что исправление не поддерживается для этого языка.

Предварительные условия

Для установки этого исправления необходимо иметь Апреля 2014 накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 (2919355) установлен на Windows Server 2012 R2 или Windows 8.1.

Сведения о реестре

Применяя данное исправление, вам не потребуется вносить какие-либо изменения в реестр.

Необходимость перезагрузки

Может потребоваться перезагрузить компьютер после установки данного исправления.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенные исправления.
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительная информация
При включении NTDS\Diagnostics «9 Внутренняя обработка» уровня 2, как описано в статье базы знаний Майкрософт 314980, может появиться следующие события ActiveDirectory_DomainService. Эти события показывают SD распространение продолжительной задачи.


События 1257 -, с которой начинается распространение SD
Внутреннее событие: распространение события, начиная с следующий контейнер обрабатывает задачу распространения дескриптора безопасности.
Контейнер: OU = Подразделение, DC = Contoso, DC = com

События 2007 -, показывающее ход выполнения распространения SD, войти в каждые 5 минут
Внутреннее событие: достигнут следующий контейнер и продолжит распространение задачу распространения дескриптора безопасности.
Контейнер: OU = Подразделение, DC = Contoso, DC = com

Число объектов, проанализированной на данный момент: XXXXXX

Событие 1258 -, указывающее конец распространения SD, через несколько часов
Внутреннее событие: задача распространения дескриптора безопасности завершил обработку события распространения начиная с следующий контейнер.
Контейнер: OU = Подразделение, DC = Contoso, DC = com

Количество обработанных объектов: XXXXXX


После репликации Active Directory на контроллерах домена под управлением Windows Server 2012 R2 или LDS экземпляров в домене та же проблема может возникать SD передача выполняется локально.

Вы не увидите, что утечка памяти в Active Directory сборщик набор отчетов, так как он показывает только байт. Тем не менее, можно использовать созданный производительности данных ЖРНАЛ проверки файлов счетчиков объекта: процесса монитора, экземпляр: Lsass, счетчик: Private Bytes и объект: памяти, счетчик: Committed Bytes.

Для более наблюдения разработки утечки «Граф с образцом свойства элементов графа, монитор производительности» можно использовать каждые 60 секунд. Длительность: 15 000 секунд (настроек 4 часа).

Увеличение выделения можно также наблюдать в диспетчере задач, вкладка производительностьпамяти, выделенныйэлемент. Это отображается в списке Зафиксировано/доступно гигабайт (ГБ).

Ниже перечислены индикаторы состояния ошибки.

Возвращает repadmin /showrepl:
Недостаточно памяти для завершения этой операции.

Ошибка события 1699 журналы службы каталогов:
Службе каталогов не удалось получить изменения, запрошенные для следующего раздела каталога. В результате не удается отправить запросы на изменение в службе каталогов по следующему адресу сети.
Расширенный код запроса: 0
Дополнительные данные
Значение ошибки: 8446 операции репликации не удалось выделить память.

Всплывающее окно приложения:
Windows - недостаточно виртуальной памяти: системе не хватает виртуальной памяти. Чтобы обеспечить нормальную работу Windows, увеличьте размер файла подкачки виртуальной памяти. Дополнительные сведения см.


Ссылки
Дополнительные сведения о Терминология , которые корпорация Майкрософт использует для описания обновлений программного обеспечения.
Сведения о файлах
Английская (США) версия данного обновления программного обеспечения устанавливает файлы, атрибуты которых указаны в приведенных ниже таблицах. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). Имейте в виду, что дата и время для этих файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени. При выполнении определенных операций с файлами даты и время могут изменяться.

Windows 8.1 и Windows Server 2012 R2

Важно: Windows Server 2012 R2 исправления и исправления Windows 8.1 включаются в тех же самых пакетов. Однако исправления на странице запрос исправления перечислены под обеими операционными системами. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows 8.1/Windows Server 2012 R2» на странице. Всегда смотрите раздел "Информация в данной статье относится к следующим продуктам" статьи для определения фактических операционных систем, к которым применяется каждое исправление.

Заметки
  • Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и обслуживания (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
    ВерсияПродуктВехиВетвь обслуживания
    6.3.960 0.18 xxxWindows 8.1 и Windows Server 2012 R2RTMGDR
  • Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных критических проблем. В обновления LDR входят также специализированные исправления.
  • Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, перечислены в разделе «сведения о дополнительных файлах». MUM, MANIFEST и связанные файлы каталога безопасности (.cat) очень важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
x86 Windows 8.1
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Ntdsa.MOFНеприменимо227,76518 июня 201312:21Неприменимо
Ntdsai.dll6.3.9600.181162,583,55203 ноября 2015 г.02:41x86
64-разрядная (x64) Windows 8.1 и Windows Server 2012 R2
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Ntdsa.MOFНеприменимо227,76518 июня 201314:45Неприменимо
Ntdsai.dll6.3.9600.181163,676,16003 ноября 2015 г.02:54x64

Сведения о дополнительных файлах

x86 Windows 8.1
Свойства файлаЗначение
Имя файлаUpdate.mum
Версия файлаНеприменимо
Размер файла1 600
Дата (UTC)04 ноября 2015 г.
Время (UTC)05:53
ПлатформаНеприменимо
Имя файлаX86_532408894ea01e6280e568d78cbfbc21_31bf3856ad364e35_6.3.9600.18116_none_70de56a241809c7b.manifest
Версия файлаНеприменимо
Размер файла712
Дата (UTC)04 ноября 2015 г.
Время (UTC)05:53
ПлатформаНеприменимо
Имя файлаX86_microsoft-windows-d... toryservices ntdsai_31bf3856ad364e35_6.3.9600.18116_none_85b3851fd48201e8.manifest
Версия файлаНеприменимо
Размер файла3,352
Дата (UTC)03 ноября 2015 г.
Время (UTC)05:09
ПлатформаНеприменимо
64-разрядная (x64) Windows 8.1 и Windows Server 2012 R2
Свойства файлаЗначение
Имя файлаAmd64_1c835b965fc6e60c22f413386606599e_31bf3856ad364e35_6.3.9600.18116_none_b800a1506ce79afa.manifest
Версия файлаНеприменимо
Размер файла716
Дата (UTC)04 ноября 2015 г.
Время (UTC)05:53
ПлатформаНеприменимо
Имя файлаAmd64_microsoft-windows-d... toryservices ntdsai_31bf3856ad364e35_6.3.9600.18116_none_e1d220a38cdf731e.manifest
Версия файлаНеприменимо
Размер файла3,356
Дата (UTC)03 ноября 2015 г.
Время (UTC)06:04
ПлатформаНеприменимо
Имя файлаUpdate.mum
Версия файлаНеприменимо
Размер файла2,061
Дата (UTC)04 ноября 2015 г.
Время (UTC)05:53
ПлатформаНеприменимо

Свойства

Номер статьи: 3083038 — последний просмотр: 07/07/2016 18:41:00 — редакция: 6.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbqfe kbsurveynew kbfix kbautohotfix kbhotfixserver kbexpertiseinter kbmt KB3083038 KbMtru
Отзывы и предложения