บทความนี้อธิบายถึงการปรับปรุงสำหรับโดเมนที่ใช้ Windows Server 2012 หรือใช้ Windows Server 2012 R2 การควบคุมวันที่เดือน 2016 เมษายนที่ระบุถึงปัญหาต่อไปนี้:
-
ฉบับที่ 1 การแทรกที่รวดเร็วขึ้นลงในคิวการแจ้งเตือนการเปลี่ยนแปลง ดูรายละเอียด
-
การตัดสินค้าจากคลัง 2 เปลี่ยนชื่อของคอมพิวเตอร์ที่เข้าร่วมโดเมนที่กำลังเรียกใช้ Microsoft SQL Server อาจล้มเหลวถ้าการดำเนินการเปลี่ยนชื่อมีการให้บริการโดย Windows Server 2012 R2 Dcดูรายละเอียด
-
การตัดสินค้าจากคลัง 3 เข้าสู่ระบบเดียวมีรายงานอย่างไม่ถูกต้องใน Active Directory เข้าสู่ระบบที่สอง ดูรายละเอียด
-
การตัดสินค้าจากคลัง 4 การละเมิดการเข้าถึง LSSAS เกิดขึ้นกับข้อผิดพลาด "0xC0000005" เมื่อเป้าหมาย โดยไคลเอนต์ที่เชื่อมต่อ AAD ที่เรียกใช้ "การนำเข้าแบบเต็ม" ดูรายละเอียด
-
การตัดสินค้าจากคลัง 5 การละเมิดการเข้าถึง LSASS เกิดขึ้นเมื่อมีการกำหนดเป้าหมาย โดยการสอบถาม LDAP ซ้ำกับกลุ่มที่มีโฆษณา ดูรายละเอียด
ก่อนที่คุณติดตั้งโปรแกรมปรับปรุงนี้ ดูส่วนของข้อกำหนดเบื้องต้น
ปัญหาที่ได้รับการแก้ไขในการปรับปรุงนี้
ฉบับที่ 1 แทรกเร็วไดเรกทอรีที่ใช้งานอยู่เปลี่ยนแจ้งคิวความล่าช้าให้บริการซ่อมบำรุงของพูลเธรดคิวเธรดแบบอะซิงโครนัส (ATQ) แบบสอบถาม LDAP และการจำลองแบบโดยใช้การแจ้งเตือน
เมื่อเงื่อนไขนี้เป็นจริง ตัวควบคุมโดเมน (DC) ท้องถิ่นความปลอดภัยหน่วยงานระบบย่อยบริการ (LSASS) การใช้งาน CPU สูงหรือการใช้งาน CPU 100% ในกรณีที่เรียกใช้ การดำเนินการต่อไปนี้ถูกบล็อคเมื่อพัฒนาคิวแจ้งให้ทราบการเปลี่ยนแปลงบน DC ที่กำหนด:
-
การจำลองแบบไดเรกทอรีที่ใช้งานอยู่ถูกทริกเกอร์ โดยการแจ้งเตือนการเปลี่ยนแปลงมีความล่าช้า
-
การลงทะเบียนเธรด ATQ หรือ unregistration มีความล่าช้า
-
เขียนไป DC ที่ถูกบล็อค
-
เมื่อแทรกสายอักขระเป็นอย่างต่อเนื่อง การประมวลผลในคิวการแจ้งให้ทราบจะถูกบล็อค การจำลองแบบโดยใช้การแจ้งเตือนนี้ถูกบล็อคในระหว่างการดำเนินการนี้
-
การใช้งาน CPU สำหรับกระบวนการ LSASS รันเย็นบน Dc เป็นการดำเนินงานหลายทั้งหมดถูกบล็อค และเธรดเท่านั้นได้รับเวลาของ CPU เป็นการจำลองแบบไดเรกทอรีที่ใช้งานอยู่
การปรับปรุงนี้มีข้อจำกัดสูงสุดของหมายเลขของรายการแจ้งเตือนการเปลี่ยนแปลงที่ตัวควบคุมโดเมนที่จะเพิ่มลงในคิว เมื่อถึงขีดจำกัดนี้ DC จะตอบสนองกับ "ERROR_DS_ADMIN_LIMIT_EXCEEDED" โดยค่าเริ่มต้น ขีดจำกัดคือ 4096 สามารถเพิ่มคีย์รีจิสทรีต่อไปนี้เพื่อปรับเปลี่ยนขีดจำกัดนี้ได้ตามความจำเป็น:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "แจ้งเตือน LDAP ที่เกิดขึ้นพร้อมกันสูงสุด"ค่าสูงสุดสำหรับการแจ้งเตือนการเปลี่ยนแปลงที่ต่ำเกินไปอาจทำให้เกิดความล้มเหลวที่ไม่จำเป็นเมื่อต้องการเปลี่ยนไคลเอ็นต์การแจ้งเตือน ดังนั้น จึงเป็นสิ่งสำคัญในการกำหนดช่วงของตัวนับนี้ล่วงหน้าก่อนนำโปรแกรมแก้ไขด่วน "ปกติ" เมื่อต้องสร้างช่วงด้านบนของคิวการแจ้งเตือนการเปลี่ยนแปลง ลองตรวจสอบตัวนับขนาดคิวการแจ้งให้ทราบ DS บนตัวควบคุมโดเมนทั้งหมดในฟอเรสต์เพื่อกำหนดค่าสูงสุด
พิจารณาบัฟเฟอร์อย่างน้อย 25% ด้านบนสุดของค่าสูงสุดมีประสบการณ์ในขณะที่การตรวจสอบตัวนับนี้เพื่อกำหนดค่าการแจ้งเตือน LDAP ที่เกิดขึ้นพร้อมกันสูงสุดที่เหมาะสม
หมายเหตุ การแก้ไขสำหรับปัญหานี้จะรวมอยู่ในการปรับปรุงความปลอดภัย 3160352
การตัดสินค้าจากคลัง 2 เปลี่ยนชื่อของการเข้าร่วมโดเมนคอมพิวเตอร์สมาชิก Microsoft SQL Server ล้มเหลว ด้วยข้อผิดพลาด "บริการไดเรกทอรีไม่ว่าง"
ปัญหานี้เกิดขึ้นเมื่อตรงตามเงื่อนไขต่อไปนี้:
-
Microsoft SQL Server ถูกติดตั้งบนคอมพิวเตอร์ที่ใช้ Windows ที่ได้เข้าร่วมกับโดเมนไดเรกทอรีที่ใช้งานอยู่
-
การบริการหลักชื่อ (SPN) ที่ลงทะเบียนไว้ โดย Microsoft SQL Server หรือ Microsoft SQL Express ประกอบด้วยอักขระที่ไม่ใช่ตัวเลขหลังจาก ": " ตัวคั่นในแอตทริบิวต์ SPN ของบัญชีคอมพิวเตอร์ที่ถูกเปลี่ยนชื่อ
-
คอมพิวเตอร์ที่มี Microsoft SQL Server ที่เป็นโฮสต์ถูกเปลี่ยนชื่อใน'แผงควบคุม'
-
ตัวควบคุมโดเมน Windows Server 2012 R2 ของบริการการดำเนินการเปลี่ยนชื่อ
ในทำนองเดียวกัน เพิ่มชื่อคอมพิวเตอร์อื่นยังไม่ และคำสั่งNetDom เพิ่มcomputernameล้มเหลวกับต่อไปนี้แสดงบนหน้าจอข้อผิดพลาด:
ไม่สามารถเพิ่มnewhost.domain.comเป็นชื่อสำรองสำหรับคอมพิวเตอร์
ข้อผิดพลาดคือ:
ทรัพยากรร้องขอถูกใช้งานอยู่
คำสั่งไม่สามารถเสร็จสมบูรณ์
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหานี้ ดูอัพเด 3152220
Issue 3
ความพยายามเข้าสู่ระบบเดียวบนเว็บไซต์ถูกนับเป็นความพยายามเข้าสู่ระบบที่สองในไดเรกทอรีที่ใช้งานอยู่ ดังนั้น การตรวจนับของรหัสผ่านไม่ถูกต้องเพิ่มขึ้น ด้วยสองแทนโดยหนึ่ง
การตัดสินค้าจากคลัง 4 การละเมิดการเข้าถึง LSASS เกิดขึ้นพร้อมกับข้อผิดพลาด "0xc0000005" บน Windows Server 2012 R2 DCs เป้าหมาย โดยการเชื่อมต่อ AD Azure identity ซิงค์ไคลเอ็นต์ที่เรียกใช้ "การนำเข้าแบบเต็ม"
เมื่อผู้ใช้ทำงาน "การนำเข้าทั้งหมด" บนไคลเอนต์ซิงค์ข้อมูลเฉพาะตัวของการเชื่อมต่อ AD Azure เทียบกับ DC ที่ใช้ Windows Server 2012 R2 ของ การละเมิดการเข้าถึงเกิดขึ้นในกระบวนการ LSASS และ DC รีสตาร์ตเครื่อง ด้วยรหัสข้อผิดพลาด "0xc0000005" ปัญหานี้เกิดขึ้นเมื่อ Active Directory ถังรีไซเคิลถูกปิดใช้งาน
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหานี้ ดูอัพเด 3145339
ปัญหาที่ 5
Lsass.exe ล้มเหลวบน DC แบบมีการละเมิดการเข้าถึงเมื่อผู้ใช้เรียกใช้แบบสอบถามโพรโทคอลการเข้าถึงไดเรกทอรีของน้ำหนักเบาและ (LDAP) แบบเรียกใช้ซ้ำกับกลุ่ม Active Directory ที่มีกลุ่มที่ซ้อนกันมาก ตัวอย่างของแบบสอบถามที่สามารถก่อให้เกิดความผิดพลาดชนิดนี้มีดังต่อไปนี้:
ldifde -f t.txt -d " dc =contoso, dc = com " - r " (memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
วิธีการรับการปรับปรุงนี้
สิ่งสำคัญ ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้ คุณต้องติดตั้งโปรแกรมปรับปรุงนี้อีกครั้ง ดังนั้น เราขอแนะนำให้คุณติดตั้งชุดภาษาใด ๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows
วิธีที่ 1: การปรับปรุง Windows
โปรแกรมปรับปรุงนี้มีให้เป็นการปรับปรุงแนะนำในการปรับปรุงของ Windows สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการรัน Windows Update ดูวิธีการรับการปรับปรุงผ่าน Windows Update
วิธีที่ 2: แค็ตตาล็อก Microsoft Update
เมื่อต้องการรับแพคเกจแบบสแตนด์อโลนสำหรับการปรับปรุงนี้ ไปเว็บไซต์ Microsoft Update Catalog ดังต่อไปนี้อย่างใดอย่างหนึ่ง:
หมายเหตุ คุณต้องเรียกใช้ Microsoft Internet Explorer 6.0 หรือรุ่นที่ใหม่กว่า
ข้อมูลรายละเอียดการปรับปรุง
ข้อกำหนดเบื้องต้น
เมื่อต้องการติดตั้งโปรแกรมปรับปรุงนี้ คุณควรติดตั้ง2014 เมษายน ยกเลิกการปรับปรุงสำหรับ Windows RT 8.1, Windows 8.1 และ Windows Server 2012 R2 การ (2919355)ใน Windows Server 2012 R2 ของ
หมายเหตุ การปรับปรุงควรถูกติดตั้งบนคอมพิวเตอร์ที่ใช้ Windows Server 2012 หรือใช้ Windows Server 2012 R2 ของที่กำลังโฮสต์บทบาทตัวควบคุมโดเมนของบริการ (ADDS) โดเมน Active Directory
ข้อมูลรีจิสทรี
เมื่อต้องการใช้การปรับปรุงนี้ คุณไม่จำเป็นต้องทำการเปลี่ยนแปลงใด ๆ ในรีจิสทรี
ข้อกำหนดการรีสตาร์ท
คุณอาจต้องรีสตาร์ทคอมพิวเตอร์หลังจากใช้การปรับปรุงนี้
ข้อมูลการแทนที่การปรับปรุง
โปรแกรมปรับปรุงนี้ไม่แทนการปรับปรุงที่ออกมาก่อนหน้านี้
สถานะ
Microsoft ยืนยันว่านี่เป็นปัญหาในผลิตภัณฑ์ของ Microsoft ซึ่งแสดงไว้ในส่วน "นำไปใช้กับ"
ข้อมูลอ้างอิง
เรียนรู้เกี่ยวกับ คำศัพท์เฉพาะทาง ที่ Microsoft ใช้เพื่ออธิบายการปรับปรุงซอฟต์แวร์
แฟ้มข้อมูล
ปรับปรุงซอฟต์แวร์รุ่นภาษาอังกฤษ (สหรัฐอเมริกา) ติดตั้งแฟ้มที่มีแอตทริบิวต์ที่แสดงในตารางต่อไปนี้
หมายเหตุ สำหรับแอตทริบิวต์แฟ้มของ Windows Server 2012 ดู3160352 การปรับปรุงความปลอดภัย
หมายเหตุ
-
แฟ้มที่นำไปใช้กับผลิตภัณฑ์เจาะจง ไมล์สโตน (RTM, SPn), และสาขาเซอร์วิส (LDR, GDR) สามารถระบุได้ ด้วยการตรวจสอบหมายเลขรุ่นของแฟ้มดังที่แสดงในตารางต่อไปนี้:
รุ่น
ผลิตภัณฑ์
หลักเป้าหมาย
สาขาเซอร์วิส
6.3.960 0.18 xxx
Windows Server 2012 R2
RTM
GDR
-
สาขาบริการของ GDR ประกอบด้วยบรรดาโปรแกรมแก้ไขเฉพาะที่มีการนำออกใช้อย่างกว้างขวางเพื่อจัดการกับปัญหาร้ายแรงที่แพร่กระจายเป็นวงกว้าง สาขาบริการของ ldr จะประกอบด้วยโปรแกรมแก้ไขด่วนนอกจากการแก้ไขที่ออกในวงกว้าง
-
แฟ้ม MANIFEST (.manifest) และแฟ้ม MUM (.mum) ซึ่งติดตั้งสำหรับแต่ละสภาพแวดล้อมจะแสดงรายการอยู่ในส่วน "ข้อมูลแฟ้มเพิ่มเติม" แฟ้ม MUM, MANIFESTและ แฟ้มแค็ตตาล็อก (.cat) การรักษาความปลอดภัยที่เกี่ยวข้อง มีความสำคัญมากในการรักษาสถานะของคอมโพเนนต์ปรับปรุงแล้ว แฟ้มแค็ตตาล็อกการรักษาความปลอดภัยซึ่งแอตทริบิวต์ไม่ได้แสดงรายการไว้จะได้รับการลงชื่อด้วยลายเซ็นดิจิทัลของ Microsoft
x64 Windows Server 2012 R2
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
ข้อกำหนด SP |
สาขาเซอร์วิส |
---|---|---|---|---|---|---|---|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
Ntdsa.mof |
ไม่มีข้อมูล |
227,765 |
18-Jun-2013 |
14:45 |
ไม่มีข้อมูล |
ไม่มี |
ไม่มีข้อมูล |
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
ไม่มี |
ไม่มีข้อมูล |
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 Windows Server 2012 R2
คุณสมบัติแฟ้ม |
ค่า |
---|---|
ชื่อแฟ้ม |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
ขนาดของแฟ้ม |
715 |
วัน (UTC) |
11-Mar-2016 |
เวลา (UTC) |
06:59 |
แพลตฟอร์ม |
ไม่มีข้อมูล |
ชื่อแฟ้ม |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
ขนาดของแฟ้ม |
717 |
วัน (UTC) |
11-Mar-2016 |
เวลา (UTC) |
06:59 |
แพลตฟอร์ม |
ไม่มีข้อมูล |
ชื่อแฟ้ม |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
ขนาดของแฟ้ม |
716 |
วัน (UTC) |
11-Mar-2016 |
เวลา (UTC) |
06:59 |
แพลตฟอร์ม |
ไม่มีข้อมูล |
ชื่อแฟ้ม |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
ขนาดของแฟ้ม |
2,613 |
วัน (UTC) |
10-Mar-2016 |
เวลา (UTC) |
19:25 |
แพลตฟอร์ม |
ไม่มีข้อมูล |
ชื่อแฟ้ม |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
ขนาดของแฟ้ม |
3,356 |
วัน (UTC) |
10-Mar-2016 |
เวลา (UTC) |
19:25 |
แพลตฟอร์ม |
ไม่มีข้อมูล |
ชื่อแฟ้ม |
Update.mum |
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
ขนาดของแฟ้ม |
2,465 |
วัน (UTC) |
11-Mar-2016 |
เวลา (UTC) |
06:59 |
แพลตฟอร์ม |
ไม่มีข้อมูล |
ชื่อแฟ้ม |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
รุ่นของแฟ้ม |
ไม่มีข้อมูล |
ขนาดของแฟ้ม |
2,609 |
วัน (UTC) |
10-Mar-2016 |
เวลา (UTC) |
18:57 |
แพลตฟอร์ม |
ไม่มีข้อมูล |