Bài viết này mô tả các bản Cập Nhật cho Windows Server 2012 R2 hoặc Windows Server 2012 điều khiển miền ngày tháng 2016 giải quyết các vấn đề sau:
-
Vấn đề 1 Thêm vào nhanh vào hàng đợi thông báo thay đổi. Xem thông tin chi tiết.
-
Vấn đề 2 Đổi tên miền kết nối máy tính đang chạy Microsoft SQL Server có thể không thành công nếu việc đổi tên do Windows Server 2012 R2 DC. xem chi tiết.
-
Vấn đề 3 Đăng nhập duy nhất được báo cáo không đúng trong Active Directory là hai đăng nhập. Xem thông tin chi tiết.
-
Vấn đề 4 Vi phạm truy nhập LSSAS xảy ra với lỗi "0xC0000005" khi nhắm mục tiêu của AAD kết nối máy khách chạy "nhập đầy đủ". Xem thông tin chi tiết.
-
Vấn đề 5 Vi phạm truy nhập LSASS xảy ra khi nó mục tiêu của đệ quy LDAP truy vấn đối với nhóm quảng cáo. Xem thông tin chi tiết.
Trước khi cài đặt bản cập nhật này, hãy xem phần Điều kiện tiên quyết.
Sự cố được khắc phục trong bản cập nhật này
Vấn đề 1 Nhanh chèn vào thư mục hoạt động thay đổi thông báo hàng đợi chậm trễ dịch vụ hàng đợi luồng dị bộ (ATQ) chủ đề chung, LDAP truy vấn và thông báo máy nhân bản.
Khi hiện tượng này là đúng, điều khiển vùng (DC) địa phương Security Authority Subsystem Service (LSASS) tiêu thụ sử dụng CPU cao hoặc sử dụng CPU 100% trong trường hợp cực kỳ. Các tác vụ sau bị chặn khi thay đổi thông báo hàng đợi phát triển trên DC cho:
-
Nhân bản Active Directory được kích hoạt bằng cách thay đổi thông báo bị trì hoãn.
-
ATQ luồng đăng ký hoặc huỷ chậm.
-
Ghi vào DC bị chặn.
-
Khi chèn chuỗi liên tục, xử lý thông báo hàng cũng bị chặn. Thông báo trên nhân bị chặn trong thao tác này.
-
Sử dụng CPU LSASS trình chạy lạnh trên DC tất cả nhiều thao tác nhất định bị chặn và các chủ đề chỉ được thời gian CPU nhân bản Active Directory.
Bản cập nhật này bao gồm giới hạn về số lượng mục thông báo thay đổi bộ điều khiển miền sẽ thêm vào hàng đợi. Sau khi đạt tới ngưỡng này DC sẽ đáp ứng với "ERROR_DS_ADMIN_LIMIT_EXCEEDED". Theo mặc định, ngưỡng là 4096. Khoá đăng ký sau có thể được thêm vào để thay đổi ngưỡng này khi cần:
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters giá "Tối đa đồng thời LDAP thông báo"Giá trị tối đa cho các thông báo thay đổi quá thấp có thể gây ra lỗi không cần thiết để thay đổi thông báo khách hàng. Do đó, điều quan trọng là xác định phạm vi "bình thường" truy cập này trước khi thực hiện các hotfix. Thiết lập trên nhiều hàng đợi thông báo thay đổi, xem xét giám sát truy cập DS thông báo kích thước hàng đợi trên tất cả bộ điều khiển miền trong khu rừng để xác định giá trị cao nhất.
Xem xét một bộ đệm tối thiểu 25% trên giá trị đỉnh kinh nghiệm khi giám sát truy cập này để xác định một giá trị phù hợp với thông báo LDAP đồng thời tối đa.
Lưu ý Sửa chữa cho vấn đề này được bao gồm trong Cập Nhật bảo mật 3160352.
Vấn đề 2 Renames tham gia miền Microsoft SQL Server thuộc tính thất bại với lỗi "Dịch vụ thư mục đang bận".
Sự cố này xảy ra khi các điều kiện sau là đúng:
-
Microsoft SQL Server được cài đặt trên máy tính chạy Windows nối với miền Active Directory.
-
Dịch vụ chính tên (SPN) đã được đăng ký của Microsoft SQL Server hoặc Microsoft SQL Express chứa các ký tự không phải là số sau phần ":" dấu tách thuộc tính SPN tài khoản máy tính được đổi tên.
-
Máy tính lưu trữ Microsoft SQL Server được đổi tên trong Pa-nen điều khiển.
-
Bộ kiểm soát miền Windows Server 2012 R2 dịch vụ thao tác đổi tên.
Tương tự, thêm một tên máy tính khác cũng sẽ thất bại. Và lệnh NetDom thêm tên máy tính không có sau một màn hình lỗi:
Không thể thêm newhost.domain.com một tên khác cho máy tính
Lỗi này:
Tài nguyên được yêu cầu sử dụng.
Lệnh không hoàn tất thành công.
Để biết thêm thông tin về sự cố này, hãy xem Cập Nhật 3152220.
Issue 3
Cố gắng đăng nhập duy nhất trên các trang web được tính là hai cố gắng đăng nhập trong Active Directory. Do đó, tính sai mật khẩu tăng hai thay vì một.
Vấn đề 4 Vi phạm truy nhập LSASS xuất hiện cùng với lỗi "0xc0000005" trên Windows Server 2012 R2 DC nhắm mục tiêu của Azure AD kết nối danh tính đồng bộ hoá máy khách chạy "Nhập đầy đủ".
Khi người dùng chạy "Nhập đầy đủ" Azure AD kết nối đồng bộ hoá danh tính khách hàng dựa trên Windows Server 2012 R2 DC, vi phạm truy cập xảy ra quá trình LSASS và DC khởi động lại với mã lỗi "0xc0000005". Sự cố này xảy ra khi hoạt động thư mục thùng rác bị vô hiệu hoá.
Để biết thêm thông tin về sự cố này, hãy xem Cập Nhật 3145339.
Vấn đề 5
Lsass.exe treo trên DC với sự vi phạm truy nhập khi người dùng chạy truy vấn giao thức truy cập thư mục nhẹ (LDAP) đệ quy đối với một nhóm Active Directory có nhiều nhóm lồng nhau. Ví dụ về truy vấn có thể kích hoạt các loại sự cố là như sau:
ldifde -f t.txt -d "dc =contoso, dc = com" - r "(memberof:memberID: = cn =cn, cn =cn, dc =contoso, dc = com)"
Cách nhận bản cập nhật này
Quan trọng Nếu bạn cài đặt gói ngôn ngữ sau khi cài đặt bản cập nhật này, bạn phải cài đặt lại bản cập nhật này. Do đó, chúng tôi khuyến nghị bạn cài đặt bất kỳ ngôn ngữ gói mà bạn cần trước khi bạn cài đặt bản cập nhật này. Để biết thêm thông tin, hãy xem Thêm gói ngôn ngữ vào Windows
Phương pháp 1: Windows Update
Bản cập nhật này được cung cấp dưới dạng bản Cập Nhật được khuyến nghị trên Windows Update. Để biết thêm thông tin về cách chạy Windows Update, hãy xem cách nhận bản cập nhật thông qua Windows Update.
Phương pháp 2: Danh mục Microsoft Update
Để có được gói độc lập cho bản cập nhật này, hãy truy cập một web site sau của Microsoft Cập nhật danh mục:
Lưu ý Bạn phải đang chạy Microsoft Internet Explorer 6.0 hoặc mới hơn.
Cập nhật thông tin chi tiết
Điều kiện tiên quyết
Để cài đặt bản cập nhật này, bạn nên cài đặt trước ngày 2014, bản Cập Nhật cho Windows RT 8.1, Windows 8.1, và Windows Server 2012 R2 (2919355) trong Windows Server 2012 R2.
Lưu ý Bản Cập Nhật sẽ được cài đặt trên máy tính Windows Server 2012 R2 hoặc Windows Server 2012 lưu trữ Active Directory miền Dịch vụ (thêm) vùng vai trò điều khiển.
Thông tin đăng ký
Để áp dụng bản cập nhật này, bạn không phải thực hiện bất kỳ thay đổi sổ đăng ký nào.
Yêu cầu khởi động lại
Bạn có thể phải khởi động lại máy tính sau khi áp dụng bản cập nhật này.
Thông tin thay thế bản cập nhật
Bản cập nhật này không thay thế bản cập nhật phát hành trước đó.
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Tham khảo
Tìm hiểu thêm về thuật ngữ Microsoft sử dụng để mô tả các bản cập nhật phần mềm.
Thông tin về tệp
Phiên bản tiếng Anh (Mỹ) của bản cập nhật phần mềm này cài đặt tệp có các thuộc tính được liệt kê trong bảng sau.
Lưu ý Thuộc tính tệp của Windows Server 2012 xem 3160352 Cập Nhật bảo mật.
Lưu ý:
-
Các tệp áp dụng cho một sản phẩm cụ thể, bản gốc (RTM, SPn), và dịch vụ chi nhánh (LDR, GDR) có thể được xác định bằng cách kiểm tra các số phiên bản tệp như trình bày ở bảng sau:
Phiên bản
Sản phẩm
Bản gốc
Chi nhánh dịch vụ
6.3.960 0,18 xxx
Windows Server 2012 R2
RTM
GDR
-
Chi nhánh dịch vụ GDR chỉ chứa các bản vá được phát hành rộng rãi để khắc phục các sự cố nghiêm trọng, thường gặp. Ngoài các bản vá được phát hành rộng rãi, chi nhánh dịch vụ LDR còn chứa các cập nhật nóng.
-
Tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt cho từng môi trường được liệt kê trong phần "thông tin tệp bổ sung". MUM, MANIFEST và các tệp danh mục bảo mật liên quan (.cat) có ý nghĩa rất quan trọng để duy trì trạng thái của các cấu phần được cập nhật. Các tệp danh mục bảo mật, không được liệt kê các thuộc tính, được ký bằng chữ kỹ số của Microsoft.
x64 Windows Server 2012 R2
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
Yêu cầu SP |
Chi nhánh dịch vụ |
|---|---|---|---|---|---|---|---|
|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
|
Ntdsa.mof |
Không áp dụng |
227,765 |
18-Jun-2013 |
14:45 |
Không áp dụng |
Không có |
Không áp dụng |
|
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
Không có |
Không áp dụng |
|
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 Windows Server 2012 R2
|
Thuộc tính tệp |
Giá trị |
|---|---|
|
Tên tệp |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
715 |
|
Ngày (UTC) |
11-Mar-2016 |
|
Thời gian (UTC) |
06:59 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
717 |
|
Ngày (UTC) |
11-Mar-2016 |
|
Thời gian (UTC) |
06:59 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
716 |
|
Ngày (UTC) |
11-Mar-2016 |
|
Thời gian (UTC) |
06:59 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
2,613 |
|
Ngày (UTC) |
10-Mar-2016 |
|
Thời gian (UTC) |
19:25 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
3.356 người |
|
Ngày (UTC) |
10-Mar-2016 |
|
Thời gian (UTC) |
19:25 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Update.mum |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
2,465 |
|
Ngày (UTC) |
11-Mar-2016 |
|
Thời gian (UTC) |
06:59 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
2.609 người |
|
Ngày (UTC) |
10-Mar-2016 |
|
Thời gian (UTC) |
18:57 |
|
Nền tảng |
Không áp dụng |
