更新 Windows Server 2012 R2 基于或基于 Windows Server 2012 的域控制器,请 4 月 2016

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3103709
本文介绍的更新基于 Windows Server 2012 R2 或 Windows Server 2012-baseddomain 控制器日期为 4 月 2016年,解决了以下问题 ︰
  • 问题 1 更快地插入更改通知队列。 详细信息,请参阅.
  • 问题 2如果由 Windows Server 2012 R2 DCs 提供服务,则重命名操作可能会失败的加入域的计算机运行的 Microsoft SQL Server 的重命名。详细信息,请参阅.
  • 问题 3 单一登录是为两次登录不正确地报告在 活动目录(AD) 中。 详细信息,请参阅.
  • 问题 4LSSAS 访问冲突出现错误时的 AAD 连接的客户端运行"完全导入"目标的"0xC0000005"。详细信息,请参阅.
  • 问题 5 针对 AD 组的递归 LDAP 查询目标时发生 LSASS 访问冲突。 详细信息,请参阅.


安装此更新之前,请参阅 系统必备组件 一节。
此更新中修复的问题
问题 1更快地插入到活动目录更改通知队列延迟处理的异步线程队列 (ATQ) 线程池、 LDAP 查询和基于通知复制。

当此条件为 true 时,域控制器 (DC) 本地安全机构子系统服务 (LSASS) 所消耗的 CPU 使用率过高或在极端情况下的 100 %cpu 使用率。在 DC 上开发更改通知队列时,将禁用以下操作 ︰
  • 活动目录复制触发更改通知的延迟。
  • ATQ 线程注册或取消注册将被延迟。
  • 对域控制器的写操作将被阻止。
  • 正在进行的插入字符串时,通知队列处理也会被阻止。在此操作过程中,基于通知复制已被阻止。
  • LSASS 进程的 CPU 使用率会按照所有的多个操作发生阻塞,并且唯一的线程获取 CPU 时间为 活动目录(AD) 复制运行在域控制器上冷。
此更新包含的域控制器将添加到队列的更改通知项目数的上限。一旦达到此阈值时,DC 将使用"ERROR_DS_ADMIN_LIMIT_EXCEEDED"响应。默认情况下,阈值为 4096。根据需要修改此阈值,可以添加下面的注册表项 ︰
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters DWORD "Maximum Concurrent LDAP Notifications"
更改通知的最大值太低会导致不必要的故障将通知客户端。因此,务必要确定实施此热修复程序之前该计数器的最"正常"范围。要建立高范围的更改通知队列,请考虑监视来确定高峰值林中的所有域控制器上的 DS 通知队列大小计数器。

监视此计数器以确定相应的数值的最大并发 LDAP 通知时,考虑至少 25%的高峰值在的缓冲区经验丰富。

注意:此问题的修补程序包含在安全更新 3160352.


问题 2重命名域加入 Microsoft SQL Server 成员计算机的错误与失败"目录服务正忙"。

满足以下条件时,会发生此问题 ︰
  • 加入到 活动目录(AD) 域的基于 Windows 的计算机上安装了 Microsoft SQL Server。
  • 服务主体名称 (SPN) 由 Microsoft SQL Server 或 Microsoft SQL Express 注册包含非数字字符之后的":"要重命名的计算机帐户的 SPN 属性中的分隔符。
  • 承载 Microsoft SQL Server 的计算机是 renamedin 控制面板。
  • Windows Server 2012 R2 域控制器服务重命名操作。
同样,添加其他计算机名称同样无法正常工作。并NetDom 添加计算机名 命令失败,出现以下屏幕上错误 ︰

无法添加 newhost.domain.com 作为计算机的备用名称
错误是 ︰

所请求的资源正在使用中。

未能成功完成该命令。

有关此问题的详细信息,请参阅 更新 3152220.


问题 3

在网站上的单个登录尝试被视为两个在 活动目录(AD) 中的登录尝试。因此,通过两个而不是由一个增加的错误密码计数。



问题 4LSASS 访问冲突发生错误"0xc0000005"以及 Windows Server 2012 R2 Dc Azure AD 连接标识同步的客户端运行"完全导入"的目标。

当用户在基于 Windows Server 2012 R2 的 DC 对 Azure AD 连接标识同步客户端上运行"完全导入"时,LSASS 进程发生访问冲突和 DC,错误代码为"0xc0000005"将重新启动。当禁用 活动目录(AD) 回收站时,会出现此问题。

有关此问题的详细信息,请参阅 更新 3145339.

问题 5

当用户运行对 活动目录(AD) 组,有很多嵌套的组的递归轻型目录访问协议 (LDAP) 查询,Lsass.exe 崩溃由于存在访问冲突 DC 上。可以触发这种崩溃的查询的示例如下所示 ︰
ldifde-f t.txt d"dc =contosodc = com"-r"(memberof:memberID: = cn =cncn =cndc =contosodc = com)"
如何获取此更新
重要:如果您在安装此更新后安装了语言包,必须重新安装此更新。因此,我们建议您在安装此更新之前,安装您需要的所有语言包。有关详细信息,请参阅 将语言包添加到 Windows.

方法 1: Windows 更新

提供此更新为 Windows Update 上推荐更新。有关如何运行 Windows 更新的详细信息,请参见如何通过 Windows Update 获取更新.

方法 2: Microsoft 更新目录

要获得此更新独立的软件包,请转到下面的 Microsoft 更新目录网站之一 ︰注意:6.0 或更高版本,您必须在运行 Microsoft Internet Explorer。
更新详细信息

系统必备组件

若要安装此更新,应首先安装 2014 年 4 月,累积更新 Windows RT 8.1、 Windows 8.1 和 Windows Server 2012 R2 (2919355) 在 Windows Server 2012 R2。

注意:被应安装在基于 Windows Server 2012 R2 或 Windows Server 2012 basedcomputers 承载 theActive 目录域服务 (ADDS) 域控制器角色。

注册表信息

若要应用此更新,您不必对注册表进行任何更改。

重启要求

您可能需要在应用此更新后,重启计算机。

更新替换信息

此更新不替换以前发布的更新。
状态
Microsoft 已经确认这是"适用于"一节中列出的 Microsoft 产品中的问题。
参考
了解有关 术语 Microsoft 用于描述软件更新。
文件信息
此软件更新的英语 (美国) 版本将安装具有下表所列属性的文件。

注意:有关 Windows Server 2012 的文件属性,请参见 安全更新 3160352.

Windows Server 2012 R2

备注:
  • 通过检查下表中显示的文件版本号,可以识别应用于特定产品、 里程碑 (RTM、 SPn) 和服务分支 (LDR、 GDR) 的文件:
    版本产品里程碑服务分支
    6.3.960 0.18 xxxWindows Server 2012 R2RTMGDR
  • GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修复。LDR 服务分支包含除了广泛发布的修补程序的修补程序。
  • 为每个环境安装的MANIFEST文件 (.manifest) 和MUM文件 (.mum) 在"其他文件信息"部分中被列出。MUM、 MANIFEST和相关的安全目录 (.cat) 文件,对要维护更新组件的状态非常重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
x64 Windows Server 2012 R2
文件名称文件版本文件大小日期时间平台SP 要求服务分支
Dsparse.dll6.3.9600.1826430,2082016 年 03 月 10-17:03x64SPAAMD64_MICROSOFT WINDOWS D.。ORYSERVICES 的 DSP
Ntdsa.mof不适用227,7652013 年 6 月 18 日14:45不适用不适用
Ntdsai.dll6.3.9600.182643,688,9602016 年 03 月 10-16:35x64不适用
Dsparse.dll6.3.9600.1826424,0642016 年 03 月 10-16:48x86SPAX86_MICROSOFT WINDOWS D.。ORYSERVICES 的 DSP

其他文件信息

x64 Windows Server 2012 R2
文件属性
文件名称Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest
文件版本不适用
文件大小715
日期(UTC)2016 年 03 月 11-
时间 (UTC)06:59
平台不适用
文件名称Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest
文件版本不适用
文件大小717
日期(UTC)2016 年 03 月 11-
时间 (UTC)06:59
平台不适用
文件名称Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest
文件版本不适用
文件大小716
日期(UTC)2016 年 03 月 11-
时间 (UTC)06:59
平台不适用
文件名称Amd64_microsoft-windows-d.oryservices dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest
文件版本不适用
文件大小2,613
日期(UTC)2016 年 03 月 10-
时间 (UTC)19:25
平台不适用
文件名称Amd64_microsoft-windows-d.toryservices ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest
文件版本不适用
文件大小3,356
日期(UTC)2016 年 03 月 10-
时间 (UTC)19:25
平台不适用
文件名称Update.mum
文件版本不适用
文件大小2,465
日期(UTC)2016 年 03 月 11-
时间 (UTC)06:59
平台不适用
文件名称X86_microsoft-windows-d.oryservices dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest
文件版本不适用
文件大小2,609
日期(UTC)2016 年 03 月 10-
时间 (UTC)18:57
平台不适用

警告:本文已自动翻译

属性

文章 ID:3103709 - 上次审阅时间:06/30/2016 17:08:00 - 修订版本: 8.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation

  • kbsurveynew kbfix atdownload kbexpertiseadvanced kbmt KB3103709 KbMtzh
反馈