本文介绍了基于 Windows Server 2012 R2 的或基于 Windows Server 2012 的域控制器更新日期为 4 月 2016年解决下列问题的更新︰
-
问题 1更快地插入更改通知队列。详细信息,请参阅。
-
问题 2重命名的加入域的计算机运行的 Microsoft SQL Server 可能会失败,如果重命名操作由 Windows Server 2012 R2 DCs。详细信息,请参阅。
-
问题 3单一登录是为两次登录不正确地报告在 Active Directory 中。详细信息,请参阅。
-
问题 4LSSAS 访问冲突出现错误时的 AAD 连接的客户端运行"完全导入"目标的"0xC0000005"。详细信息,请参阅。
-
问题 5针对 AD 组的递归 LDAP 查询目标时发生 LSASS 访问冲突。详细信息,请参阅。
在安装此更新之前,请参见先决条件部分。
此更新中修复的问题
问题 1更快地插入到活动目录更改通知队列延迟处理的异步线程队列 (ATQ) 线程池、 LDAP 查询和基于通知复制。
当此条件为 true 时,域控制器 (DC) 本地安全机构子系统服务 (LSASS) 所消耗的 CPU 使用率过高或在极端情况下的 100 %cpu 使用率。在 DC 上开发更改通知队列时,将禁用以下操作︰
-
活动目录复制触发更改通知的延迟。
-
ATQ 线程注册或取消注册将被延迟。
-
对域控制器的写操作将被阻止。
-
正在进行的插入字符串时,通知队列处理也会被阻止。在此操作过程中,基于通知复制已被阻止。
-
LSASS 进程的 CPU 使用率会按照所有的多个操作发生阻塞,并且唯一的线程获取 CPU 时间为 Active Directory 复制运行在域控制器上冷。
此更新包含的域控制器将添加到队列的更改通知项目数的上限。 一旦达到此阈值时,DC 将使用"ERROR_DS_ADMIN_LIMIT_EXCEEDED"响应。 默认情况下,阈值为 4096。 根据需要修改此阈值,可以添加下面的注册表项︰
HKEY_LOCAL_MACHINE\CCS\Services\NTDS\Parameters 双字节"最大并发 LDAP 通知"更改通知的最大值太低会导致不必要的故障将通知客户端。因此,务必要确定实施此热修复程序之前该计数器的最"正常"范围。 要建立高范围的更改通知队列,请考虑监视来确定高峰值林中的所有域控制器上的 DS 通知队列大小计数器。
监视此计数器以确定相应的数值的最大并发 LDAP 通知时,考虑至少 25%的高峰值在的缓冲区经验丰富。
注意:此问题的修补程序包含在安全更新 3160352中。
问题 2重命名域加入 Microsoft SQL Server 成员计算机的错误与失败"目录服务正忙"。
满足以下条件时,会发生此问题︰
-
加入到 Active Directory 域的基于 Windows 的计算机上安装了 Microsoft SQL Server。
-
服务主体名称 (SPN) 由 Microsoft SQL Server 或 Microsoft SQL Express 注册包含非数字字符之后的":"要重命名的计算机帐户的 SPN 属性中的分隔符。
-
在控制面板中,承载 Microsoft SQL Server 的计算机被重命名。
-
Windows Server 2012 R2 域控制器服务重命名操作。
同样,添加其他计算机名称同样无法正常工作。和NetDom 添加计算机名命令失败,出现以下屏幕上错误︰
无法添加计算机的备用名称为newhost.domain.com
错误是︰
所请求的资源正在使用中。
未能成功完成该命令。
有关此问题的详细信息,请参阅更新 3152220。
Issue 3
在网站上的单个登录尝试被视为两个在 Active Directory 中的登录尝试。因此,通过两个而不是由一个增加的错误密码计数。
问题 4LSASS 访问冲突发生错误"0xc0000005"以及 Windows Server 2012 R2 Dc Azure AD 连接标识同步的客户端运行"完全导入"的目标。
当用户在基于 Windows Server 2012 R2 的 DC 对 Azure AD 连接标识同步客户端上运行"完全导入"时,LSASS 进程发生访问冲突和 DC,错误代码为"0xc0000005"将重新启动。当禁用 Active Directory 回收站时,会出现此问题。
有关此问题的详细信息,请参阅更新 3145339。
问题 5
当用户运行对 Active Directory 组,有很多嵌套的组的递归轻型目录访问协议 (LDAP) 查询,Lsass.exe 崩溃由于存在访问冲突 DC 上。 可以触发这种崩溃的查询的示例如下所示︰
ldifde-f t.txt-d"dc =contoso,dc = com"-r"(memberof:memberID: = cn =cn,cn =cn,dc =contoso,dc = com)"
如何获取此更新
重要:如果您在安装此更新后安装了语言包,必须重新安装此更新。因此,我们建议您在安装此更新之前,安装您需要的所有语言包。有关详细信息,请参阅将语言包添加到 Windows。
方法 1: Windows 更新
提供此更新为 Windows Update 上推荐更新。有关如何运行 Windows 更新的详细信息,请参阅如何获取通过 Windows Update 更新。
方法 2: Microsoft 更新目录
要获得此更新独立的软件包,请转到下面的 Microsoft 更新目录网站之一︰
注意:6.0 或更高版本,您必须在运行 Microsoft Internet Explorer。
更新详细信息
系统必备组件
若要安装此更新,应首先在 Windows Server 2012 R2 中安装2014 年 4 月,Windows RT 8.1、 Windows 8.1 和 Windows Server 2012 R2 (2919355) 的更新汇总。
注意:应在基于 Windows Server 2012 R2 的或基于 Windows Server 2012 的承载 Active Directory 域服务 (ADDS) 域控制器角色的计算机上安装更新。
注册表信息
若要应用此更新,您不必对注册表进行任何更改。
重启要求
您可能需要在应用此更新后,重启计算机。
更新替换信息
此更新不替换以前发布的更新。
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
参考资料
了解 Microsoft 用于描述软件更新的术语。
文件信息
此软件更新的英语 (美国) 版本将安装具有下表所列属性的文件。
注意:有关 Windows Server 2012 的文件属性,请参阅安全更新 3160352。
备注:
-
通过检查下表中显示的文件版本号,可以识别应用于特定产品、 里程碑 (RTM、 SPn) 和服务分支 (LDR、 GDR) 的文件:
版本
产品
里程碑
服务分支
6.3.960 0.18 xxx
Windows Server 2012 R2
RTM
GDR
-
GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修复。LDR 服务分支包含除了广泛发布的修补程序的修补程序。
-
为每个环境安装的MANIFEST文件 (.manifest) 和MUM文件 (.mum) 在"其他文件信息"部分中被列出。MUM、 MANIFEST和相关的安全目录 (.cat) 文件,对要维护更新组件的状态非常重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
x64 Windows Server 2012 R2
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
SP 要求 |
服务分支 |
|---|---|---|---|---|---|---|---|
|
Dsparse.dll |
6.3.9600.18264 |
30,208 |
10-Mar-2016 |
17:03 |
x64 |
SPA |
AMD64_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
|
Ntdsa.mof |
不适用 |
227,765 |
18-Jun-2013 |
14:45 |
不适用 |
无 |
不适用 |
|
Ntdsai.dll |
6.3.9600.18264 |
3,688,960 |
10-Mar-2016 |
16:35 |
x64 |
无 |
不适用 |
|
Dsparse.dll |
6.3.9600.18264 |
24,064 |
10-Mar-2016 |
16:48 |
x86 |
SPA |
X86_MICROSOFT-WINDOWS-D..ORYSERVICES-DSP |
x64 Windows Server 2012 R2
|
文件属性 |
值 |
|---|---|
|
文件名称 |
Amd64_3ef9ed1c8590f18a3bf33c09005c0f1f_31bf3856ad364e35_6.3.9600.18264_none_960b72d9006ce7ae.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
715 |
|
日期(UTC) |
11-Mar-2016 |
|
时间 (UTC) |
06:59 |
|
平台 |
不适用 |
|
文件名称 |
Amd64_a0f821498d30bf5782ea5bdd17d82c0d_31bf3856ad364e35_6.3.9600.18264_none_d759f7b093fc696a.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
717 |
|
日期(UTC) |
11-Mar-2016 |
|
时间 (UTC) |
06:59 |
|
平台 |
不适用 |
|
文件名称 |
Amd64_b54e6887a3b63dc95598e1202abb7c85_31bf3856ad364e35_6.3.9600.18264_none_dc56a5e0793b4723.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
716 |
|
日期(UTC) |
11-Mar-2016 |
|
时间 (UTC) |
06:59 |
|
平台 |
不适用 |
|
文件名称 |
Amd64_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_40eb9734562e9403.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
2,613 |
|
日期(UTC) |
10-Mar-2016 |
|
时间 (UTC) |
19:25 |
|
平台 |
不适用 |
|
文件名称 |
Amd64_microsoft-windows-d..toryservices-ntdsai_31bf3856ad364e35_6.3.9600.18264_none_e19a12598d09c94c.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
3,356 |
|
日期(UTC) |
10-Mar-2016 |
|
时间 (UTC) |
19:25 |
|
平台 |
不适用 |
|
文件名称 |
Update.mum |
|
文件版本 |
不适用 |
|
文件大小 |
2,465 |
|
日期(UTC) |
11-Mar-2016 |
|
时间 (UTC) |
06:59 |
|
平台 |
不适用 |
|
文件名称 |
X86_microsoft-windows-d..oryservices-dsparse_31bf3856ad364e35_6.3.9600.18264_none_e4ccfbb09dd122cd.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
2,609 |
|
日期(UTC) |
10-Mar-2016 |
|
时间 (UTC) |
18:57 |
|
平台 |
不适用 |
