Por que vejo um erro de corrupção de heap de lsass.exe nos controladores de domínio depois de instalar o Google Apps Password Sync?

3

Estamos mudando para o Google Apps e acabamos de instalar o Google Apps Password Sync. Ainda temos que distribuir isso para os usuários e estamos tendo alguns problemas.

Ocasionalmente, depois que um usuário altera sua senha, uma mensagem de erro é exibida em um controlador de domínio:

Microsoft Visual C++ Debug Library

Debug Error!

Program: C:\WINDOWS\system32\lsass.exe

HEAP CORRUPTION DETECTED: after Normal block(#1234) at 0x00000000A123456E. CRT detected that the application wrote to memory after end of heap buffer.

Press Retry to debug the application

Abort Retry Ignore

Esta mensagem aparece apenas na sessão de console (não será exibida por meio de uma sessão RDP.) Se não for atendida, o RDP deixará de responder. O controlador de domínio também pára de replicação e não pode ser desligado normalmente (aparece um erro You do not have permissions to shutdown ).

Eu tive que executar um desligamento em DCs devido a esse erro.

Um dos requisitos para ativar uma conta de usuário no Google Apps é uma alteração de senha. Não quero implementar nossa nova política de senha e redefinir todas as contas de usuário até saber que esse problema foi corrigido.

O que está causando esse erro e como posso corrigi-lo?

    
por Tanner Faulkner 28.02.2013 / 20:07

1 resposta

4

Estes erros só ocorrem quando o comprimento da senha é inferior a oito caracteres.

Oito caracteres também são a duração da senha exigida pelo Google Apps. Se você substituir sua política de senhas terrivelmente curta e insegura por uma adequada, o comando lsass parará de funcionar.

Você pode fazer isso agora sem forçar todos os usuários a alterar suas senhas imediatamente, de acordo com a resposta aceita em esta questão .

Isso também pode afetar somente o Windows Server 2003 (o único resultado de pesquisa que encontrei neste disse que o erro ocorreu apenas em sua instalação de 2003 e não em 2008.)

Parece que os erros acontecem com mais frequência à medida que a senha fica mais curta. Definir um caractere ou uma senha em branco irá travar o lsass.exe todas as vezes. Eu passei por 20.000 alterações de senha usando uma senha de oito caracteres antes de desistir de tentar travá-la.

Tentando no Google esse erro é uma droga. Esta é uma auto resposta na esperança de que eu possa ajudar uma pobre alma do futuro.

    
por 28.02.2013 / 20:07