2018 年 3 月 22 日 - KB4088889（操作系统内部版本 14393.2155）

改进和修补程序

此更新包含质量改进。 此更新中未引入任何新的操作系统功能。 关键更改包括：

• 解决了超过 256 MB 的 WMI 仲裁程序内存限制后，WMI 停止响应查询且依赖于 WMI 的操作失败的问题。 WMI 内存使用率高或返回错误 WBEM_E_INVALID_CLASS 或 WBEM_E_NOT_FOUND 的计算机应安装此更新。 有关更多信息，请参阅 KB4096063。

• 解决了 Windows 功能区控件中 GDI 句柄泄漏的问题。

• 解决了客户无法从“设置”应用更改锁屏图像的问题。 如果“强制特定的默认锁屏和登录图像”组策略处于打开状态，并且“阻止更改锁屏和登录图像”组策略处于关闭状态，则会发生此问题。

• 解决了在驱动器 BitLocker 解密或加密期间受加密文件系统 (EFS) 保护的文件可能损坏的问题。

• 增加了对其他高速 eMMC 设备的支持。

• 在 stornvme 中增加了对其他 SSD 的支持。

• 解决了在目录名称中使用非 ASCII 字符时，UWF 文件排除失败的问题。

• 解决了在 DISK 模式下使用 UWF 时可能会记录 ID:55 和 ID:130，最终需要重启的问题。

• 解决了 VSS API ResyncLun 找不到硬件提供程序的问题。

• 解决了当主服务器重启并使用 Azure Site Recovery (ASR) 复制 Hyper-V 虚拟机时 Hyper-V 复制挂起的问题。

• 解决了当内存管理器在进程终止时发现未删除的页表空间时可能发生错误的问题。

• 解决了在本地安全机构子系统服务 (LSASS) 模块发生故障且异常代码为 0xc0000005 之后，Windows Server 2016 域控制器 (DC) 可能会定期重启的问题。 届时这会中断绑定到 DC 的应用程序和服务。 DC 可能会记录以下事件：

  • 应用程序错误事件 ID 1000；故障模块为 NTDSATQ.dll，异常代码为 0xc0000005。

  • User32 事件 ID 1074 和 Microsoft-Windows-Wininit 事件 ID 1015，这表示 lsass.exe 失败，状态码为 255。

• 解决了当受保护的组包含指向已删除对象的成员属性时，AdminSDHolder 任务无法运行的问题。 此外，还会记录事件 1126，内容为：“Active Directory 域服务无法建立与全局编录的连接。 错误值: 8430。 目录服务发生内部故障。 内部 ID: 320130e。”

• 解决了用户可能存在于具有可传递信任的受信任域中的问题（子域跨林信任或 AD FS 在子域中，且用户跨林信任）。 但是，用户无法为 Extranet 锁定功能找到 PDC 或 DC。 发生以下异常： “Microsoft.IdentityServer.Service.AccountPolicy.ADAccountLookupException: MSIS6080: 尝试绑定到域 <FQDN> 失败，错误代码为 1722。” IDP 页面上会出现一条消息“用户 ID 或密码不正确。 请键入正确的用户 ID 和密码，然后重试。”

• 解决了当使用 OrganizationalAccountSuffix 设置声明提供程序信任时（即使在执行 HRD 之后），AD FS 不会保存 HRD 信息的问题。 用户会始终针对任何新请求查看 HRD 页面。 这会中断用户的 SSO 请求，因为他们需要为每个请求键入用户名或电子邮件和密码。

• 通过提高强身份验证服务 (SAS) 调用的使用率来提高 AD FS MFA 身份验证响应时间的性能。

• 解决了 Windows Server 2016 和 Windows 10 版本 1607 中名为“为同一会话中的另一个用户获取模拟令牌”的新特权导致的问题。 使用组策略应用于这些计算机时，gpresult /h 无法为由安全配置引擎 (SCE) 扩展配置的任何设置生成报告数据。 错误消息为“找不到请求的值 SeDelegateSessionUserImpersonatePrivilege”。 组策略管理控制台无法在已配置设置的 GPO 的“设置”选项卡中显示特权。

• 解决了可能会导致 WinRM 服务在低负载情况下停止工作的线程问题。 这是客户端解决方案，因此应将其应用于受影响的计算机以及使用 WinRM 与其通信的计算机。

• 解决了由于 WinRM 服务死锁而导致登录无响应并出现消息“请等待远程桌面配置”的系统性能问题。

• 解决了远程桌面许可证报告在超过 4 KB 的大小限制时会损坏的问题。

• 解决了当激活的 RemoteApp 窗口在上一个前台窗口之后打开时，RemoteApp 中发生的争用条件。

• 解决了具有使用各种第三方发布工具创建的背景的 PDF 文档在 Microsoft Edge 中的呈现问题。

• 解决了由争用条件导致的问题，其中在 win32kbase.sys 发生故障（错误代码为 0x18）后 Windows Server 2016 可能重启。

• 解决了通用 CRT 在 _gcvt 和 _gcvt_s 函数中性能下降的问题。

• 解决了标准错误 (STDERR) 流的文件或管道输出完全缓冲在通用 CRT 中的问题。

• 通过添加“x”访问模式标志以支持 fopen() 函数解决了通用 CRT 中的问题。

• 解决了更新全局区域设置时通用 C 运行时 (CRT) 中发生的争用条件问题。 此问题会破坏当前区域设置引用计数并触发重复释放条件。

• 解决了运行 PowerShell cmdlet 时，可能会将与适配器相关的群集网络更改为已分区或无法访问状态的问题。 Restart -NetAdapter。

• 向与更新的 Google Chrome 要求兼容的证书透明度 (CT) 添加 Active Directory 证书服务 (ADCS) 支持。 CT 是证书颁发机构用于记录和发布证书元数据以提高安全性的技术。 有关证书透明度的更多信息，请参阅 KB4093260。

• 解决了导致 Windows 拼写检查器忽略大于 1 MB 的自定义词典文件内容的问题。 可以通过在注册表中的 HKEY_CURRENT_USER\Software\Microsoft\Spelling\Dictionaries 下设置以下 DWORD 值，将此限制增加到 2 MB：

  "AllowBiggerUD" = 1

如果已安装较早的更新，那么此程序包中只有新的修补程序会下载并安装到设备上。

有关已修复的安全漏洞的更多信息，请参阅安全更新指南。

此更新中的已知问题

如何获取此更新

转到“Windows 设置”>“更新和安全”>“Windows 更新”页面，并单击“联机查找‘Microsoft 更新’中的更新”时，将下载并安装此更新。

若要获取此更新的独立程序包，请转到 Microsoft 更新目录网站。

重要提示 从 Microsoft 更新目录中安装服务堆栈更新 (SSU) (KB4089510) 和最新累积更新 (LCU) 时，请先安装 SSU，再安装 LCU。

文件信息

有关此更新中提供的文件列表，请下载累积更新 4088889 的文件信息。