Introduction
Les services de domaine Active Directory (AD DS) attribuent des identificateurs de sécurité (SID) uniques aux utilisateurs, ordinateurs, groupes et approbations créés dans Active Directory. Les identificateurs de sécurité sont constitués d’un préfixe de domaine concaténé avec un identificateur relatif qui augmente de manière monotone. Un pool RID global est attribué à chaque domaine Active Directory composé d’une 1 milliard. Pour permettre à chaque contrôleur de domaine Active Directory de créer de nouveaux principaux de sécurité, chaque contrôleur de domaine est alloué aux pools RID actuels et de secours du maître RID. Lorsque le pool RID global du domaine et des pools locaux des contrôleurs de domaine individuels d’un domaine est épuisé, des utilisateurs, des ordinateurs et des groupes supplémentaires ne peuvent plus être créés dans le domaine. Pour contourner ce problème, vous pouvez créer et migrer des objets et des applications vers un nouveau domaine. Cet article décrit une condition dans laquelle une erreur de logique risque de générer trop de demandes de pool RID. Cela débouche sur une carence globale du pool RID.
Symptômes
Dans certaines circonstances rares, les contrôleurs de domaine Active Directory risquent de consommer de manière inattendue une grande quantité de ressources RID. Ce comportement épuise le pool RID global. Lorsque ce problème se produit, vous observez un ou plusieurs des problèmes suivants :
-
Les RID figurant dans le pool RID global sont continuellement consommés au fil du temps.
-
Le nombre de RID qui sont utilisés dans le pool RID global est supérieur à celui attendu, en tenant compte du nombre de principaux de sécurité créés intentionnellement pendant la durée de vie du domaine.
-
Le test du gestionnaire RID DCDIAG indique qu’une recherche de l’attribut RidSetReferences échoue. En outre, le message d'erreur suivant s'affiche :
Test de début : RidManager AVERTISSEMENT : rIdSetReferences d’attribut manquant dans CN =Name, UO = contrôleurs de domaine, DC =Name, DC =Name, DC =Name, DC =Name Impossible d’accéder à la référence du jeu RID : a échoué avec 8481 : La recherche n’a pas pu récupérer les attributs de la base de données. ......................... échec du test de nom RidManager
Le correctif dans KB 2618669 permet de détecter et d’empêcher ce comportement sur les contrôleurs de domaine Windows Server 2008 R2.
Ce comportement est inclus dans les versions RTM de
-
Versions de système d’exploitation publiée après Windows Server 2019
-
Windows Server 2019
-
Windows Server 2016
-
Windows Server 2012 R2
-
Windows Server 2012
Cause
Dans certaines circonstances rares, un contrôleur de domaine risque de générer des requêtes récurrentes d’identificateurs de domaine à partir du pool RID global toutes les 30 secondes. Si les requêtes répétées relatives aux mises à jour de réserve RID sont autorisées à s’effectuer pendant un laps de temps considérable, le pool RID global peut faire l’essentiel d’une consommation RID. Dans des cas extrêmes, le pool RID global est susceptible de s’épuiser entièrement.
Résolution
Pour éviter une consommation trop importante dans le pool RID global, il est recommandé d’effectuer les opérations suivantes :
-
Installez la dernière mise à jour mensuelle publiée après (2016 de septembre KB3185278) sur tous les contrôleurs de domaine Windows Server 2008 R2 existants.
-
Intégrez la mise à jour au support d’installation de Windows Server 2008 R2. Ainsi, vous garantissez que les futurs contrôleurs de domaine disposeront également de cette mise à jour.
-
Déployez le rôle Active Directory sur les nouvelles versions du système d’exploitation qui contiennent cette fonctionnalité dans la version RTM.
Informations sur le correctif logiciel
Un correctif pris en charge est disponible auprès de Microsoft. Ce correctif est toutefois destiné à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes rencontrant le problème décrit dans cet article. Ce correctif peut recevoir des tests supplémentaires. Par conséquent, si vous n’êtes pas sérieusement concerné par ce problème, nous vous recommandons d’attendre la prochaine mise à jour logicielle qui contient ce correctif. Si le correctif est disponible en téléchargement, il existe une section « téléchargement du correctif disponible » en haut de cet article de la base de connaissances. Si cette section n’apparaît pas, contactez le service clientèle Microsoft et le support technique pour obtenir le correctif. Remarque Si des problèmes supplémentaires se produisent ou s’il est nécessaire de résoudre un problème, vous devrez peut-être créer une demande de service distincte. Les frais habituels du support technique s’appliquent aux autres questions et problèmes liés au support qui ne sont pas éligibles pour ce correctif particulier. Pour obtenir la liste complète des services clientèle Microsoft et des numéros de téléphone de support technique ou pour créer une demande de service distincte, visitez le site Web de Microsoft suivant :
http://support.microsoft.com/contactus/?ws=support Remarque Le formulaire « téléchargement du correctif disponible » affiche les langues pour lesquelles le correctif est disponible. Si votre langue n’est pas visible, cela signifie qu’aucun correctif n’est disponible pour cette langue.
Statut
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.
Informations supplémentaires
Pour plus d’informations sur la terminologie des mises à jour logicielles, cliquez sur le numéro ci-dessous pour consulter l’article de la base de connaissances Microsoft :
824684 Terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft
