การอัปเดตพร้อมใช้งานเพื่อตรวจหาและป้องกันปริมาณการใช้มากเกินไปของกลุ่มการกำจัดส่วนกลางบนตัวควบคุมโดเมน

บทนำ

Active Directory Domain Services (AD DS) จะกำหนดตัวระบุความปลอดภัยที่ไม่ซ้ำกัน (SIDs) ให้กับผู้ใช้คอมพิวเตอร์กลุ่มและความเชื่อถือที่สร้างขึ้นใน Active Directory SIDs ประกอบด้วยคำนำหน้าโดเมนที่มีตัวระบุที่มีความสัมพันธ์ที่เพิ่มขึ้น monotonically (RID) โดเมนไดเรกทอรีที่ใช้งานอยู่แต่ละโดเมนจะได้รับการกำหนดพูล RID ส่วนกลางที่ประกอบด้วย๑,๐๐๐,๐๐๐,๐๐๐ RIDs เมื่อต้องการเปิดใช้งานตัวควบคุมโดเมนของ Active Directory แต่ละตัวเพื่อสร้างการรักษาความปลอดภัยใหม่ตัวควบคุมโดเมนแต่ละรายการจะได้รับการจัดสรรจากต้นแบบการกำจัดในปัจจุบันและการสแตนด์บาย เมื่อกลุ่มการกำจัดส่วนกลางสำหรับโดเมนและสำหรับพูลโปรแกรมภายในเครื่องของตัวควบคุมโดเมนแต่ละตัวในโดเมนจะหมดอายุผู้ใช้คอมพิวเตอร์และกลุ่มเพิ่มเติมไม่สามารถสร้างได้อีกต่อไปในโดเมน เมื่อต้องการแก้ไขปัญหานี้คุณสามารถสร้างและโยกย้ายวัตถุและแอปพลิเคชันไปยังโดเมนใหม่ได้ บทความนี้จะอธิบายเกี่ยวกับเงื่อนไขที่ความล้มเหลวของตรรกะอาจส่งผลให้มีการร้องขอกลุ่มการกำจัดจำนวนมากเกินไป นี้นำไปสู่ความอ่อนเพลียของพูล RID ส่วนกลาง

อาการ

ภายใต้สถานการณ์ที่หายากบางตัวควบคุมโดเมนของ Active Directory อาจใช้ทรัพยากรที่ใช้ในการกำจัดจำนวนมากได้โดยไม่คาดคิด ลักษณะการทำงานนี้ exhausts กลุ่มการกำจัดส่วนกลาง เมื่อปัญหานี้เกิดขึ้นคุณอาจพบปัญหาต่อไปนี้อย่างน้อยหนึ่งอย่าง:

• RIDs ในกลุ่มการกำจัดส่วนกลางจะถูกใช้เมื่อเวลาผ่านไปอย่างต่อเนื่อง

• จำนวนของ RIDs ที่ใช้ในกลุ่มการกำจัดส่วนกลางมีค่ามากกว่าที่คาดไว้ให้พิจารณาถึงจำนวนของการรักษาความปลอดภัยที่ถูกสร้างขึ้นในระหว่างอายุการใช้งานของโดเมน

• การทดสอบตัวจัดการ DCDIAG RID ระบุว่าการค้นหาแอตทริบิวต์RidSetReferencesล้มเหลว นอกจากนี้คุณจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:

  การเริ่มต้นการทดสอบ: RidManager คำเตือน: แอตทริบิวต์ rIdSetReferences หายไปจาก CN =name, OU = ตัวควบคุมโดเมน, dc =name, dc =name, dc =name, DC =name ไม่สามารถกำจัดการอ้างอิงชุดการอ้างอิง: ล้มเหลวด้วย๘๔๘๑: การค้นหาล้มเหลวในการเรียกใช้แอตทริบิวต์จากฐานข้อมูล ......................... RidManager ทดสอบล้มเหลวของชื่อ

โปรแกรมแก้ไขด่วนใน KB ๒๖๑๘๖๖๙เปิดใช้งานความสามารถในการตรวจหาและป้องกันลักษณะการทำงานนี้บนตัวควบคุมโดเมนที่ใช้ Windows Server ๒๐๐๘ R2

ลักษณะการทำงานนี้จะรวมอยู่ในรุ่น RTM ของ 

• เวอร์ชันของระบบปฏิบัติการที่เผยแพร่หลังจาก Windows Server ๒๐๑๙

• Windows Server ๒๐๑๙

• Windows Server 2016

• Windows Server 2012 R2

• Windows Server 2012

สาเหตุ

ภายใต้สถานการณ์ที่หายากบางตัวควบคุมโดเมนอาจออกคำขอที่เป็นกิจวัตรสำหรับ RIDs จากกลุ่มการกำจัดส่วนกลางทุกๆ30วินาที ถ้าการร้องขอการอัปเดตที่มีการอัปเดตที่ไม่ได้รับอนุญาตให้ดำเนินการต่อไปสำหรับช่วงเวลาที่สำคัญของเวลาที่พูลโปรแกรมกำจัดส่วนกลางอาจพบปริมาณการใช้ที่กำจัดมากเกินไป ในกรณีที่รุนแรงพูลโปรแกรมกำจัดส่วนกลางอาจหมดลงอย่างสมบูรณ์

การแก้ไข

เมื่อต้องการป้องกันไม่ให้ปริมาณการใช้มากเกินไปในการลดปริมาณการใช้ในกลุ่มการกำจัดส่วนกลางเราขอแนะนำให้คุณดำเนินการดังต่อไปนี้:

• ติดตั้งการอัปเดตประจำเดือนล่าสุดที่ปล่อยออกมาหลังจาก (๒๐๑๖กันยายน, KB3185278) บนตัวควบคุมโดเมน Windows Server ๒๐๐๘ R2 ที่มีอยู่ทั้งหมด

• รวมการอัปเดตเป็นสื่อการติดตั้ง Windows Server ๒๐๐๘ R2 การทำเช่นนี้จะทำให้คุณรับประกันว่าตัวควบคุมโดเมนในอนาคตจะมีการอัปเดตนี้อีกด้วย

• ปรับใช้บทบาท Active Directory บน OS เวอร์ชันใหม่ที่มีฟังก์ชันการทำงานนี้ในรุ่น RTM

สถานะ

Microsoft ยืนยันว่าปัญหานี้เป็นปัญหาที่เกิดขึ้นกับผลิตภัณฑ์ของ Microsoft ซึ่งมีการระบุไว้ในส่วน "นำไปใช้กับ"

ข้อมูลเพิ่มเติม

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคำศัพท์ของการอัปเดตซอฟต์แวร์ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

๘๒๔๖๘๔ คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายการอัปเดตซอฟต์แวร์ของไมโครซอฟท์