"Controlador de dominio no puede obtener un nuevo grupo identificador" evento de error en Windows 2000 Server SP3 y versiones anteriores

Seleccione idioma Seleccione idioma
Id. de artículo: 316201 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Controladores de dominio de Windows 2000 no puede crear cuentas de usuario, cuentas de equipo o grupos de seguridad si el grupo RID local se utiliza y no puede obtener un nuevo conjunto de RID de maestro de operaciones RID. El controlador de dominio no puede ser descubierto por los clientes de red que están intentando realizar consultas LDAP o solicitudes de autenticación.

Siempre suficiente conectividad de red el maestro de RID, un controlador de dominio no experimenta esta condición a menos que la tasa de consumo de RID sea bastante alta. Por ejemplo, si la tasa de creación principal de seguridad supera la capacidad del controlador de dominio para adquirir un nuevo conjunto de RID del patrón de operaciones RID, el controlador de dominio temporalmente no servicio creaciones principal de seguridad. Tras la adquisición de grupo RID con éxito, esta condición deja y creación principal de seguridad puede reanudar.

Eventos 16645 y opcionalmente el evento 16651 se registran en el registro de eventos de servicios de Active para controladores de dominio que no se puede adquirir nuevos grupos RID. El texto de mensaje para cada evento es:

Evento 16645

Le ha asignado el identificadores de cuenta máximo a este controlador de dominio. El controlador de dominio no pudo obtener un nuevo grupo identificador. Una posible razón para esto es que el controlador de dominio ha no puede ponerse en contacto con el controlador de dominio principal. Cuenta la creación de este controlador fracasará hasta que ha asignado un nuevo grupo. Puede haber problemas de red o conectividad en el dominio o el controlador de dominio principal puede estar desconectado o falta desde el dominio. Compruebe que el controlador de dominio principal está en funcionamiento y conectado al dominio.

Evento 16651

Error en la solicitud de un nuevo grupo identificador de cuenta. La operación se reintentará hasta que se realiza correctamente la solicitud. El error es %n "%1"

Causa

Los usuarios, equipos y grupos en Active Directory se denominan colectivamente "entidades de seguridad". Los principales de seguridad se asignan cadenas numéricas alfanumérico únicas que se denominan identificadores de seguridad o SID. El SID de un principal de seguridad está formado por un SID de todo el dominio concatenada con un identificador único relativo (RID). El RID asignado por un controlador de dominio de Windows 2000 en el dominio en el momento de que crea la entidad principal de seguridad.

Controladores de dominio individuales mantienen grupos RID locales que se obtienen de un grupo global en el maestro de operaciones RID. De forma predeterminada, los grupos de RID se obtienen en incrementos de 500. Controladores de dominio de Windows 2000 solicitan un RID nuevo al 20 por ciento del conjunto de RIDS permanece. Dominio controladores de la carpeta de comercio electrónico o grandes entornos de migración de ADMT pueden crear gran cantidad de seguridad principales en un breve período de tiempo. Esto puede utilizar hasta sus grupos RID locales más rápidamente que las implementaciones empresariales convencional.

Problemas se producen cuando grupo de RID local de un controlador de dominio se utiliza y no puede obtener un nuevo grupo de maestro de operaciones RID debido a problemas con el propio de. El maestro de operaciones RID, la red, el controlador de dominio no se puede crear a principales de seguridad adicionales y detener anunciar servicios del controlador de dominio hasta que obtenga un nuevo grupo local.

Para reducir la posibilidad de esta pérdida de servicio, los administradores pueden aumentar el número de RID que están asignados por el RID maestro de operaciones en cada grupo ajustando el valor REG_DWORD de Tamaño de bloque de RID en controladores de dominio bajo la clave del Registro siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
Sin embargo, debido a un error en el umbral RID de comparar lógica, los valores de "Tamaño de bloque de RID" más allá de 500 eficazmente se omiten y se ha vuelto a la asignación predeterminada de 500.

Solución

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows

Con Windows 2000 Service Pack 4 (SP4), el umbral en el que se inicie controladores de dominio solicitar un nuevo conjunto de RID se ha aumentado al 50 %. Por ejemplo, podría iniciar un controlador de dominio con el tamaño de bloque RID predeterminado de 500 solicitar un nuevo grupo cuando se ha consumido 250 RID (50 por ciento de 500). Un controlador de dominio anteriores a SP4 con el mismo tamaño de bloque RID de 500 podría solicitar un nuevo grupo cuando 100 (20 por ciento) del bloque predeterminado de 500 RIDS permanecen.

El cambio significa que son un poco más resistentes a las interrupciones temporales del maestro RID con configuración predeterminada de controladores de dominio y el tamaño de grupo RID es el administrador puede configurar. Tenga en cuenta que el RID global espacio y el número de usuarios, equipos y grupos puede crear, es finito para cada dominio (aproximadamente 2 ^ 30 RID existe). Después de RID del todo el dominio grupo se utiliza, no nueva seguridad de los principales pueden crearse en el dominio. Debido a esto, existen riesgos asociados a aumentar el "bloque RID tamaño." Por ejemplo, cada vez que un controlador de dominio es baja a través de degradación forzosa o correcta o debido a un error de hardware, su RID es todo perdido. De forma similar, cada vez que un controlador de dominio se restaura desde una copia de seguridad, su RID se todos invalida para evitar que más de una cuenta de usuario que se asigna el mismo RID.

Saliente las configuraciones de directorio enfrentadas son una excepción significativa a dejar el valor predeterminado los valores RID. En estas configuraciones, la tasa de creación principal de seguridad es alta, el espacio RID es muy centralizado porque son necesarios pocos controladores de dominio y tiempo de actividad con frecuencia equivale a la capacidad de creaciones de cuenta de servicio. A causa de esto, disponibilidad se mide generalmente por cómo largo o cuántas entidades de seguridad pueden crearse cuando el maestro de operaciones RID no está disponible. Este tiempo se puede aumentar considerablemente si el número promedio de RID asignado localmente es más grande.

Para configuraciones de implementación enfrentadas saliente, o en otras implementaciones con necesidades especiales, el tamaño del bloque se expone como un parámetro de configuración. Windows 2000 SP4 y la familia Windows Server 2003 exponen una configuración de registro que puede utilizarse para aumentar el tamaño de grupo RID. Esto permite que cada controlador de dominio crear un número mayor de seguridad principales sin ponerse en contacto con el RID maestro de operaciones.

No hay ningún beneficio para cambiar el tamaño de bloque RID del valor predeterminado cuando Active Directory se implementa como un directorio NOS de propósito general. En tales casos, Microsoft recomienda la configuración predeterminada.

Si elige utilizar un tamaño diferente de bloque RID, el cambio sólo se configura en el RID maestro de operaciones. Sin embargo, para simplificar la administración de esta configuración, configurar el valor de forma idéntica en todos los controladores de dominio del dominio de destino. Este modo, si el maestro de operaciones RID se transfiere a otro controlador de dominio, el tamaño de bloque RID será coherente sin actualizaciones adicionales y restauraciones del estado del sistema no involuntariamente sobrescribirá la configuración deseada.

El maestro de operaciones RID utiliza este valor del registro para determinar qué conjunto de RID para volver a un controlador de dominio solicitante incluidos RIDS para el grupo local de RID en el equipo FSMO RID de tamaño:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\ tamaño de bloque RID (REG_DWORD)
El sistema crea automáticamente esta clave del registro y su valor inicial es 0 . En este estado, se utiliza el valor predeterminado interno 500. Establecer este valor a menos de 500 no tiene ningún efecto y, aún se utiliza la configuración predeterminada. No se exige ningún tamaño máximo de bloque. Sin embargo, un valor que es demasiado grande tiene un efecto adverso en la longevidad del dominio.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:" de este artículo.

Propiedades

Id. de artículo: 316201 - Última revisión: lunes, 30 de octubre de 2006 - Versión: 4.4
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Service Pack 3 de Microsoft Windows 2000
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Server SP1
Palabras clave: 
kbmt kbwin2ksp4fix kbsecurity kbbug kbfix kbwin2000presp4fix KB316201 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 316201

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com