"Kontroler domain telah gagal untuk mendapatkan kolam pengenal baru" peristiwa galat pada Windows 2000 Server SP3 dan sebelumnya

Pengontrol domain Windows 2000 mungkin tidak dapat membuat account pengguna, komputer account atau grup keamanan jika kolam RID lokal digunakan dan tidak dapat memperoleh kolam RID baru dari master RID operasi. The kontroler domain tidak dapat ditemukan oleh klien jaringan yang mencoba untuk melakukan LDAP pertanyaan atau permintaan otentikasi.

Diberikan cukup konektivitas jaringan untuk master RID operasi, kontroler domain tidak mengalami kondisi ini kecuali tingkat konsumsi RID cukup tinggi. Untuk contoh, jika tingkat keamanan utama penciptaan melebihi domain controller kemampuan untuk memperoleh RID kolam renang yang baru dari master RID operasi, kontroler domain sementara tidak layanan keamanan utama kreasi. Setelah sukses RID renang akuisisi, ini kondisi berhenti, dan keamanan penciptaan utama dapat melanjutkan.

Peristiwa 16645 dan opsional event 16651 masuk log peristiwa layanan direktori untuk kontroler domain yang tidak dapat memperoleh baru RID renang. Pesan teks untuk setiap peristiwa adalah:

Peristiwa 16645

Peristiwa 16651

Pengguna, komputer, dan kelompok-kelompok dalam direktori aktif secara kolektif dikenal sebagai "pelaku keamanan." Keamanan pelaku ditugaskan unik alfa-numerik angka string yang disebut keamanan pengidentifikasi, atau SIDs. SID untuk keamanan utama terdiri dari SID domain-lebar sambung menyambung dengan pengenal unik, relatif (RID). RID dialokasikan oleh pengontrol domain Windows 2000 di domain saat keamanan kepala dibuat.

Kontroler domain individu mempertahankan lokal MENGHILANGKAN renang yang Diperoleh dari kolam global pada master RID operasi. Oleh default, RID renang yang diperoleh dalam 500. Domain Windows 2000 kontroler permintaan RID baru ketika 20 persen dari kolam RID tetap. Domain pengendali dalam folder E-commerce atau skala besar ADMT migrasi lingkungan dapat membuat sejumlah pelaku keamanan dalam waktu singkat. Ini mungkin menggunakan kolam renang RID lokal mereka lebih cepat daripada konvensional perusahaan penyebaran.

Masalah terjadi ketika kontroler domain lokal RID kolam renang habis dan tidak dapat memperoleh kolam renang yang baru dari master RID operasi karena masalah dengan dirinya sendiri. Master RID operasi, jaringan, dan domain controller kemudian tidak dapat membuat pelaku keamanan tambahan dan berhenti domain controller layanan iklan sampai kolam renang lokal yang baru Diperoleh.

Untuk mengurangi kemungkinan hilangnya layanan, Administrator dapat meningkatkan jumlah RIDs yang dialokasikan oleh RID master operasi di setiap kolam dengan menyesuaikan REG_DWORD MENYINGKIRKAN ukuran blok nilai pada pengontrol domain di bawah kunci registri berikut: Namun, karena dari cacat di ambang RID membandingkan logika, "MENYINGKIRKAN blok ukuran" nilai-nilai luar 500 efektif diabaikan dan dikembalikan ke default alokasi 500.

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
Dengan Windows 2000 Paket Layanan 4 (SP4), ambang di mana pengontrol domain mulai meminta kolam RID baru telah meningkat menjadi 50%. Sebagai contoh, pengontrol domain dengan default RID blok ukuran dari 500 akan mulai untuk meminta kolam baru ketika 250 RIDs (50 persen dari 500) telah dikonsumsi. Kontroler domain pra-SP4 dengan ukuran yang sama RID blok 500 akan meminta kolam baru ketika 100 (20 persen) dari default memblokir dari 500 RIDS tetap.

Perubahan berarti bahwa kontroler domain adalah sedikit lebih tahan terhadap sementara padam Master RID pada pengaturan default, dan ukuran kolam renang RID adalah administrator dapat dikonfigurasi. Perhatikan bahwa global RID ruang, dan jumlah pengguna, komputer, dan kelompok-kelompok yang Anda dapat membuat, adalah terbatas untuk setiap domain (sekitar 2 ^ 30 RIDs ada). Setelah domain lebar RID digunakan renang, pelaku keamanan baru tidak dapat dibuat di domain. Karena ini, ada risiko yang terkait dengan meningkatnya "MENYINGKIRKAN blok Ukuran." Sebagai contoh, setiap kali kontroler domain ditutup melalui Anggun atau kuat penurunan pangkat, atau karena kegagalan perangkat keras, yang RIDs adalah semua kehilangan. Demikian pula, setiap kali kontroler domain disimpan dari cadangan, RIDs yang semua berlaku untuk membantu mencegah lebih dari satu account pengguna dari diberikan RID sama.

Menghadap ke luar direktori konfigurasi adalah pengecualian untuk meninggalkan default RID nilai. Ini konfigurasi, tingkat keamanan utama penciptaan tinggi, ruang RID sangat terpusat karena beberapa kontroler domain yang diperlukan, dan uptime sering setara dengan kemampuan untuk layanan akun kreasi. Karena ini, ketersediaan umumnya diukur dengan cara lama atau berapa banyak keamanan kepala sekolah dapat dibuat ketika master RID operasi tidak tersedia. Ini waktu dapat sangat meningkat jika jumlah rata-rata RIDs dialokasikan secara lokal lebih besar.

Untuk konfigurasi penyebaran menghadap ke luar, atau lain penyebaran dengan kebutuhan khusus, ukuran blok terkena sebagai konfigurasi parameter. Windows 2000 SP4 dan mengekspos keluarga Windows Server 2003 konfigurasi registri yang dapat digunakan untuk meningkatkan ukuran kolam renang RID. Ini memungkinkan untuk setiap kontroler domain untuk membuat jumlah yang lebih besar Keamanan pelaku tanpa menghubungi master RID operasi.

Tidak ada manfaat untuk mengubah ukuran blok RID dari default ketika aktif Direktori dikerahkan sebagai tujuan umum NOS direktori. Dalam kasus tersebut Microsoft menganjurkan konfigurasi default.

Jika Anda memilih untuk menggunakan ukuran blok RID yang berbeda, perubahan hanya dikonfigurasi pada RID master operasi. Namun, untuk menyederhanakan manajemen pengaturan ini, mengkonfigurasi nilai identik pada semua pengontrol domain di target domain. Dengan cara ini jika operasi master RID ditransfer ke domain lain controller, ukuran blok RID akan konsisten tanpa tambahan update dan mengembalikan negara sistem tidak akan secara tidak sengaja menimpa dimaksudkan pengaturan.

Pengaturan registri ini digunakan oleh master RID operasi untuk menentukan ukuran apa RID kolam untuk kembali ke kontroler domain meminta termasuk RIDS untuk renang RID lokal di RID FSMO: Sistem menciptakan kunci registri ini secara otomatis dan nilai awalnya adalah 0. Dalam keadaan ini, internal default 500 digunakan. Pengaturan ini nilai kurang dari 500 tidak berpengaruh, dan pengaturan default masih digunakan. Tidak ukuran maksimum blok ditegakkan. Namun, memiliki nilai yang terlalu besar merugikan mempengaruhi pada umur panjang domain.

Microsoft telah mengkonfirmasi bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana didaftar pada awal artikel ini.