"Kontroler domain telah gagal untuk mendapatkan kolam pengenal baru" peristiwa galat pada Windows 2000 Server SP3 dan sebelumnya

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 316201
Perbesar semua | Perkecil semua

Pada Halaman ini

GEJALA

Pengontrol domain Windows 2000 mungkin tidak dapat membuat account pengguna, komputer account atau grup keamanan jika kolam RID lokal digunakan dan tidak dapat memperoleh kolam RID baru dari master RID operasi. The kontroler domain tidak dapat ditemukan oleh klien jaringan yang mencoba untuk melakukan LDAP pertanyaan atau permintaan otentikasi.

Diberikan cukup konektivitas jaringan untuk master RID operasi, kontroler domain tidak mengalami kondisi ini kecuali tingkat konsumsi RID cukup tinggi. Untuk contoh, jika tingkat keamanan utama penciptaan melebihi domain controller kemampuan untuk memperoleh RID kolam renang yang baru dari master RID operasi, kontroler domain sementara tidak layanan keamanan utama kreasi. Setelah sukses RID renang akuisisi, ini kondisi berhenti, dan keamanan penciptaan utama dapat melanjutkan.

Peristiwa 16645 dan opsional event 16651 masuk log peristiwa layanan direktori untuk kontroler domain yang tidak dapat memperoleh baru RID renang. Pesan teks untuk setiap peristiwa adalah:

Peristiwa 16645

Maksimum account pengidentifikasi yang dialokasikan untuk kontroler domain ini telah ditetapkan. Kontroler domain telah gagal mendapatkan kolam pengenal baru. Mungkin alasan untuk ini adalah bahwa domain controller telah tidak dapat menghubungi kontroler master domain. Rekening penciptaan pada controller ini akan gagal sampai kolam renang yang baru telah dialokasikan. Mungkin ada masalah jaringan atau konektivitas domain, atau master kontroler domain mungkin offline atau hilang dari domain. Memverifikasi bahwa kontroler Master domain berjalan dan terhubung ke domain.

Peristiwa 16651

Permintaan untuk pengenal rekening baru kolam renang gagal. Operasi akan retried sampai permintaan berhasil. The kesalahan adalah %n "%1"

PENYEBAB

Pengguna, komputer, dan kelompok-kelompok dalam direktori aktif secara kolektif dikenal sebagai "pelaku keamanan." Keamanan pelaku ditugaskan unik alfa-numerik angka string yang disebut keamanan pengidentifikasi, atau SIDs. SID untuk keamanan utama terdiri dari SID domain-lebar sambung menyambung dengan pengenal unik, relatif (RID). RID dialokasikan oleh pengontrol domain Windows 2000 di domain saat keamanan kepala dibuat.

Kontroler domain individu mempertahankan lokal MENGHILANGKAN renang yang Diperoleh dari kolam global pada master RID operasi. Oleh default, RID renang yang diperoleh dalam 500. Domain Windows 2000 kontroler permintaan RID baru ketika 20 persen dari kolam RID tetap. Domain pengendali dalam folder E-commerce atau skala besar ADMT migrasi lingkungan dapat membuat sejumlah pelaku keamanan dalam waktu singkat. Ini mungkin menggunakan kolam renang RID lokal mereka lebih cepat daripada konvensional perusahaan penyebaran.

Masalah terjadi ketika kontroler domain lokal RID kolam renang habis dan tidak dapat memperoleh kolam renang yang baru dari master RID operasi karena masalah dengan dirinya sendiri. Master RID operasi, jaringan, dan domain controller kemudian tidak dapat membuat pelaku keamanan tambahan dan berhenti domain controller layanan iklan sampai kolam renang lokal yang baru Diperoleh.

Untuk mengurangi kemungkinan hilangnya layanan, Administrator dapat meningkatkan jumlah RIDs yang dialokasikan oleh RID master operasi di setiap kolam dengan menyesuaikan REG_DWORD MENYINGKIRKAN ukuran blok nilai pada pengontrol domain di bawah kunci registri berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
Namun, karena dari cacat di ambang RID membandingkan logika, "MENYINGKIRKAN blok ukuran" nilai-nilai luar 500 efektif diabaikan dan dikembalikan ke default alokasi 500.

PEMECAHAN MASALAH

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows

Dengan Windows 2000 Paket Layanan 4 (SP4), ambang di mana pengontrol domain mulai meminta kolam RID baru telah meningkat menjadi 50%. Sebagai contoh, pengontrol domain dengan default RID blok ukuran dari 500 akan mulai untuk meminta kolam baru ketika 250 RIDs (50 persen dari 500) telah dikonsumsi. Kontroler domain pra-SP4 dengan ukuran yang sama RID blok 500 akan meminta kolam baru ketika 100 (20 persen) dari default memblokir dari 500 RIDS tetap.

Perubahan berarti bahwa kontroler domain adalah sedikit lebih tahan terhadap sementara padam Master RID pada pengaturan default, dan ukuran kolam renang RID adalah administrator dapat dikonfigurasi. Perhatikan bahwa global RID ruang, dan jumlah pengguna, komputer, dan kelompok-kelompok yang Anda dapat membuat, adalah terbatas untuk setiap domain (sekitar 2 ^ 30 RIDs ada). Setelah domain lebar RID digunakan renang, pelaku keamanan baru tidak dapat dibuat di domain. Karena ini, ada risiko yang terkait dengan meningkatnya "MENYINGKIRKAN blok Ukuran." Sebagai contoh, setiap kali kontroler domain ditutup melalui Anggun atau kuat penurunan pangkat, atau karena kegagalan perangkat keras, yang RIDs adalah semua kehilangan. Demikian pula, setiap kali kontroler domain disimpan dari cadangan, RIDs yang semua berlaku untuk membantu mencegah lebih dari satu account pengguna dari diberikan RID sama.

Menghadap ke luar direktori konfigurasi adalah pengecualian untuk meninggalkan default RID nilai. Ini konfigurasi, tingkat keamanan utama penciptaan tinggi, ruang RID sangat terpusat karena beberapa kontroler domain yang diperlukan, dan uptime sering setara dengan kemampuan untuk layanan akun kreasi. Karena ini, ketersediaan umumnya diukur dengan cara lama atau berapa banyak keamanan kepala sekolah dapat dibuat ketika master RID operasi tidak tersedia. Ini waktu dapat sangat meningkat jika jumlah rata-rata RIDs dialokasikan secara lokal lebih besar.

Untuk konfigurasi penyebaran menghadap ke luar, atau lain penyebaran dengan kebutuhan khusus, ukuran blok terkena sebagai konfigurasi parameter. Windows 2000 SP4 dan mengekspos keluarga Windows Server 2003 konfigurasi registri yang dapat digunakan untuk meningkatkan ukuran kolam renang RID. Ini memungkinkan untuk setiap kontroler domain untuk membuat jumlah yang lebih besar Keamanan pelaku tanpa menghubungi master RID operasi.

Tidak ada manfaat untuk mengubah ukuran blok RID dari default ketika aktif Direktori dikerahkan sebagai tujuan umum NOS direktori. Dalam kasus tersebut Microsoft menganjurkan konfigurasi default.

Jika Anda memilih untuk menggunakan ukuran blok RID yang berbeda, perubahan hanya dikonfigurasi pada RID master operasi. Namun, untuk menyederhanakan manajemen pengaturan ini, mengkonfigurasi nilai identik pada semua pengontrol domain di target domain. Dengan cara ini jika operasi master RID ditransfer ke domain lain controller, ukuran blok RID akan konsisten tanpa tambahan update dan mengembalikan negara sistem tidak akan secara tidak sengaja menimpa dimaksudkan pengaturan.

Pengaturan registri ini digunakan oleh master RID operasi untuk menentukan ukuran apa RID kolam untuk kembali ke kontroler domain meminta termasuk RIDS untuk renang RID lokal di RID FSMO:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\MENYINGKIRKAN ukuran blok (REG_DWORD)
Sistem menciptakan kunci registri ini secara otomatis dan nilai awalnya adalah 0. Dalam keadaan ini, internal default 500 digunakan. Pengaturan ini nilai kurang dari 500 tidak berpengaruh, dan pengaturan default masih digunakan. Tidak ukuran maksimum blok ditegakkan. Namun, memiliki nilai yang terlalu besar merugikan mempengaruhi pada umur panjang domain.

STATUS

Microsoft telah mengkonfirmasi bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana didaftar pada awal artikel ini.

Properti

ID Artikel: 316201 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Kata kunci: 
kbwin2ksp4fix kbsecurity kbbug kbfix kbwin2000presp4fix kbmt KB316201 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:316201

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com