"Controlador de domínio falhou ao obter um novo pool de identificadores" evento de erro no Windows 2000 Server SP3 e versões anteriores

Traduções deste artigo Traduções deste artigo
ID do artigo: 316201 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Controladores de domínio do Windows 2000 não poderá criar contas de usuário, contas de computador ou grupos de segurança se o pool RID local é usado e não pode obter um novo pool de RID do mestre de operações RID. O controlador de domínio não pode ser descoberto por clientes de rede que estão tentando executar consultas LDAP ou solicitações de autenticação.

Conectividade de rede fornecido o suficiente para o mestre de operações do RID, um controlador de domínio não experiência essa condição a menos que a taxa de consumo de RID é muito alta. Por exemplo, se a taxa de criação de principais de segurança exceder a capacidade do controlador de domínio de adquirir um novo pool RID do mestre de operações RID, controlador de domínio temporariamente não é possível serviço criações principal de segurança. Após a aquisição de pool RID bem-sucedida, essa condição pára e criação de principais de segurança pode ser reiniciada.

Eventos 16645 e opcionalmente evento 16651 são registrados no log de eventos de serviços Directory para controladores de domínio que não é possível adquirir novos pools de RID. O texto da mensagem para cada evento é:

Evento 16645

O identificador de conta máximo alocado para este controlador de domínio foi atribuído. O controlador de domínio falhou ao obter um novo pool de identificadores. Um possível motivo para isso é que o controlador de domínio não pôde entrar em contato com o controlador de domínio do mestre. Conta de criação nesse controlador falhará até que um novo pool tenha sido alocado. Pode haver problemas de conectividade de rede ou no domínio ou o controlador de domínio principal pode estar off-line ou ausente do domínio. Verifique se o controlador de domínio do mestre está em execução e conectado ao domínio.

Evento 16651

Falha na solicitação para um novo pool de identificadores de conta. A operação será repetida até que a solicitação for bem sucedida. O erro é %n "%1"

Causa

Os usuários, computadores e grupos no Active Directory são conhecidos coletivamente como "objetos de segurança". Objetos de segurança são atribuídos exclusivas seqüências numéricas alfanuméricos que são chamadas de identificadores de segurança ou SIDs. O SID de um objeto de segurança é composto de um SID de todo o domínio concatenado com um identificador exclusivo, relativo (RID). O RID é alocado por um controlador de domínio Windows 2000 no domínio no momento que a entidade de segurança é criada.

Controladores de domínio individuais mantém locais pools RID que são obtidos de um pool global no mestre de operações de RID. Por padrão, os pools RID são obtidos em incrementos de 500. Controladores de domínio do Windows 2000 solicitam um RID novo quando permanece 20 % do pool de RID. Domínio controladores em pasta de E-commerce ou ambientes de migração do ADMT de grande escala podem criar grandes números de segurança objetos em um curto período de tempo. Isso pode usar até seus pools RID locais mais rapidamente do que implantações empresariais convencional.

Problemas ocorrem quando pool RID local de um controlador de domínio é usada e não pode obter um novo pool do mestre de operações RID devido a problemas com ele mesmo. O mestre de operações RID, a rede e o controlador de domínio, em seguida, não é possível criar objetos de segurança adicionais e parar anúncios de serviços de controlador de domínio até que um novo local pool seja obtido.

Para reduzir a chance dessa perda de serviço, os administradores podem aumentar o número de RIDs alocados pelo RID mestre de operações em cada pool, ajustando o valor REG_DWORD RID tamanho de bloco em controladores de domínio sob a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
No entanto, devido a uma falha no limite RID comparar lógica, valores de "Tamanho de bloco RID" Além 500 foram efetivamente ignoradas e revertidos para a alocação padrão de 500.

Resolução

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows

No Windows 2000 Service Pack 4 (SP4), o limite em que iniciar a controladores de domínio solicitar um novo pool RID foi aumentado para 50 %. Por exemplo, um controlador de domínio com o tamanho de bloco RID padrão de 500 poderia iniciar solicitar um novo pool de RIDs (50 % de 500) 250 tem sido consumidos. Um controlador de domínio anterior ao SP4 com o mesmo tamanho do bloco RID de 500 deve solicitar um novo pool de 100 (20 %) do bloco padrão de 500 RIDS permanecem.

A alteração significa que os controladores de domínio são um pouco mais resistentes a interrupções temporárias do mestre de RID com configurações padrão e o tamanho de pool RID é administrador configurável. Observe que o RID global espaço e o número de usuários, computadores e grupos que você pode criar, é finito para cada domínio (aproximadamente 2 ^ 30 RIDs existe). Após o todo o domínio RID pool é usado, nenhum nova segurança de objetos podem ser criados no domínio. Devido a isso, existem riscos associados com o aumento o "bloqueio RID tamanho." Por exemplo, sempre que um controlador de domínio é encerrado pelo rebaixamento normal ou forçado, ou devido a uma falha de hardware, seus RIDs são perdidas todas. Da mesma forma, sempre que um controlador de domínio é restaurado do backup, seus RIDs são todos invalidados para evitar que mais de uma conta de usuário que está sendo atribuído o mesmo RID.

Configurações de diretório opostas para fora são uma exceção notável para deixar o padrão valores RID. Essas configurações, a taxa de criação de principais de segurança é alta, o espaço RID é muito centralizado, pois poucos controladores de domínio são necessários e tempo de atividade é freqüentemente equivalente à capacidade de criações de conta de serviço. Devido a isso, disponibilidade geralmente é medida pela como longo ou quantas entidades de segurança podem ser criadas quando o mestre de operações RID não estiver disponível. Esse tempo pode ser aumentado muito se o número médio de RIDs alocados localmente for maior.

Para configurações de implantação opostas para fora, ou outras implantações com necessidades especiais, o tamanho do bloco foi exposto como um parâmetro de configuração. Windows 2000 SP4 e a família Windows Server 2003 expõem uma configuração de registro que pode ser usada para aumentar o tamanho de pool RID. Isso torna possível para cada controlador de domínio criar objetos de um número maior de segurança sem entrar em contato com o RID mestre de operações.

Não há nenhum benefício para alterar o tamanho do bloco RID do padrão quando o Active Directory é implantado como um diretório de NOS finalidade geral. Nesses casos, a Microsoft recomenda a configuração padrão.

Se você decidir usar um tamanho de bloco RID diferente, a alteração somente está configurada no RID mestre de operações. No entanto, para simplificar o gerenciamento dessa configuração, configure o valor de maneira idêntica em todos os controladores de domínio no domínio de destino. Dessa forma se o mestre de operações RID é transferido para outro controlador de domínio, o tamanho do bloco RID será consistente sem atualizações adicionais e restaura de estado do sistema não acidentalmente substituirá a configuração desejada.

Essa configuração do registro é usada pelo mestre de operações do RID para determinar o tamanho de pool RID para retornar a um controlador de domínio solicitante incluindo RIDS para o pool RID local em que o RID FSMO:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\ tamanho do bloco RID (REG_DWORD)
O sistema cria essa chave do Registro automaticamente e seu valor inicial é 0 . Nesse estado, o padrão interno de 500 é usado. Esse valor de configuração para menos de 500 não tem efeito, e a configuração padrão ainda é usada. Nenhum tamanho máximo de bloco é aplicado. No entanto, um valor que é muito grande tem um efeito adverso no longevidade do domínio.

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados no começo deste artigo.

Propriedades

ID do artigo: 316201 - Última revisão: segunda-feira, 30 de outubro de 2006 - Revisão: 4.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Server SP1
Palavras-chave: 
kbmt kbwin2ksp4fix kbsecurity kbbug kbfix kbwin2000presp4fix KB316201 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 316201

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com