「 網域控制站已無法取得新的識別元集區 」 的錯誤事件在 Windows 2000 Server SP3 及更早的版本

文章翻譯 文章翻譯
文章編號: 316201 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

Windows 2000 網域控制站可能無法如果本機的 RID 集區用完,無法從 RID 操作主機取得新的 RID 集區建立使用者帳戶、 電腦帳戶或安全性群組。網域控制站無法發現的網路用戶端,嘗試執行 LDAP 查詢或驗證要求。

除非 RID 消耗率是相當高,RID 操作主機網域控制站提供足夠的網路連線並不會遇到這種情況。比方說如果建立安全性主體的速率超過取得新的 RID 集區從 RID 操作主機的網域控制站的能力,網域控制站暫時無法服務的安全性主體之建立。 在成功的 RID 集區擷取時這種情況停止,並建立安全性主體可以繼續。

事件 16645 並選擇性地事件 16651 記錄在目錄服務事件記錄檔,無法取得新的 RID 集區的網域控制站。為每個事件訊息文字是:

事件 16645

配置給這台網域控制站的最大的帳戶識別元已被指派。網域控制站取得新的識別元集區失敗。可能是網域控制站無法連絡主機網域控制站。帳戶建立這個控制站上的將會失敗,直到新的集區配置。 在網域中可能有網路連線能力問題或主機網域控制站可能離線或遺失從網域。請確認網域主控制站正在執行,而且已連線到網域。

事件 16651

新的帳戶識別元集區要求失敗。將會重試操作,直到要求成功。錯誤為 %n"%1"

發生的原因

使用者、 電腦及群組在 Active Directory 中的都通稱為安全性原則。安全性原則會指派唯一字母-數字數值字串所呼叫的安全性識別元或 SID。安全性主體的 SID 組成全網域的 SID 與唯一相對識別碼 (RID) 串連。[RID 是由網域中的 Windows 2000 網域控制站所配置,在建立安全性主體。

個別的網域控制站維護取自在 RID 操作主機上的通用集區的本機 RID 集區。預設情況下,RID 集區被取得增量為 500。Windows 2000 網域控制站要求新的 RID 時的百分之 20 的 RID 集區會保留。網域控制站在電子商務] 資料夾或大比例 ADMT 遷移環境可以大量的安全性主體在中建立短的時間。這可能會使用其本機的 RID 集區向上比傳統的企業部署更快速。

當網域控制站本機 RID 集區用完,並從 RID 操作主機無法取得的新集區因為的本身的問題時,會發生的問題。RID 操作主機、 網路和網域控制站無法建立額外的安全性主體然後停止通告網域控制站服務,直到取得新的本機集區。

若要減少服務的這個遺失的可能性,系統管理員可以增加由 [RID 所配置的 RID 數目藉由調整 REG_DWORD RID 區塊大小 值,在下列登錄機碼下的網域控制站上的每個集區中的操作主機:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
不過,是因為在 RID 臨界值中的弱點比較邏輯,超過 500 的 RID 區塊大小 」 值已有效地忽略,並還原回為預設配置為 500。

解決方案

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄

與 Windows 2000 服務套件 4 (SP4),來要求新的 RID 集區的網域控制站開始臨界值已增加至 50%。比方說具有預設 RID 區塊大小為 500 的網域控制站會開始時耗用 250 (500 的 50%) RID 要求新的集區。pre SP4 網域控制站都設定相同的 RID 區塊大小為 500 會要求新集區時維持預設區塊的 500 RIDS 100 (20%)。

變更表示網域控制站都是有點更有彈性的 RID 主機,在預設設定的暫時中斷,並且 RID 集區大小是系統管理員可設定。請注意,全域 RID 空間,以及使用者、 電腦和您可以建立的群組數目是有限的每個網域 (大約 2 ^30 RID 存在)。寬網域 RID 之後集區用完沒有新的安全性主體可以網域中建立。 有鑑於此,有增加的相關風險,"RID 區塊大小"例如,每次網域控制站已除役,透過降級或是強制降級,或是因為硬體失敗,所以,其 RID 會全部遺失。同樣地,每次從備份還原網域控制站,其 RID 會全部失效以協助防止多個使用者帳號被指派相同的 RID。

向外對開目錄組態是值得注意的例外狀況並保留預設的 RID 值。在這些組態建立安全性主體率很高,RID 空間是非常集中式,因為需要少數網域控制站,是服務帳戶的建立能夠經常相等的執行時間]。有鑑於此,可用性一般所測量的方式長的或無法使用 RID 操作主機時,可建立多少的安全性原則。如果在本機配置的 RID 的平均數目大可以大幅增加這一次。

向外對開部署組態或其他具有特殊需求的部署,區塊大小被公開為組態參數。Windows 2000 SP4 和 Windows Server 2003 系列公開可以用來增加 RID 集區大小的登錄設定。這可讓每個網域控制站來建立較大的數字的安全性主體,無需連絡所 RID 操作主機。

從預設值變更 RID 區塊大小,當 Active Directory 部署為一般用途 NOS 目錄沒有好處。在這種情況下 Microsoft 建議預設組態。

如果您做選擇使用不同的 RID 區塊大小,變更只上設定 [RID 操作主機。不過,來簡化這項設定管理,設定值都相同目標網域中的所有網域控制站上。 如果 RID 操作主機轉移到另一個網域控制站這種方式,RID 區塊大小會一致沒有其他更新的情況下,系統狀態恢復不會覆無意間寫預定的設定值。

RID 操作主機會使用此登錄設定,以判斷何種大小若要回到提出要求的網域控制站,包括 RIDS RID FSMO 上本機的 RID 集區的 RID 集區:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\ RID 區塊大小 (REG_DWORD)
系統會自動建立這個登錄機碼,而其初始值為 0。在此狀態用於內部的預設為 500。設定 [為少於 500 的 [此值不會有任何影響,仍然用預設設定。沒有最大區塊的大小會強制執行。不過,太大的數值將造成不良的影響對網域的壽命。

狀況說明

Microsoft 已確認這是在本文開頭所列之 Microsoft 產品中的問題。

屬性

文章編號: 316201 - 上次校閱: 2006年10月30日 - 版次: 4.4
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Server SP1
關鍵字:?
kbmt kbwin2ksp4fix kbsecurity kbbug kbfix kbwin2000presp4fix KB316201 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:316201
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com