"Řadiče domény se nepodařilo získat nový fond identifikátorů" Chyba událostí Windows 2000 Server SP3 a nižší

Příznaky

Řadiče domény systému Windows 2000 nemusí být možné vytvořit uživatelské účty, účty počítače nebo skupiny zabezpečení, pokud místní fondu RID je vyčerpána a nemůže získat nový fond RID z hlavního serveru RID operace. Řadič domény nemůže být objeveny síťové klienty, které se pokouší provádět dotazy LDAP nebo požadavky na ověření.

Pokud nedostatek síťové připojení k hlavní server RID operací, řadič domény tato podmínka nebude docházet, pokud je poměrně vysoká míra spotřeby RID. Například překročí-li rychlost vytváření komitenta zabezpečení možnost získat nový fond RID z hlavního serveru RID operace řadiče domény, řadič domény dočasně nemůže služba výtvory zaregistrovaný objekt zabezpečení. Po úspěšné pořízení fondu RID přestane tato podmínka a vytváření komitenta zabezpečení můžete pokračovat.

Události 16645 a volitelně událostí 16651 jsou zaznamenány v protokolu událostí adresářové služby řadiče domény, které nelze získat nové fondy RID. Text zprávy pro každé události je:

Události 16645

Identifikátor účtu maximální přidělené na tento řadič domény byla přiřazena. Řadiče domény se nepodařilo získat nový fond identifikátorů. Důvodem pro to je, že byl řadič domény nelze kontaktovat řadič domény hlavního serveru. Vytvoření účtu na tomto řadiči se nezdaří, dokud nový fond byla přidělena. Mohou být problémy sítě nebo připojení k doméně, nebo je hlavní řadič domény může být v režimu offline nebo chybí z domény. Ověřte, zda je hlavní řadič domény spuštěn a připojen k doméně.

Událostí 16651

Žádost o nový fond identifikátorů účtů se nezdařila. Operace bude opakována, dokud neproběhne úspěšně. Chyba je %n %1"

Příčina

Uživatelů, počítačů a skupin ve službě Active Directory se souhrnně nazývají "zaregistrované objekty zabezpečení." Zaregistrované objekty zabezpečení jsou přiřazeny jedinečné číselné řetězce alfanumerický, které jsou označovány jako identifikátory zabezpečení nebo SID. SID pro zaregistrovaný objekt zabezpečení se skládá z čísla SID domény zřetězena s jedinečný relativní identifikátor (RID). RID je přidělený řadičem domény systému Windows 2000 v doméně v době, kdy je zaregistrovaný objekt zabezpečení vytvořen.

Jednotlivé řadiče domény udržovat místní fondy RID, které jsou získány z globálního fondu na hlavní server RID operací. Ve výchozím nastavení jsou fondy RID získat úsecích 500. Řadiče domény systému Windows 2000 požadovat nový RID když zbývá 20 procent fondu RID. Řadiče domény v prostředí přenesení nástroj ADMT rozsáhlých nebo složku E-commerce můžete vytvořit velký počet zabezpečení zaregistrovaných objektů v krátké době. To může využít své místní fondy RID rychleji než konvenční podnikového nasazení.

Problémy při vyčerpání fondu RID místní řadič domény a nemůže získat nový fond z hlavního serveru RID operace z důvodu problémů sám se sebou. Hlavní server RID operací, síť a řadič domény pak nelze vytvořit zaregistrované objekty zabezpečení další a zastavit, dokud není dosaženo nového fondu místní reklamní služby řadiče domény.

Chcete-li snížit pravděpodobnost, že tento výpadek služby, Správce může zvýšit počet RID, které přiděluje operace hlavního serveru RID v každém fondu úpravou hodnoty REG_DWORD RID velikost bloku v řadičích domény v následujícím klíči registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
Však z důvodu chyby v práh RID porovnat logiku, byly hodnoty "Velikost bloku RID" nad 500 efektivně ignorovány a vráceny zpět na výchozí přidělení 500.

Řešení

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows

S Windows 2000 Service Pack 4 (SP4) byla zvýšena na 50 % práh, ve kterém spuštění řadiče domény požadovat nový fond RID. Například řadič domény s výchozí velikost bloku RID 500 by začít požadovat nový fond při konzumovaly 250 RID (50 procent 500). Pre-SP4 řadiče domény s stejnou velikost bloku RID 500 by požadovat nový fond při 100 (20 procent) výchozí bloku RID 500 zůstat.

Změna znamená, že řadiče domény jsou o něco odolnější k dočasné výpadky hlavního serveru RID na výchozí nastavení a velikost fondu RID je konfigurovatelný správce. Všimněte si, že globální RID místa a počet uživatelů, počítačů a skupin můžete vytvořit pro každou doménu omezené (přibližně 2 ^ 30 RID existuje). Po vyčerpání fondu RID celou doménu lze vytvořit nové zaregistrované objekty zabezpečení v doméně. Z tohoto důvodu existují rizika spojená s zvětšení "RID Block." Například pokaždé, když řadič domény je vyřazena z provozu prostřednictvím bezproblémové nebo vynuceného snížení úrovně nebo z důvodu selhání hardwaru, jeho RID jsou všechny ztraceny. Podobně pokaždé, když je řadič domény obnoven ze zálohy, jeho RID jsou všechny neplatné zabránit najímají stejné RID více než jeden uživatelský účet.

Ven protilehlé konfigurace adresáře jsou důležitých výjimku ponechejte výchozí hodnoty RID. V těchto konfiguracích rychlost vytváření komitenta zabezpečení je vysoká, RID místa je velmi centralizované, protože jsou potřeba několik řadičů domény a provozu je často ekvivalentní možnost vytvoření účtu služby. Z tohoto důvodu dostupnost se obvykle měří jak dlouho nebo kolik zaregistrované objekty zabezpečení mohou být vytvořeny, pokud operace hlavního serveru RID není k dispozici. Nyní můžete výrazně prodloužila, pokud průměrný počet přidělených místně RID je větší.

Ven protilehlé konfigurace nasazení nebo jiné nasazení se zvláštními potřebami velikost bloku byla vystavena jako konfigurační parametr. Systém Windows 2000 SP4 a systémy řady Windows Server 2003 zobrazit konfiguraci registru, který umožňuje zvětšit velikost fondu RID. To umožňuje pro každý řadič domény vytvořit větší počet zabezpečení komitentů bez kontaktování RID hlavního operačního serveru.

Je nutné změnit velikost bloku RID z výchozího při nasazení služby Active Directory jako univerzální č. adresář. V takových případech společnost Microsoft doporučuje výchozí konfigurace.

Pokud se rozhodnete použít jinou velikost bloku RID, změna konfigurován pouze na operace hlavního serveru RID. Však z důvodu zjednodušení správy tohoto nastavení konfigurujte hodnotu shodně na všech řadičích domény v cílové doméně. Tímto způsobem, pokud operace hlavního serveru RID je převeden na jiný řadič domény, bude velikost bloku RID konzistentní bez dalších aktualizací a obnoví stav systému nedojde k přepsání neúmyslně zamýšlené nastavení.

Toto nastavení registru je používán operace hlavního serveru RID, chcete-li zjistit, jakou velikost fondu RID vrátíte žádající řadič domény, včetně místní fondu RID v RID FSMO RID:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
Velikost bloku RID. (REG_DWORD)
Systém automaticky vytvoří tento klíč registru a jeho počáteční hodnota je 0. V tomto stavu se používá interní výchozí hodnota 500. Nastavení této hodnoty na hodnotu menší než 500 nemá žádný vliv a stále se používá ve výchozím nastavení. Je vynuceno žádné maximální velikost bloku. Hodnota, která je příliš velká má však negativní dopad na domény dlouhověkosti.

Stav

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti uvedených na začátku tohoto článku.
Vlastnosti

ID článku: 316201 - Poslední kontrola: 20. 1. 2017 - Revize: 1

Váš názor