Úvod
Služba AD DS (Active Directory Domain Services) přiřazuje jedinečné identifikátory zabezpečení pro uživatele, počítače, skupiny a vztahy důvěryhodnosti vytvořené ve službě Active Directory. Identifikátory SID se skládají z předpony domény, která je spojena s monotonicallym (RID). Každé doméně služby Active Directory je přiřazen Globální fond RID, který se skládá z 1 000 000 000 RIDs. Chcete-li povolit vytváření nových komitentů zabezpečení v každém řadiči domény služby Active Directory, budou mít každý řadič domény přidělen aktuální a pohotovostní fondy RID z hlavního serveru RID. Po vyčerpání globálního fondu RID pro doménu a místních fondů na jednotlivých řadičích domény v doméně už v doméně nemůžete vytvářet další uživatele, počítače a skupiny. Tento problém můžete vyřešit vytvořením a migrací objektů a aplikací do nové domény. Tento článek popisuje podmínku, při které může logická chyba způsobit příliš mnoho žádostí o fond RID. To má za následek vyčerpání globálního fondu RID.
Příznaky
Za určitých vzácných okolností mohou řadiče domény služby Active Directory přestat zabírat velké množství prostředků RID. Toto chování vyčerpá Globální fond RID. Když nastane tento problém, dojde k některému z následujících problémů:
-
RIDs v globálním fondu RID jsou průběžně spotřebovány.
-
Počet RIDs, které jsou spotřebovány v globálním fondu RID, je větší než očekávaný počet, který se týká počtu komitentů zabezpečení záměrně vytvořených během života domény.
-
Test nástroje DCDIAG RID Manager označuje, že selže hledání atributu rIDSetReferences . Zobrazí se také následující chybová zpráva:
Zahájení testu: RidManager Upozornění: u atributu rIdSetReferences chybí from. CN =Name, ou = Domain Controllers, DC =Name, DC =Name, DC =Name, DC =Name Nepovedlo se najít odkaz na nastavení RID: selhalo s 8481: Hledání se nepodařilo načíst atributy z databáze. ......................... nepovedlo se ověřit test RidManager
Oprava hotfix v KB 2618669 umožňuje rozpoznat a zabránit tomuto chování v řadičích domén se systémem Windows Server 2008 R2.
Toto chování je součástí RTM vydaných verzí
-
Verze operačního systému vydaná po Windows serveru 2019
-
Windows Server 2019
-
Windows Server 2016
-
Windows Server 2012 R2
-
Windows Server 2012
Příčina
Za určitých vzácných okolností může řadič domény vydávat opakované žádosti o RIDs z globálního fondu RID každých 30 sekund. Pokud je možné, že se opakující se žádosti o aktualizace fondu RID budou moci pokračovat po dlouhou dobu, může mít globální fond RID příliš mnoho spotřeby. V extrémních případech se globální fond RID vyčerpá úplně.
Řešení
Chcete-li zabránit nadměrné spotřebě RID v globálním fondu RID, doporučujeme provést následující akce:
-
Nainstalujte nejnovější měsíční aktualizaci vydanou po (září 2016, KB3185278) na všech stávajících řadičích domény Windows Server 2008 R2.
-
Integrujte aktualizaci na instalační médium Windows Server 2008 R2. Tímto způsobem zaručujete, že budou mít tuto aktualizaci taky další řadiče domény.
-
Nasaďte roli Active Directory na novější verze operačního systému, které obsahují tuto funkci ve verzi RTM.
Informace o opravě hotfix
Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze k odstranění problému popsaného v tomto článku. Tuto opravu hotfix použijte pouze u systémů, u kterých dochází k problému popsanému v tomto článku. Tato oprava hotfix může obsahovat další testování. Pokud vás tedy tento problém příliš neobtěžuje, doporučujeme, abyste počkali na další aktualizaci softwaru, která bude obsahovat tuto opravu hotfix. Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava je k dispozici." Pokud se tento oddíl nezobrazuje, obraťte se na zákaznickou podporu Microsoftu na oddělení služeb zákazníkům a podpory. Poznámka Pokud se vyskytnou další problémy nebo pokud se vyžaduje řešení potíží, budete možná muset vytvořit samostatnou žádost o službu. Na další otázky a problémy podpory, které neopravňují tuto specifickou opravu hotfix, se budou vztahovat běžné poplatky za podporu. Úplný seznam telefonních čísel pro zákaznické služby společnosti Microsoft a podpory pro vytvoření samostatného požadavku na službu najdete na následujícím webu společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support Poznámka Formulář "oprava k dispozici v opravě hotfix" zobrazuje jazyky, pro které je oprava hotfix k dispozici. Pokud svůj jazyk nevidíte, je to proto, že oprava hotfix není pro tento jazyk k dispozici.
Stav
Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.
Další informace
Další informace o terminologii aktualizací softwaru najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft