適用先
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2

はじめに

Active Directory ドメインサービス (AD DS) は、Active Directory で作成されたユーザー、コンピューター、グループ、信頼に固有のセキュリティ識別子 (Sid) を割り当てます。 Sid は、単調に増加する相対識別子 (RID) で連結されたドメインプレフィックスで構成されています。 各 Active Directory ドメインには、10億 Rid で構成されるグローバル RID プールが割り当てられます。 各 Active Directory ドメインコントローラーが新しいセキュリティプリンシパルを作成できるようにするために、各ドメインコントローラーには、RID マスターから現在の、およびスタンバイ RID プールが割り当てられます。 ドメインのグローバル RID プールと、ドメイン内の個々のドメインコントローラー上のローカルプールが使い果たされた場合、追加のユーザー、コンピューター、グループをドメインで作成することはできなくなります。 この問題を回避するには、オブジェクトとアプリケーションを作成し、新しいドメインに移行します。 この記事では、ロジックのエラーによって RID プール要求が多すぎる場合の条件について説明します。 これはグローバル RID プールの枯渇をもたらします。

現象

特定のまれな状況では、Active Directory ドメインコントローラーが予期せずに大量の RID リソースを消費する場合があります。 この動作により、グローバル RID プールが使い果たされます。 この問題が発生すると、次のいずれかの問題が発生します。

  • グローバル RID プール内の Rid は、時間の経過と共に継続的に消費されます。

  • グローバル RID プールで消費される Rid の数が予想よりも大きくなっています。これは、ドメインの有効期間中に意図的に作成されたセキュリティプリンシパルの数を考慮することを前提としています。

  • DCDIAG RID マネージャテストは、 RidSetReferences属性の検索に失敗したことを示します。 さらに、以下のエラー メッセージが表示されます。

    開始テスト: RidManager 警告: 属性 rIdSetReferences が見つからない CN =name、OU = ドメインコントローラー、dc = name、dc = name、dc =name、dc = name、dc= name Rid セット参照を取得できませんでした: 8481 で失敗しました: 検索では、データベースから属性を取得できませんでした。 ......................... 名前の失敗テスト RidManager

KB 2618669 の修正プログラムでは、Windows Server 2008 R2 ベースのドメインコントローラーでこの動作を検出して回避することができます。

この動作は、次の RTM リリースに含まれています。 

  • Windows Server 2019 以降にリリースされた OS のバージョン

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

原因

特定のまれな状況では、ドメインコントローラーによって、グローバル RID プールから30秒間隔で Rid に対する定期的な要求が発行される場合があります。 RID プール更新の繰り返し要求を長期間継続することが許可されている場合、グローバル RID プールの使用量が多すぎる可能性があります。 極端なケースでは、グローバル RID プールが完全に使い果たされる可能性があります。

解決方法

グローバル RID プールでの使用量が多すぎないようにするには、次の操作を行うことをお勧めします。

  • 既存の Windows Server 2008 R2 ドメインコントローラーの後にリリースされた最新の月次更新プログラム (2016 年9月KB3185278) をインストールします。

  • Windows Server 2008 R2 インストールメディアに更新プログラムを統合します。 これにより、将来のドメインコントローラーでもこの更新プログラムが利用できることが保証されます。

  • RTM リリースでこの機能を含む新しい OS バージョンで Active Directory の役割を展開します。

修正プログラムの情報

サポートされている修正プログラムは、Microsoft から提供されています。 ただし、この修正プログラムは、この記事で説明されている問題のみを修正することを目的としています。 この修正プログラムは、この記事で説明されている問題が発生しているシステムにのみ適用してください。 この修正プログラムは、追加のテストを受ける可能性があります。 そのため、この問題で深刻な影響を受けていない場合は、この修正プログラムを含む次のソフトウェア更新プログラムを待つことをお勧めします。 この修正プログラムをダウンロードできる場合は、このサポート技術情報の記事の上部にある「修正プログラムダウンロード可能」セクションを参照してください。 このセクションが表示されない場合は、Microsoft カスタマーサービスとサポートに問い合わせて、修正プログラムを入手してください。 注: その他の問題が発生した場合、またはトラブルシューティングが必要な場合は、別のサービスリクエストを作成することが必要になることがあります。 この特定の修正プログラムに該当しないその他のサポートの質問や問題については、通常のサポート料金が適用されます。 Microsoft カスタマサービスとサポートの電話番号の完全な一覧、または別のサービスリクエストを作成するには、次の Microsoft Web サイトを参照してください。

http://support.microsoft.com/contactus/?ws=support 注: "Hotfix download available" フォームには、修正プログラムを提供している言語が表示されます。 使用している言語が表示されない場合は、その言語では修正プログラムが利用できないことが原因です。

状態

マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。

詳細情報

ソフトウェア更新プログラムに関する用語の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。

824684 マイクロソフトのソフトウェアの更新で使用される一般的な用語の説明

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター