Введение
Доменные службы Active Directory (AD DS) назначают уникальные идентификаторы безопасности (SID) пользователям, компьютерам, группам и довериям, созданным в службе каталогов Active Directory. Идентификаторы безопасности состоят из префикса домена, объединенного с монотонно увеличивающимся относительным идентификатором (RID). Каждому домену Active Directory назначается глобальный пул RID, состоящий из 1 000 000 000 RID. Чтобы включить каждому контроллеру домена Active Directory создание новых участников безопасности, на каждом контроллере домена будут выделены текущие и резервные пулы RID из хозяина RID. После исчерпания глобального пула RID для домена и для локальных пулов на отдельных контроллерах домена в домене больше нельзя создавать дополнительные пользователи, компьютеры и группы. Для решения этой проблемы вы можете создавать и переносить объекты и приложения в новый домен. В этой статье описаны условия, при которых логическая ошибка может привести к слишком большому количеству запросов в пуле RID. Это приводит к исчерпанию глобального пула RID.
Проблемы
В некоторых редких случаях контроллеры домена Active Directory могут неожиданно занимать большое количество ресурсов RID. В этом случае исчерпан глобальный пул RID. При возникновении этой проблемы вы столкнетесь с одной или несколькими из указанных ниже проблем.
-
Идентификаторы RID в глобальном пуле RID постоянно используются в течение длительного времени.
-
Количество идентификаторов RID, которые используются в глобальном пуле RID, больше ожидаемого, учитывая количество участников безопасности, которые преднамеренно были созданы в течение времени существования домена.
-
Проверка в диспетчере "DCDIAG RID" указывает на то, что поиск атрибута ридсетреференцес завершается сбоем. Кроме того, появляется приведенное ниже сообщение об ошибке:
Запуск теста: Ридманажер Предупреждение: Ридсетреференцес атрибута отсутствует в CN =Name, OU = Domain Controllers, DC =Name, DC =Name, DC =Name, DC= Name Не удалось получить ссылку на "RID Set": сбой с 8481: При поиске не удалось получить атрибуты из базы данных. ......................... не удалось проверить имя . ридманажер
Исправление в статье KB 2618669 обеспечивает возможность обнаружения и предотвращения такого поведения на контроллерах домена под управлением Windows Server 2008 R2.
Это поведение входит в выпуски RTM
-
Версии ОС, выпущенные после Windows Server 2019
-
Windows Server 2019
-
Windows Server 2016
-
Windows Server 2012 R2
-
Windows Server 2012
Причина
В некоторых редких случаях контроллер домена может выдать повторяющиеся запросы идентификаторов RID из глобального пула RID каждые 30 секунд. Если вы можете продолжать повторяющиеся запросы на обновление пула RID в течение длительного периода, глобальный пул RID может испытывать слишком много ресурсов RID. В экстремальных случаях глобальный пул RID может быть исчерпан полностью.
Решение
Чтобы не допустить слишком большого потребления RID в глобальном пуле RID, рекомендуется выполнить указанные ниже действия.
-
Установите Последнее ежемесячное обновление, выпущенное после (Сентябрь 2016, KB3185278) для всех существующих контроллеров домена под Windows Server 2008 R2.
-
Интегрируйте обновление на установочный носитель Windows Server 2008 R2. Таким образом вы гарантируете, что будущие контроллеры домена также будут иметь это обновление.
-
Развертывание роли Active Directory для более поздних версий ОС, содержащих эту функцию, в выпуске RTM.
Сведения об исправлении
Доступно исправление от корпорации Майкрософт. Однако это исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех системах, где возникли проблемы, описанные в этой статье. Это исправление может получать дополнительное тестирование. По этой причине корпорация Майкрософт рекомендует во всех случаях, когда проблема не представляет особой важности, дождаться следующего обновления программного обеспечения, содержащего это исправление. Если исправление доступно для загрузки, в верхней части этой статьи базы знаний находится раздел "исправление доступно для загрузки". Если этот раздел не отображается, обратитесь в службу поддержки пользователей Майкрософт, чтобы получить исправление. Примечание. Если возникнут дополнительные проблемы или требуется устранение неполадок, возможно, потребуется создать отдельный запрос на обслуживание. Для дополнительных вопросов и проблем, которые не могут быть неполными для данного исправления, действуют стандартные затраты на поддержку. Чтобы получить полный список номеров телефонов службы поддержки пользователей Майкрософт, а также для создания отдельного запроса на обслуживание, посетите веб-сайт Майкрософт по следующему адресу:
http://support.microsoft.com/contactus/?ws=support Примечание. В форме "исправление доступно для загрузки" отображаются языки, для которых доступно исправление. Если язык не отображается, это значит, что исправление для этого языка недоступно.
Статус
Корпорация Майкрософт подтверждает наличие этой проблемы в своих продуктах, которые перечислены в разделе "Применяется к".
Дополнительная информация
Дополнительные сведения о терминах, используемых при описании обновлений программного обеспечения, см. в указанной ниже статье базы знаний Майкрософт.
824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
