Dostępna jest aktualizacja wykrywająca i zapobiegająca zbyt dużym zużyciu globalnej puli RID na kontrolerze domeny

Wprowadzenie

Usługi domenowe Active Directory (AD DS) przypisują unikatowe identyfikatory zabezpieczeń (SID) użytkownikom, komputerom, grupom i relacjom zaufania utworzonym w usłudze Active Directory. Identyfikatory SID składają się z prefiksu domeny połączonego z monotonically wzrastającym identyfikatorem (RID). Każdej domenie usługi Active Directory jest przypisana Globalna pula RID składająca się z 1 000 000 000 RID. Aby umożliwić każdemu kontrolerowi domeny usługi Active Directory tworzenie nowych podmiotów zabezpieczeń, każdemu kontrolerowi domeny przydzielane są bieżące i zapasowe pule RID ze wzorca RID. Gdy Globalna pula RID dla domeny i dla pul lokalnych na poszczególnych kontrolerach domeny w domenie jest wyczerpana, nie można już tworzyć dodatkowych użytkowników, komputerów i grup w domenie. Aby obejść ten problem, możesz tworzyć i migrować obiekty oraz aplikacje do nowej domeny. W tym artykule opisano warunek, w którym błąd logiczny może powodować zbyt wiele żądań puli RID. To prowadzi do globalnego wyczerpania puli RID.

Symptomy

W pewnych rzadkich okolicznościach kontrolery domeny usługi Active Directory mogą nieoczekiwanie zużywać wiele zasobów RID. To zachowanie powoduje wyczerpanie globalnej puli RID. W przypadku wystąpienia tego problemu występują co najmniej jeden z następujących problemów:

  • RID w globalnej puli RID jest ciągle zużywana w czasie.

  • Liczba RID, które są używane w globalnej puli RID, jest większa niż oczekiwana, biorąc pod uwagę liczbę podmiotów zabezpieczeń, które zostały celowo utworzone w okresie istnienia domeny.

  • Test narzędzia DCDIAG RID Manager wskazuje, że wyszukiwanie atrybutu rIDSetReferences nie powiodło się. Ponadto wyświetlany zostanie następujący komunikat o błędzie:

    Test początkowy: RidManager Ostrzeżenie: brakuje atrybutu rIdSetReferences CN =name, OU = Domain Controllers, DC =name, DC =name, DC =name, DC =name Nie można uzyskać odwołania do zestawu RID: nie powiodło się z 8481: Funkcja wyszukiwania nie może pobrać atrybutów z bazy danych. ......................... błąd RidManager test nazwy

Poprawka w KB 2618669 umożliwia wykrywanie i zapobieganie temu zachowaniu na kontrolerach domeny opartych na systemie Windows Server 2008 R2.

To zachowanie jest dostępne w wersjach RTM programu 

  • Wersje systemu operacyjnego wydane po zainstalowaniu systemu Windows Server 2019

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

Przyczyna

W określonych rzadkich okolicznościach kontroler domeny może wyemitować cykliczne żądania dla RID z globalnej puli RID co 30 sekund. Jeśli powtarzające się żądania aktualizacji puli RID są dozwolone w znacznym czasie, Globalna pula RID może powodować zbyt dużo zużycia RID. W wyjątkowych przypadkach Globalna pula RID może być całkowicie wyczerpana.

Rozwiązanie

Aby zapobiec zbyt dużym zużyciu RID w globalnej puli RID, zalecamy wykonanie następujących czynności:

  • Zainstaluj najnowszą aktualizację comiesięczną opublikowaną po (wrzesień 2016, KB3185278) na wszystkich istniejących kontrolerach domeny z systemem Windows Server 2008 R2.

  • Zintegruj aktualizację z nośnikiem instalacyjnym systemu Windows Server 2008 R2. W ten sposób zagwarantujesz, że ta aktualizacja będzie również dostępna dla przyszłych kontrolerów domeny.

  • Wdróż rolę usługi Active Directory w nowszych wersjach systemu operacyjnego, które zawierają tę funkcję w wersji RTM.

Informacje dotyczące poprawki

Obsługiwana poprawka jest dostępna w firmie Microsoft. Ta poprawka jest jednak przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Poprawkę należy stosować tylko w przypadku systemów, w których występują problemy opisane w tym artykule. Ta poprawka może być dodatkowo testowana. Jeśli nie jest to poważnie narażony na ten problem, zalecamy poczekanie na następną aktualizację oprogramowania zawierającą tę poprawkę. Jeśli poprawka jest dostępna do pobrania, na początku tego artykułu z bazy wiedzy znajduje się sekcja "Poprawka dostępna do pobrania". Jeśli ta sekcja nie pojawi się, skontaktuj się z działem obsługi klienta firmy Microsoft i pomocą techniczną, aby uzyskać poprawkę. Uwaga Jeśli wystąpią dodatkowe problemy lub jeśli jest wymagane rozwiązanie problemu, może być konieczne utworzenie oddzielnego żądania usługi. Zwykłe opłaty za pomoc techniczną będą dotyczyć dodatkowych pytań i problemów, które nie kwalifikują się do tej konkretnej poprawki. Aby uzyskać pełną listę numerów telefonów działu obsługi klienta firmy Microsoft lub utworzyć osobne żądanie usługi, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Uwaga W formularzu "Poprawka dostępna do pobrania" są wyświetlane Języki, dla których jest dostępna poprawka. Jeśli nie widzisz swojego języka, oznacza to, że poprawka nie jest dostępna dla tego języka.

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji "dotyczy".

Więcej informacji

Aby uzyskać więcej informacji o terminologii dotyczącej aktualizacji oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×