Вступ
Служби доменів Active Directory (AD DS) призначає унікальні ідентифікатори безпеки (SID) для користувачів, комп'ютерів, груп і трастів, створених у службі Active Directory. Ідентифікатори DNS складаються з префікса домену, поєднана з монотонно зростаючим відносним ідентифікатором ("ПОЗБАВИТИСЯ"). Для кожного домену Active Directory призначається глобальний непотрібний пул, який складається з 1 000 000 000 RIDs. Щоб увімкнути для кожного контролера домену Active Directory відповідно до нових принципів безпеки, кожен контролер домену виділяється поточний і резервний басейни, що ПОЗБАВЛЯЮТЬСЯ від головного зразка. Коли глобальний ПОЗБАВИТИ пул для домену та для локальних басейнів на окремих контролерах доменів в домені вичерпано, додаткові користувачі, комп'ютери та групи більше не можуть бути створені в домені. Щоб вирішити цю проблему, можна створити та перенести об'єкти та програми до нового домену. У цій статті наведено умову, у якій логічна помилка може призвести до надто багатьох запитів на пул. Це призводить до глобального позбавленні від виснаження пула.
Ознаки
У певних рідкісних випадках контролери доменів Active Directory можуть несподівано споживати велику кількість джерел, що ПОЗБАВЛЯЮТЬСЯ. Ця поведінка вичерпує глобальний ПОЗБАВИТИ пул. Коли ця проблема виникає, ви відчуєте одну або кілька з наведених нижче проблем.
-
У глобальному басейні ПОЗБАВЛЯЮТЬСЯ від часу час, який постійно споживається.
-
Кількість чисел, які споживаються в глобальному басейні, ПОЗБАВЛЕНО більшого, ніж очікувалося, враховуючи кількість принципів безпеки, які навмисно створюються протягом терміну дії домену.
-
Перевірка в диспетчері DCDIAG вказує на те, що не вдалося знайти атрибут Risetпосилається . Крім того, з'являється таке повідомлення про помилку:
Початок тестування: Rigrimanager Попередження: атрибут Risetпосилання відсутній у CN =name, OU = контролери ДОМЕНІВ, DC =name, DC =name, DC =name, DC =name Не вдалося отримати посилання на налаштування: помилка з 8481: Не вдалося знайти атрибути з бази даних. ......................... ім'я не вдалося перевірити rimanager
Виправлення в KB 2618669 дає змогу виявляти та запобігати цій поведінці на контролерах домену під керуванням Windows Server 2008 R2.
Ця поведінка входить до складу RTM-релізів
-
Версії ОС, випущені після Windows Server 2019
-
Windows Server 2019
-
Windows Server 2016
-
Windows Server 2012 R2
-
Windows Server 2012
Причина
Під час певних рідкісних обставин контролер домену може видавати повторювані запити для RIDs із глобального "ПОЗБАВИТИ пул" кожні 30 секунд. Якщо повторювані запити на усунення оновлень пула дозволено продовжити протягом значного періоду часу, глобальний ПОЗБАВИТИ пул може бути надто ПОЗБАВЛЕНИМ споживання. У крайньому випадку глобальний ПОЗБАВИТИ пул може бути повністю вичерпаний.
Спосіб вирішення
Щоб уникнути занадто великого споживання у глобальному басейні, радимо виконати наведені нижче дії.
-
Інсталюйте останнє Щомісячне оновлення, яке випущено після (2016 вересня, KB3185278) на всіх діючих контролерах доменів Windows Server 2008 R2.
-
Інтеграція оновлення до інсталювальних медіафайлів Windows Server 2008 R2. Таким чином, ви гарантатимете, що подальші контролери доменів також матимуть таке оновлення.
-
Розгорніть роль Active Directory на новіших версіях ОС, які містять цю функціональність у випуску RTM.
Відомості про виправлення
Корпорацією Майкрософт випущено підтримуване виправлення. Однак це виправлення призначене для виправлення лише проблеми, описаної в цій статті. Застосуємо це виправлення лише до системний інтегратор, які відчувають проблему, описаної в цій статті. Це виправлення може отримати додаткове тестування. Тому, якщо ви не позначилося на цій проблемі, радимо зачекати наступне оновлення програмного забезпечення, яке містить це виправлення. Якщо виправлення доступні для завантаження, у верхній частині цієї статті бази знань є розділ "термінове доступні". Якщо цей розділ не відображається, зверніться до служби підтримки клієнтів Microsoft і підтримайте її, щоб отримати термінове виправлення. Примітка. Якщо виникають додаткові проблеми або якщо потрібно виконати будь-які виправлення неполадок, можливо, знадобиться створити окремий запит на обслуговування. До додаткових питань технічної підтримки та питань, які не відповідають цим виправленням, буде застосовано звичайні витрати на обслуговування. Щоб отримати повний список телефонних номерів служби підтримки клієнтів Microsoft або створити окремий запит на обслуговування, перейдіть на веб-сайт Microsoft:
http://support.microsoft.com/contactus/?ws=support Примітка. У формі "термінове доступні" відображаються мови, для яких доступний термінове виправлення. Якщо ваша мова не відображається, це означає, що виправлення недоступне для цієї мови.
Стан
Корпорація Майкрософт підтвердила, що це проблема в продуктах Microsoft, перелічених у розділі "застосовується до".
Додаткові відомості
Щоб отримати докладніші відомості про термінологію оновлення програмного забезпечення, клацніть номер статті в базі знань Microsoft Knowledge Base:
824684 Опис стандартної термінології, яка використовується для опису оновлень програмного забезпечення Microsoft
