Bản cập nhật sẵn dùng để phát hiện và tránh quá nhiều mức tiêu thụ của hồ bơi thoát khỏi toàn cầu trên một bộ điều khiển tên miền

Giới thiệu

Dịch vụ miền Active Directory (AD DS) gán mã định danh bảo mật duy nhất (SIDs) cho người dùng, máy tính, nhóm và tin cậy được tạo trong Active Directory. SIDs bao gồm một tiền tố tên miền được ghép nối với một định danh monotonically tăng tương đối (thoát). Mỗi miền Active Directory được gán một hồ bơi thoát toàn cầu bao gồm 1.000.000.000 RIDs. Để cho phép từng điều khiển tên miền Active Directory để tạo hiệu trưởng bảo mật mới, mỗi bộ điều khiển miền được phân bổ các hồ bơi hiện tại và chế độ chờ thoát khỏi bản cái đã thoát. Khi đã thoát khỏi toàn bộ hồ bơi cho tên miền và cho các hồ bơi địa phương trên bộ điều khiển tên miền riêng lẻ trong một tên miền bị cạn kiệt, người dùng bổ sung, máy tính và nhóm không còn có thể được tạo ra trong tên miền. Để giải quyết vấn đề này, bạn có thể tạo và di chuyển các đối tượng và ứng dụng sang tên miền mới. Bài viết này mô tả một điều kiện mà một lỗi logic có thể dẫn đến quá nhiều yêu cầu thoát ra khỏi hồ bơi. Điều này sẽ dẫn đến sự cạn kiệt toàn cầu khỏi hồ bơi.

Triệu chứng

Trong một số trường hợp hiếm nhất, bộ điều khiển tên miền Active Directory có thể đột ngột tiêu thụ một lượng lớn các tài nguyên thoát. Hành vi này exhausts toàn cầu thoát khỏi hồ bơi. Khi sự cố này xảy ra, bạn gặp một hoặc nhiều vấn đề sau:

• Chín trong toàn cầu thoát khỏi hồ bơi sẽ liên tục được tiêu thụ theo thời gian.

• Số lượng chín được tiêu thụ trong hồ bơi thoát toàn cầu là lớn hơn dự kiến, cân nhắc số lượng người điều tiết bảo mật được tạo ra trong suốt thời gian sống của tên miền.

• Bài kiểm tra thoát khỏi bộ quản lý DCDIAG cho biết rằng tìm kiếm thuộc tính Ridsetreferences không thành công. Ngoài ra, bạn nhận được thông báo lỗi sau đây:

  Bắt đầu thử nghiệm: người quản lý rid Cảnh báo: thuộc tính rIdSetReferences bị thiếu từ CN =name, ou = Domain bộ điều khiển, DC =name, DC =name, DC =name, DC =name Không thể thoát khỏi tham chiếu tập: không thành công với 8481: Tìm kiếm không thể truy xuất các thuộc tính khỏi cơ sở dữ liệu. ......................... Đặt tên không thành công kiểm tra ridmanager

Các hotfix trong KB 2618669 cho phép khả năng phát hiện và ngăn chặn hành vi này trên bộ điều khiển tên miền dựa trên Windows Server 2008 R2.

Hành vi này được bao gồm trong bản phát hành RTM của 

• Phiên bản hệ điều hành được phát hành sau Windows Server 2019

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

• Windows Server 2012

Nguyên nhân

Trong một số trường hợp hiếm nhất, một bộ điều khiển tên miền có thể phát hành các yêu cầu định kỳ cho các đám chín từ toàn cầu đã thoát khỏi hồ bơi mỗi 30 giây. Nếu các yêu cầu lặp lại để thoát khỏi các bản Cập Nhật của hồ bơi được phép tiếp tục trong một khoảng thời gian đáng kể, toàn bộ hồ bơi thoát có thể trải nghiệm quá nhiều loại bỏ. Trong trường hợp khắc nghiệt, Hồ bơi thoát toàn cầu có thể bị cạn kiệt hoàn toàn.

Giải pháp

Để tránh quá nhiều quá mức tiêu thụ trong hồ bơi thoát khỏi toàn bộ, chúng tôi khuyên bạn nên thực hiện những thao tác sau đây:

• Cài đặt bản cập nhật hàng tháng mới nhất được phát hành sau (tháng chín 2016, KB3185278) trên tất cả các bộ điều khiển miền Windows Server 2008 R2 hiện có.

• Tích hợp bản Cập Nhật vào phương tiện cài đặt Windows Server 2008 R2. Bằng cách thực hiện điều này, bạn đảm bảo rằng các bộ điều khiển miền trong tương lai cũng sẽ có bản cập nhật này.

• Triển khai vai trò Active Directory trên các phiên bản hệ điều hành mới hơn có chứa chức năng này trong bản phát hành RTM.

Trạng thái

Microsoft đã xác nhận đây là sự cố trong các sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".

Thông tin Bổ sung

Để biết thêm thông tin về các thuật ngữ Cập nhật phần mềm, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

824684 Mô tả thuật ngữ chuẩn được sử dụng để miêu tả các bản cập nhật phần mềm của Microsoft