症状
假设包含上百万个对象的超大型林中的全局相对标识符(RID)池已用尽。 在这种情况下,您不能在也已用尽其本地 RID 池的任何域控制器上创建安全主体。 例如,不能创建用户、计算机或组。 注意 当 RID 池用尽时,您不会收到警告,也不会在域控制器上记录任何日志。 此修补程序添加了解锁31位以将全局 RID 池的大小扩展到2000000000对象的功能。 Windows Server 2012、2012 R2、2016、2019和更高版本的 RTM 版本中提供了对2000000000对象的扩展的支持。
原因
出现此问题的原因是只有30位的 RID 可用。
解决方案
若要解决此问题,请安装在域控制器上(2016年9月、 KB3185278)之后发布的最新每月更新,然后解锁三十位 RID。 为此,请按照下列步骤操作:
-
在域控制器上,单击 "开始",单击 "运行",键入Ldp.exe,然后单击"确定"。
-
在 "连接" 菜单上,单击 "连接",然后使用企业管理员帐户进行本地连接。
-
单击 "浏览" 菜单上的 "修改"。
-
通过将以下条目添加到 "编辑条目" 属性框,将sidCompatibilityVersion属性更改为1: [Add] sidCompatibilityVersion: 1
-
按enter,然后单击 "运行"。
注意
-
当解锁三十位 RID 时,RID 池大小限制将扩展为2000000000。
-
若要配置 RID 池大小限制,请在以下注册表项下编辑域控制器上的 RID 块大小值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
修补程序信息
Microsoft 提供了一个受支持的修补程序。 但是,此修补程序仅用于更正本文中所述的问题。 仅对遇到本文中所述问题的系统应用此修补程序。 此修补程序可能会接受其他测试。 因此,如果你不会对此问题造成严重影响,我们建议你等待包含此修补程序的下一个软件更新。 如果此修补程序可供下载,请参阅本知识库文章顶部的 "提供程序下载" 部分。 如果此部分未显示,请联系 Microsoft 客户服务和支持以获取修补程序。 注意 如果出现其他问题或需要进行任何故障排除,则可能必须创建单独的服务请求。 对于此特定修补程序不具备的其他支持问题和问题,将照常收取支持费用。 有关 Microsoft 客户服务和支持电话号码的完整列表,或者要创建单独的服务请求,请访问以下 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support 注意 "提供程序下载" 窗体显示可使用该修补程序的语言。 如果您看不到您的语言,这是因为该语言的修补程序不可用。
注册表信息
若要应用此程序包中的修复程序,不必对注册表进行任何更改。
重启要求
应用此修补程序后,必须重启计算机。
修补程序替换信息
此修补程序不替代以前发布的修补程序。
状态
Microsoft 已确认这是在“适用范围”部分中列出的 Microsoft 产品存在的问题。