简介
Active Directory 域服务(AD DS)向在 Active Directory 中创建的用户、计算机、组和信任分配唯一的安全标识符(Sid)。 Sid 由与单调增加的相对标识符(RID)连接的域前缀组成。 将为每个 Active Directory 域分配一个由 1000000000 Rid 组成的全局 RID 池。 若要启用每个 Active Directory 域控制器来创建新的安全主体,每个域控制器都将从 RID 主机分配当前和待机 RID 池。 如果域的全局 RID 池和域中个别域控制器上的本地池已用尽,则不能再在域中创建其他用户、计算机和组。 若要解决此问题,您可以创建对象和应用程序并将其迁移到新域。 本文介绍了逻辑故障可能导致过多的 RID 池请求的情况。 这将导致全局 RID 池耗尽。
症状
在某些极少数情况下,Active Directory 域控制器可能会意外占用大量 RID 资源。 此行为 exhausts 全局 RID 池。 出现此问题时,你会遇到以下一个或多个问题:
-
全局 RID 池中的 Rid 在一段时间内不断被占用。
-
全局 RID 池中消耗的 Rid 的数量比预期的高,考虑在域的生命周期内有意创建的安全主体的数量。
-
DCDIAG RID 管理器测试指示搜索RidSetReferences属性失败。 此外,你还会收到以下错误消息:
开始测试: RidManager 警告: rIdSetReferences 中缺少属性 CN =name,OU = 域控制器,dc =名称,dc =name,dc =name,dc =名称 无法获取 Rid 集引用:失败,8481: 搜索无法从数据库中检索属性。 ......................... 名称测试 RidManager 失败
KB 2618669 中的修复程序能够在基于 Windows Server 2008 R2 的域控制器上检测和阻止此行为。
此行为包含在以下版本的 RTM 版本中
-
Windows Server 2019 之后发布的操作系统版本
-
Windows Server 2019
-
Windows Server 2016
-
Windows Server 2012 R2
-
Windows Server 2012
原因
在某些极少数情况下,域控制器可能会每隔30秒向全局 RID 池中发出重复性的 Rid 请求。 如果允许对 RID 池更新的重复性请求持续很长一段时间,则全局 RID 池可能会遇到太多的 RID 消耗。 在极端情况下,全局 RID 池可能会完全耗尽。
解决方案
为了防止全局 RID 池中的 RID 消耗太多,我们建议你执行以下操作:
-
安装所有现有 Windows Server 2008 R2 域控制器之后发布的最新每月更新(2016年9月、 KB3185278)。
-
将更新集成到 Windows Server 2008 R2 安装媒体中。 通过执行此操作,您可以确保将来的域控制器也将具有此更新。
-
在 RTM 版本中包含此功能的较新操作系统版本上部署 Active Directory 角色。
修补程序信息
Microsoft 提供了一个受支持的修补程序。 但是,此修补程序仅用于更正本文中所述的问题。 仅对遇到本文中所述问题的系统应用此修补程序。 此修补程序可能会接受其他测试。 因此,如果你不会对此问题造成严重影响,我们建议你等待包含此修补程序的下一个软件更新。 如果此修补程序可供下载,请参阅本知识库文章顶部的 "提供程序下载" 部分。 如果此部分未显示,请联系 Microsoft 客户服务和支持以获取修补程序。 注意 如果出现其他问题或需要进行任何故障排除,则可能必须创建单独的服务请求。 对于此特定修补程序不具备的其他支持问题和问题,将照常收取支持费用。 有关 Microsoft 客户服务和支持电话号码的完整列表,或者要创建单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support 注意 "提供程序下载" 窗体显示可使用该修补程序的语言。 如果您看不到您的语言,这是因为该语言的修补程序不可用。
状态
Microsoft 已确认这是在“适用范围”部分中列出的 Microsoft 产品存在的问题。
更多信息
有关软件更新术语的更多信息,请单击下面的文章编号以查看 Microsoft 知识库中的相应文章:
824684 用于描述 Microsoft 软件更新的标准术语的说明
