Mengelola Penerbitan RID
Artikel ini menjelaskan perubahan pada peran RID master FSMO, termasuk fungsi penerbitan dan pemantauan baru di master RID dan cara menganalisis dan memecahkan masalah penerbitan RID.
Informasi lebih lanjut tersedia di Blog AskDS.
Mengelola Penerbitan RID
Secara default, domain memiliki kapasitas untuk sekitar satu miliar prinsip keamanan, seperti pengguna, grup, dan komputer. Secara alami, tidak ada domain dengan banyak objek yang digunakan secara aktif. Namun, Dukungan Pelanggan Microsoft telah menemukan kasus di mana:
Menyediakan perangkat lunak atau skrip administratif secara tidak sengaja membuat pengguna, grup, dan komputer secara massal.
Banyak grup keamanan dan distribusi yang tidak digunakan dibuat oleh pengguna yang didelegasikan
Banyak pengendali domain diturunkan, dipulihkan, atau metadata dibersihkan
Pemulihan hutan dilakukan
Operasi InvalidateRidPool sering dilakukan
Nilai registri Ukuran Blok RID ditingkatkan dengan tidak benar
Semua situasi ini menggunakan RID yang tidak perlu, seringkali secara tidak sengaja. Selama bertahun-tahun, beberapa lingkungan kehabisan RID dan ini memaksa mereka untuk bermigrasi ke domain baru atau melakukan pemulihan hutan.
Windows Server 2012 mengatasi masalah dengan alokasi RID yang hanya menjadi bermasalah dengan usia dan ketetapan Direktori Aktif. Ini termasuk pengelogan peristiwa yang lebih baik, batas yang lebih tepat, dan kemampuan untuk - dalam keadaan darurat - untuk menggandakan ukuran keseluruhan ruang RID global untuk domain.
Peringatan Konsumsi Berkala
Windows Server 2012 menambahkan pelacakan peristiwa ruang RID global yang memberikan peringatan dini ketika tonggak utama disilangkan. Model menghitung sepuluh (10) persen tanda yang digunakan di kumpulan global dan mencatat peristiwa ketika tercapai. Kemudian menghitung sepuluh persen berikutnya yang digunakan dari sisanya dan siklus peristiwa berlanjut. Saat ruang RID global habis, peristiwa akan dipercepat karena sepuluh persen mencapai lebih cepat dalam kumpulan yang menurun (tetapi peredam log peristiwa akan mencegah lebih dari satu entri per jam). Log peristiwa Sistem pada setiap pengontrol domain menulis peristiwa peringatan Directory-Services-SAM 16658.
Dengan asumsi ruang RID global 30-bit default, peristiwa pertama mencatat saat mengalokasikan kumpulan yang berisi 107.374.182nd RID. Tingkat peristiwa dipercepat secara alami sampai titik pemeriksaan terakhir sebesar 100.000, dengan total 110 peristiwa dihasilkan. Perilaku ini mirip untuk ruang RID global 31-bit yang tidak terkunci: mulai dari 214.748.365 dan selesai dalam 117 peristiwa.
Penting
Kejadian ini tidak diharapkan; selidiki proses pembuatan pengguna, komputer, dan grup segera di domain. Membuat lebih dari 100 juta objek AD DS cukup luar biasa.
Peristiwa Invalidasi Kumpulan RID
Ada pemberitahuan peristiwa baru bahwa kumpulan DC RID lokal dibuang. Ini adalah Informasi dan dapat diharapkan, terutama karena fungsionalitas VDC baru. Lihat daftar peristiwa di bawah ini untuk detail tentang peristiwa tersebut.
Batas Ukuran Blok RID
Biasanya, pengendali domain meminta alokasi RID dalam blok 500 RID pada satu waktu. Anda dapat mengambil alih default ini menggunakan nilai REG_DWORD registri berikut pada pengontrol domain:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values
RID Block Size
Sebelum Windows Server 2012, tidak ada nilai maksimum yang diberlakukan dalam kunci registri tersebut, kecuali maksimum DWORD implisit (yang memiliki nilai 0xffffffff atau 4294967295). Nilai ini jauh lebih besar dari total ruang RID global. Administrator terkadang secara tidak pantas atau tidak sengaja mengonfigurasi Ukuran Blok RID dengan nilai yang menghabiskan RID global pada tingkat besar.
Di Windows Server 2012, Anda tidak dapat mengatur nilai registri ini lebih tinggi dari 15.000 desimal (0x3A98 heksadesimal). Ini mencegah alokasi RID besar-besaran yang tidak diinginkan.
Jika Anda menetapkan nilai yang lebih tinggi dari 15.000, nilai diperlakukan sebagai 15.000 dan pengontrol domain mencatat peristiwa 16653 di log peristiwa Layanan Direktori di setiap boot ulang hingga nilai dikoreksi.
Buka Kunci Ukuran Ruang RID Global
Sebelum Windows Server 2012, ruang RID global dibatasi hingga 230 (atau 1.073.741.823) total RID. Setelah tercapai, hanya migrasi domain atau pemulihan hutan ke jangka waktu yang lebih lama yang diizinkan pembuatan SID baru - pemulihan bencana, dengan langkah apa pun. Mulai Windows Server 2012, 231 bit dapat dibuka kuncinya untuk meningkatkan kumpulan global menjadi 2.147.483.648 RID.
AD DS menyimpan pengaturan ini dalam atribut tersembunyi khusus bernama SidCompatibilityVersion pada konteks RootDSE dari semua pengontrol domain. Atribut ini tidak dapat dibaca menggunakan ADSIEdit, LDP, atau alat lainnya. Untuk melihat peningkatan ruang RID global, periksa log peristiwa Sistem untuk peristiwa peringatan 16655 dari Directory-Services-SAM atau gunakan perintah Dcdiag berikut:
Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"
Jika Anda meningkatkan kumpulan RID global, kumpulan yang tersedia akan berubah menjadi 2.147.483.647 alih-alih default 1.073.741.823. Contohnya:
Peringatan
Pembuka kunci ini dimaksudkan hanya untuk mencegah kehabisan RIDS dan hanya akan digunakan bersama dengan RID Ceiling Enforcement (lihat bagian berikutnya). Jangan "secara preemptively" mengatur ini di lingkungan yang memiliki jutaan RID yang tersisa dan pertumbuhan rendah, karena masalah kompatibilitas aplikasi berpotensi ada dengan SID yang dihasilkan dari kumpulan RID yang tidak terkunci.
Operasi buka kunci ini tidak dapat dikembalikan atau dihapus, kecuali dengan pemulihan forest lengkap ke cadangan sebelumnya.
Peringatan Penting
Pengontrol Domain Windows Server 2003 dan Windows Server 2008 tidak dapat mengeluarkan RID ketika kumpulan RID global 31st bit tidak terkunci. Pengontrol domain Windows Server 2008 R2 dapat menggunakan RID 31st bit tetapi hanya jika mereka memiliki KB perbaikan 2642658 terinstal. Pengontrol domain yang tidak didukung dan tidak dikirim memperlakukan kumpulan RID global sebagai habis saat tidak terkunci.
Fitur ini tidak diberlakukan oleh tingkat fungsional domain apa pun; berhati-hatilah bahwa hanya pengontrol domain Windows Server 2012 atau Windows Server 2008 R2 yang diperbarui yang ada di domain.
Menerapkan ruang RID Global yang Tidak Terkunci
Untuk membuka kunci kumpulan RID ke 31st bit setelah menerima pemberitahuan langit-langit RID (lihat di bawah) lakukan langkah-langkah berikut:
Pastikan bahwa peran RID Master berjalan pada pengontrol domain Windows Server 2012. Jika tidak, transfer ke pengendali domain Windows Server 2012.
Jalankan LDP.exe
Pilih menu Koneksi dan pilih Sambungkan untuk Windows Server 2012 RID Master pada port 389, lalu pilih Ikat sebagai administrator domain.
Pilih menu Telusuri dan pilih Ubah.
Pastikan DN kosong.
Di Edit Atribut Entri, ketik:
SidCompatibilityVersionDalam Nilai, ketik:
1Pastikan Tambahkan dipilih dalam Operasi dan pilih Enter. Ini memperbarui Daftar Entri.
Pilih opsi Sinkron dan Diperluas, lalu pilih Jalankan.
Jika berhasil, jendela output LDP menunjukkan:
***Call Modify... ldap_modify_ext_s(Id, '(null)',[1] attrs, SvrCtrls, ClntCtrls); modified "".
Konfirmasikan kumpulan RID global meningkat dengan memeriksa Log Peristiwa Sistem pada pengontrol domain tersebut untuk peristiwa Informasi Directory-Services-SAM 16655.
Pemberlakuan Plafon RID
Untuk membeli ukuran perlindungan dan meningkatkan kesadaran administratif, Windows Server 2012 memperkenalkan langit-langit buatan pada rentang RID global pada sepuluh (10) persen SISA RID di ruang global. Ketika dalam satu (1) persen dari langit-langit buatan, pengendali domain yang meminta kumpulan RID menulis peristiwa peringatan Directory-Services-SAM 16656 ke log peristiwa Sistem mereka. Ketika mencapai langit-langit sepuluh persen pada RID Master FSMO, ia menulis peristiwa Directory-Services-SAM 16657 ke log peristiwa Sistemnya dan tidak akan mengalokasikan kumpulan RID lebih lanjut sampai menimpa langit-langit. Ini memaksa Anda untuk menilai status master RID di domain dan mengatasi potensi alokasi RID pelarian; ini juga melindungi domain dari kelelahan seluruh ruang RID.
Langit-langit ini dikodekan secara permanen pada sepuluh persen sisa ruang RID yang tersedia. Artinya, langit-langit diaktifkan ketika master RID mengalokasikan kumpulan yang mencakup RID yang sesuai dengan sembilan puluh (90) persen dari ruang RID global.
Untuk domain default, titik pemicu pertama adalah 230-1 * 0,90 = 966.367.640 (atau 107.374.183 RID tersisa).
Untuk domain dengan ruang RID 31-bit yang tidak terkunci, titik pemicunya adalah 231-1 * 0,90 = 1.932.735.282 RID (atau 214.748.365 RID tersisa).
Ketika dipicu, master RID menetapkan atribut Direktori Aktif msDS-RIDPoolAllocationEnabled (nama umum ms-DS-RID-Pool-Allocation-Enabled) ke FALSE pada objek:
CN=RID Manager$,CN=System,DC=<domain>
Ini menulis peristiwa 16657 dan mencegah penerbitan blok RID lebih lanjut ke semua pengendali domain. Pengendali domain terus mengonsumsi kumpulan RID yang luar biasa yang sudah dikeluarkan untuk mereka.
Untuk menghapus blok dan mengizinkan alokasi kumpulan RID untuk melanjutkan, atur nilai tersebut ke TRUE. Pada alokasi RID berikutnya yang dilakukan oleh master RID, atribut akan kembali ke nilai NOT SET defaultnya. Setelah itu, tidak ada langit-langit lebih lanjut dan akhirnya, ruang RID global habis, membutuhkan pemulihan hutan atau migrasi domain.
Menghapus Blok Langit-Langit
Untuk menghapus blok setelah mencapai langit-langit buatan, lakukan langkah-langkah berikut:
Pastikan bahwa peran RID Master berjalan pada pengontrol domain Windows Server 2012. Jika tidak, transfer ke pengendali domain Windows Server 2012.
Jalankan LDP.exe.
Pilih menu Koneksi dan pilih Sambungkan untuk Windows Server 2012 RID Master pada port 389, lalu pilih Ikat sebagai administrator domain.
Pilih menu Tampilan dan pilih Pohon, lalu untuk DN Dasar pilih konteks penamaan domain RID Master sendiri. Pilih OK.
Di panel navigasi, telusuri paling detail kontainer CN=System dan pilih objek CN=RID Manager$ . Pilih kanan dan pilih Ubah.
Di Edit Atribut Entri, ketik:
MsDS-RidPoolAllocationEnabledDalam Nilai, ketik (dalam huruf besar):
TRUEPilih Ganti dalam Operasi dan pilih Enter. Ini memperbarui Daftar Entri.
Aktifkan opsi Sinkron dan Diperluas , lalu pilih Jalankan:
Jika berhasil, jendela output LDP menunjukkan:
***Call Modify... ldap_modify_ext_s(ld, 'CN=RID Manager$,CN=System,DC=<domain>',[1] attrs, SvrCtrls, ClntCtrls); Modified "CN=RID Manager$,CN=System,DC=<domain>".
Perbaikan RID Lainnya
Sistem operasi Windows Server sebelumnya memiliki kebocoran kumpulan RID ketika kehilangan atribut rIDSetReferences. Untuk mengatasi masalah ini pada pengendali domain yang menjalankan Windows Server 2008 R2, instal perbaikan dari KB 2618669.
Masalah RID yang Belum Diperbaiki
Secara historis ada kebocoran RID pada kegagalan pembuatan akun; saat membuat akun, kegagalan masih menggunakan RID. Contoh umumnya adalah membuat pengguna dengan kata sandi yang tidak memenuhi kompleksitas.
Perbaikan RID untuk versi Windows Server yang lebih lama
Semua perbaikan dan perubahan di atas memiliki perbaikan Windows Server 2008 R2 yang dirilis. Saat ini tidak ada perbaikan Windows Server 2008 yang direncanakan atau sedang berlangsung.
Pemecahan Masalah Penerbitan RID
Pengantar Pemecahan Masalah
Pemecahan masalah penerbitan RID memerlukan metode logis dan linier. Kecuali Anda memantau log peristiwa dengan hati-hati untuk peringatan dan kesalahan yang dipicu RID, indikasi pertama Anda tentang masalah kemungkinan adalah pembuatan akun yang gagal. Kunci untuk memecahkan masalah penerbitan RID adalah memahami kapan gejala diharapkan atau tidak; banyak masalah penerbitan RID hanya dapat memengaruhi satu pengontrol domain dan tidak ada hubungannya dengan peningkatan komponen. Diagram sederhana di bawah ini membantu membuat keputusan tersebut lebih jelas:
Opsi Pemecahan Masalah
Opsi Pengelogan
Semua pengelogan dalam penerbitan RID terjadi di log Peristiwa Sistem, di bawah sumber Directory-Services-SAM. Pengelogan diaktifkan dan dikonfigurasi untuk verbositas maksimum, secara default. Jika tidak ada entri yang dicatat untuk perubahan komponen baru di Windows Server 2012, perlakukan masalah sebagai masalah penerbitan RID klasik (alias warisan, pra-Windows Server 2012) yang terlihat di Windows 2008 R2 atau sistem operasi yang lebih lama.
Utilitas dan Perintah untuk Pemecahan Masalah
Untuk memecahkan masalah yang tidak dijelaskan oleh log yang disebutkan di atas - terutama masalah penerbitan RID yang lebih lama - gunakan daftar alat berikut sebagai titik awal:
Dcdiag.exe
Repadmin.exe
Monitor Jaringan 3.4
Metodologi Umum untuk Pemecahan Masalah Konfigurasi Pengendali Domain
Apakah kesalahan disebabkan oleh masalah izin sederhana atau ketersediaan pengontrol domain?
Apakah Anda mencoba membuat prinsip keamanan tanpa izin yang diperlukan? Periksa output untuk kesalahan akses yang ditolak.
Apakah pengendali domain tersedia? Periksa pesan ketersediaan LDAP atau pengendali domain atau LDAP yang dikembalikan.
Apakah kesalahan dikembalikan secara khusus menyebutkan RID, dan cukup spesifik untuk digunakan sebagai panduan? Jika demikian, ikuti panduan.
Apakah kesalahan dikembalikan secara khusus menyebutKAN RID tetapi sebaliknya tidak spesifik? Misalnya, "Windows tidak dapat membuat objek karena Layanan Direktori tidak dapat mengalokasikan pengidentifikasi relatif."
Periksa log Peristiwa Sistem pada pengendali domain untuk peristiwa RID "warisan" (pra-Windows Server 2012) yang dirinci dalam Permintaan Kumpulan RID (16642, 16643, 16644, 16645, 16656).
Periksa Peristiwa Sistem pada pengontrol domain dan RID Master untuk peristiwa pengindikasi blok baru yang dirinci di bawah ini dalam artikel ini (16655, 16656, 16657).
Validasi kesehatan replikasi Direktori Aktif dengan ketersediaan Repadmin.exe dan RID Master dengan Dcdiag.exe /test:ridmanager /v. Aktifkan tangkapan jaringan dua sisi antara pengendali domain dan RID Master jika pengujian ini tidak meyakinkan.
Pemecahan Masalah Tertentu
Pesan baru berikut ini masuk log peristiwa Sistem pada pengontrol domain Windows Server 2012. Sistem pelacakan kesehatan AD otomatis, seperti System Center Operations Manager, harus memantau peristiwa ini; semua penting, dan beberapa adalah indikator masalah domain penting.
| ID Peristiwa | 16653 |
|---|---|
| Sumber | Directory-Services-SAM |
| Tingkat keparahan | Peringatan |
| Pesan | Ukuran kumpulan untuk pengidentifikasi akun (RID) yang dikonfigurasi oleh Administrator lebih besar dari maksimum yang didukung. Nilai maksimum %1 akan digunakan ketika pengendali domain adalah master RID. Untuk informasi selengkapnya, lihat Batas Ukuran Blok RID. |
| Catatan dan resolusi | Nilai maksimum untuk Ukuran Blok RID sekarang adalah 15000 desimal (3A98 heksadesimal). Pengontrol domain tidak dapat meminta lebih dari 15.000 RID. Kejadian ini mencatat di setiap boot hingga nilai diatur ke nilai pada atau di bawah maksimum ini. |
| ID Peristiwa | 16654 |
|---|---|
| Sumber | Directory-Services-SAM |
| Tingkat keparahan | Informasi |
| Pesan | Kumpulan pengidentifikasi akun (RID) telah dibatalkan. Ini dapat terjadi dalam kasus yang diharapkan berikut: 1. Pengendali domain dipulihkan dari cadangan. 2. Pengendali domain yang berjalan pada komputer virtual dipulihkan dari rekam jepret. 3. Administrator telah membatalkan kumpulan secara manual. Lihat https://go.microsoft.com/fwlink/?LinkId=226247 untuk informasi lebih lanjut. |
| Catatan dan resolusi | Jika kejadian ini tidak terduga, hubungi semua administrator domain dan tentukan mana dari mereka yang melakukan tindakan. Log peristiwa Layanan Direktori juga berisi informasi lebih lanjut tentang kapan salah satu langkah ini dilakukan. |
| ID Peristiwa | 16655 |
|---|---|
| Sumber | Directory-Services-SAM |
| Tingkat keparahan | Informasi |
| Pesan | Maksimum global untuk pengidentifikasi akun (RID) telah ditingkatkan menjadi %1. |
| Catatan dan resolusi | Jika kejadian ini tidak terduga, hubungi semua administrator domain dan tentukan mana dari mereka yang melakukan tindakan. Kejadian ini mencatat peningkatan ukuran kumpulan RID secara keseluruhan di luar default 230dan tidak akan terjadi secara otomatis; hanya dengan tindakan administratif. |
| ID Peristiwa | 16656 |
|---|---|
| Sumber | Directory-Services-SAM |
| Tingkat keparahan | Peringatan |
| Pesan | Maksimum global untuk pengidentifikasi akun (RID) telah ditingkatkan menjadi %1. |
| Catatan dan resolusi | Tindakan diperlukan! Kumpulan pengidentifikasi akun (RID) dialokasikan untuk pengendali domain ini. Nilai kumpulan menunjukkan domain ini telah menggunakan sebagian besar dari total pengidentifikasi akun yang tersedia. Mekanisme perlindungan akan diaktifkan ketika domain mencapai ambang batas total pengidentifikasi akun yang tersedia berikut: %1. Mekanisme perlindungan akan mencegah pembuatan akun hingga Anda mengaktifkan kembali alokasi pengidentifikasi akun secara manual pada pengontrol domain master RID. Lihat https://go.microsoft.com/fwlink/?LinkId=228610 untuk informasi lebih lanjut. |
| ID Peristiwa | 16657 |
|---|---|
| Sumber | Directory-Services-SAM |
| Tingkat keparahan | Kesalahan |
| Pesan | Tindakan diperlukan! Domain ini telah menggunakan sebagian besar dari total pengidentifikasi akun (RID) yang tersedia. Mekanisme perlindungan telah diaktifkan karena total pengidentifikasi akun yang tersedia kurang dari: X% [argumen langit-langit buatan]. Mekanisme perlindungan mencegah pembuatan akun hingga Anda mengaktifkan kembali alokasi pengidentifikasi akun secara manual pada pengontrol domain master RID. Sangat penting bahwa diagnostik tertentu dilakukan sebelum mengaktifkan kembali pembuatan akun untuk memastikan domain ini tidak menggunakan pengidentifikasi akun pada tingkat yang sangat tinggi. Setiap masalah yang diidentifikasi harus diselesaikan sebelum mengaktifkan kembali pembuatan akun. Kegagalan untuk mendiagnosis dan memperbaiki masalah yang mendasar yang menyebabkan tingkat konsumsi pengidentifikasi akun yang sangat tinggi dapat menyebabkan kelelahan pengidentifikasi akun di domain setelah pembuatan akun akan dinonaktifkan secara permanen di domain ini. Lihat https://go.microsoft.com/fwlink/?LinkId=228610 untuk informasi lebih lanjut. |
| Catatan dan resolusi | Hubungi semua administrator domain dan beri tahu mereka bahwa tidak ada prinsip keamanan lebih lanjut yang dapat dibuat di domain ini sampai perlindungan ini ditimpa. Untuk informasi selengkapnya tentang cara mengambil alih perlindungan dan mungkin meningkatkan kumpulan RID secara keseluruhan, lihat Membuka Kunci Ukuran Ruang RID Global. |
| ID Peristiwa | 16658 |
|---|---|
| Sumber | Directory-Services-SAM |
| Tingkat keparahan | Peringatan |
| Pesan | Kejadian ini adalah pembaruan berkala pada jumlah total pengidentifikasi akun (RID) yang tersedia yang tersisa. Jumlah pengidentifikasi akun yang tersisa kira-kira: %1. Pengidentifikasi akun digunakan sebagai akun dibuat, ketika kelelahan, tidak ada akun baru yang dapat dibuat di domain. Lihat https://go.microsoft.com/fwlink/?LinkId=228745 untuk informasi lebih lanjut. |
| Catatan dan resolusi | Hubungi semua administrator domain dan beri tahu mereka bahwa konsumsi RID telah melewati tonggak utama; tentukan apakah ini perilaku yang diharapkan atau tidak dengan meninjau pola pembuatan wali keamanan. Untuk melihat peristiwa ini akan sangat tidak biasa, karena itu berarti bahwa setidaknya ~ 100 juta RIDS telah dialokasikan. |