Active Directory フォレストの回復 - 使用可能な RID プールの値を引き上げる

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 および 2012 R2、Windows Server 2008 および 2008 R2

次に示す手順では、対象の DC が復元された後に RID 操作マスターが割り当てる相対 ID (RID) プールの値を引き上げます。 使用可能な RID プールの値を引き上げることで、ドメインの復元に使用されたバックアップの後に作成されたセキュリティ プリンシパルに対して、DC が RID を割り当てなくなります。

Active Directory RID プールと rIDAvailablePool について

各ドメインには、CN=RID Manager$,CN=System,DC=<domain_name> というオブジェクトがあります。 このオブジェクトには rIDAvailablePool という属性があります。 この属性値によって、ドメイン全体を対象とするグローバルな RID 領域が確保されます。 この値は上位部と下位部がある大きい整数です。 上位部では、各ドメインに割り当てることのできるセキュリティ プリンシパルの数 (0x3FFFFFFF または 10 億強) を定義します。 下位部は、ドメインに割り当てられている RID の数です。

注意

Windows Server 2016 と 2012 では、割り当て可能なセキュリティ プリンシパルの数が 20 億強に増えています。 詳細については、「RID 発行の管理」を参照してください。

  • サンプル値: 4611686014132422708
  • 下位部: 2100 (次に割り当てられる RID プールの先頭)
  • 上位部: 1073741823 (ドメインに作成できる RID の総数)

大きい整数の値を引き上げると、下位部の値が大きくなります。 たとえば、サンプル値の 4611686014132422708 に 100,000 を加算して 4611686014132522708 にすると、新しい下位部の値が 102100 になります。 これにより、RID マスターが次に割り当てる RID プールの先頭が 2100 ではなく 102100 になります。

ADSI エディターと電卓を使用して使用可能な RID プールの値を引き上げる

  1. サーバー マネージャーを開き、[ツール][ADSI の編集] の順に選択します。
  2. 右クリックして [接続先] を選択し、既定の名前付けコンテキストに接続して [OK] を選択します。 Screenshot that shows how to connect to the Default Naming Context
  3. 識別名パス CN=RID Manager$,CN=System,DC=<domain name> を参照します。 Screenshot that shows how to browse to the distinguished name path.
  4. 右クリックし、CN=RID Manager$ のプロパティを選択します。
  5. 属性 [rIDAvailablePool] を選択し、[編集] を選択して、大きい整数値をクリップボードにコピーします。 Screenshot that shows the selected rIDAvailablePool attribute.
  6. 電卓を起動し、[表示] メニューで [関数電卓モード] を選択します。
  7. 現在の値に 100,000 を加算します。 Screenshot that shows where to add 100,000 to the current value.
  8. Ctrl + C キーまたは [編集] メニューの [コピー] コマンドを使用して、値をクリップボードにコピーします。
  9. ADSI エディターの編集ダイアログで、この新しい値を貼り付けます。 ADSI Edit
  10. ダイアログで [OK] を選択し、プロパティ シートで [適用] をクリックして rIDAvailablePool 属性を更新します。

LDP を使用して使用可能な RID プールの値を引き上げる

  1. コマンド プロンプトで、コマンド「ldp」を入力して Enter キーを押します。
  2. [接続] を選択し、[接続] を選択し、RID マネージャーの名前を入力して、[OK] を選択します。 Screenshot that shows where to type the name of the RID manager.
  3. [接続] を選択し、[バインド] を選択します。次に [資格情報によるバインド] を選択し、管理資格情報を入力して、[OK] を選択します。 Screenshot that shows the Bind with credentials option.
  4. [ビュー] を選択し、[ツリー] を選択し、次の識別名パスを入力します: CN=RID Manager$,CN=System,DC=domain nameScreenshot that shows where you type the distinguished name path.
  5. [参照] を選択し、[変更] 選択します。
  6. rIDAvailablePool の現在の値に 100,000 を加算し、合計値を [値] に入力します。
  7. [DN] に「cn=RID Manager$,cn=System,dc=<domain name>」と入力します。
  8. [エントリ属性の編集] に、「rIDAvailablePool」と入力します。
  9. 操作に [置換] を選択し、[入力] を選択します。 Screenshot that shows the Replace option.
  10. [実行] を 選択して操作を実行します。 [閉じる] を選びます。
  11. 変更を検証するには、[表示] を選択し、[ツリー] を選択して、以下の識別名パスを入力します: CN=RID Manager$,CN=System,DC=domain namerIDAvailablePool 属性を確認します。 LDP

次のステップ