Udostępnij za pośrednictwem

Zarządzanie wystawianiem identyfikatorów RID

W tym artykule wyjaśniono zmianę roli głównego serwera FSMO RID, w tym nowa funkcjonalność wydawania i monitorowania w serwerze głównym RID oraz sposób analizowania i rozwiązywania problemów związanych z wydawaniem identyfikatorów RID.

Więcej informacji można znaleźć na blogu AskDS.

Zarządzanie wystawianiem identyfikatorów RID

Domyślnie domena ma pojemność dla około miliarda podmiotów zabezpieczeń, takich jak użytkownicy, grupy i komputery. Oczywiście nie ma żadnych domen z tak dużą liczbą aktywnie używanych obiektów. Jednak dział pomocy technicznej firmy Microsoft znalazł przypadki, w których:

  • Oprogramowanie do zarządzania lub skrypty administracyjne przypadkowo masowo utworzyły użytkowników, grupy i komputery.

  • Wiele nieużywanych grup zabezpieczeń i dystrybucji zostało utworzonych przez delegowanych użytkowników

  • Wiele kontrolerów domeny zostało zdegradowanych, przywróconych lub oczyszczonych z metadanych.

  • Przeprowadzono odzyskiwanie lasu

  • Operacja InvalidateRidPool została wykonana często

  • Wartość rejestru rozmiaru bloku rid została niepoprawnie zwiększona

Wszystkie te sytuacje niepotrzebnie używają identyfikatorów ZAREZERWOWANYch, często przez pomyłkę. Przez wiele lat w kilku środowiskach zabrakło identyfikatorów RID, co zmusiło je do migracji do nowej domeny lub przeprowadzenia odzyskiwania lasu.

System Windows Server 2012 zajmuje się problemami z alokacją identyfikatorów RID, które stały się problematyczne ze względu na wiek i wszechobecność usługi Active Directory. Obejmują one lepsze rejestrowanie zdarzeń, bardziej odpowiednie limity i możliwość - w nagłych wypadkach - w celu podwojenia ogólnego rozmiaru globalnej przestrzeni RID dla domeny.

Ostrzeżenia dotyczące okresowego użycia

System Windows Server 2012 wprowadza globalne śledzenie zdarzeń w przestrzeni identyfikatorów RID, które zapewnia wczesne ostrzeżenie po przekroczeniu istotnych kamieni milowych. Model oblicza oznaczenie dziesięciu (10) procent użycia w puli globalnej i rejestruje zdarzenie po jego osiągnięciu. Następnie oblicza kolejne dziesięć procent zużycia pozostałej części, a cykl zdarzeń trwa dalej. W miarę jak globalna przestrzeń identyfikatorów RID zostaje wyczerpana, zdarzenia będą się przyspieszać, gdy osiągniemy dziesięć procent w malejącej puli (ale ograniczanie logów zdarzeń zapobiegnie więcej niż jednemu wpisowi na godzinę). Dziennik zdarzeń systemowych na każdym kontrolerze domeny zapisuje zdarzenie ostrzegawcze Directory-Services-SAM 16658.

Zakładając domyślne 30-bitowe globalne miejsce identyfikatorów RID, pierwszy zapis w dzienniku zdarzeń jest tworzony podczas przydzielania puli zawierającej 107 374 182. RID. Szybkość zdarzeń przyspiesza naturalnie do ostatniego punktu kontrolnego 100 000 z 110 zdarzeniami wygenerowanymi łącznie. Zachowanie jest podobne w przypadku odblokowanego 31-bitowego globalnego miejsca identyfikatora RID: począwszy od 214 748 365 i kończąc w 117 zdarzeniach.

Ważne

To zdarzenie nie jest oczekiwane; natychmiast zbadaj procesy tworzenia użytkownika, komputera i grupy w domenie. Tworzenie ponad 100 milionów obiektów usług AD DS jest dość niezwykłe.

Wykres punktów orientacyjnych zdarzenia.

Zdarzenia unieważnienia puli RID

Istnieją nowe alerty zdarzeń, że lokalna pula identyfikatorów RID kontrolera domeny została odrzucona. Są to informacje i mogą być oczekiwane, zwłaszcza ze względu na nową funkcjonalność VDC. Aby uzyskać szczegółowe informacje na temat zdarzenia, zobacz poniższą listę zdarzeń.

Limit rozmiaru bloku RID

Zazwyczaj kontroler domeny żąda alokacji RID w blokach po 500 jednocześnie. Tę wartość domyślną można zastąpić przy użyciu następującej wartości rejestru REG_DWORD na kontrolerze domeny:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values
RID Block Size

Przed systemem Windows Server 2012 nie było wymuszanej maksymalnej wartości w tym kluczu rejestru, z wyjątkiem niejawnej maksymalnej wartości DWORD (która ma wartość 0xffffffff lub 4294967295). Ta wartość jest znacznie większa niż całkowita przestrzeń globalna RID. Niekiedy administratorzy niewłaściwie lub przypadkowo skonfigurowali rozmiar bloku RID do wartości, które szybko wyczerpywały globalny identyfikator RID.

W systemie Windows Server 2012 nie można ustawić tej wartości rejestru wyższej niż 15 000 dziesiętnych (0x3A98 szesnastkowe). Zapobiega to ogromnej niezamierzonej alokacji identyfikatorów RID.

Jeśli ustawisz wartość wyższą niż 15 000, wartość jest traktowana jako 15 000, a kontroler domeny rejestruje zdarzenie 16653 w dzienniku zdarzeń usług katalogowych przy każdym ponownym uruchomieniu, dopóki wartość nie zostanie poprawiona.

Odblokowanie rozmiaru globalnej przestrzeni identyfikatora RID

Przed systemem Windows Server 2012 globalna przestrzeń RID była ograniczona do 230 (lub 1073 741 823) łącznych identyfikatorów RID. Po osiągnięciu tego celu tylko migracja domeny lub odzyskiwanie lasu do starszego przedziału czasu zezwalały na tworzenie nowych identyfikatorów SID — odzyskiwanie po awarii według dowolnej miary. Począwszy od systemu Windows Server 2012, można odblokować bit 231, aby zwiększyć pulę globalną do 2 147 483 648 RID.

Usługi AD DS przechowują to ustawienie w specjalnym ukrytym atrybucie o nazwie SidCompatibilityVersion na kontekście RootDSE wszystkich kontrolerów domeny. Ten atrybut nie jest czytelny przy użyciu narzędzi ADSIEdit, LDP ani innych narzędzi. Aby zobaczyć wzrost w globalnej przestrzeni RID, sprawdź dziennik zdarzeń systemu pod kątem zdarzenia ostrzeżenia 16655 z katalogu Directory-Services-SAM lub użyj następującego polecenia Dcdiag:

Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"

Jeśli zwiększysz globalną pulę identyfikatorów RID, dostępna pula zmieni się na 2147 483 647 zamiast domyślnej 1073 741 823. Przykład:

Zrzut ekranu przedstawiający okno terminalu pokazujące wzrost z wartości domyślnej.

Ostrzeżenie

To odblokowanie jest przeznaczone tylko w celu zapobiegania wyczerpaniu identyfikatorów RIDS i ma być używane tylko w połączeniu z wymuszaniem limitu rid (zobacz następną sekcję). Nie należy ustawiać tego "z góry" w środowiskach, które mają miliony pozostałych identyfikatorów RID i niski wzrost, ponieważ problemy ze zgodnością aplikacji potencjalnie istnieją z identyfikatorami SID wygenerowanymi z odblokowanej puli identyfikatorów RID.

Nie można odwrócić ani usunąć operacji odblokowania, z wyjątkiem pełnego odzyskiwania lasu do wcześniejszych kopii zapasowych.

Ważne zastrzeżenia

Kontrolery domeny Windows Server 2003 i Windows Server 2008 nie mogą nadawać identyfikatorów RID, gdy globalna pula RID 31st jest odblokowana. Kontrolery domen systemu Windows Server 2008 R2 mogą używać identyfikatorów RID 31. bitu ale tylko wtedy, gdy mają zainstalowaną poprawkę KB 2642658. Nieobsługiwane i niezapoznane kontrolery domeny traktują globalną pulę identyfikatorów RID jako wyczerpaną po odblokowaniu.

Ta funkcja nie jest wymuszana przez żaden poziom funkcjonalności domeny; zadbaj o to, aby w domenie istniały tylko kontrolery domeny systemu Windows Server 2008 R2 lub Windows Server 2012.

Wdrażanie globalnej przestrzeni identyfikatorów RID bez ograniczeń

Aby odblokować pulę identyfikatorów RID do 31st bit po otrzymaniu alertu limitu rid (zobacz poniżej) wykonaj następujące kroki:

  1. Upewnij się, że rola głównego serwera RID jest uruchomiona na kontrolerze domeny systemu Windows Server 2012. Jeśli nie, przetransferuj go do kontrolera domeny systemu Windows Server 2012.

  2. Uruchom LDP.exe

  3. Wybierz menu Połączenie i opcję Połącz dla serwera Windows Server 2012 RID Master na porcie 389, a następnie wybierz Więź jako administrator domeny.

  4. Wybierz menu Przeglądaj i wybierz pozycję Modyfikuj.

  5. Upewnij się, że DN jest puste.

  6. W obszarze Edytuj atrybut wpisu wpisz:

    SidCompatibilityVersion

  7. W obszarze Wartości wpisz:

    1

  8. Upewnij się, że w obszarze Operacja wybrano pozycję Dodaj, a następnie wybierz Enter. Spowoduje to zaktualizowanie listy pozycji.

  9. Wybierz opcje Synchroniczne i Rozszerzone , a następnie wybierz pozycję Uruchom.

    Zrzut ekranu pokazujący, gdzie wybrać pozycję Uruchom.

  10. Jeśli operacja powiedzie się, w oknie danych wyjściowych protokołu LDP są wyświetlane następujące informacje:

    ***Call Modify...
 ldap_modify_ext_s(Id, '(null)',[1] attrs, SvrCtrls, ClntCtrls);
modified "".

    Zrzut ekranu przedstawiający dane wyjściowe LDP.

  11. Upewnij się, że globalna pula identyfikatorów RID wzrosła, sprawdzając dziennik zdarzeń systemu na tym kontrolerze domeny w celu identyfikacji informacyjnego zdarzenia KataloguServices-SAM o numerze 16655.

Egzekwowanie Maksymalnego Limitu RID

Aby zapewnić ochronę i podnieść poziom świadomości administracyjnej, system Windows Server 2012 wprowadza sztuczny limit globalnego zakresu identyfikatorów RID na dziesięć (10) procent pozostałych identyfikatorów RID w przestrzeni globalnej. Gdy jest blisko jednego (1) procentu sztucznego limitu, kontrolery domeny żądające pul RID zapisują zdarzenie ostrzegawcze 16656 w dzienniku zdarzeń systemowych katalogu-Services-SAM. Po osiągnięciu limitu dziesięciu procent dla głównego FSMO RID zapisuje zdarzenie Directory-Services-SAM o numerze 16657 do dziennika zdarzeń systemu i nie przydzieli żadnych dalszych pul identyfikatorów RID do momentu przekroczenia tego limitu. Wymusza to ocenę stanu wzorca RID w domenie i rozwiązywanie potencjalnych problemów z alokacją identyfikatorów RID. chroni również domeny przed wyczerpaniem całej przestrzeni identyfikatorów RID.

Ten limit jest trwale zakodowany na dziesięć procent pozostałych dostępnych przestrzeni RID. Oznacza to, że limit jest aktywowany, gdy główny węzeł RID przydziela pulę zawierającą identyfikator RID odpowiadający dziewięćdziesięciu (90) procentom globalnej przestrzeni identyfikatorów RID.

  • W przypadku domen domyślnych pierwszy punkt wyzwalacza to 230-1 * 0,90 = 966,367,640 (lub 107,374,183 pozostałych identyfikatorów RID).

  • W przypadku domen z odblokowaną przestrzenią 31-bitową identyfikatorów RID punkt wyzwalacza to 231-1 * 0,90 = 1,932,735,282 identyfikatorów RID (lub 214 748 365 pozostałych identyfikatorów RID).

Po wyzwoleniu element główny RID ustawia atrybut Active Directory msDS-RIDPoolAllocationEnabled (nazwa zwyczajowa ms-DS-RID-Pool-Allocation-Enabled) na FALSE w obiekcie.

CN=Menedżer identyfikatorów RID$,CN=System,DC=<domena>

To zapisuje zdarzenie 16657 i zapobiega dalszemu wydawaniu bloków identyfikatorów RID we wszystkich kontrolerach domeny. Kontrolery domeny nadal zużywają wszystkie zaległe pule identyfikatorów RID, które zostały już im wydane.

Aby usunąć blok i zezwolić na kontynuowanie alokacji puli RID, ustaw tę wartość na TRUE. Przy kolejnej alokacji RID, której dokonuje główny komputer RID, atrybut powróci do domyślnej wartości NOT SET. Następnie nie ma dalszych limitów i ostatecznie kończy się globalna przestrzeń RID, wymagając odzyskiwania lasu lub migracji domeny.

Usuwanie bloku sufitowego

Aby usunąć blok po osiągnięciu sztucznego sufitu, wykonaj następujące kroki:

  1. Upewnij się, że rola głównego serwera RID jest uruchomiona na kontrolerze domeny systemu Windows Server 2012. Jeśli nie, przetransferuj go do kontrolera domeny systemu Windows Server 2012.

  2. Uruchom LDP.exe.

  3. Wybierz menu Połączenie i opcję Połącz dla serwera Windows Server 2012 RID Master na porcie 389, a następnie wybierz Więź jako administrator domeny.

  4. Wybierz menu Widok i wybierz Drzewo, a następnie dla Podstawowy DN wybierz kontekst nazewnictwa domeny kontrolera RID. Wybierz OK

  5. W okienku nawigacji przejdź do szczegółów kontenera CN=System i wybierz obiekt CN=RID Manager$ . Wybierz go prawym przyciskiem i wybierz polecenie Modyfikuj.

  6. W obszarze Edytuj atrybut wpisu wpisz:

    MsDS-RidPoolAllocationEnabled

  7. W obszarze Wartości wpisz (wielkimi literami):

    TRUE

  8. Wybierz pozycję Zamień w Operation i wybierz Enter. Spowoduje to zaktualizowanie listy pozycji.

  9. Włącz opcje synchroniczne i rozszerzone , a następnie wybierz pozycję Uruchom:

    Zrzut ekranu przedstawiający sposób uruchamiania operacji.

  10. Jeśli operacja powiedzie się, w oknie danych wyjściowych protokołu LDP są wyświetlane następujące informacje:

    ***Call Modify...
ldap_modify_ext_s(ld, 'CN=RID Manager$,CN=System,DC=<domain>',[1] attrs, SvrCtrls, ClntCtrls);
Modified "CN=RID Manager$,CN=System,DC=<domain>".

    Zrzut ekranu przedstawiający dane wyjściowe z pomyślnej operacji.

Inne poprawki RID

Poprzednie systemy operacyjne Windows Server miały wyciek puli RID, jeśli brakowało atrybutu rIDSetReferences. Aby rozwiązać ten problem na kontrolerach domeny z systemem Windows Server 2008 R2, zainstaluj poprawkę z KB 2618669.

Nierozwiązane problemy RID

W przeszłości doszło do przecieku identyfikatorów RID w przypadku niepowodzenia tworzenia konta; podczas tworzenia konta błąd nadal używa identyfikatora RID. Typowym przykładem jest utworzenie użytkownika z hasłem, które nie spełnia złożoności.

Poprawki identyfikatorów RID dla wcześniejszych wersji systemu Windows Server

Wszystkie powyższe poprawki i zmiany mają wydane poprawki systemu Windows Server 2008 R2. Obecnie nie są planowane lub w toku żadne poprawki systemu Windows Server 2008.

Rozwiązywanie problemów z wystawianiem identyfikatorów RID

Wprowadzenie do rozwiązywania problemów

Rozwiązywanie problemów z wystawianiem identyfikatorów RID wymaga metody logicznej i liniowej. Jeśli nie monitorujesz dokładnie dzienników zdarzeń pod kątem ostrzeżeń i błędów wyzwalanych przez identyfikatory RID, pierwsze oznaki problemu mogą objawić się jako nieudane próby tworzenia kont. Kluczem do rozwiązywania problemów z wystawianiem identyfikatorów RID jest zrozumienie, kiedy objaw jest oczekiwany lub nie; wiele problemów z wystawianiem identyfikatorów RID może mieć wpływ tylko na jeden kontroler domeny i nie ma nic wspólnego z ulepszeniami składników. Ten prosty diagram poniżej ułatwia podejmowanie tych decyzji:

Wystawianie identyfikatorów RID

Opcje rozwiązywania problemów

Opcje rejestrowania

Wszystkie rejestrowanie w wystawianiu identyfikatorów RID odbywa się w dzienniku zdarzeń systemu w obszarze źródłowym Directory-Services-SAM. Rejestrowanie jest domyślnie włączone i skonfigurowane pod kątem maksymalnej szczegółowości. Jeśli w systemie Windows Server 2012 nie są rejestrowane wpisy dotyczące zmian w nowym komponencie, należy traktować problem jako klasyczny (czyli dziedziczny, sprzed Windows Server 2012) problem z przydzielaniem identyfikatorów RID, znany z systemów Windows 2008 R2 lub starszych.

Narzędzia i polecenia do rozwiązywania problemów

Aby rozwiązać problemy, które nie zostały wyjaśnione przez wyżej wymienione dzienniki — szczególnie starsze problemy z wystawianiem identyfikatorów RID — użyj następującej listy narzędzi jako punktu wyjścia:

  • Dcdiag.exe

  • Repadmin.exe

  • Monitor sieci 3.4

Ogólna metodologia rozwiązywania problemów z konfiguracją kontrolera domeny

  1. Czy błąd jest spowodowany przez proste uprawnienia lub problem z dostępnością kontrolera domeny?

    1. Czy próbujesz utworzyć podmiot zabezpieczeń bez niezbędnych uprawnień? Sprawdź dane wyjściowe pod kątem błędów odmowy dostępu.

    2. Czy kontroler domeny jest dostępny? Sprawdź zwrócony błąd lub komunikaty o dostępności protokołu LDAP lub kontrolera domeny.

  2. Czy zwrócony błąd wyraźnie wspomina identyfikatory RID i jest wystarczająco szczegółowy, aby posłużyć jako wskazówki? Jeśli tak, postępuj zgodnie ze wskazówkami.

  3. Czy zwrócony błąd jednoznacznie odnosi się do identyfikatorów RID, ale poza tym jest nieokreślony? Na przykład "System Windows nie może utworzyć obiektu, ponieważ usługa katalogowa nie mogła przydzielić identyfikatora względnego".

    1. Przeanalizuj dziennik zdarzeń systemowych na kontrolerze domeny pod kątem "starszych" zdarzeń RID (sprzed Windows Server 2012) wyszczególnionych w żądaniu puli RID (16642, 16643, 16644, 16645, 16656).

    2. Sprawdź zdarzenie systemowe na kontrolerze domeny i wzorzec RID pod kątem nowych zdarzeń wskazujących blok szczegółowo poniżej w tym artykule (16655, 16656, 16657).

    3. Zweryfikuj kondycję replikacji usługi Active Directory oraz dostępność głównego serwera RID z użyciem Repadmin.exe i testu Dcdiag.exe /test:ridmanager /v. Włącz przechwytywanie sieci dwukierunkowe między kontrolerem domeny i głównym serwerem RID, jeśli wyniki tych testów są niejednoznaczne.

Rozwiązywanie określonych problemów

Następujące nowe komunikaty są rejestrowane w dzienniku zdarzeń systemu na kontrolerach domeny systemu Windows Server 2012. Zautomatyzowane systemy śledzenia kondycji usługi AD, takie jak System Center Operations Manager, powinny monitorować te zdarzenia; wszystkie są godne uwagi, a niektóre są wskaźnikami krytycznych problemów z domeną.

Identyfikator zdarzenia 16653
Źródło Katalog —Services-SAM
Ciężkość Ostrzeżenie
Komunikat Rozmiar puli identyfikatorów kont (RID), który został skonfigurowany przez administratora, jest większy niż obsługiwany maksymalny. Maksymalna wartość %1 będzie używana, gdy kontroler domeny jest głównym serwerem RID.

Aby uzyskać więcej informacji, zobacz Rid Block Size Limit (Limit rozmiaru bloku rid).
Uwagi i rozwiązanie Maksymalna wartość rozmiaru bloku RID wynosi teraz 15000 dziesiętnych (szesnastkowe 3A98). Kontroler domeny nie może zażądać więcej niż 15 000 identyfikatorów ZAREZERWOWANYch. To zdarzenie rejestruje przy każdym rozruchu, dopóki wartość nie zostanie ustawiona na wartość równą lub poniżej tej wartości maksymalnej.
Identyfikator zdarzenia 16654
Źródło Katalog —Services-SAM
Ciężkość Informacyjny
Komunikat Pula identyfikatorów kont (RID) została unieważniona. Może to wystąpić w następujących oczekiwanych przypadkach:

1. Kontroler domeny jest przywracany z kopii zapasowej.

2. Kontroler domeny uruchomiony na maszynie wirtualnej jest przywracany z migawki.

3. Administrator ręcznie unieważnił pulę.

Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=226247.
Uwagi i rozwiązanie Jeśli to zdarzenie jest nieoczekiwane, skontaktuj się ze wszystkimi administratorami domeny i określ, które z nich wykonały akcję. Dziennik zdarzeń usług katalogowych zawiera również dodatkowe informacje o tym, kiedy wykonano jedną z tych czynności.
Identyfikator zdarzenia 16655
Źródło Katalog —Services-SAM
Ciężkość Informacyjny
Komunikat Globalna maksymalna liczba identyfikatorów kont (RID) została zwiększona do %1.
Uwagi i rozwiązanie Jeśli to zdarzenie jest nieoczekiwane, skontaktuj się ze wszystkimi administratorami domeny i określ, które z nich wykonały akcję. To zdarzenie odnotowuje wzrost ogólnego rozmiaru puli identyfikatorów RID poza domyślną wartością 230 i nie wystąpi automatycznie; jedynie poprzez działanie administracyjne.
Identyfikator zdarzenia 16656
Źródło Katalog —Services-SAM
Ciężkość Ostrzeżenie
Komunikat Globalna maksymalna liczba identyfikatorów kont (RID) została zwiększona do %1.
Uwagi i rozwiązanie Wymagana akcja! Pula identyfikatorów kont (RID) została przydzielona do tego kontrolera domeny. Wartość puli wskazuje, że ta domena zużywa znaczną część wszystkich dostępnych identyfikatorów kont.

Mechanizm ochrony zostanie aktywowany, gdy domena osiągnie następujący próg całkowitej dostępnej liczby identyfikatorów kont pozostałych: %1. Mechanizm ochrony uniemożliwi utworzenie konta do momentu ręcznego ponownego włączenia alokacji identyfikatora konta na głównym kontrolerze domeny rid.

Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=228610.
Identyfikator zdarzenia 16657
Źródło Katalog —Services-SAM
Ciężkość Błąd
Komunikat Wymagana akcja! Ta domena zużywa znaczną część całkowitej dostępnej liczby identyfikatorów kont (RID). Mechanizm ochrony został aktywowany, ponieważ łączna liczba dostępnych identyfikatorów kont jest mniejsza niż: X% [argument sztucznego limitu].

Mechanizm ochrony uniemożliwia tworzenie konta do momentu ręcznego ponownego włączenia przydziału identyfikatora konta na kontrolerze domeny RID.

Bardzo ważne jest, aby przed ponownym włączeniem możliwości tworzenia konta przeprowadzić określone testy diagnostyczne, aby upewnić się, że ta domena nie używa identyfikatorów kont z nietypowo wysoką szybkością. Wszelkie zidentyfikowane problemy należy rozwiązać przed ponownym włączeniem tworzenia konta.

Niepowodzenie diagnozowania i rozwiązywania jakichkolwiek podstawowych problemów powodujących nietypowe wysokie użycie identyfikatora konta może prowadzić do wyczerpania identyfikatora konta w domenie, po którym tworzenie konta zostanie trwale wyłączone w tej domenie.

Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=228610.
Uwagi i rozwiązanie Skontaktuj się ze wszystkimi administratorami domeny i poinformuj ich, że nie można utworzyć żadnych dodatkowych podmiotów zabezpieczeń w tej domenie, dopóki ta ochrona nie zostanie zastąpiona. Aby uzyskać więcej informacji o tym, jak zastąpić ochronę i ewentualnie zwiększyć ogólną pulę identyfikatorów RID, zobacz Global RID Space Size Unlock (Odblokowywanie globalnego rozmiaru przestrzeni identyfikatorów RID).
Identyfikator zdarzenia 16658
Źródło Katalog —Services-SAM
Ciężkość Ostrzeżenie
Komunikat To zdarzenie jest okresową aktualizacją pozostałej całkowitej liczby dostępnych identyfikatorów kont. Liczba pozostałych identyfikatorów kont wynosi około: %1.

Identyfikatory kont są używane podczas tworzenia kont; gdy zostaną wyczerpane, nie można utworzyć nowych kont w domenie.

Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=228745.
Uwagi i rozwiązanie Skontaktuj się ze wszystkimi administratorami domeny i poinformuj ich, że użycie RID przekroczyło ważny kamień milowy. Przeanalizuj wzorce tworzenia kont zaufanych, aby ustalić, czy jest to zachowanie zgodne z oczekiwaniami. Zobaczenie tego zdarzenia kiedykolwiek byłoby bardzo niezwykłe, ponieważ oznacza to, że przydzielono co najmniej 100 milionów identyfikatorów RIDS.

Zobacz też