DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 316201 - Dernière mise à jour: lundi 30 octobre 2006 - Version: 4.4

 

Sommaire

Symptômes

Contrôleurs de domaine Windows 2000 ne pourrez pas créer des comptes d'utilisateurs, comptes d'ordinateurs ou groupes de sécurité si le pool RID local est utilisé et Impossible d'obtenir un nouveau pool RID à partir du maître d'opérations RID. Le contrôleur de domaine ne peut pas être découvert par les clients réseau qui essayez d'exécuter des requêtes LDAP ou demandes d'authentification.

Connectivité réseau suffisamment fourni avec le maître d'opérations RID, un contrôleur de domaine ne rencontre pas cette condition sauf si le taux de consommation RID est très élevé. Par exemple, si le taux de création de principal de sécurité dépasse permet du contrôleur de domaine d'acquérir un nouveau pool RID du maître d'opérations RID, le contrôleur de domaine temporairement ne peut pas répondre créations principaux de sécurité. Lors d'acquisition pool RID réussie, cette condition s'arrête et création principal de sécurité peut reprendre.

Événements 16645 et éventuellement événement 16651 sont enregistrés dans le journal des événements Directory services pour les contrôleurs de domaine qui ne peut pas acquérir de nouveaux pools de RID. Le texte du message pour chaque événement est :

Événement 16645

L'identificateur de compte maximal alloué à ce contrôleur de domaine a été affecté. Le contrôleur de domaine a échoué obtenir un nouveau pool d'identificateurs. Une explication possible est que le contrôleur de domaine n'est impossible de contacter le contrôleur de domaine principal. Compte de la création sur ce contrôleur échouera jusqu'à ce qu'un nouveau pool a été alloué. Il peut-être des problèmes de réseau ou de connectivité dans le domaine ou le contrôleur de domaine maître peut être en mode hors connexion ou manquant à partir du domaine. Vérifiez que le contrôleur de domaine principal est en cours d'exécution et connecté au domaine.

Événement 16651

La demande pour un nouveau pool d'identificateurs de comptes a échoué. L'opération sera retentée jusqu'à ce que la demande réussit. L'erreur est %n "%1"

Cause

Les utilisateurs, ordinateurs et groupes dans Active Directory sont désignés collectivement «entités de sécurité». Entités de sécurité sont affectées les chaînes numériques alpha-numérique uniques qui sont appelés identificateurs de sécurité ou SID. Le SID d'une entité de sécurité se compose d'un SID à l'échelle du domaine concaténé avec un identificateur unique, relatif (RID). Le RID est alloué par un contrôleur de domaine Windows 2000 dans le domaine lors de la création de l'entité de sécurité.

Contrôleurs de domaine individuels gèrent locales pools RID obtenus à partir d'un pool global sur le maître d'opérations RID. Par défaut, les pools RID sont obtenues par incréments de 500. Contrôleurs de domaine Windows 2000 demande un nouveau RID lorsque 20 pour cent de la réserve RID reste. Domaine contrôleurs dans le dossier de commerce électronique ou environnements de migration ADMT à grande échelle peuvent créer un nombre important de sécurité principaux dans une courte période. Ceci peut utiliser leurs pools RID locales plus rapidement que les déploiements d'entreprise classique.

Des problèmes se produisent lorsque pool RID local d'un contrôleur de domaine est utilisée et Impossible d'obtenir un nouveau pool dans le maître d'opérations RID en raison de problèmes avec lui-même. Le maître d'opérations RID, le réseau et le contrôleur de domaine puis ne peut pas créer des entités de sécurité supplémentaires et arrêter publicité services de contrôleur de domaine jusqu'à ce qu'un nouveau pool local est obtenu.

Pour réduire le risque de cette perte de service, les administrateurs peuvent augmenter le nombre d'identificateurs relatifs qui sont attribuées par le RID maître d'opérations de chaque pool en ajustant la valeur REG_DWORD Taille du bloc de RID sur contrôleurs de domaine sous la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
Toutefois, d'une faille dans le seuil de RID comparer logique, valeurs "Taille de bloc de RID" au-delà de 500 ont été efficacement ignorés et qui reprennent l'allocation par défaut de 500.

Résolution

important Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, les problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que ces étapes avec soin. Pour ajouter une protection, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756  (http://support.microsoft.com/kb/322756/ ) Comment faire pour sauvegarder et restaurer le Registre de Windows

Avec Windows 2000 Service Pack 4 (SP4), le seuil auquel commencer des contrôleurs de domaine demander un nouveau pool RID a été augmenté à 50 %. Par exemple, un contrôleur de domaine avec la taille de bloc RID par défaut de 500 doit commencer demander un nouveau pool fixà 250 RID (50 pour cent de 500). Un contrôleur de domaine pré-SP4 avec la même taille de bloc RID 500 demandait un nouveau pool lorsque 100 (20 %) du bloc par défaut de 500 RIDS restent.

La modification signifie que les contrôleurs de domaine sont un peu plus résistants aux pannes temporaires du maître RID paramètres par défaut et la taille du pool RID est administrateur configurable. Notez que le RID global espace et du nombre d'utilisateurs, ordinateurs et vous pouvez créer, de groupes est déterminée pour chaque domaine (environ 2 ^ 30 RID existe). Une fois que l'échelle du domaine RID pool est utilisé, aucune nouvelle sécurité d'entités peuvent être créées dans le domaine. De ce fait, il existe risques associés à l'augmentation de la «bloc RID taille.» Par exemple, chaque fois qu'un contrôleur de domaine est désactivé via rétrogradation normale ou forcée ou en raison d'une défaillance matérielle, son RID est tous perdus. De même, chaque fois qu'un contrôleur de domaine est restauré à partir d'une sauvegarde, son RID est tous invalidées pour empêcher que plusieurs comptes d'utilisateur assigné le même RID.

Configurations de répertoire vis-à-vis vers l'extérieur sont une exception notable pour laisser la valeur par défaut les valeurs RID. Dans ces configurations, le taux de création principaux de sécurité est élevé, l'espace RID est très centralisé, car plusieurs contrôleurs de domaine sont nécessaires et disponibilité est souvent équivalente à la possibilité de créations de compte de service. De ce fait, disponibilité est généralement mesurée par comment long ou combien entités de sécurité peuvent être créées lorsque le maître d'opérations RID n'est pas disponible. Cette heure peut être augmentée considérablement si le nombre moyen de RID alloués localement est plus grand.

Pour les configurations de déploiement face à face vers l'extérieur, ou autres déploiements avec des besoins particuliers, la taille de bloc a été exposée comme un paramètre de configuration. Windows 2000 SP4 et Windows Server 2003 exposent une configuration de Registre qui peut être utilisée pour augmenter la taille de pool RID. Ainsi, pour chaque contrôleur de domaine créer un plus grand nombre de sécurité principaux sans contacter le RID maître d'opérations.

Il y n'a aucun avantage modifier la taille du bloc de RID de la valeur par défaut lorsque Active Directory est déployé comme un répertoire de NOS usage général. Dans ce cas Microsoft recommande la configuration par défaut.

Si vous souhaitez utiliser une autre taille de bloc RID, la modification est uniquement configurée sur le RID maître d'opérations. Toutefois, pour simplifier la gestion de ce paramètre, configurez la valeur identique sur tous les contrôleurs de domaine du domaine cible. De cette façon si le maître d'opérations RID est transféré à un autre contrôleur de domaine, la taille du bloc de RID sera cohérente sans autres mises à jour et restauration d'état système ne remplace pas accidentellement le paramètre souhaité.

Ce paramètre de Registre est utilisé par le maître d'opérations RID pour déterminer quelle taille de pool RID pour revenir à un contrôleur de domaine demandeur notamment RIDS pour le pool RID local sur le FSMO RID :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\ taille du bloc de RID (REG_DWORD)
Le système crée automatiquement cette clé de Registre et sa valeur initiale est 0 . Dans cet état, la valeur par défaut interne 500 est utilisé. La définition de cette valeur à moins de 500 n'a aucun effet et le paramètre par défaut est toujours utilisé. Aucune taille de bloc maximale n'est appliquée. Toutefois, une valeur qui est trop grande a un effet négatif sur la longévité du domaine.

Statut

Microsoft a confirmé le que de ce problème dans les produits Microsoft répertoriés au début de cet article.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Service Pack 3
Mots-clés : 
kbmt kbwin2ksp4fix kbsecurity kbbug kbfix kbwin2000presp4fix KB316201 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 316201  (http://support.microsoft.com/kb/316201/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store