DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 316201 - Ultima modifica: lunedì 30 ottobre 2006 - Revisione: 4.4

 

In questa pagina

Sintomi

Controller di dominio di Windows 2000 non potranno creare account utente, account computer o gruppi di protezione se il pool RID locale viene utilizzato e non può richiedere un nuovo pool RID il master operazioni RID. Il controller di dominio non può essere scoperte dai client di rete che si sta tentando di eseguire query LDAP o le richieste di autenticazione.

Condizione sufficiente connettività di rete il master operazioni RID, un controller di dominio non presenta questa condizione, a meno che il tasso di consumo RID sia molto elevato. Ad esempio, se la frequenza di creazione di identità di protezione supera la capacità del controller di dominio di acquisire un nuovo pool RID dal master operazioni RID, il controller di dominio temporaneamente Impossibile servizio creazioni di identità di protezione. Al momento dell'acquisto del pool RID esito positivo, questa condizione si interrompe e possibile riprendere la creazione di identità di protezione.

Eventi 16645 e, facoltativamente, evento 16651 vengono registrati nel registro Directory servizi eventi per controller di dominio che non è in grado di acquisire nuovi pool di RID. Il testo del messaggio per ogni evento è:

Evento 16645

È stato assegnato l'identificatore di account massima allocata per il controller di dominio. Il controller di dominio è Impossibile ottenere un nuovo pool di identificatori. Un possibile motivo è che il controller di dominio è stato Impossibile contattare il controller di dominio master. Account su questo controller non verrà creato fino a quando non è stato allocato un nuovo pool di. Potrebbero essersi verificati problemi connettività di rete o nel dominio oppure il controller di dominio master potrebbe essere mancante o non in linea dal dominio. Verificare che il controller di dominio master sia in esecuzione e connesso al dominio.

Evento 16651

Richiesta di un nuovo pool di identificatori di account non riuscita. L'operazione verrà ripetuta fino a quando la richiesta ha esito positivo. L'errore è %n "%1"

Cause

Gli utenti, computer e gruppi in Active Directory sono detti "identità di protezione". Identità di protezione vengono assegnate le stringhe numeriche univoche alfanumerici che vengono chiamate gli identificatori di protezione o SID. Il SID per un'identità di protezione è costituito da un SID di dominio concatenato con un identificatore univoco relativo (RID). Il RID è allocato da nel dominio un controller di dominio Windows 2000 al momento che l'identità di protezione viene creato.

Singoli controller di dominio gestiscono i pool RID locali che provengono da un pool globale sul master operazioni RID. Per impostazione predefinita, vengono ottenuti il pool RID (relative Identifier) con incrementi di 500. Controller di dominio di Windows 2000 richiede un RID nuovo rimane il 20 % del pool di RID. Domain controller nel cartella commercio elettronico o ambienti di migrazione ADMT grandi possibile creare un numero elevato di protezione identità in un breve periodo di tempo. Questo può utilizzare più rapidamente rispetto a distribuzioni aziendali convenzionale di relativi pool RID locale.

I problemi si verificano quando pool RID locale un controller di dominio sia utilizzata e non può ottenere un nuovo pool dal master operazioni RID causa di problemi con se stesso. Il master operazioni RID, della rete, quindi il controller di dominio non può creare identità di protezione aggiuntive e interrompere Annuncia servizi controller di dominio finché non viene ottenuto un nuovo pool di locale.

Per ridurre le possibilità di questa perdita di servizio, è possono che gli amministratori di aumentare il numero di RID allocate per il RID master operazioni in ciascun pool modificando il valore REG_DWORD Dimensione blocco di RID nei controller di dominio nella seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
Tuttavia, confrontare logica causa di un difetto nella soglia RID, i valori di "Dimensione blocco di RID" oltre 500 in modo efficace sono stati ignorati e ripristinati l'allocazione predefinita di 500.

Risoluzione

importante Questa sezione, metodo o l'attività sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, è eseguire il backup del Registro di sistema prima di modificarlo. È quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756  (http://support.microsoft.com/kb/322756/ ) Come eseguire il backup e il ripristino del Registro di sistema in Windows

Con Windows 2000 Service Pack 4 (SP4) è stata aumentata la soglia alla quale controller di dominio si inizia a richiedere un nuovo pool RID al 50 %. Ad esempio, un controller di dominio con la dimensione del blocco RID predefinita della finestra di 500 dovrebbe iniziare richiedere un nuovo pool quando utilizzati 250 RID (50 % di 500). Un controller di dominio precedente a SP4 con la stessa dimensione di blocco RID di 500 richiede un nuovo pool quando rimangono 100 (20 %) del blocco predefinito di 500 RIDS.

La modifica indica che i controller di dominio sono un po' più resistenti agli interruzioni temporanee del master RID con impostazioni predefinite, e la dimensione del pool RID è configurabile di amministratore. Si noti che il RID globale spazio e il numero di utenti, computer e gruppi è possibile creare, è finito per ogni dominio (circa 2 ^ 30 RID esiste). Dopo che il dominio a livello di RID pool viene utilizzato di alcuna protezione nuova identità possono essere create nel dominio. Per questo motivo, non vi sono rischi associati all'aumento del "blocco RID dimensioni." Ad esempio, ogni volta che un controller di dominio è disattivato mediante abbassamento di livello normale o forzato o causa di un errore hardware, il RID verranno perse tutte. Allo stesso modo, ogni volta che un controller di dominio viene ripristinato dal backup, il RID sono tutti invalidato per impedire che più di un account utente che viene assegnato il RID stesso.

Configurazioni di directory affiancate verso l'esterno sono un'eccezione rilevante per lasciare l'impostazione predefinita valori RID. In queste configurazioni, la frequenza di creazione di identità di protezione è elevata, lo spazio RID è molto centralizzato perché sono necessari alcuni controller di dominio e dei tempi di attività è spesso equivalente alla capacità di creazione di account di servizio. Di conseguenza, disponibilità in genere viene misurato dalla lungo, o è possibile creare quanti identità di protezione quando il master operazioni RID non è disponibile. Questa fase può essere notevolmente aumentata il numero medio di RID allocato localmente è superiore.

Per le configurazioni di distribuzione affiancate verso l'esterno o altre distribuzioni con esigenze particolari, la dimensione del blocco è stato esposto come un parametro di configurazione. Windows 2000 SP4 e Windows Server 2003 consente di esporre una configurazione di registro di sistema che può essere utilizzata per aumentare la dimensione del pool RID. Ciò rende possibile per ogni controller di dominio creare di identità di un numero maggiore di protezione senza contattare il RID master operazioni.

Non offre alcun vantaggio a modificare la dimensione del blocco RID rispetto all'impostazione predefinita quando si distribuisce Active Directory come directory NOS generale. In questi casi si consiglia la configurazione predefinita.

Se si decide di utilizzare una dimensione del blocco RID diversa, la modifica è configurata solo sul RID master operazioni. Tuttavia, per semplificare la gestione di questa impostazione, configurare il valore in modo identico in tutti i domain controller nel dominio di destinazione. In questo modo se il master operazioni RID viene trasferito a un altro controller di dominio, la dimensione del blocco RID sarà coerenza senza ulteriori aggiornamenti e ripristina lo stato di sistema non sovrascrive accidentalmente l'impostazione desiderata.

Questa impostazione del Registro di sistema viene utilizzata dal master operazioni RID per determinare le dimensioni pool RID per tornare a un controller di dominio richiedente inclusi RIDS per il pool RID locale sul FSMO RID:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\ dimensione blocco RID (REG_DWORD)
Il sistema crea automaticamente questa chiave del Registro di sistema e il valore iniziale è 0 . In questo stato, viene utilizzato il valore interno predefinito di 500. L'impostazione di questo valore a meno di 500 non ha effetto e l'impostazione predefinita viene ancora utilizzato. Nessuna dimensione blocco massima viene imposto. Tuttavia, un valore troppo grande ha un effetto negativo sulla durata del dominio.

Status

Microsoft ha confermato che questo problema riguarda i prodotti Microsoft elencati all'inizio di questo articolo.

Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Service Pack 3
Chiavi: 
kbmt kbwin2ksp4fix kbsecurity kbbug kbfix kbwin2000presp4fix KB316201 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 316201  (http://support.microsoft.com/kb/316201/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store