DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 316201 - Última revisão: segunda-feira, 30 de Outubro de 2006 - Revisão: 4.4

 

Nesta página

Sintomas

Controladores de domínio do Windows 2000 poderão não conseguir criar contas de utilizador, contas de computador ou grupos de segurança se o conjunto de RID local utilizado e não é possível obter um novo conjunto RID a partir do mestre de operações de RID. O controlador de domínio não pode ser detectado por clientes de rede que estão a tentar efectuar consultas LDAP ou pedidos de autenticação.

Conectividade de rede fornecido suficiente para o mestre de operações de RID, um controlador de domínio não detectar esta condição a menos que a taxa de consumo de RID seja muito elevada. Por exemplo, se a taxa de criação de principais de segurança excede a capacidade do controlador de domínio obterá um novo conjunto RID do mestre de operações de RID, o controlador de domínio temporariamente não é possível servir criações de principal de segurança. Após a aquisição de conjunto RID com êxito, esta condição pára e possa continuar a criação de principais de segurança.

Eventos 16645 e opcionalmente evento 16651 são registados no registo de eventos de serviços do controladores de domínio que não é possível adquirir novos conjuntos RID. O texto da mensagem para cada evento é:

Evento 16645

O identificador de conta máximo atribuído a este controlador de domínio foi atribuído. O controlador de domínio não conseguiu obter um novo conjunto de identificador. Uma possível razão para isto é que o controlador de domínio tiver conseguido contactar o controlador de domínio principal. Conta criação neste controlador falharão até que foi atribuído um novo agrupamento. Poderão existir problemas de conectividade ou de rede no domínio ou o controlador de domínio principal pode estar offline ou em falta a partir do domínio. Verifique se o controlador de domínio principal está em execução e ligado ao domínio.

Evento 16651

O pedido para um conjunto de identificador de conta novo falhou. A operação será repetida até que o pedido tenha sucesso. O erro é %n "%1"

Causa

Utilizadores, computadores e grupos no Active Directory são colectivamente conhecidos como "principais de segurança". Principais de segurança são atribuídos exclusivas cadeias numéricas alfanumérico que são designadas por identificadores de segurança ou SID. O SID para um principal de segurança é constituído por um SID de todo o domínio concatenado com um identificador exclusivo, relativo (RID). O RID é atribuído por um controlador de domínio Windows 2000 no domínio durante o que principal de segurança é criado.

Controladores de domínio individuais mantém locais conjuntos RID obtidas a partir de um conjunto global no mestre de operações de RID. Por predefinição, os conjuntos de RID são obtidos em incrementos de 500. Controladores de domínio do Windows 2000 pedem um novo RID, RELATIVE quando permanece 20 por cento do conjunto de RID. Domínio controladores numa pasta de E-commerce ou ambientes de migração de ADMT de grande escala podem criar um número elevado de segurança principais num curto período de tempo. Isto pode utilizar para os respectivos conjuntos RID locais mais rapidamente do que implementações empresariais convencional.

Problemas ocorrem quando local conjunto de RID um controlador de domínio é utilizado e não consegue obter um novo agrupamento de mestre de operações de RID devido a problemas com ela própria. O mestre de operações de RID, a rede e o controlador de domínio, em seguida, não é possível criar principais de segurança adicionais e parar anunciar serviços de controlador de domínio até é obtido um novo agrupamento de local.

Para reduzir a hipótese desta perda de serviço, os administradores podem aumentar o número de RID são atribuídos pelo RID mestre de operações em cada conjunto, ajustando o valor de REG_DWORD Tamanho do bloco de RID em controladores de domínio na seguinte chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\
No entanto, devido a uma falha no limiar de RID comparar lógica, valores "Tamanho do bloco de RID" para além de 500 foram efectivamente ignorados e revertidos para atribuição predefinida de 500.

Resolução

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows

Com o Windows 2000 Service Pack 4 (SP4), o limite que os controladores de domínio iniciar a pedir um novo conjunto RID foi aumentado para 50 %. Por exemplo, um controlador de domínio com o tamanho do bloco RID predefinido de 500 deve começar pedir um novo conjunto de RID (50 % de 500) 250 ter sido consumida. Um controlador de domínio pré-SP4 com o mesmo tamanho de bloco RID de 500 seria pedir um novo agrupamento quando 100 (20 por cento) de bloco predefinido de 500 RIDS permanecem.

A alteração significa que controladores de domínio são um pouco mais resistentes a falhas temporárias do mestre de RID em predefinições e o tamanho de conjunto RID é administrador configurável. Tenha em atenção que o RID global espaço e o número de utilizadores, computadores e grupos que pode criar, é finito para cada domínio (aproximadamente 2 ^ 30 RIDs existe). Depois de todo o domínio de RID conjunto é utilizado cópia sem segurança nova principais podem ser criados no domínio. Deste modo, não existem riscos associados a aumentar a "RID Bloquear tamanho." Por exemplo, sempre que um controlador de domínio é encerrado a despromoção com êxito ou forceful ou devido a uma falha de hardware, o RID é perdido todos os. Do mesmo modo, sempre que um controlador de domínio for restaurado a partir da cópia de segurança, o RID é todas invalidado para impedir que mais do que uma conta de utilizador é atribuído o mesmo RID.

Configurações de directório opostas para fora são uma excepção notáveis para deixar a predefinição os valores RID. Estas configurações, a taxa de criação de principais de segurança for alta, o espaço RID é muito centralizado porque são necessários alguns controladores de domínio e tempo de utilização é frequentemente equivalente para a capacidade de criações de conta de serviço. Deste modo, disponibilidade geralmente é medida pelo como longo ou quantos principais de segurança podem ser criados quando o mestre de operações de RID não está disponível. Este período de tempo pode ser aumentado significativamente, se o número médio de RID atribuído localmente for maior.

Para configurações de implementação opostas para fora, ou outras implementações com necessidades especiais, o tamanho do bloco foi exposto como um parâmetro de configuração. Windows 2000 SP4 e da família Windows Server 2003 expõem uma configuração de registo que pode ser utilizada para aumentar o tamanho de conjunto RID. Isto torna possível para cada controlador de domínio criar um grande número de segurança principais sem contactar o RID mestre de operações.

Não existe nenhuma vantagem para alterar o tamanho de bloco RID relativamente à predefinição quando o Active Directory é implementado como um directório de NOS de carácter geral. Nestes casos a Microsoft recomenda a configuração predefinida.

Se optar por utilizar um tamanho de bloco RID diferente, a alteração só é configurada no RID mestre de operações. No entanto, para simplificar a gestão desta definição, configurar o valor idêntico em todos os controladores de domínio de destino domínio. Desta forma, se o mestre de operações de RID é transferido para outro controlador de domínio, o tamanho de bloco RID será consistente sem actualizações adicionais e restaura de estado do sistema não inadvertidamente substituirá a definição pretendida.

Esta definição de registo é utilizada pelo mestre de operações de RID para determinar o tamanho do conjunto de RID para regressar ao controlador de domínio pedido incluindo RIDS para o conjunto de RID local no RID FSMO:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\ RID tamanho do bloco (REG_DWORD)
O sistema cria automaticamente esta chave de registo e o respectivo valor inicial é 0 . Neste estado, é utilizada a predefinição interna de 500. Definir este valor para menos de 500 não tem efeito e ainda é utilizada a predefinição. Nenhum tamanho máximo do bloco é imposto. No entanto, um valor que é demasiado grande tem um efeito adverso sobre longevity do domínio.

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados no início deste artigo.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Service Pack 3
Palavras-chave: 
kbmt kbwin2ksp4fix kbsecurity kbbug kbfix kbwin2000presp4fix KB316201 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 316201  (http://support.microsoft.com/kb/316201/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft