Es ist ein Update verfügbar, um eine zu starke Nutzung des globalen RID-Pools auf einem Domänencontroller zu erkennen und zu verhindern
Einführung
Active Directory Domain Services (AD DS) weist Benutzern, Computern, Gruppen und Vertrauensstellungen, die in Active Directory erstellt werden, eindeutige Sicherheitskennungen (SIDs) zu. SIDs bestehen aus einem Domänenpräfix, das mit einem monoton ansteigenden relativen Identifikator (RID) verknüpft ist. Jeder Active Directory-Domäne wird ein globaler RID-Pool zugewiesen, der aus 1 Milliarde RIDs besteht. Damit jeder Active Directory-Domänencontroller neue Sicherheitsprinzipale erstellen kann, werden jedem Domänencontroller aktuelle und Standby-RID-Pools vom RID-Master zugewiesen.
Wenn der globale RID-Pool für die Domäne und für die lokalen Pools auf einzelnen Domänencontrollern in einer Domäne erschöpft ist, können keine weiteren Benutzer, Computer und Gruppen mehr in der Domäne erstellt werden. Um dieses Problem zu umgehen, können Sie Objekte und Anwendungen erstellen und in eine neue Domäne migrieren.
In diesem Artikel wird ein Zustand beschrieben, bei dem ein Logikfehler zu zu vielen RID-Pool-Anfragen führen kann. Dies führt zu einer globalen Erschöpfung des RID-Pools.
Symptome
Unter bestimmten seltenen Umständen können Active Directory-Domänencontroller unerwartet eine große Menge an RID-Ressourcen verbrauchen. Dieses Verhalten erschöpft den globalen RID-Pool. Wenn dieses Problem auftritt, treten eines oder mehrere der folgenden Probleme auf:
RIDs im globalen RID-Pool werden im Laufe der Zeit kontinuierlich verbraucht.
Die Anzahl der im globalen RID-Pool verbrauchten RIDs ist größer als erwartet, wenn man die Anzahl der Sicherheitsprinzipale berücksichtigt, die während der Lebensdauer der Domäne absichtlich erstellt werden.
Der DCDIAG RID Manager-Test zeigt an, dass eine Suche nach dem RidSetReferences-Attribut fehlschlägt. Darüber hinaus erhalten Sie die folgende Fehlermeldung:
Starttest: RidManager
Warnung: Attribut rIdSetReferences fehlt in
CN=Name,OU=Domänencontroller,DC=Name,DC=Name,DC=Name,DC=Name
Rid-Set konnte nicht abgerufen werden. Referenz: fehlgeschlagen mit 8481:
Bei der Suche konnten keine Attribute aus der Datenbank abgerufen werden.
......................... Name fehlgeschlagener Test RidManager
Der Hotfix in KB 2618669 ermöglicht die Erkennung und Verhinderung dieses Verhaltens auf Windows Server 2008 R2-basierten Domänencontrollern.
Dieses Verhalten ist in den RTM-Versionen von enthalten
Betriebssystemversionen, die nach Windows Server 2019 veröffentlicht wurden
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Ursache
Unter bestimmten seltenen Umständen kann ein Domänencontroller alle 30 Sekunden wiederkehrende Anforderungen für RIDs aus dem globalen RID-Pool stellen.
Wenn wiederholte Anforderungen für RID-Pool-Aktualisierungen über einen längeren Zeitraum hinweg andauern dürfen, kann es sein, dass der globale RID-Pool zu viel RID-Verbrauch erfährt. Im Extremfall kann der globale RID-Pool vollständig erschöpft sein.
Auflösung
Um zu viel RID-Verbrauch im globalen RID-Pool zu verhindern, empfehlen wir Ihnen, die folgenden Maßnahmen zu ergreifen:
Installieren Sie das neueste monatliche Update, das nach (September 2016, KB3185278 ) veröffentlicht wird, auf allen vorhandenen Windows Server 2008 R2-Domänencontrollern.
Integrieren Sie das Update in das Windows Server 2008 R2-Installationsmedium. Dadurch stellen Sie sicher, dass auch zukünftige Domänencontroller über dieses Update verfügen.
Stellen Sie die Active Directory-Rolle auf neueren Betriebssystemversionen bereit, die diese Funktionalität in der RTM-Version enthalten.
Hotfix-Informationen
Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll jedoch nur das in diesem Artikel beschriebene Problem beheben. Wenden Sie diesen Hotfix nur auf Systemen an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix wird möglicherweise weiteren Tests unterzogen. Wenn Sie von diesem Problem nicht schwerwiegend betroffen sind, empfehlen wir Ihnen daher, auf das nächste Software-Update zu warten, das diesen Hotfix enthält.
Wenn der Hotfix zum Download verfügbar ist, finden Sie oben in diesem Knowledge Base-Artikel den Abschnitt „Hotfix-Download verfügbar". Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Kundendienst und Support von Microsoft, um den Hotfix zu erhalten.
Hinweis Wenn weitere Probleme auftreten oder eine Fehlerbehebung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Für weitere Supportfragen und Probleme, die für diesen speziellen Hotfix nicht in Frage kommen, fallen die üblichen Supportkosten an. Eine vollständige Liste der Microsoft-Kundendienst- und Support-Telefonnummern oder zum Erstellen einer separaten Serviceanfrage finden Sie auf der folgenden Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support Hinweis Im Formular „Hotfix-Download verfügbar" werden die Sprachen angezeigt, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, liegt das daran, dass für diese Sprache kein Hotfix verfügbar ist.
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Gilt für" aufgeführt sind.
Mehr Informationen
Für weitere Informationen zur Softwareupdate-Terminologie klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
824684 Beschreibung der Standardterminologie, die zur Beschreibung von Microsoft-Softwareupdates verwendet wird
No comments:
Post a Comment