La gestion de l’émission RIDManaging RID Issuance

S’applique à: Windows Server2016, Windows Server2012R2, Windows Server2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Cette rubrique décrit la modification pour le rôle FSMO du maître RID, y compris la nouvelle émission et la fonctionnalité dans le maître RID et comment analyser et résoudre les problèmes d’émission RID d’analyse.This topic explains the change to the RID master FSMO role, including the new issuance and monitoring functionality in the RID master and how to analyze and troubleshoot RID issuance.

Des informations supplémentaires sont disponibles sur le AskDS Blog.More information is available at the AskDS Blog.

La gestion de l’émission RIDManaging RID Issuance

Par défaut, un domaine a la capacité pour contenir environ un milliard principaux de sécurité, tels que les utilisateurs, groupes et ordinateurs.By default, a domain has capacity for roughly one billion security principals, such as users, groups, and computers. Naturellement, il n’existe aucun domaine avec autant d’objets activement utilisés.Naturally, there are no domains with that many actively used objects. Toutefois, le support technique Microsoft a rencontré les cas où:However, Microsoft Customer Support has found cases where:

  • Logiciel ou des scripts d’administration accidentellement en bloc de configuration créé les utilisateurs, groupes et des ordinateurs.Provisioning software or administrative scripts accidentally bulk created users, groups, and computers.

  • Plusieurs groupes de distribution et de sécurité inutilisés ont été créés par des utilisateurs délégués.Many unused security and distribution groups were created by delegated users

  • Plusieurs contrôleurs de domaine ont été rétrogradés, restaurée, ou le nettoyage des métadonnéesMany domain controllers were demoted, restored, or metadata cleaned

  • Récupérations de forêts ont été effectuées.Forest recoveries were performed

  • L’opération InvalidateRidPool a été souvent effectuée.The InvalidateRidPool operation was performed frequently

  • La valeur de Registre de taille de bloc de RID a été augmentée de façon incorrecteThe RID Block Size registry value was increased incorrectly

Toutes ces situations épuisent les identificateurs RID inutilement, souvent par erreur.All of these situations use up RIDs unnecessarily, often by mistake. Après de nombreuses années, quelques environnements insuffisant identificateurs RID et obligés de migrer vers un nouveau domaine ou d’effectuer des récupérations de forêts.Over many years, a few environments ran out of RIDs and this forced them to migrate to a new domain or perform forest recoveries.

Windows Server 2012 traite des problèmes avec l’allocation RID qui ont uniquement sont devenues problématiques qu’avec l’ancienneté et l’omniprésence d’Active Directory.Windows Server 2012 addresses issues with RID allocation that have only become problematic with the age and ubiquity of Active Directory. Ceux-ci incluent une meilleure journalisation des événements, des limites plus appropriées et la capacité, en cas d’urgence, de doubler la taille globale de l’espace RID global pour un domaine.These include better event logging, more appropriate limits, and the ability to - in an emergency - to double the overall size of the global RID space for a domain.

Avertissements de la consommation périodiquesPeriodic Consumption Warnings

Windows Server 2012 ajoute l’événement d’espace RID global de suivi qui fournit tôt lorsque les principales étapes sont dépassés.Windows Server 2012 adds global RID space event tracking that provides early warning when major milestones are crossed. Le modèle calcule le pourcentage de dix (10) utiliser Marquer dans le pool global et consigne un événement lorsque atteinte.The model computes the ten (10) percent used mark in the global pool and logs an event when reached. Puis il calcule la prochaine dix pour cent utilisé restant et le cycle des événements continue.Then it computes the next ten percent used of the remaining and the event cycle continues. Comme l’espace RID global s’épuise, événements seront accélèrent car les dix pour cent sont plus rapidement dans un pool en baisse (mais blocage du journal des événements empêche plus d’une entrée par heure).As the global RID space is exhausted, events will accelerate as ten percent hits faster in a decreasing pool (but event log dampening will prevent more than one entry per hour). Le journal des événements système sur chaque contrôleur de domaine écrit l’événement d’avertissement Directory-Services-SAM 16658.The System event log on every domain controller writes Directory-Services-SAM warning event 16658.

En supposant un défaut 30 bits espace RID global, le premier événement est consigné lors de l’allocation du pool contenant le 107 374 182nd RID.Assuming a default 30-bit global RID space, the first event logs when allocating the pool containing the 107,374,182nd RID. Le débit des événements s’accélère naturellement jusqu’au dernier point de contrôle de 100 000 avec 110 événements générés au total.The event rate accelerates naturally until the last checkpoint of 100,000, with 110 events generated in total. Le comportement est similaire pour un espace RID global 31 bits déverrouillé: début au niveau 214 748 365 et fin avec 117 événements.The behavior is similar for an unlocked 31-bit global RID space: starting at 214,748,365 and completing in 117 events.

Important

Cet événement n’est pas prévu; Recherchez l’utilisateur, ordinateur et processus de création de groupe immédiatement dans le domaine.This event is not expected; investigate the user, computer, and group creation processes immediately in the domain. Création d’objets de domaine Active Directory plus de 100 millions d’est sort de l’ordinaire.Creating more than 100 million AD DS objects is quite out of the ordinary.

Émission RID

Événements d’invalidation du Pool RIDRID Pool Invalidation Events

Nouvelles alertes d’événement signalent qu’un pool RID du contrôleur de domaine local a été supprimé.There are new event alerts that a local DC RID pool was discarded. Ces informations et peuvent être prévues, en particulier en raison de la nouvelle fonctionnalité VDC.These are Informational and could be expected, especially due to the new VDC functionality. Consultez la liste d’événements pour plus d’informations sur l’événement.See the event list below for details on the event.

Limite de taille de bloc de RIDRID Block Size Limit

En règle générale, un contrôleur de domaine demande allocations RID en blocs de 500 identificateurs RID à la fois.Ordinarily, a domain controller requests RID allocations in blocks of 500 RIDs at one time. Vous pouvez remplacer cette valeur par défaut à l’aide de la valeur REG_DWORD de Registre suivante sur un contrôleur de domaine:You can override this default using the following registry REG_DWORD value on a domain controller:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values  
RID Block Size  

Avant Windows Server 2012, il n’a aucune valeur maximale est appliquée dans cette clé de Registre, à l’exception de la valeur maximale DWORD implicite (qui a une valeur de 0xffffffff ou 4294967295).Prior to Windows Server 2012, there was no maximum value enforced in that registry key, except the implicit DWORD maximum (which has a value of 0xffffffff or 4294967295). Cette valeur est considérablement supérieure à l’espace RID global total.This value is considerably larger than the total global RID space. Les administrateurs parfois inappropriée ou configuré taille de bloc de RID avec des valeurs qui épuisaient l’espace RID global à un rythme considérable.Administrators sometimes inappropriately or accidentally configured RID Block Size with values that exhausted the global RID at a massive rate.

Dans Windows Server 2012, vous ne pouvez pas définir cette valeur de Registre supérieure à 15 000 en décimal (0x3a98 en hexadécimal).In Windows Server 2012, you cannot set this registry value higher than 15,000 decimal (0x3A98 hexadecimal). Cela empêche une allocation de RID volumineuse.This prevents massive unintended RID allocation.

Si vous définissez la valeur supérieur à 15 000, la valeur est traitée comme 15 000 et le contrôleur de domaine consigne l’événement 16653 dans le journal des événements Services d’annuaire à chaque redémarrage jusqu'à ce que la valeur soit corrigée.If you set the value higher than 15,000, the value is treated as 15,000 and the domain controller logs event 16653 in the Directory Services event log at every reboot until the value is corrected.

Déverrouillage de la taille de l’espace RID globalGlobal RID Space Size Unlock

Avant Windows Server 2012, l’espace RID global était limité à 230 (ou 1 073 741 823) identificateurs RID au total.Prior to Windows Server 2012, the global RID space was limited to 230 (or 1,073,741,823) total RIDs. Une fois atteinte, uniquement un domaine migration ou la forêt récupération pour une période antérieure autorisés création du nouveau SID - récupération d’urgence, par toute mesure.Once reached, only a domain migration or forest recovery to an older timeframe allowed new SIDs creation - disaster recovery, by any measure. À compter de Windows Server 2012, le 231 bits peut être déverrouillée pour augmenter le pool 2,147,483,648 RID global.Starting in Windows Server 2012, the 231 bit can be unlocked in order to increase the global pool to 2,147,483,648 RIDs.

Les services AD DS stockent ce paramètre dans un attribut masqué spécial nommé SidCompatibilityVersion dans le contexte RootDSE de tous les contrôleurs de domaine.AD DS stores this setting in a special hidden attribute named SidCompatibilityVersion on the RootDSE context of all domain controllers. Cet attribut n’est pas lisible à l’aide d’ADSIEdit, LDP ou autres outils.This attribute is not readable using ADSIEdit, LDP, or other tools. Pour voir une augmentation de l’espace RID global, examinez le journal des événements système pour l’événement d’avertissement 16655 de Directory-Services-SAM ou utilisez la commande Dcdiag suivante:To see an increase in the global RID space, examine the System event log for warning event 16655 from Directory-Services-SAM or use the following Dcdiag command:

Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"  

Si vous augmentez le pool RID global, le pool disponible passe à 2 147 483 647 au lieu de la valeur par défaut 1 073 741 823.If you increase the global RID pool, the available pool will change to 2,147,483,647 instead of the default 1,073,741,823. Par exemple:For example:

Émission RID

Avertissement

Ce déverrouillage est destiné uniquement afin d’éviter le manque d’identificateurs RID et doit être utilisé uniquement conjointement avec l’application d’un plafond RID (voir la section suivante).This unlock is intended only to prevent running out of RIDS and is to be used only in conjunction with RID Ceiling Enforcement (see next section). Ne le définissez pas «manière préemptive» dans les environnements qui ont des millions d’identificateurs RID restants et faible croissance, comme des problèmes de compatibilité peuvent existent avec des identificateurs SID générés à partir du pool RID déverrouillé.Do not "preemptively" set this in environments that have millions of remaining RIDs and low growth, as application compatibility issues potentially exist with SIDs generated from the unlocked RID pool.

Cette opération de déverrouillage ne peut pas être rétablie ni supprimée, sauf par une récupération de forêt complète vers des sauvegardes antérieures.This unlock operation cannot be reverted or removed, except by a complete forest recovery to earlier backups.

Réserves importantesImportant Caveats

Windows Server 2003 et des contrôleurs de domaine Windows Server 2008 ne peut pas émettre de RID quand l’espace RID global pool 31st bits est déverrouillé.Windows Server 2003 and Windows Server 2008 Domain Controllers cannot issue RIDs when the global RID pool 31st bit is unlocked. Contrôleurs de domaine Windows Server 2008 R2 pouvez utiliser le 31st bit RID , mais seulement si correctif logiciel 2642658 Ko installé.Windows Server 2008 R2 domain controllers can use 31st bit RIDs but only if they have hotfix KB 2642658 installed. Contrôleurs de domaine non pris en charge et non corrigés traitent le pool RID global comme épuisé quand il est déverrouillé.Unsupported and unpatched domain controllers treat the global RID pool as exhausted when unlocked.

Cette fonctionnalité n’est pas appliquée par n’importe quel niveau fonctionnel du domaine; Veillez à qui existent uniquement Windows Server 2012 ou les contrôleurs de domaine Windows Server 2008 R2 mis à jour dans le domaine.This feature is not enforced by any domain functional level; take great care that only Windows Server 2012 or updated Windows Server 2008 R2 domain controllers exist in the domain.

Implémentation d’espace RID Global déverrouilléImplementing Unlocked Global RID space

Pour déverrouiller le pool RID au niveau du 31st bit après avoir reçu l’alerte de plafond RID (voir ci-dessous) effectuez les opérations suivantes:To unlock the RID pool to the 31st bit after receiving the RID ceiling alert (see below) perform the following steps:

  1. Vérifiez que le maître RID rôle s’exécute sur un contrôleur de domaine Windows Server 2012.Ensure that the RID Master role is running on a Windows Server 2012 domain controller. Dans le cas contraire, transférez-le vers un contrôleur de domaine Windows Server 2012.If not, transfer it to a Windows Server 2012 domain controller.

  2. Exécutez LDP.exeRun LDP.exe

  3. Cliquez sur le connexion menu, cliquez sur Connect pour le maître RID de Windows Server 2012 sur le port 389, puis cliquez sur liaison en tant qu’administrateur de domaine.Click the Connection menu and click Connect for the Windows Server 2012 RID Master on port 389, and then click Bind as a domain administrator.

  4. Cliquez sur le Parcourir menu, cliquez sur modifier.Click the Browse menu and click Modify.

  5. Vérifiez que DN est vide.Ensure that DN is blank.

  6. Dans modifier l’entrée attribut, tapez:In Edit Entry Attribute, type:

    SidCompatibilityVersion  
    
  7. Dans valeurs, tapez:In Values, type:

    1  
    
  8. Vérifiez que ajouter est sélectionné dans opération et cliquez sur entrée.Ensure that Add is selected in Operation and click Enter. Cette mise à jour le liste d’entrées.This updates the Entry List.

  9. Sélectionnez le synchrone et étendu options, puis cliquez sur exécuter.Select the Synchronous and Extended options, then click Run.

    Émission RID

  10. En cas de succès, le LDP sortie fenêtre affiche:If successful, the LDP output window shows:

    ***Call Modify...  
     ldap_modify_ext_s(Id, '(null)',[1] attrs, SvrCtrls, ClntCtrls);  
    modified "".  
    

    Émission RID

  11. Vérifiez le pool RID global a augmenté en examinant le journal des événements système sur ce contrôleur de domaine pour l’événement d’information Directory-Services-SAM 16655.Confirm the global RID pool increased by examining the System Event Log on that domain controller for Directory-Services-SAM Informational event 16655.

Application d’un plafond de RIDRID Ceiling Enforcement

Pour offrir une mesure de protection et élever les privilèges d’administration reconnaissance, Windows Server 2012 introduit un plafond artificiel sur la plage RID globale à dix (10 %) identificateurs RID restants dans l’espace global.To afford a measure of protection and elevate administrative awareness, Windows Server 2012 introduces an artificial ceiling on the global RID range at ten (10) percent remaining RIDs in the global space. Au sein d’un (1) pour cent du plafond artificiel, les contrôleurs de domaine demande pools RID écrire événement d’avertissement Directory-Services-SAM 16656 au journal des événements système.When within one (1) percent of the artificial ceiling, domain controllers requesting RID pools write Directory-Services-SAM warning event 16656 to their System event log. Quand ils atteignent le plafond de dix pour cent sur le FSMO du maître RID, il écrit l’événement Directory-Services-SAM 16657 dans le journal des événements système et n’allouera pas d’autres pools RID tant que le plafond.When reaching the ten percent ceiling on the RID Master FSMO, it writes Directory-Services-SAM event 16657 to its System event log and will not allocate any further RID pools until overriding the ceiling. Cela vous oblige à évaluer l’état du maître RID dans le domaine et de résoudre les éventuels dont le contrôle de l’allocation RID; Cela protège également les domaines contre l’épuisement de tout l’espace RID.This forces you to assess the state of the RID master in the domain and address potential runaway RID allocation; this also protects domains from exhausting the entire RID space.

Ce plafond est codé en dur à dix pour cent restante de l’espace RID disponible.This ceiling is hard-coded at ten percent remaining of the available RID space. Autrement dit, le plafond est activé lorsque le maître RID alloue un pool qui inclut le RID correspondant à quatre-vingt-dix (90) pour cent de l’espace RID global.That is, the ceiling activates when the RID master allocates a pool that includes the RID corresponding to ninety (90) percent of the global RID space.

  • Pour les domaines par défaut, le premier point de déclenchement est 230-1 * 0,90 = 966,367,640 (ou 107 374 183 identificateurs RID restants).For default domains, the first trigger point is 230-1 * 0.90 = 966,367,640 (or 107,374,183 RIDs remaining).

  • Pour les domaines avec un espace RID de 31 bits déverrouillé, le seuil de déclenchement est 231-1 * 0,90 = 1,932,735,282 identificateurs RID (ou 214 748 365 identificateurs RID restants).For domains with an unlocked 31-bit RID space, the trigger point is 231-1 * 0.90 = 1,932,735,282 RIDs (or 214,748,365 RIDs remaining).

Lors du déclenchement, le maître RID affecte attribut Active Directory msDS-RIDPoolAllocationEnabled (nom commun ms-DS-RID-Pool-Allocation-Enabled) false sur l’objet:When triggered, the RID master sets Active Directory attribute msDS-RIDPoolAllocationEnabled (common name ms-DS-RID-Pool-Allocation-Enabled) to FALSE on the object:

CN = RID Manager$, CN = System, DC =CN=RID Manager$,CN=System,DC=

Il écrit l’événement 16657 et empêche davantage d’émission de bloc RID à tous les contrôleurs de domaine.This writes the 16657 event and prevents further RID block issuance to all domain controllers. Contrôleurs de domaine continuent de consommer les pools RID en attente déjà émis à leur.Domain controllers continue to consume any outstanding RID pools already issued to them.

Pour supprimer le bloc et autoriser l’allocation du pool RID continuer, choisissez la valeur TRUE.To remove the block and allow RID pool allocation to continue, set that value to TRUE. Sur la prochaine allocation RID effectuée par le maître RID, l’attribut reprendra sa valeur NOT SET par défaut.On the next RID allocation performed by the RID master, the attribute will return to its default NOT SET value. Après cela, il n’existe aucun plafonds supplémentaires et par la suite, l’espace RID global s’exécute, nécessitant une migration de domaine ou de récupération de forêt.After that, there are no further ceilings and eventually, the global RID space runs out, requiring forest recovery or domain migration.

Suppression du bloc du plafondRemoving the Ceiling Block

Pour supprimer le bloc une fois le plafond artificiel, procédez comme suit:To remove the block once reaching the artificial ceiling, perform the following steps:

  1. Vérifiez que le maître RID rôle s’exécute sur un contrôleur de domaine Windows Server 2012.Ensure that the RID Master role is running on a Windows Server 2012 domain controller. Dans le cas contraire, transférez-le vers un contrôleur de domaine Windows Server 2012.If not, transfer it to a Windows Server 2012 domain controller.

  2. Exécutez LDP.exe.Run LDP.exe.

  3. Cliquez sur le connexion menu, cliquez sur Connect pour le maître RID de Windows Server 2012 sur le port 389, puis cliquez sur liaison en tant qu’administrateur de domaine.Click the Connection menu and click Connect for the Windows Server 2012 RID Master on port 389, and then click Bind as a domain administrator.

  4. Cliquez sur le affichage menu, cliquez sur arborescence, puis pour le DN de Base de sélectionner le contexte de nommage de domaine du maître RID propre.Click the View menu and click Tree, then for the Base DN select the RID Master's own domain naming context. Cliquez sur Ok.Click Ok.

  5. Dans le volet de navigation, explorez le CN = System conteneur et cliquez sur le CN = RID Manager$ objet.In the navigation pane, drill down into the CN=System container and click the CN=RID Manager$ object. Avec le bouton droit dessus, puis cliquez sur modifier.Right click it and click Modify.

  6. Dans modifier l’attribut d’entrée, tapez:In Edit Entry Attribute, type:

    MsDS-RidPoolAllocationEnabled  
    
  7. Dans valeurs, tapez (en majuscules):In Values, type (in upper case):

    TRUE  
    
  8. Sélectionnez remplacer dans opération et cliquez sur entrée.Select Replace in Operation and click Enter. Cette mise à jour le liste d’entrées.This updates the Entry List.

  9. Activer la synchrone et étendu options, puis cliquez sur exécuter:Enable the Synchronous and Extended options, then click Run:

    Émission RID

  10. En cas de succès, le LDP sortie fenêtre affiche:If successful, the LDP output window shows:

    ***Call Modify...  
    ldap_modify_ext_s(ld, 'CN=RID Manager$,CN=System,DC=<domain>',[1] attrs, SvrCtrls, ClntCtrls);  
    Modified "CN=RID Manager$,CN=System,DC=<domain>".  
    

    Émission RID

Autres correctifs RIDOther RID Fixes

Les systèmes d’exploitation Windows Server précédents avait un pool RID quand fuite attribut rIDSetReferences était manquant.Previous Windows Server operating systems had a RID pool leak when missing rIDSetReferences attribute. Pour résoudre ce problème sur les contrôleurs de domaine qui exécutent Windows Server 2008 R2, installez le correctif logiciel de 2618669 Ko.To resolve this problem on domain controllers that run Windows Server 2008 R2, install the hotfix from KB 2618669.

Problèmes RID non résolusUnfixed RID Issues

Il y a toujours été une fuite RID en cas d’échec de la création de compte; Lorsque vous créez un compte, échec épuise toujours un RID.There has historically been a RID leak on account creation failure; when creating an account, failure still uses up a RID. L’exemple courant consiste à créer un utilisateur avec un mot de passe qui ne satisfait pas la complexité.The common example is to create a user with a password that does not meet complexity.

Correctifs RID pour les versions antérieures de Windows ServerRID Fixes for earlier versions of Windows Server

Tous les correctifs et modifications ci-dessus ont des correctifs Windows Server 2008 R2.All of the fixes and changes above have Windows Server 2008 R2 hotfixes released. Il n’existe actuellement aucun correctif de Windows Server 2008 planifié ou en cours d’exécution.There are currently no Windows Server 2008 hotfixes planned or in progress.

Résolution des problèmes d’émission RIDTroubleshooting RID Issuance

Introduction à la résolution des problèmesIntroduction to Troubleshooting

La résolution des problèmes d’émission RID nécessite une méthode logique et linéaire.RID issuance troubleshooting requires a logical and linear method. Sauf si vous analysez vos journaux d’événements soigneusement pour les erreurs et avertissements déclenchés par RID, les premières indications d’un problème seront susceptibles d’être des créations de comptes a échoué.Unless you are monitoring your event logs carefully for RID-triggered warnings and errors, your first indications of a problem are likely to be failed account creations. Pour résoudre les problèmes d’émission RID est de comprendre quand le symptôme est prévu ou non; de nombreux problèmes d’émission RID peuvent affecter qu’un seul contrôleur de domaine et n’ont rien à faire avec les améliorations apportées aux composants.The key to troubleshooting RID issuance is to understand when the symptom is expected or not; many RID issuance issues may affect only one domain controller and have nothing to do with component improvements. Ce simple diagramme ci-dessous permet de prendre les décisions plus claire:This simple diagram below helps make those decisions more clear:

Émission RID

Options de dépannageTroubleshooting Options

Options de journalisationLogging Options

Toute la journalisation d’émission RID se produit dans le journal des événements système, sous source Directory-Services-SAM.All logging in RID issuance occurs in the System Event log, under source Directory-Services-SAM. La journalisation est activée et configurée pour un maximum de commentaires par défaut.Logging is enabled and configured for maximum verbosity, by default. Si aucune entrée n’est enregistrée pour les nouvelles modifications de composants dans Windows Server 2012, traitez le problème comme un classique (également appelés traditionnels, antérieur à Windows Server 2012) problème d’émission RID vu dans Windows 2008 R2 ou des systèmes d’exploitation plus anciens.If no entries are logged for the new component changes in Windows Server 2012, treat the issue as a classic (aka legacy, pre-Windows Server 2012) RID issuance problem seen in Windows 2008 R2 or older operating systems.

Utilitaires et commandes pour la résolution des problèmesUtilities and Commands for Troubleshooting

Pour résoudre les problèmes non décrits par les journaux indiqués ci-dessus, plus particulièrement les anciennes problèmes d’émission RID - utilisez la liste suivante d’outils comme point de départ:To troubleshoot issues not explained by the aforementioned logs - especially older RID issuance issues - use the following list of tools as a starting point:

  • Dcdiag.exeDcdiag.exe

  • Repadmin.exeRepadmin.exe

  • Moniteur réseau 3.4Network Monitor 3.4

Méthodologie générale pour la résolution des problèmes de Configuration du contrôleur de domaineGeneral Methodology for Troubleshooting Domain Controller Configuration

  1. L’erreur causée par un simple problème de disponibilité de contrôleur de domaine ou d’autorisations?Is the error caused by a simple permissions or domain controller availability issue?

    1. Vous essayez de créer une sécurité principal sans les autorisations nécessaires?Are you trying to create a security principal without the necessary permissions? Examinez la sortie pour les erreurs d’accès refusé.Examine the output for access denied errors.

    2. Un contrôleur de domaine est disponible?Is a domain controller available? Examinez les messages d’erreur ou LDAP ou domaine contrôleur disponibilité retournés.Examine the returned error or LDAP or domain controller availability messages.

  2. Est l’erreur retournée mentionne spécifiquement identificateurs RID et est suffisamment spécifique pour l’utiliser comme indication?Does the error returned specifically mention RIDs, and is specific enough to use as guidance? Dans ce cas, suivez les instructions.If so, follow the guidance.

  3. Est l’erreur retournée mentionne spécifiquement identificateurs RID, mais est sinon non spécifiques?Does the error returned specifically mention RIDs but is otherwise non-specific? Par exemple, «Windows ne peut pas créer l’objet car le Service d’annuaire n’a pas pu allouer un identificateur relatif.»For example, "Windows cannot create the object because the Directory Service was unable to allocate a relative identifier."

    1. Examinez le journal des événements système sur le contrôleur de domaine pour «hérités» (antérieurs à Windows Server 2012) détaillés des événements RID dans demande de Pool RID (16642, 16643, 16644, 16645, 16656).Examine the System Event log on the domain controller for "legacy" (pre-Windows Server 2012) RID events detailed in RID Pool Request (16642, 16643, 16644, 16645, 16656).

    2. Examinez les événements système sur le contrôleur de domaine et le maître RID de nouveaux événements indiquant des blocs détaillés ci-dessous dans cette rubrique (16655, 16656, 16657).Examine the System Event on the domain controller and the RID Master for new block-indicating events detailed below in this topic (16655, 16656, 16657).

    3. Valider l’intégrité de la réplication Active Directory avec Repadmin.exe et le maître RID disponibilité avec Dcdiag.exe/test: RidManager /v.Validate Active Directory replication health with Repadmin.exe and RID Master availability with Dcdiag.exe /test:ridmanager /v. Activer les captures réseau recto verso entre le contrôleur de domaine et le maître RID si ces tests ne sont pas concluants.Enable double-sided network captures between the domain controller and the RID Master if these tests are inconclusive.

Résolution des problèmes spécifiquesTroubleshooting Specific Problems

Ouvrez une session les nouveaux messages suivants dans le journal des événements système sur les contrôleurs de domaine Windows Server 2012.The following new messages log in the System event log on Windows Server 2012 domain controllers. Automatisée AD health suivi des systèmes, tels que System Center Operations Manager, doit analyser ces événements; tous sont importants, et d’autres indicateurs des problèmes critiques du domaine.Automated AD health tracking systems, such as System Center Operations Manager, should monitor for these events; all are notable, and some are indicators of critical domain issues.

ID d’événementEvent ID 1665316653
SourceSource Directory-Services-SAMDirectory-Services-SAM
GravitéSeverity AvertissementWarning
MessageMessage Une taille de pool d’identificateurs de comptes (RID) a été configurée par un administrateur est supérieure au nombre maximal pris en charge.A pool size for account-identifiers (RIDs) that was configured by an Administrator is greater than the supported maximum. La valeur maximale %1 sera utilisée lorsque le contrôleur de domaine est le maître RID.The maximum value of %1 will be used when the domain controller is the RID master.

Pour plus d’informations, voir limite de taille de bloc de RID.For more information, see RID Block Size Limit.
Remarques et résolutionNotes and resolution La valeur maximale pour la taille de bloc RID est maintenant 15 000 en décimal (3A98 hexadécimal).The maximum value for the RID Block Size is now 15000 decimal (3A98 hexadecimal). Un contrôleur de domaine ne peuvent pas demander plus de 15 000 identificateurs RID.A domain controller cannot request more than 15,000 RIDs. Cet événement est consigné à chaque redémarrage jusqu'à ce que la valeur est définie sur une valeur égale ou inférieure ce maximum.This event logs at every boot until the value is set to a value at or below this maximum.
ID d’événementEvent ID 1665416654
SourceSource Directory-Services-SAMDirectory-Services-SAM
GravitéSeverity InformationInformational
MessageMessage Un pool d’identificateurs de comptes (RID) a été invalidé.A pool of account-identifiers (RIDs) has been invalidated. Cela peut se produire dans les cas attendus suivants:This may occur in the following expected cases:

1. un contrôleur de domaine est restauré à partir de la sauvegarde.1. A domain controller is restored from backup.

2. un contrôleur de domaine en cours d’exécution sur un ordinateur virtuel est restauré à partir d’une capture instantanée.2. A domain controller running on a virtual machine is restored from snapshot.

3. un administrateur a invalidé le pool manuellement.3. An administrator has manually invalidated the pool.

https://go.microsoft.com/fwlink/?LinkId=226247 pour plus d’informations, voir.See https://go.microsoft.com/fwlink/?LinkId=226247 for more information.
Remarques et résolutionNotes and resolution Si cet événement est inattendu, contactez tous les administrateurs de domaine et déterminer celui qui a effectué l’action.If this event is unexpected, contact all domain administrators and determine which of them performed the action. Le journal des événements Services d’annuaire contient également davantage d’informations sur lorsqu’une de ces étapes a été effectuée.The Directory Services event log also contains further information on when one of these steps was performed.
ID d’événementEvent ID 1665516655
SourceSource Directory-Services-SAMDirectory-Services-SAM
GravitéSeverity InformationInformational
MessageMessage La valeur maximale globale pour les identificateurs de comptes (RID) a été augmentée pour %1.The global maximum for account-identifiers (RIDs) has been increased to %1.
Remarques et résolutionNotes and resolution Si cet événement est inattendu, contactez tous les administrateurs de domaine et déterminer celui qui a effectué l’action.If this event is unexpected, contact all domain administrators and determine which of them performed the action. Cet événement indique l’augmentation de la RID global pool taille au-delà de la valeur par défaut 230et ne sera pas appliquée automatiquement; uniquement par une action administrative.This event notes the increase of the overall RID pool size beyond the default of 230and will not happen automatically; only by administrative action.
ID d’événementEvent ID 1665616656
SourceSource Directory-Services-SAMDirectory-Services-SAM
GravitéSeverity AvertissementWarning
MessageMessage La valeur maximale globale pour les identificateurs de comptes (RID) a été augmentée pour %1.The global maximum for account-identifiers (RIDs) has been increased to %1.
Remarques et résolutionNotes and resolution Action requise!Action required! Un pool d’identificateurs de comptes (RID) a été alloué à ce contrôleur de domaine.An account-identifier (RID) pool was allocated to this domain controller. La valeur du pool indique que ce domaine a consommé une partie importante du total disponibles compte des identificateurs.The pool value indicates this domain has consumed a considerable portion of the total available account-identifiers.

Un mécanisme de protection sera activé quand le domaine atteindra le seuil suivant du totales identificateurs de comptes disponibles restants: %1.A protection mechanism will be activated when the domain reaches the following threshold of total available account-identifiers remaining: %1. Le mécanisme de protection empêche la création de comptes jusqu'à ce que vous réactiviez manuellement l’allocation des identificateurs de comptes sur le contrôleur de domaine du maître RID.The protection mechanism will prevent account creation until you manually re-enable account-identifier allocation on the RID master domain controller.

https://go.microsoft.com/fwlink/?LinkId=228610 pour plus d’informations, voir.See https://go.microsoft.com/fwlink/?LinkId=228610 for more information.
ID d’événementEvent ID 1665716657
SourceSource Directory-Services-SAMDirectory-Services-SAM
GravitéSeverity ErreurError
MessageMessage Action requise!Action required! Ce domaine a consommé une partie importante du totales disponibles compte des identificateurs (RID).This domain has consumed a considerable portion of the total available account-identifiers (RIDs). Un mécanisme de protection a été activé, car les totales identificateurs de comptes disponibles restants est inférieur à: X% [argument de plafond artificiel].A protection mechanism has been activated because the total available account-identifiers remaining is less than: X% [artificial ceiling argument].

Le mécanisme de protection empêche la création de comptes jusqu'à ce que vous réactiviez manuellement l’allocation des identificateurs de comptes sur le contrôleur de domaine du maître RID.The protection mechanism prevents account creation until you manually re-enable account-identifier allocation on the RID master domain controller.

Il est extrêmement important qu’effectuer certains diagnostics avant de réactiver le compte de création pour vous assurer de ce domaine ne consomme pas les identificateurs de comptes à une vitesse anormalement élevée.It is extremely important that certain diagnostics are performed prior to re-enabling account creation to ensure this domain is not consuming account-identifiers at an abnormally high rate. Tout problème identifié doit être résolu avant de réactiver la création du compte.Any issues identified should be resolved prior to re-enabling account creation.

Épuisement des identificateurs de compte dans le domaine après lequel la création de comptes sera définitivement désactivée dans ce domaine peut entraîner l’échec pour diagnostiquer et résoudre tout problème sous-jacent provoquant une vitesse anormalement élevée de la consommation d’identificateurs de comptes.Failure to diagnose and fix any underlying issue causing an abnormally high rate of account-identifier consumption can lead to account-identifier exhaustion in the domain after which account creation will be permanently disabled in this domain.

https://go.microsoft.com/fwlink/?LinkId=228610 pour plus d’informations, voir.See https://go.microsoft.com/fwlink/?LinkId=228610 for more information.
Remarques et résolutionNotes and resolution Contactez tous les administrateurs de domaine et informez-les qu’aucun autre principal de sécurité ne peut être créée dans ce domaine jusqu'à ce que cette protection soit remplacée.Contact all domain administrators and inform them that no further security principals can be created in this domain until this protection is overridden. Pour plus d’informations sur la façon de remplacer la protection et d’augmenter éventuellement le RID global du pool, consultez Global RID espace déverrouillage de la taille.For more information about how to override the protection and possibly increase the overall RID pool, see Global RID Space Size Unlock.
ID d’événementEvent ID 1665816658
SourceSource Directory-Services-SAMDirectory-Services-SAM
GravitéSeverity AvertissementWarning
MessageMessage Cet événement est une mise à jour périodique sur la quantité totale restante d’identificateurs de comptes disponibles (RID).This event is a periodic update on the remaining total quantity of available account-identifiers (RIDs). Le nombre d’identificateurs de comptes restants est environ: %1.The number of remaining account-identifiers is approximately: %1.

Identificateurs de comptes sont utilisés comme comptes sont créés lorsqu’ils sont épuisés, qu'aucun compte ne peut être créé dans le domaine.Account-identifiers are used as accounts are created, when they are exhausted no new accounts may be created in the domain.

https://go.microsoft.com/fwlink/?LinkId=228745 pour plus d’informations, voir.See https://go.microsoft.com/fwlink/?LinkId=228745 for more information.
Remarques et résolutionNotes and resolution Contactez tous les administrateurs de domaine et informez-les que consommation RID a franchi une étape importante; déterminer si ce comportement est attendu ou non par l’examen des modèles de création de sécurité tiers de confiance.Contact all domain administrators and inform them that RID consumption has crossed a major milestone; determine if this is expected behavior or not by reviewing security trustee creation patterns. Pour voir jamais cet événement est extrêmement rares, car il signifie qu’au moins 100 millions d’identificateurs RID ont été allouées.To ever see this event would be highly unusual, as it means that at least ~100 million RIDS have been allocated.

Voir aussiSee Also

La gestion de l’émission RID dans Windows Server 2012Managing RID Issuance in Windows Server 2012