Gestion de l’émission RIDManaging RID Issuance

S'applique à : Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Cette rubrique décrit la modification apportée au rôle FSMO du maître RID, y compris la nouvelle fonctionnalité d'émission et d'analyse dans le maître RID ainsi que la façon d'analyser l'émission RID et de résoudre les problèmes associés.This topic explains the change to the RID master FSMO role, including the new issuance and monitoring functionality in the RID master and how to analyze and troubleshoot RID issuance.

Plus d’informations sont disponibles sur le AskDS Blog.More information is available at the AskDS Blog.

La gestion de l’émission RIDManaging RID Issuance

Par défaut, un domaine peut contenir environ un milliard de principaux de sécurité, tels que des utilisateurs, des groupes et des ordinateurs.By default, a domain has capacity for roughly one billion security principals, such as users, groups, and computers. Bien entendu, il n'existe aucun domaine avec autant d'objets activement utilisés.Naturally, there are no domains with that many actively used objects. Toutefois, le support technique Microsoft a rencontré les cas suivants :However, Microsoft Customer Support has found cases where:

  • L'approvisionnement de scripts d'administration ou de logiciels a créé accidentellement des utilisateurs, des groupes et des ordinateurs en bloc.Provisioning software or administrative scripts accidentally bulk created users, groups, and computers.

  • De nombreux groupes de distribution et de sécurité inutilisés ont été créés par des utilisateurs délégués.Many unused security and distribution groups were created by delegated users

  • De nombreux contrôleurs de domaine ont été rétrogradés ou restaurés, ou des métadonnées ont été nettoyées.Many domain controllers were demoted, restored, or metadata cleaned

  • Des récupérations de forêts ont été effectuées.Forest recoveries were performed

  • L'opération InvalidateRidPool a été souvent effectuée.The InvalidateRidPool operation was performed frequently

  • La valeur de Registre de la taille de bloc de RID a été augmentée de façon incorrecte.The RID Block Size registry value was increased incorrectly

Toutes ces situations épuisent les identificateurs RID inutilement, souvent par erreur.All of these situations use up RIDs unnecessarily, often by mistake. Après de nombreuses années, les identificateurs RID sont devenus insuffisants pour quelques environnements qui ont été obligés de migrer vers un nouveau domaine ou d'effectuer des récupérations de forêts.Over many years, a few environments ran out of RIDs and this forced them to migrate to a new domain or perform forest recoveries.

Windows Server 2012 traite les questions liées à l'allocation RID qui ne sont devenues problématiques qu'avec l'ancienneté et l'omniprésence d'Active Directory.Windows Server 2012 addresses issues with RID allocation that have only become problematic with the age and ubiquity of Active Directory. Ceux-ci incluent une meilleure journalisation des événements, des limites plus appropriées et la capacité, en cas d’urgence - doubler la taille globale de l’espace RID global pour un domaine.These include better event logging, more appropriate limits, and the ability to - in an emergency - to double the overall size of the global RID space for a domain.

Avertissements liés à la consommation périodiquesPeriodic Consumption Warnings

Windows Server 2012 ajoute un suivi des événements liés à l'espace RID global qui émet un premier avertissement quand des limites cruciales sont franchies.Windows Server 2012 adds global RID space event tracking that provides early warning when major milestones are crossed. Le modèle calcule la limite de dix (10) pour cent d'identificateurs RID utilisés dans le pool global et consigne un événement quand elle est atteinte.The model computes the ten (10) percent used mark in the global pool and logs an event when reached. Il calcule ensuite les dix pour cent d'identificateurs RID utilisés suivants dans le pool restant et le cycle des événements continue.Then it computes the next ten percent used of the remaining and the event cycle continues. À mesure que l'espace RID global s'épuise, les événements s'accélèrent car les dix pour cent sont plus rapidement atteints dans un pool en baisse (mais le blocage du journal des événements empêche plus d'une entrée par heure).As the global RID space is exhausted, events will accelerate as ten percent hits faster in a decreasing pool (but event log dampening will prevent more than one entry per hour). Le journal des événements système sur chaque contrôleur de domaine écrit l'événement d'avertissement Directory-Services-SAM 16658.The System event log on every domain controller writes Directory-Services-SAM warning event 16658.

En supposant un espace RID global de 30 bits par défaut, le premier événement est consigné pendant l'allocation du pool contenant le 107 374 182e identificateur RID.Assuming a default 30-bit global RID space, the first event logs when allocating the pool containing the 107,374,182nd RID. Le débit des événements s'accélère naturellement jusqu'au dernier point de contrôle de 100 000 avec 110 événements générés au total.The event rate accelerates naturally until the last checkpoint of 100,000, with 110 events generated in total. Le comportement est semblable pour un espace RID global de 31 bits déverrouillé : début au niveau 214 748 365 et fin avec 117 événements.The behavior is similar for an unlocked 31-bit global RID space: starting at 214,748,365 and completing in 117 events.

Important

Cet événement n'est pas prévu ; examinez l'utilisateur, l'ordinateur et les processus de création de groupes immédiatement dans le domaine.This event is not expected; investigate the user, computer, and group creation processes immediately in the domain. La création de plus de 100 millions d'objets des services de domaine Active Directory sort de l'ordinaire.Creating more than 100 million AD DS objects is quite out of the ordinary.

Émission RID

Événements d'invalidation du pool RIDRID Pool Invalidation Events

De nouvelles alertes d'événement signalent qu'un pool RID de contrôleur de domaine local a été ignoré.There are new event alerts that a local DC RID pool was discarded. Ces alertes s'affichent à titre d'information et peuvent être prévues, en particulier en raison de la nouvelle fonctionnalité de contrôleur de domaine virtuel.These are Informational and could be expected, especially due to the new VDC functionality. Voir la liste d'événements ci-dessous pour obtenir des détails sur l'événement.See the event list below for details on the event.

Limite de taille de bloc de RIDRID Block Size Limit

Un contrôleur de domaine demande généralement des allocations RID en blocs de 500 identificateurs RID à la fois.Ordinarily, a domain controller requests RID allocations in blocks of 500 RIDs at one time. Vous pouvez remplacer cette valeur par défaut avec la valeur de Registre REG_DWORD suivante sur un contrôleur de domaine :You can override this default using the following registry REG_DWORD value on a domain controller:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values  
RID Block Size  
  

Avant Windows Server 2012, aucune valeur maximale n'était appliquée dans cette clé de Registre, à l'exception de la valeur maximale DWORD implicite (qui est de 0xffffffff ou 4294967295).Prior to Windows Server 2012, there was no maximum value enforced in that registry key, except the implicit DWORD maximum (which has a value of 0xffffffff or 4294967295). Cette valeur est considérablement supérieure à l'espace RID global total.This value is considerably larger than the total global RID space. Les administrateurs ont parfois configuré de façon inappropriée ou involontaire la taille de bloc de RID avec des valeurs qui épuisaient l'espace RID global à un rythme considérable.Administrators sometimes inappropriately or accidentally configured RID Block Size with values that exhausted the global RID at a massive rate.

Dans Windows Server 2012, vous ne pouvez pas définir une valeur de Registre supérieure à 15 000 en décimal (0x3A98 en hexadécimal).In Windows Server 2012, you cannot set this registry value higher than 15,000 decimal (0x3A98 hexadecimal). Cela permet d'empêcher une allocation RID imprévue massive.This prevents massive unintended RID allocation.

Si vous affectez une valeur supérieure à 15 000, elle est traitée comme égale à 15 000 et le contrôleur de domaine consigne l'événement 16653 dans le journal des événements des services d'annuaire à chaque redémarrage jusqu'à ce que la valeur soit corrigée.If you set the value higher than 15,000, the value is treated as 15,000 and the domain controller logs event 16653 in the Directory Services event log at every reboot until the value is corrected.

Déverrouillage de la taille de l’espace RID globalGlobal RID Space Size Unlock

Avant Windows Server 2012, l'espace RID global était limité à 230 (ou 1 073 741 823) identificateurs RID au total.Prior to Windows Server 2012, the global RID space was limited to 230 (or 1,073,741,823) total RIDs. Une fois cette limite atteinte, seule une migration de domaine ou une récupération de forêt vers une période antérieure autorisait la création de nouveaux identificateurs, une récupération en cas d'urgence à tous points de vue.Once reached, only a domain migration or forest recovery to an older timeframe allowed new SIDs creation - disaster recovery, by any measure. À compter de Windows Server 2012, la taille de 231 bits peut être déverrouillée pour augmenter le pool global jusqu'à 2 147 483 648 identificateurs RID.Starting in Windows Server 2012, the 231 bit can be unlocked in order to increase the global pool to 2,147,483,648 RIDs.

Les services de domaine Active Directory stockent ce paramètre dans un attribut masqué spécial nommé SidCompatibilityVersion dans le contexte RootDSE de tous les contrôleurs de domaine.AD DS stores this setting in a special hidden attribute named SidCompatibilityVersion on the RootDSE context of all domain controllers. Cet attribut n'est pas lisible à l'aide d'ADSIEdit, de LDP ni d'autres outils.This attribute is not readable using ADSIEdit, LDP, or other tools. Pour voir une augmentation de l'espace RID global, recherchez dans le journal des événements système l'événement d'avertissement 16655 de Directory-Services-SAM ou utilisez la commande Dcdiag suivante :To see an increase in the global RID space, examine the System event log for warning event 16655 from Directory-Services-SAM or use the following Dcdiag command:

Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"  
  

Si vous augmentez le pool RID global, le pool disponible passe à 2 147 483 647 au lieu de la valeur 1 073 741 823 par défaut.If you increase the global RID pool, the available pool will change to 2,147,483,647 instead of the default 1,073,741,823. Exemple :For example:

Émission RID

Avertissement

Ce déverrouillage est destiné uniquement à empêcher le manque d'identificateurs RID et doit être utilisé uniquement avec l'application d'un plafond RID (voir la section suivante).This unlock is intended only to prevent running out of RIDS and is to be used only in conjunction with RID Ceiling Enforcement (see next section). Ne le définissez pas « à titre préventif » dans des environnements qui ont des millions d'identificateurs RID restants et une faible croissance, car des problèmes de compatibilité des applications peuvent exister avec des identificateurs SID générés à partir du pool RID déverrouillé.Do not "preemptively" set this in environments that have millions of remaining RIDs and low growth, as application compatibility issues potentially exist with SIDs generated from the unlocked RID pool.

Cette opération de déverrouillage ne peut pas être rétablie ni supprimée, sauf par une récupération de forêt complète vers des sauvegardes antérieures.This unlock operation cannot be reverted or removed, except by a complete forest recovery to earlier backups.

Réserves importantesImportant Caveats

Les contrôleurs de domaine Windows Server 2003 et Windows Server 2008 ne peuvent pas émettre de RID quand le 31e bit du pool RID global est déverrouillé.Windows Server 2003 and Windows Server 2008 Domain Controllers cannot issue RIDs when the global RID pool 31st bit is unlocked. Les contrôleurs de domaine Windows Server 2008 R2 pouvez utiliser le 31st bit RID mais uniquement si correctif logiciel Ko 2642658 installé.Windows Server 2008 R2 domain controllers can use 31st bit RIDs but only if they have hotfix KB 2642658 installed. Les contrôleurs de domaine non pris en charge et non corrigés traitent le pool RID global comme s'il était épuisé quand il est déverrouillé.Unsupported and unpatched domain controllers treat the global RID pool as exhausted when unlocked.

Cette fonctionnalité n'est pas appliquée selon n'importe quel niveau fonctionnel de domaine ; veillez à ce que seuls des contrôleurs de domaine Windows Server 2012 ou Windows Server 2008 R2 mis à jour existent dans le domaine.This feature is not enforced by any domain functional level; take great care that only Windows Server 2012 or updated Windows Server 2008 R2 domain controllers exist in the domain.

Implémentation de l'espace RID global déverrouilléImplementing Unlocked Global RID space

Pour déverrouiller le pool RID au niveau du 31e bit après avoir reçu l'alerte de plafond RID (voir ci-dessous), procédez comme suit :To unlock the RID pool to the 31st bit after receiving the RID ceiling alert (see below) perform the following steps:

  1. Vérifiez que le rôle de maître RID est exécuté sur un contrôleur de domaine Windows Server 2012.Ensure that the RID Master role is running on a Windows Server 2012 domain controller. Dans le cas contraire, transférez-le vers un contrôleur de domaine Windows Server 2012.If not, transfer it to a Windows Server 2012 domain controller.

  2. Exécutez LDP.exe.Run LDP.exe

  3. Cliquez sur le menu Connexion, sur Se connecter pour le maître RID Windows Server 2012 sur le port 389, puis sur Lier en tant qu'administrateur de domaine.Click the Connection menu and click Connect for the Windows Server 2012 RID Master on port 389, and then click Bind as a domain administrator.

  4. Cliquez sur le menu Parcourir, puis sur Modifier.Click the Browse menu and click Modify.

  5. Vérifiez que Nom unique est vide.Ensure that DN is blank.

  6. Dans Modifier l'entrée Attribut, tapez :In Edit Entry Attribute, type:

    SidCompatibilityVersion  
    
  7. Dans Valeurs, tapez :In Values, type:

    1  
    
  8. Vérifiez que l'opération Ajouter est sélectionnée dans Opération et cliquez sur Entrée.Ensure that Add is selected in Operation and click Enter. La Liste d'entrées est ainsi mise à jour.This updates the Entry List.

  9. Sélectionnez les options Synchrone et Étendu, puis cliquez sur Exécuter.Select the Synchronous and Extended options, then click Run.

    Émission RID

  10. Si l'opération réussit, la fenêtre de sortie LDP affiche ce qui suit :If successful, the LDP output window shows:

    ***Call Modify...  
     ldap_modify_ext_s(Id, '(null)',[1] attrs, SvrCtrls, ClntCtrls);  
    modified "".  
    
    

    Émission RID

  11. Confirmez que le pool RID global a été augmenté en recherchant dans le journal des événements système sur ce contrôleur de domaine l'événement d'information Directory-Services-SAM 16655.Confirm the global RID pool increased by examining the System Event Log on that domain controller for Directory-Services-SAM Informational event 16655.

Application d'un plafond RIDRID Ceiling Enforcement

Pour offrir une mesure de protection et sensibiliser davantage les utilisateurs aux problèmes d'administration, Windows Server 2012 introduit un plafond artificiel sur la plage RID globale à dix (10) pour cent d'identificateurs RID restants dans l'espace global.To afford a measure of protection and elevate administrative awareness, Windows Server 2012 introduces an artificial ceiling on the global RID range at ten (10) percent remaining RIDs in the global space. À moins d'un (1) pour cent du plafond artificiel, les contrôleurs de domaine qui demandent des pools RID écrivent l'événement d'avertissement Directory-Services-SAM 16656 dans le journal des événements système.When within one (1) percent of the artificial ceiling, domain controllers requesting RID pools write Directory-Services-SAM warning event 16656 to their System event log. Quand ils atteignent le plafond de dix pour cent sur les opérations FSMO du maître RID, ils écrivent l'événement Directory-Services-SAM 16657 dans le journal des événements système et n'alloue aucun autre pool RID tant que le plafond n'est pas modifié.When reaching the ten percent ceiling on the RID Master FSMO, it writes Directory-Services-SAM event 16657 to its System event log and will not allocate any further RID pools until overriding the ceiling. Vous devez ainsi évaluer l'état du maître RID dans le domaine et traiter l'éventuelle perte de contrôle de l'allocation RID ; cela protège également les domaines contre l'épuisement de tout l'espace RID.This forces you to assess the state of the RID master in the domain and address potential runaway RID allocation; this also protects domains from exhausting the entire RID space.

Ce plafond est codé en dur à dix pour cent de l'espace RID disponible restant.This ceiling is hard-coded at ten percent remaining of the available RID space. Autrement dit, le plafond est activé quand le maître RID alloue un pool qui inclut le RID correspondant à quatre-vingt-dix (90) pour cent de l'espace RID global.That is, the ceiling activates when the RID master allocates a pool that includes the RID corresponding to ninety (90) percent of the global RID space.

  • Pour les domaines par défaut, le premier seuil de déclenchement est 230-1 * 0,90 = 966 367 640 (ou 107 374 183 identificateurs RID restants).For default domains, the first trigger point is 230-1 * 0.90 = 966,367,640 (or 107,374,183 RIDs remaining).

  • Pour les domaines avec un espace RID de 31 bits déverrouillé, le seuil de déclenchement est 231-1 * 0,90 = 1 932 735 282 identificateurs RID (ou 214 748 365 identificateurs RID restants).For domains with an unlocked 31-bit RID space, the trigger point is 231-1 * 0.90 = 1,932,735,282 RIDs (or 214,748,365 RIDs remaining).

Une fois déclenché, le maître RID affecte à l'attribut Active Directory msDS-RIDPoolAllocationEnabled (nom commun ms-DS-RID-Pool-Allocation-Enabled) la valeur FALSE sur l'objet :When triggered, the RID master sets Active Directory attribute msDS-RIDPoolAllocationEnabled (common name ms-DS-RID-Pool-Allocation-Enabled) to FALSE on the object:

CN = RID Manager$, CN = System, DC =CN=RID Manager$,CN=System,DC=

L'événement 16657 est consigné et aucune autre émission de blocs RID n'est permise sur tous les contrôleurs de domaine.This writes the 16657 event and prevents further RID block issuance to all domain controllers. Les contrôleurs de domaine continuent de consommer les pools RID en attente déjà émis à leur intention.Domain controllers continue to consume any outstanding RID pools already issued to them.

Pour supprimer le bloc et autoriser la poursuite de l'allocation de pools RID, choisissez la valeur TRUE.To remove the block and allow RID pool allocation to continue, set that value to TRUE. Lors de la prochaine allocation RID effectuée par le maître RID, l'attribut reprendra sa valeur NOT SET par défaut.On the next RID allocation performed by the RID master, the attribute will return to its default NOT SET value. Après cela, il n'existe pas d'autre plafond et l'espace RID global finit par être insuffisant, ce qui nécessite une migration de domaine ou une récupération de forêt.After that, there are no further ceilings and eventually, the global RID space runs out, requiring forest recovery or domain migration.

Suppression du bloc du plafondRemoving the Ceiling Block

Pour supprimer le bloc une fois le plafond artificiel atteint, procédez comme suit :To remove the block once reaching the artificial ceiling, perform the following steps:

  1. Vérifiez que le rôle de maître RID est exécuté sur un contrôleur de domaine Windows Server 2012.Ensure that the RID Master role is running on a Windows Server 2012 domain controller. Dans le cas contraire, transférez-le vers un contrôleur de domaine Windows Server 2012.If not, transfer it to a Windows Server 2012 domain controller.

  2. Exécutez LDP.exe.Run LDP.exe.

  3. Cliquez sur le menu Connexion, sur Se connecter pour le maître RID Windows Server 2012 sur le port 389, puis sur Lier en tant qu'administrateur de domaine.Click the Connection menu and click Connect for the Windows Server 2012 RID Master on port 389, and then click Bind as a domain administrator.

  4. Cliquez sur le menu Affichage et sur Arborescence, puis pour Nom unique de base, sélectionnez le propre contexte de nommage du domaine du maître RID.Click the View menu and click Tree, then for the Base DN select the RID Master's own domain naming context. Cliquez sur OK.Click Ok.

  5. Dans le volet de navigation, descendez dans la hiérarchie jusqu'au conteneur CN=System et cliquez sur l'objet CN=RID Manager$.In the navigation pane, drill down into the CN=System container and click the CN=RID Manager$ object. Cliquez avec le bouton droit dessus et cliquez sur Modifier.Right click it and click Modify.

  6. Dans Modifier l'entrée Attribut, tapez :In Edit Entry Attribute, type:

    MsDS-RidPoolAllocationEnabled  
    
  7. Dans Valeurs, tapez (en majuscules) :In Values, type (in upper case):

    TRUE  
    
  8. Sélectionnez Remplacer dans Opération et cliquez sur Entrée.Select Replace in Operation and click Enter. La Liste d'entrées est ainsi mise à jour.This updates the Entry List.

  9. Activez les options Synchrone et Étendu, puis cliquez sur Exécuter.Enable the Synchronous and Extended options, then click Run:

    Émission RID

  10. Si l'opération réussit, la fenêtre de sortie LDP affiche ce qui suit :If successful, the LDP output window shows:

    ***Call Modify...  
    ldap_modify_ext_s(ld, 'CN=RID Manager$,CN=System,DC=<domain>',[1] attrs, SvrCtrls, ClntCtrls);  
    Modified "CN=RID Manager$,CN=System,DC=<domain>".  
    
    

    Émission RID

Autres correctifs RIDOther RID Fixes

Les systèmes d'exploitation Windows Server précédents présentaient une fuite du pool RID quand l'attribut rIDSetReferences était manquant.Previous Windows Server operating systems had a RID pool leak when missing rIDSetReferences attribute. Pour résoudre ce problème sur les contrôleurs de domaine qui exécutent Windows Server 2008 R2, installez le correctif logiciel Ko 2618669.To resolve this problem on domain controllers that run Windows Server 2008 R2, install the hotfix from KB 2618669.

Problèmes RID non résolusUnfixed RID Issues

Il est habituel d'avoir une fuite RID lors de l'échec de la création de comptes ; pendant la création d'un compte, l'échec épuise toujours un RID.There has historically been a RID leak on account creation failure; when creating an account, failure still uses up a RID. Citons, à titre d'exemple, la création d'un utilisateur avec un mot de passe qui ne répond pas aux exigences de complexité.The common example is to create a user with a password that does not meet complexity.

Correctifs RID pour les versions antérieures de Windows ServerRID Fixes for earlier versions of Windows Server

Des correctifs logiciels Windows Server 2008 R2 ont été commercialisés pour l'ensemble des correctifs et modifications ci-dessus.All of the fixes and changes above have Windows Server 2008 R2 hotfixes released. Actuellement, aucun correctif logiciel Windows Server 2008 n'est prévu ni en cours.There are currently no Windows Server 2008 hotfixes planned or in progress.

Résolution des problèmes d’émission RIDTroubleshooting RID Issuance

Introduction à la résolution des problèmesIntroduction to Troubleshooting

La résolution des problèmes associés à l'émission RID nécessite une méthode logique et linéaire.RID issuance troubleshooting requires a logical and linear method. Sauf si vous analysez attentivement vos journaux des événements à la recherche d'erreurs et d'avertissements déclenchés par RID, les premières indications d'un problème risquent d'être des créations de comptes qui ont échoué.Unless you are monitoring your event logs carefully for RID-triggered warnings and errors, your first indications of a problem are likely to be failed account creations. La solution pour résoudre les problèmes associés à l'émission RID consiste à comprendre quand le symptôme est prévu ou non ; de nombreux problèmes d'émission RID peuvent affecter uniquement un contrôleur de domaine et n'avoir aucun lien avec les améliorations apportées aux composants.The key to troubleshooting RID issuance is to understand when the symptom is expected or not; many RID issuance issues may affect only one domain controller and have nothing to do with component improvements. Ce simple diagramme ci-dessous permet de présenter plus clairement ces décisions :This simple diagram below helps make those decisions more clear:

Émission RID

Options de résolution des problèmesTroubleshooting Options

Options de journalisationLogging Options

Toute la journalisation de l'émission RID a lieu dans le journal des événements système, sous la source Directory-Services-SAM.All logging in RID issuance occurs in the System Event log, under source Directory-Services-SAM. La journalisation est activée et configurée pour un maximum de commentaires par défaut.Logging is enabled and configured for maximum verbosity, by default. Si aucune entrée n'est enregistrée pour les nouvelles modifications de composants dans Windows Server 2012, traitez le problème comme un problème d'émission RID classique (autrement dit, hérité et antérieur à Windows Server 2012) vu dans Windows 2008 R2 ou des systèmes d'exploitation plus anciens.If no entries are logged for the new component changes in Windows Server 2012, treat the issue as a classic (aka legacy, pre-Windows Server 2012) RID issuance problem seen in Windows 2008 R2 or older operating systems.

Utilitaires et commandes pour la résolution des problèmesUtilities and Commands for Troubleshooting

Pour résoudre les problèmes non décrits par les journaux indiqués ci-dessus, en particulier les problèmes d'émission RID plus anciens, utilisez la liste suivante d'outils comme point de départ :To troubleshoot issues not explained by the aforementioned logs - especially older RID issuance issues - use the following list of tools as a starting point:

  • Dcdiag.exeDcdiag.exe

  • Repadmin.exeRepadmin.exe

  • Moniteur réseau 3.4Network Monitor 3.4

Méthodologie générale pour la résolution des problèmes de configuration des contrôleurs de domaineGeneral Methodology for Troubleshooting Domain Controller Configuration

  1. Est-ce que l'erreur est causée par un simple problème d'autorisations ou de disponibilité de contrôleur de domaine ?Is the error caused by a simple permissions or domain controller availability issue?

    1. Essayez-vous de créer un principal de sécurité sans les autorisations nécessaires ?Are you trying to create a security principal without the necessary permissions? Examinez la sortie pour les erreurs d'accès refusé.Examine the output for access denied errors.

    2. Est-ce qu'un contrôleur de domaine est disponible ?Is a domain controller available? Examinez l'erreur retournée ou LDAP ou les messages de disponibilité de contrôleur de domaine.Examine the returned error or LDAP or domain controller availability messages.

  2. Est-ce que l'erreur retournée mentionne spécifiquement les identificateurs RID, et est-elle assez caractéristique pour être utilisée comme indication ?Does the error returned specifically mention RIDs, and is specific enough to use as guidance? Si tel est le cas, suivez l'indication.If so, follow the guidance.

  3. Est-ce que l'erreur retournée mentionne spécifiquement les identificateurs RID sans être par ailleurs caractéristique ?Does the error returned specifically mention RIDs but is otherwise non-specific? Par exemple, « Windows ne peut pas créer l'objet car le service d'annuaire n'a pas pu allouer un identificateur relatif ».For example, "Windows cannot create the object because the Directory Service was unable to allocate a relative identifier."

    1. Examinez le journal des événements système sur le contrôleur de domaine pour « legacy » (antérieurs à Windows Server 2012) détaillés des événements RID dans demande de Pool RID (16642, 16643, 16644, 16645, 16656).Examine the System Event log on the domain controller for "legacy" (pre-Windows Server 2012) RID events detailed in RID Pool Request (16642, 16643, 16644, 16645, 16656).

    2. Recherchez dans le journal des événements système sur le contrôleur de domaine et le maître RID de nouveaux événements indiquant des blocs détaillés ci-dessous dans cette rubrique (16655, 16656, 16657).Examine the System Event on the domain controller and the RID Master for new block-indicating events detailed below in this topic (16655, 16656, 16657).

    3. Validez l'intégrité de la réplication Active Directory avec Repadmin.exe et la disponibilité du maître RID avec Dcdiag.exe /test:ridmanager /v.Validate Active Directory replication health with Repadmin.exe and RID Master availability with Dcdiag.exe /test:ridmanager /v. Autorisez les captures réseau recto verso entre le contrôleur de domaine et le maître RID si ces tests ne sont pas concluants.Enable double-sided network captures between the domain controller and the RID Master if these tests are inconclusive.

Résolution de problèmes spécifiquesTroubleshooting Specific Problems

Les nouveaux messages suivants sont consignés dans le journal des événements système sur les contrôleurs de domaine Windows Server 2012.The following new messages log in the System event log on Windows Server 2012 domain controllers. Les systèmes de suivi d'intégrité Active Directory automatisés, tels que System Center Operations Manager, doivent analyser ces événements ; tous sont importants et certains indiquent des problèmes de domaine sérieux.Automated AD health tracking systems, such as System Center Operations Manager, should monitor for these events; all are notable, and some are indicators of critical domain issues.

ID d’événementEvent ID 1665316653
SourceSource Directory-Services-SAMDirectory-Services-SAM
SévéritéSeverity WarningWarning
MessageMessage Une taille de pool pour des identificateurs de comptes (RID) qui a été configurée par un administrateur est supérieure au maximum pris en charge.A pool size for account-identifiers (RIDs) that was configured by an Administrator is greater than the supported maximum. La valeur maximale %1 est utilisée quand le contrôleur de domaine est le maître RID.The maximum value of %1 will be used when the domain controller is the RID master.

Pour plus d'informations, voir Limite de la taille de bloc RID.For more information, see RID Block Size Limit.
Remarques et résolutionNotes and resolution La valeur maximale pour la taille de bloc de RID est maintenant 15 000 en décimal (0x3A98 en hexadécimal).The maximum value for the RID Block Size is now 15000 decimal (3A98 hexadecimal). Un contrôleur de domaine ne peut pas demander plus de 15 000 identificateurs RID.A domain controller cannot request more than 15,000 RIDs. Cet événement est consigné à chaque redémarrage jusqu'à ce que la valeur définie soit inférieure ou égale à cette valeur maximale.This event logs at every boot until the value is set to a value at or below this maximum.
ID d’événementEvent ID 1665416654
SourceSource Directory-Services-SAMDirectory-Services-SAM
SévéritéSeverity InformationnelInformational
MessageMessage Un pool d'identificateurs de comptes (RID) a été invalidéA pool of account-identifiers (RIDs) has been invalidated. Ceci peut se produire dans les cas attendus suivants :This may occur in the following expected cases:

1. Un contrôleur de domaine est restauré à partir de la sauvegarde.1. A domain controller is restored from backup.

2. Un contrôleur de domaine exécuté sur un ordinateur virtuel est restauré à partir de la capture instantanée.2. A domain controller running on a virtual machine is restored from snapshot.

3. Un administrateur a invalidé le pool manuellement.3. An administrator has manually invalidated the pool.

Pour plus d'informations, consultez https://go.microsoft.com/fwlink/?LinkId=226247.See https://go.microsoft.com/fwlink/?LinkId=226247 for more information.
Remarques et résolutionNotes and resolution Si cet événement est inattendu, contactez tous les administrateurs de domaine et identifiez celui qui a effectué l'action.If this event is unexpected, contact all domain administrators and determine which of them performed the action. Le journal des événements des services d'annuaire contient également d'autres informations sur le moment où l'une de ces étapes a été effectuée.The Directory Services event log also contains further information on when one of these steps was performed.
ID d’événementEvent ID 1665516655
SourceSource Directory-Services-SAMDirectory-Services-SAM
SévéritéSeverity InformationnelInformational
MessageMessage La limite supérieure pour les identificateurs de comptes (RID) est passée à %1.The global maximum for account-identifiers (RIDs) has been increased to %1.
Remarques et résolutionNotes and resolution Si cet événement est inattendu, contactez tous les administrateurs de domaine et identifiez celui qui a effectué l'action.If this event is unexpected, contact all domain administrators and determine which of them performed the action. Cet événement indique l'augmentation de la taille du pool RID global au-delà de la valeur par défaut 230, qui n'a pas eu lieu automatiquement, mais résulte d'une action de l'administrateur.This event notes the increase of the overall RID pool size beyond the default of 230and will not happen automatically; only by administrative action.
ID d’événementEvent ID 1665616656
SourceSource Directory-Services-SAMDirectory-Services-SAM
SévéritéSeverity WarningWarning
MessageMessage La limite supérieure pour les identificateurs de comptes (RID) est passée à %1.The global maximum for account-identifiers (RIDs) has been increased to %1.
Remarques et résolutionNotes and resolution Action requise !Action required! Un pool d'identificateurs de comptes (RID) a été alloué à ce contrôleur de domaineAn account-identifier (RID) pool was allocated to this domain controller. La valeur du pool indique que ce domaine a consommé une partie importante du total des identificateurs de comptes disponibles.The pool value indicates this domain has consumed a considerable portion of the total available account-identifiers.

Un mécanisme de protection sera activé quand le domaine atteindra le seuil suivant du total identificateurs de comptes disponibles restants : %1.A protection mechanism will be activated when the domain reaches the following threshold of total available account-identifiers remaining: %1. Le mécanisme de protection empêche toute création de comptes jusqu'à ce que vous réactiviez manuellement l'allocation des identificateurs de comptes sur le contrôleur de domaine du maître RID.The protection mechanism will prevent account creation until you manually re-enable account-identifier allocation on the RID master domain controller.

Pour plus d'informations, consultez https://go.microsoft.com/fwlink/?LinkId=228610.See https://go.microsoft.com/fwlink/?LinkId=228610 for more information.
ID d’événementEvent ID 1665716657
SourceSource Directory-Services-SAMDirectory-Services-SAM
SévéritéSeverity ErreurError
MessageMessage Action requise !Action required! Ce domaine a consommé une partie importante du total des identificateurs de comptes (RID) disponibles.This domain has consumed a considerable portion of the total available account-identifiers (RIDs). Un mécanisme de protection a été activé, car le total des identificateurs de comptes disponibles restants est inférieur à : X% [argument de plafond artificiel].A protection mechanism has been activated because the total available account-identifiers remaining is less than: X% [artificial ceiling argument].

Le mécanisme de protection empêche toute création de comptes jusqu'à ce que vous réactiviez manuellement l'allocation des identificateurs de comptes sur le contrôleur de domaine du maître RID.The protection mechanism prevents account creation until you manually re-enable account-identifier allocation on the RID master domain controller.

Il est extrêmement important d'effectuer certains diagnostics avant de réactiver la création de comptes pour s'assurer que ce domaine ne consomme pas les identificateurs de comptes à une vitesse anormalement élevée.It is extremely important that certain diagnostics are performed prior to re-enabling account creation to ensure this domain is not consuming account-identifiers at an abnormally high rate. Tout problème identifié doit être résolu avant de réactiver la création de comptes.Any issues identified should be resolved prior to re-enabling account creation.

L'échec du diagnostic et de la résolution de tout problème sous-jacent provoquant une vitesse anormalement élevée de consommation des identificateurs de compte peut amener à l'épuisement des identificateurs de comptes dans le domaine, après quoi la création de comptes sera définitivement désactivée dans ce domaine.Failure to diagnose and fix any underlying issue causing an abnormally high rate of account-identifier consumption can lead to account-identifier exhaustion in the domain after which account creation will be permanently disabled in this domain.

Pour plus d'informations, consultez https://go.microsoft.com/fwlink/?LinkId=228610.See https://go.microsoft.com/fwlink/?LinkId=228610 for more information.
Remarques et résolutionNotes and resolution Contactez tous les administrateurs de domaine et informez-les qu'aucun autre principal de sécurité ne peut être créé dans ce domaine jusqu'à ce que cette protection soit remplacée.Contact all domain administrators and inform them that no further security principals can be created in this domain until this protection is overridden. Pour plus d'informations sur la façon de remplacer la protection et d'augmenter éventuellement le pool RID global, voir Déverrouillage de la taille de l'espace RID global.For more information about how to override the protection and possibly increase the overall RID pool, see Global RID Space Size Unlock.
ID d’événementEvent ID 1665816658
SourceSource Directory-Services-SAMDirectory-Services-SAM
SévéritéSeverity WarningWarning
MessageMessage Cet événement est une mise à jour périodique de la quantité totale restante d'identificateurs de comptes (RID) disponibles.This event is a periodic update on the remaining total quantity of available account-identifiers (RIDs). Le nombre d’identificateurs de comptes restants est approximativement : %1.The number of remaining account-identifiers is approximately: %1.

Les identificateurs de comptes sont utilisés quand des comptes sont créés ; une fois épuisés, aucun compte ne peut être créé dans le domaine.Account-identifiers are used as accounts are created, when they are exhausted no new accounts may be created in the domain.

Pour plus d'informations, consultez https://go.microsoft.com/fwlink/?LinkId=228745.See https://go.microsoft.com/fwlink/?LinkId=228745 for more information.
Remarques et résolutionNotes and resolution Contactez tous les administrateurs de domaine et informez-les que la consommation d'identificateurs RID a franchi une limite cruciale ; déterminez s'il s'agit ou non d'un comportement prévu en examinant les modèles de création de clients approuvés de sécurité.Contact all domain administrators and inform them that RID consumption has crossed a major milestone; determine if this is expected behavior or not by reviewing security trustee creation patterns. Il est peu probable que vous ne voyiez jamais cet événement, car il signifie qu'au moins 100 millions d'identificateurs RID ont été alloués.To ever see this event would be highly unusual, as it means that at least ~100 million RIDS have been allocated.

Voir aussiSee Also

La gestion de l’émission RID dans Windows Server 2012Managing RID Issuance in Windows Server 2012