Служба каталогов не смогла выделить относительный идентификатор

Служба каталогов не смогла выделить относительный идентификатор

понедельник, 20 августа 2012 г.

Ошибка: Служба каталогов не смогла выделить относительный идентификатор

"При присоединении к домену "X" произошла следующая ошибка:
Служба каталогов не смогла выделить относительный идентификатор"
или
Directory Service was unable to allocate a relative identifier.

Также при проверке dcdiag имеет место следующая ошибка (на русском языке текст ошибок не сохранился):

Some objects relating to the DC JWC-DC-01 have problems:
[1] Problem: Missing Expected Value
Base Object:
CN=NTDS Settings,CN=DCXX,CN=Servers,CN=EHC,CN=Sites,CN=Configuration,DC=example,DC=ru
Base Object Description: "DSA Object"
Value Object Attribute Name: serverReferenceBL
Value Object Description: "SYSVOL FRS Member Object"
Recommended Action: See Knowledge Base Article: Q312862

[1] Problem: Missing Expected Value
Base Object:CN=DCXX,OU=Domain Controllers,DC=example,DC=ru
Base Object Description: "DC Account Object"
Value Object Attribute Name: frsComputerReferenceBL
Value Object Description: "SYSVOL FRS Member Object"
Recommended Action: See Knowledge Base Article: Q312862

. DC-01 failed test VerifyReferences

Судя по тексту ошибок я обратился к Q312862: http://support.microsoft.com/kb/312862. Но ничего полезного к данному случаю не нашёл.

Окольными путями причину и решение я нашёл в kb2618669 (ENG) или kb2618669 (машинные перевод). После установки HotFix (прямая ссылка), ошибка исчезла:

  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003 Datacenter Edition

Внимание ! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивировании, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986(http://support.microsoft.com/kb/256986/) Описание реестра Microsoft Windows

Проблема

При добавлении новых пользователей, групп, компьютеров, почтовых ящиков, контроллеров домена и других объектов в Active Directory на компьютере под управлением Windows Server 2003 или Windows 2000 появляется следующее сообщение об ошибке:

Не удалось создать объект по следующей причине: служба каталогов не смогла выделить относительный идентификатор.

При восстановлении контроллера домена с помощью резервной копии состояния системы в журнале системных событий регистрируется следующее событие.

Тип: Ошибка
Источник: SAM Event
Категория: Отсутствует
Код (ID): 16650
Не удалось инициализировать распределитель идентификаторов учетных записей. Запись данных этого события содержит код ошибки. Windows 2000 будет пытаться выполнять инициализацию, пока она не будет выполнена успешно, а до тех пор создание учетных записей на этом контроллере домена будет запрещено. Просмотрите другие записи событий SAM в журнале событий, которые могут указывать истинную причину этой ошибки.

Кроме того, можно просмотреть сведения о дополнительных ошибках, запустив команду Dcdiag с параметром подробного вывода. Для этого выполните следующие действия.

1. Выберите в меню Пуск пункт Выполнить , введите в поле Открыть команду cmd и нажмите кнопку ОК .
2. В командной строке введите DCdiag /v и нажмите клавишу ВВОД .

По результатам выполнения команды Dcdiag /v могут быть отображены следующие сообщения об ошибках.

Starting test: RidManager
* Available RID Pool for the Domain is 2355 to 1073741823
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1355 to 1854
* rIDNextRID: 0 The DS has corrupt data: rIDPreviousAllocationPool value is not valid
* rIDPreviousAllocationPool is 0 to 0 No rids allocated — please check eventlog.
. DC01 failed test RidManager

Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso ,DC= com for rid info failed with 2: Не удается найти указанный файл.
. DC01 failed test RidManager

Кроме того, в журнале системных событий могут регистрироваться и другие ошибки, изучение которых поможет вам устранить проблему.

Код (ID): 16647
Источник: SAM
Описание: контроллер домена приступает к запросу нового пула идентификаторов учетных записей.

Тип: Ошибка
Источник: SAM Event
Категория: Отсутствует
Код (ID): 16645
Описание: выделен максимальный идентификатор учетной записи для этого домена. Контроллер домена не смог получить новый пул идентификаторов. Возможная причина — контроллер домена не смог связаться с главным контроллером домена. Создание учетных записей на этом контроллере домена не будет возможно, пока не будет получен пул идентификаторов. Возможно, в домене имеются сетевые проблемы или проблемы подключения или главный контроллер домена отсутствует или находится в автономном режиме. Проверьте, работает ли главный контроллер домена в этом домене.

Причина

Такое поведение наблюдается в следующих случаях.

Читайте также:  Как делается айс латте в игре кофейня
После восстановления из резервной копии хозяин относительных идентификаторов (RID) пытается выполнить синхронизацию с другими контроллерами домена, чтобы убедиться, что нет других подключенных хозяев RID. Эта попытка завершается сбоем, если нет доступных контроллеров домена для синхронизации или не работает репликация. Дополнительные сведения об исправлении для Windows 2000, в котором было введено требование проводить синхронизацию, см. в следующей статье базы знаний Майкрософт:

307725 (http://support.microsoft.com/kb/307725/) Создание резервной копии и восстановление контроллера домена, являющегося хозяином RID, приводит к дублированию идентификаторов безопасности (SID)

Примечание . Если домен всегда содержал только один контроллер, то хозяин RID не пытается произвести синхронизацию с другими контроллерами домена, поскольку ему неизвестны другие контроллеры домена.

Пул идентификаторов RID исчерпан, либо объекты в Active Directory, имеющие отношение к распределению идентификаторов RID, используют неправильные значения или отсутствуют.

Решение

Удалите связи репликации для контекстов именования в Windows 2000

Чтобы обойти требование проведения начальной синхронизации, когда домен содержит контроллеры под управлением Windows Server 2003, передайте роль хозяина RID контроллеру домена под управлением Windows Server 2003, а затем захватите роль хозяина RID для ее текущего владельца. Захват роли FSMO для себя на контроллере домена под управлением Windows Server 2003 позволяет избежать проведения начальной синхронизации, которая необходима для запуска хозяина RID в работу, пока обладатель роли не перезагружен.

Примечание . Поскольку средство NTDSUTIL производит дополнительную проверку, выполняйте захват роли с помощью оснастки «Active Directory — пользователи и компьютеры» (Dsa.msc).

В Windows 2000 для проведения начальной синхронизации можно восстановить второй контроллер домена. Если восстановить второй контроллер домена не удается, выполните очистку метаданных несуществующих контроллеров домена или удалите связи репликации для контекстов именования Active Directory. Если позже вы планируете восстановить другие контроллеры домена, то вместо очистки метаданных следует удалить связи репликации.

Перед удалением связей репликации для контекстов именования Active Directory необходимо с помощью команды Repadmin определить значение objectGUID . Для этого выполните следующие действия.

1. Выберите в меню Пуск пункт Выполнить , введите в поле Открыть команду cmd и нажмите кнопку ОК .
2. В командной строке введите repadmin /showreps. Результат выполнения команды выглядит примерно так.

CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-NameDC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:10.03 was successful.

CN=Configuration,DC=contoso,DC=com Default-First-Site-NameDC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.43 was successful.

DC=contoso,DC=com Default-First-Site-NameDC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.01 was successful.

3. Введите команду repadmin /delete , чтобы удалить связи репликации. Контекст именования и objectGUID укажите, как показано в следующем примере. 4. Перезагрузите компьютер, исполняющий роль хозяина RID. Хозяин RID инициализируется правильно.

Убедитесь, что объектам Active Directory, имеющим отношение к распределению идентификаторов RID, присвоены действительные значения

Для этого выполните следующие действия.

1. Убедитесь, что группе «Все» предоставлено право Доступ к компьютеру из сети . Настроить этот параметр можно в окне редактора объектов групповой политики в разделе «Конфигурация компьютераПараметры WindowsПараметры безопасностиЛокальные политикиНазначение прав пользователя».
2. Установите средства поддержки Windows 2000 (расположены в папке Support на компакт-диске Windows 2000 или Windows Server 2003). После установки средств поддержки запустите оснастку ADSI Edit. Для этого выполните следующие действия.
a. Выберите в меню Пуск пункт Выполнить , введите в поле Открыть команду mmc и нажмите кнопку ОК .
b. В Windows 2000 выберите в меню Консоль команду Добавить/удалить оснастку . В Windows Server 2003 выберите в меню Файл команду Добавить или удалить оснастку .
c. В окне Добавить/удалить оснастку нажмите кнопку Добавить , выберите оснастку ADSIEdit и нажмите кнопку Добавить .
d. Нажмите кнопку Закрыть , а затем — ОК .
3. В окне консоли управления щелкните правой кнопкой мыши оснастку ADSIEdit и выберите команду Подключение . 4. В окне Connections Settings в разделе Connection Point выберите вариант Select a well known naming context . В раскрывающемся списке выберите вариант domain и нажмите кнопку ОК . 5. Разверните узел domain , а затем различающееся имя домена (например, DC= contoso , DC= com) . 6. Разверните узел OU=Domain Controllers . 7. Щелкните правой кнопкой мыши контроллер домена, который требуется проверить, и выберите команду Properties . 8. В меню Select a property to view выберите пункт userAccountControl . 9. Убедитесь, что параметр userAccountControl имеет значение 532480. Чтобы изменить значение userAccountControl , нажмите кнопку Edit в диалоговом окне свойств контроллера домена. 10. В окне Integer Attribute Editor введите в поле Value значение 532480 и нажмите кнопку OК .
Читайте также:  Русскоязычные биржи криптовалют рейтинг

Убедитесь, что хозяин RID производит репликацию с другими контроллерами домена

Если недавно повышенный в роли контроллер домена регистрирует событие с кодом 16650, то, возможно, он получил данные репликации от другого контроллера домена, который не является хозяином RID. В процессе повышения роли изменяется учетная запись компьютера для нового контролера домена. Если это изменение не реплицировано на контроллер домена, исполняющий роль хозяина RID, то новый контроллер домена не сможет получить пул RID.

Чтобы убедиться, что хозяин RID осуществляет репликацию по крайней мере с одним непосредственным партнером, выполните следующие действия.

1. Убедитесь, что существует объект CN=RID Set .

Объект CN=RID Set отображается на правой панели оснастки ADSI Edit, когда на левой панели в разделе OU=Domain Controllers выбран контроллер домена.

Если объект CN=RID Set не существует, то для его создания необходимо понизить, а затем снова повысить роль контроллера домена.

2. Если объект CN=RID Set существует, убедитесь, что атрибут rIDSetReferences в объекте учетной записи компьютера для контроллера домена указывает на различающееся имя объекта RID Set , как показано в следующем примере.
CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

Если атрибут rIDSetReferences не указывает на различающееся имя объекта RID Set , обращайтесь для получения дополнительных сведений в службу технической поддержки корпорации Майкрософт.

Статус

Такое поведение является особенностью данного продукта.

FSMO-роль хозяин относительных идентификаторов (RID master) является первой из трех ролей уровня домена, то есть в каждом конкретном домене должен быть один контроллер домена-хозяин этой роли. Учитывая тот факт, что в одном лесе AD может быть несколько доменов, то в каждом лесе может быть минимум один RID master, а максимальное их число равно количеству доменов в лесу.

Основная статья по Active Directory — Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций — FSMO — Fexible Single Master Operations.

Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике Windows Server на моем блоге.

RID master — Хозяин относительных идентификаторов

Важно понимать особенности функционирования хозяина относительных идентификаторов и те последствия, которые могут быть при неправильном обращении с ним. Именно поэтому теоретический раздел как никогда огромен.

Теория

Создать объект безопасности (учетная запись пользователя или компьютера, группа) администратор может на любом контроллере домена в рамках отдельно взятого домена AD — это обычная функциональная особенность, на которую никто даже не обращает внимания. Тем не менее сам процесс, а вернее его часть, завязана на отдельной роли хозяина операций — хозяине относительных идентификаторов.

Каждой учетной записи в домене Active Directory присваивается уникальный идентификатор безопасности, сокращенно называющийся SID (Secure IDentifier). Этот идентификатор 1 состоит из нескольких числовых значений, разделенных дефисом:

Именно за выдачу этих уникальных для домена идентификаторов и отвечает хозяин RID — он выдает «пачки» идентификаторов безопасности по 500 штук за раз (по умолчанию) каждому контроллеру в домене. Когда пул заканчивается, сервер обращается к хозяину RID и он генерирует для него новый пул и так далее. Максимальное значение составляет чуть больше 1 млрд. и в продакшене обычно не должно достигаться даже на 1/10 от максимума. Тем не менее теоретически достижение этого порога вполне возможно в связи с некорректной настройкой, непредвиденным ошибкам и т.д.. В любом случае при максимальном значении идентификатора придется проводить резервное восстановление леса или переезжать на другой домен. Стоит отметить, что в версии Windows Server 2012 внедрены значительные улучшения 2 для предупреждения этих ситуаций, а также существует возможность разблокировки 31-го бита в случае исчерпания пула.

Стоит рассказать немного подробнее о формате SID. Общие его вид представляет из себя следующую запись:

  • S — префикс SID;
  • R — номер ревизии. На данный момент существует только ревизия №1;
  • X — идентификатор центра выдачи. Например S-1-5 означает, что SID выдан службами AD DS;
  • Y1-Y2-Yn-1-Yn — полная цепочка промежуточных центров выдачи, состоящая минимум из 1 и максимум из 14 идентификаторов. В случае домена AD используется трехзначный идентификатор (Y1-Y2-Y3), уникальный для всего домена. То есть все идентификаторы Y1-Y2-Y3 любого объекта безопасности в домене всегда идентичны. Последним значением (в случае с доменом Y4) как раз является значение RID;

Например вот список пользователей домена:

А командой Dcdiag.exe /TEST:RidManager /v | find /i «rid» можно просмотреть состояние хозяина RID:

Читайте также:  Темы для монтажа видео

Там же можно и просмотреть текущий диапазон идентификаторов. Кстати, на другом контроллере домена пул будет отличаться, что вполне логично, ведь каждому контроллеру в домене выдается уникальный пул:

Есть некоторые уникальные ключи идентификатора безопасности, которые являются общими для тех или иных групп. Например группа администраторов схемы имеет формат S-1-5-root domain-518, где root domain — идентификатор центра выдачи корневого домена леса. На скриншоте ниже вы без труда найдете SID группы администраторов схемы:

Группа с RID 512 — группа администраторов домена. Более подробную информацию о других группах безопасности вы сможете найти в официальной документации 3 4 .

Стоит рассказать о ещё одной роли хозяина относительных идентификаторов. Внимательный читатель обратил внимание, что в каждом домене существует один хозяин RID и идентификаторы безопасности присваиваются объектам только внутри этого домена. Но что происходит, когда тот или иной объект безопасности переходит из одного домена в другой ?

Когда объект безопасности переходит из одного домена в другой (например из corp.bissquit.com в test.corp.bissquit.com), в целевом домене ему присваивается новый идентификатор безопасности SID, а старый остается для истории и записывается в специально созданный для этого атрибут — sIDHistory. Этот атрибут хранит всю историю смены идентификаторов безопасности, то есть может содержать более одного значения.

Но что будет, если в старом домене у этой учетной записи пользователя было членство в группах безопасности, регулирующих доступ к файловым ресурсам компании? Теоретически при смене SID он должен этот доступ утратить. Но нет. Во время процесса аутентификации службы извлекают из Active Directory все идентификаторы SID — которые были у учетной записи ранее, которые есть сейчас, а также идентификаторы групп, в которых эти идентификаторы состоят. На основе этих идентификаторов создается маркер доступа (access token), который далее используется для контроля разрешений к тем или иным объектам. Таким образом этот пользователь получит доступ к ресурсам домена, из которого была перенесена его учетная запись.

Лучшие практики

Лучшие практики администрирования контроллера домена-хозяина RID включают в себя следующие пункты:

1) Держите роли хозяин RID и PDC эмулятор на одном контроллере домена 5 6 :

Размещайте роли хозяина RID и эмулятора PDC на одном контроллере домена. Кроме того, роли FSMO легче отслеживать, если они собраны на минимальном количестве компьютеров.

Для снижения нагрузки на основной FSMO-сервер роли хозяина RID и эмулятора основного контроллера домена можно расположить на разных контроллерах одного домена и сайта Active Directory, которые являются прямыми партнерами репликации.

2) Если вы по каким-либо причинам лишились сервера-хозяина RID, то на любом другом контроллере домена вы можете принудительно захватить эту роль, но помните, что после этого изначальный хозяин RID не должен появиться в сети ;

3) Отслеживайте события 16653-16658. Они сигнализируют о проблемах в работе хозяина относительных идентификаторов.

Явной же проблемой станет отсутствие возможности добавить новые объекты безопасности в домен. Однако заметить это вы сможете спустя очень большое время (бэкапы в большинстве таких случаев будут бесполезны) или же вообще факт нарушения работоспособности хозяина RID останется неизвестным. Ведь пулы идентификаторов включают в себя 500 SID. Надо учесть, что во многих организациях может не работать и ста человек и тогда этот порог даже на одном контроллере домена может быть никогда не достигнут. Именно поэтому важно отслеживать указанные выше события;

4) Используйте последние версии ОС, поскольку они предоставляют новые инструменты мониторинга состояние хозяина RID и имеют более совершенные механизмы устранения проблем. В любом случае реальные причины вмешиваться в механизмы выдачи идентификаторов безопасности отсутствуют.

Администрирование

Специальная оснастка для управления работой хозяина RID отсутствует. Вы можете использовать ряд утилит для диагностики неисправностей, главной из которых является Dcdiag.exe.

Изменить владельца роли вы можете с помощью оснастки Active Directory — Пользователи и компьютеры. Для этого:

  1. Открываем оснастку на DC01, правой кнопкой нажимаем на Active Directory — Пользователи и компьютеры и выбираем Сменить контроллер домена Active Directory;
  2. Далее выбираем контроллер домена, на который мы хотим перенести роль (у меня это DC02, по умолчанию всегда выбирается сервер-владелец роли). Подтверждаем предупреждение;
  3. Снова правой кнопкой на Active Directory — Пользователи и компьютеры, но уже выбираем Хозяин операций…;
  4. Нажимаем кнопку Изменить….

После этого необходимо подтвердить выбор и получить уведомление об успешном переносе роли.

Ссылка на основную публикацию
Сколько человек сидит в одноклассниках
Mail.Ru Group исследовала и сравнила аудитории самых популярных в России социальных сетей — «Одноклассники», «Мой Мир», «ВКонтакте», Facebook и Twitter....
Сигнал flash в телефоне panasonic
● 19.12.08 13:08 - krepsky - 9 / 19.12.08 Два дня ломаю голову… Такая ситуация - купили партию телефонов Panasonic...
Сигналы материнской платы при загрузке
BIOS (Basic Input/Output System – базовая система ввода-вывода). Программа системного уровня, предназначенная для первоначального запуска компьютера, настройки оборудования и обеспечения...
Сколько четырехзначных чисел можно составить из нечетных
Условие Решение 1 Решение 2 Решение 3 Поиск в решебнике Популярные решебники Издатель: Н. Я. Виленкин, В. И. Жохов, А....
Adblock detector