Verwalten der RID-Ausstellung
Dieser Artikel behandelt die Änderungen an der FSMO-Rolle des RID-Masters, inklusive der neuen Ausstellungs- und Überwachungsfunktionen im RID-Master sowie Analyse und Problembehandlung bei der RID-Ausstellung.
Weitere Informationen finden Sie im AskDS-Blog.
Verwalten der RID-Ausstellung
Standardmäßig bietet eine Domäne Kapazität für ca. eine Milliarde Sicherheitsprinzipale wie z. B. Benutzer, Gruppen und Computer. Natürlich gibt es keine Domänen mit so vielen aktiv genutzten Objekten. Der Microsoft-Kundensupport hat jedoch Fälle gefunden, in denen:
Bereitstellungs-Software oder Verwaltungsskripts versehentlich massenweise Benutzer, Gruppen und Computer erstellt haben.
Delegierte Benutzer viele nicht genutzte Sicherheits- und Verteilergruppen erstellt haben
Viele Domänencontroller herabgestuft, wiederhergestellt oder deren Metadaten bereinigt wurden
Gesamtstruktur-Wiederherstellungen durchgeführt wurden
Die InvalidateRidPool-Operation häufig durchgeführt wurde
Der Registrierungswert für die RID-Blockgröße falsch erhöht wurde
All diese Situationen verbrauchen unnötig viele RIDs, oft aus Versehen. Über die Jahre sind in einigen Umgebungen die RIDs ausgegangen, wodurch eine Migration in eine neue Domäne oder Wiederherstellungen der Gesamtstruktur erforderlich wurden.
Windows Server 2012 behandelt einige Probleme mit der RID-Ausstellung, die erst mit dem Alter und der Allgegenwärtigkeit von Active Directory aufgetreten sind. Dazu gehören eine optimierte Ereignisprotokollierung, besser geeignete Grenzen und die Möglichkeit, im Notfall die RID-Gesamtpoolzuweisung für eine Domäne zu verdoppeln.
Regelmäßige Verbrauchswarnungen
Windows Server 2012 überwacht globale RID-Ereignisse und liefert frühzeitige Warnungen, wenn wichtige Meilensteine überschritten werden. Das Modell berechnet die Verbrauchsgrenze von zehn (10) Prozent des globalen Pools und protokolliert ein Ereignis, wenn die Grenze erreicht wird. Anschließend werden die nächsten zehn Prozent des verbleibenden Pools berechnet, und der Ereigniszyklus wird fortgesetzt. Wenn der globale RID-Raum erschöpft wird, häufen sich die Ereignisse, da die zehn Prozent in einem abnehmenden Pool schneller erreicht werden (die Ereignisprotokoll-Dämpfung verhindert jedoch mehr als einen Eintrag pro Stunde). Das Systemereignis-Protokoll auf jedem Domänencontroller schreibt ein Verzeichnisdienst-SAM-Ereignis 16658.
Ausgehend von einem globalen RID-Raum mit 30 Bit wird das erste Ereignis bei der Zuweisung des Pools protokolliert, der die RID Nummer 107.374.182 enthält. Die Ereignisse beschleunigen auf natürliche Weise bis zum letzten Checkpoint von 100.000, mit insgesamt 110 generierten Ereignissen. Das Verhalten für einen freigeschalteten globalen RID-Raum mit 31 Bit ist ähnlich: beginnend mit 214.748.365 und insgesamt 117 Ereignissen.
Wichtig
Dieses Ereignis ist nicht zu erwarten. Prüfen Sie die Erstellungsprozesse für Benutzer, Gruppen und Computer in der Domäne unverzüglich. Es ist sehr ungewöhnlich, dass über 100 Millionen AD DS-Objekte erstellt werden.
RID-Pool-Ungültigmachung
Neue Ereigniswarnungen weisen darauf hin, dass ein lokaler RID-Pool eines DC gelöscht wurde. Diese Warnungen haben Informationscharakter und sind möglicherweise zu erwarten, insbesondere aufgrund der neuen VDC-Funktionen. Die folgende Ereignisliste enthält weitere Details zum Ereignis.
Größenbeschränkungen der RID-Blockgröße
Normalerweise fragen Domänencontroller RID-Zuweisungen in Blöcken zu jeweils 500 RIDs an. Sie können diesen Standardwert über den folgenden REG_DWORD-Wert auf einem Domänencontroller überschreiben:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values
RID Block Size
Vor Windows Server 2012 gab es keine Obergrenze für diesen Registrierungsschlüssel, abgesehen von der impliziten DWORD-Obergrenze (mit einem Wert von 0xffffffff oder 4294967295). Dieser Wert liegt deutlich oberhalb des globalen RID-Gesamtraums. Manche Administratoren haben die RID-Blockgröße versehentlich oder in Unkenntnis auf Werte gesetzt, mit denen die globalen RIDs rasant erschöpft wurden.
In Windows Server 2012 kann dieser Registrierungswert auf einen Dezimalwert von maximal 15.000 (Hexadezimalwert: 0x3A98) festgelegt werden. Damit wird die massenhafte unbeabsichtigte RID-Zuweisung verhindert.
Wenn Sie den Wert höher als 15.000 setzen, wird dieser als 15.000 behandelt, und der Domänencontroller protokolliert das Ereignis 16653 im Verzeichnisdienste-Ereignisprotokoll bei jedem Neustart, bis der Wert korrigiert wird.
Freischalten des globalen RID-Raums
Vor Windows Server 2012 war der globale RID-Raum auf 230 (bzw. 1.073.741.823) RIDs begrenzt. Ab dem Erreichen dieses Werts konnten neue RIDs nur noch nach einer Domänenmigration oder einer Wiederherstellung der Gesamtstruktur auf einen früheren Zeitpunkt ausgegeben werden - in jedem Fall eine Notfallwiederherstellung. Ab Windows Server 2012 kann das Bit 231 freigeschaltet werden, um den globalen Pool auf 2.147.483.648 RIDs zu vergrößern.
AD DS speichert diese Einstellung in einem versteckten Attribut mit dem Namen SidCompatibilityVersion im RootDSE-Kontext aller Domänencontroller. Dieses Attribut kann mit ADSIEdit, LDP oder anderen Tools nicht ausgelesen werden. Um den globalen RID-Raum zu vergrößern, können Sie im Systemereignisprotokoll nach dem Warnungsereignis 16655 von Verzeichnisdienst-SAM suchen oder den folgenden Dcdiag-Befehl verwenden:
Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"
Wenn Sie den globalen RID-Pool vergrößern, wächst dieser vom Standardwert 1.073.741.823 auf 2.147.483.647. Beispiel:
Warnung
Diese Freischaltung ist ausschließlich dazu gedacht, eine Erschöpfung der RIDs zu verhindern und darf ausschließlich in Verbindung mit RID-Obergrenzenerzwingung (siehe nächster Abschnitt) eingesetzt werden. Verwenden Sie dies niemals "vorsorglich" in Umgebungen mit Millionen freier RIDs und geringem Wachstum, da RIDs aus dem freigeschalteten RID-Pool Probleme bzgl. der Anwendungskompatibilität verursachen können.
Diese Freischaltung kann nur durch eine komplette Wiederherstellung der Gesamtstruktur auf einen früheren Zeitpunkt rückgängig gemacht oder entfernt werden.
Wichtige Einschränkungen
Domänencontroller unter Windows Server 2003 und Windows Server 2008 können keine RIDs ausstellen, wenn das 31. Bit im globalen RID-Pool entsperrt ist. Windows Server 2008 R2 Domänencontroller können 31st-Bit-RIDs verwenden aber nur, wenn sie Hotfix KB 2642658 installiert haben. Nicht unterstützte und nicht gepatchte Domänencontroller behandeln den globalen RID-Pool als erschöpft, wenn dieser freigeschaltet wurde.
Dieses Feature wird von keiner Domänenfunktionsebene erzwungen. Achten Sie unbedingt darauf, dass die Domäne nur Domänencontroller unter Windows Server 2012 oder Windows Server 2008 R2 mit Update enthält.
Freischalten des globalen RID-Raums
Führen Sie die folgenden Schritte durch, um das 31. Bit im globalen RID-Pool freizuschalten, nachdem Sie die RID-Grenzwertwarnung (siehe unten) erhalten haben:
Stellen Sie sicher, dass die RID-Masterrolle auf einem Windows Server 2012-Domänencontroller läuft. Übertragen Sie diese Rolle andernfalls auf einen Windows Server 2012-Domänencontroller.
Führen Sie LDP.exe aus
Wählen Sie im Menü Verbindung die Option Verbinden für den Windows Server 2012-RID-Master an Port 389 aus. Wählen Sie anschließend als Domänenadministrator*in die Option Binden aus.
Wählen Sie das Menü Durchsuchen und dann Ändern aus.
Stellen Sie sicher, dass DN leer ist.
Geben Sie unter Attributeingabe bearbeiten Folgendes ein:
SidCompatibilityVersion
Geben Sie unter Werte Folgendes ein:
1
Stellen Sie sicher, dass unter Vorgang die Option Hinzufügen ausgewählt ist, und drücken Sie die EINGABETASTE. Daraufhin wird die Eintragsliste aktualisiert.
Wählen Sie die Optionen Synchron und Erweitert und dann Ausführen aus.
Im Erfolgsfall wird im LDP-Ausgabefenster Folgendes angezeigt:
***Call Modify... ldap_modify_ext_s(Id, '(null)',[1] attrs, SvrCtrls, ClntCtrls); modified "".
Suchen Sie im Systemereignisprotokoll auf diesem Domänencontroller nach dem Verzeichnisdienste-SAM-Informationsereignis 16655, um zu bestätigen, dass der globale RID-Pool vergrößert wurde.
RID-Obergrenzenerzwingung
Windows Server 2012 verwendet eine künstliche Obergrenze für den globalen RID-Raum bei zehn (10) Prozent der verbleibenden RIDs im globalen Raum. Dies dient als Schutzmaßnahme bei der Domänenverwaltung. Wenn nur noch ein (1) Prozent der künstlichen Obergrenze verbleiben, schreiben Domänencontroller beim Anfragen von RID-Pools ein Verzeichnisdienste-SAM-Warnungsereignis 16656 in deren Systemereignisprotokoll. Beim Erreichen der Obergrenze von zehn Prozent im RID-Master-FSMO, schreibt dieser das Verzeichnisdienste-SAM-Ereignis 16657 in das Systemereignisprotokoll und gibt erst wieder neue RID-Pools frei, wenn die Obergrenze außer Kraft gesetzt wurde. Dies zwingt Sie dazu, den Zustand des RID-Masters in der Domäne zu prüfen und mögliche Probleme bei der RID-Zuweisung zu beheben. Außerdem wird Ihre Domäne davor geschützt, den gesamten RID-Raum zu erschöpfen.
Dieser Grenzwert ist hartcodiert bei verbleibenden zehn Prozent des verfügbaren RID-Raums. Die Obergrenze tritt also in Kraft, wenn der RID-Master einen Pool zuweist, der die RID enthält, die neunzig (90) Prozent des globalen RID-Raums entspricht.
Für Standarddomänen liegt der erste Auslöser bei 230-1 * 0,90 = 966.367.640 (bzw. 107.374.183 verbleibenden RIDs).
Für Domänen mit freigeschaltetem 31-Bit-RID-Raum liegt der Auslöser bei 231-1 * 0,90 = 1.932.735.282 (bzw. 214.748.365 verbleibenden RIDs).
Beim Auslösen setzt der RID-Master das Active Directory-Attribut msDS-RIDPoolAllocationEnabled (allgemeiner Name ms-DS-RID-Pool-Allocation-Enabled) für das Objekt auf FALSE:
CN=RID Manager$,CN=System,DC=<Domäne>
Das Ereignis 16657 wird geschrieben und verhindert die weitere Ausstellung von RID-Blocks auf allen Domänencontrollern. Die Domänencontroller verbrauchen weiterhin alle bislang ausgestellten RID-Pools.
Setzen Sie diesen Wert auf TRUE, um die Sperre zu entfernen und die Zuweisung der RID-Pools fortzusetzen. Bei der nächsten RID-Zuweisung durch den RID-Master kehrt das Attribut auf seinen Standardwert NOT SET zurück. Anschließend existieren keine weiteren Obergrenzen mehr und der globale RID-Raum wird irgendwann erschöpft, und eine Gesamtstruktur-Wiederherstellung oder Domänenmigration ist erforderlich.
Entfernen der Obergrenzensperre
Führen Sie die folgenden Schritte durch, um die Sperre nach dem Erreichen der künstlichen Obergrenze zu entferen:
Stellen Sie sicher, dass die RID-Masterrolle auf einem Windows Server 2012-Domänencontroller läuft. Übertragen Sie diese Rolle andernfalls auf einen Windows Server 2012-Domänencontroller.
Führen Sie LDP.exe aus.
Wählen Sie im Menü Verbindung die Option Verbinden für den Windows Server 2012-RID-Master an Port 389 aus. Wählen Sie anschließend als Domänenadministrator*in die Option Binden aus.
Wählen Sie im Menü Ansicht die Option Gesamtstruktur und dann den Domänennamenskontext des RID-Masters für Basis-DN aus. Klicken Sie auf OK.
Führen Sie im Navigationsbereich einen Drilldown für den Container CN=System aus, und wählen Sie das Objekt CN=RID Manager$ aus. Klicken Sie mit der rechten Maustaste darauf, und wählen Sie Ändern aus.
Geben Sie unter Attributeingabe bearbeiten Folgendes ein:
MsDS-RidPoolAllocationEnabled
Geben Sie unter Werte Folgendes ein (in Großbuchstaben):
TRUE
Wählen Sie unter Vorgang die Option Ersetzen aus, und drücken Sie die EINGABETASTE. Daraufhin wird die Eintragsliste aktualisiert.
Aktivieren Sie die Optionen Synchron und Erweitert, und wählen Sie dann Ausführen aus:
Im Erfolgsfall wird im LDP-Ausgabefenster Folgendes angezeigt:
***Call Modify... ldap_modify_ext_s(ld, 'CN=RID Manager$,CN=System,DC=<domain>',[1] attrs, SvrCtrls, ClntCtrls); Modified "CN=RID Manager$,CN=System,DC=<domain>".
Sonstige RID-Korrekturen
Ältere Windows Server-Versionen hatten ein Verlustproblem im RID-Pool, wenn das rIDSetReferences-Attribut gefehlt hat. Um dieses Problem auf Domänencontrollern zu beheben, die Windows Server 2008 R2 ausführen, installieren Sie den Hotfix aus KB 2618669.
Nicht korrigierte RID-Probleme
Wenn die Kontoerstellung fehlschlägt, existiert ein weiteres RID-Verlustproblem. Wenn die Kontoerstellung fehlschlägt, wird dennoch eine RID verbraucht. Ein gängiges Beispiel ist die Erstellung von Benutzer*innen, deren Kennwort die Komplexitätsanforderungen nicht erfüllt.
RID-Korrekturen für ältere Windows Server-Versionen
Für alle der oben genannten Korrekturen und Änderungen existieren Hotfixes für Windows Server 2008 R2. Aktuell sind keine Windows Server 2008-Hotfixes geplant oder in Arbeit.
Problembehandlung bei der RID-Ausstellung
Einführung in die Problembehandlung
Die Problembehandlung bei der RID-Ausstellung erfordert ein logisches und lineares Vorgehen. Sofern Sie Ihre Ereignisprotokolle nicht sorgfältig auf RID-bezogene Warnungen und Fehler überwachen, werden Sie als erstes Problem Fehler bei der Kontoerstellung bemerken. Für die Problembehandlung bei der RID-Ausstellung müssen Sie zunächst verstehen, welche Symptome zu erwarten sind. Manche Probleme bei der RID-Ausstellung betreffen nur einen Domänencontroller und haben nichts mit den Komponentenverbesserungen zu tun. Das folgende einfache Diagramm erleichtert Ihnen diese Entscheidungen:
Optionen zur Problembehebung
Protokollierungsoptionen
Alle Protokolleinträge bei der RID-Ausstellung werden unter Verzeichnisdienste-SAM in das Systemereignisprotokoll geschrieben. Die Protokollierung ist standardmäßig aktiviert und für maximale Ausführlichkeit konfiguriert. Wenn keine Einträge für die neuen Komponentenänderungen in Windows Server 2012 protokolliert werden, sollten Sie das Problem als klassisches (Legacy-, vor Windows Server 2012) RID-Ausstellungsproblem behandeln, das in Windows Server 2008 R2 oder älteren Betriebssystemen auftritt.
Hilfsprogramme und Befehle für die Problembehandlung
Die folgenden Tools dienen als Ausgangspunkt bei der Behandlung von Problemen, die nicht durch die genannten Protokolle erklärt werden können, insbesondere ältere RID-Ausstellungsprobleme:
Dcdiag.exe
Repadmin.exe
Network Monitor 3.4
Allgemeine Methoden für die Problembehandlung bei der Domänencontroller-Konfiguration
Wurde der Fehler durch ein einfaches Berechtigungs- oder Verfügbarkeitsproblem eines Domänencontrollers verursacht?
Haben Sie versucht, ein Sicherheitsprinzipal ohne die erforderlichen Berechtigungen zu erstellen? Untersuchen Sie die Ausgabe auf "Zugriff verweigert"-Fehler.
Ist ein Domänencontroller verfügbar? Untersuchen Sie den zurückgegebenen Fehler sowie LDAP- und Domänencontroller-Verfügbarkeitsnachrichten.
Enthält der zurückgegebene Fehler einzelne RIDs bzw. ist er spezifisch genug, um als Hinweis zu dienen? Wenn ja, folgen Sie diesen Hinweisen.
Enthält der zurückgegebene Fehler einzelne RIDs, ist aber ansonsten eher unspezifisch? Zum Beispiel: „Windows kann das Objekt nicht erstellen, da es dem Verzeichnisdienst nicht möglich war, einen relativen Bezeichner zuzuweisen.“
Untersuchen Sie das Systemereignisprotokoll auf dem Domänencontroller auf „Legacy-“ (vor Windows Server 2012) RID-Ereignisse, die in der RID-Poolanforderung (16642, 16643, 16644, 16645, 16656) aufgeführt sind.
Untersuchen Sie die Systemereignisse des Domänencontrollers und des RID-Masters auf die weiter unten in diesem Artikel beschriebenen Ereignisse, die auf neu erstellte Blocks hindeuten (16655, 16656, 16657).
Prüfen Sie die Active Directory-Replikationsintegrität mit Repadmin.exe und die Verfügbarkeit des RID-Masters mit Dcdiag.exe /test:ridmanager /v. Führen Sie beidseitige Netzwerkerfassungen zwischen Domänencontroller und RID-Master durch, falls diese Tests nicht eindeutig ausfallen.
Beheben von bestimmten Problemen
Die folgenden neuen Nachrichten werden in das Systemereignisprotokoll in Windows Server 2012-Domänencontrollern geschrieben. Automatische AD-Integritätsüberwachungssysteme wie System Center Operations Manager sollten diese Ereignisse überwachen, die allesamt wichtig sind und teilweise auf kritische Probleme in der Domäne hinweisen.
Ereignis-ID | 16653 |
---|---|
`Source` | Verzeichnisdienst-SAM |
severity | Warnung |
Nachricht | Eine Poolgröße für Kontobezeichner (RIDs), die ein Administrator konfiguriert hat, übersteigt das unterstützte Maximum. Der maximale Wert "%1" wird verwendet, wenn der Domänencontroller der RID-Master ist. Weitere Informationen finden Sie unter Größenbeschränkungen der RID-Blockgröße. |
Hinweise und Lösung | Der maximale Wert für die RID-Blockgröße ist nun 15.000 dezimal (3A98 hexadezimal). Domänencontroller können nicht mehr als 15.000 RIDs anfordern. Dieses Ereignis wird bei jedem Neustart protokolliert, bis der Wert auf das Maximum oder darunter gesetzt wurde. |
Ereignis-ID | 16654 |
---|---|
`Source` | Verzeichnisdienst-SAM |
severity | Informational |
Nachricht | Ein Pool aus Kontobezeichnern (RIDs) wurde ungültig gemacht. Dies kann in folgenden erwarteten Fällen vorkommen: 1. Ein Domänencontroller wird aus einer Sicherung wiederhergestellt. 2. Ein Domänencontroller, der auf einem virtuellen Computer ausgeführt wird, wird aus einer Momentaufnahme wiederhergestellt. 3. Ein Administrator hat den Pool manuell ungültig gemacht. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=226247. |
Hinweise und Lösung | Wenn dieses Ereignis unerwartet auftritt, sollten Sie alle Domänenadministratoren kontaktieren und herausfinden, wer diese Aktion ausgeführt hat. Das Verzeichnisdienste-Ereignisprotokoll enthält außerdem weitere Informationen zum Zeitpunkt, zu dem einer dieser Schritte ausgeführt wurde. |
Ereignis-ID | 16655 |
---|---|
`Source` | Verzeichnisdienst-SAM |
severity | Informational |
Nachricht | Das globale Maximum für Kontobezeichner (RIDs) wurde auf "%1" erhöht. |
Hinweise und Lösung | Wenn dieses Ereignis unerwartet auftritt, sollten Sie alle Domänenadministratoren kontaktieren und herausfinden, wer diese Aktion ausgeführt hat. Dieses Ereignis deutet auf die Erhöhung der Gesamtgröße des RID-Pools jenseits der Standardgrenze von 230 hin und tritt nicht automatisch auf, sondern nur durch Verwaltungsaktionen. |
Ereignis-ID | 16656 |
---|---|
`Source` | Verzeichnisdienst-SAM |
severity | Warnung |
Nachricht | Das globale Maximum für Kontobezeichner (RIDs) wurde auf "%1" erhöht. |
Hinweise und Lösung | Es ist eine Aktion erforderlich! Diesem Domänencontroller wurde ein Pool aus Kontobezeichnern (RIDs) zugeordnet. Dem Poolwert ist zu entnehmen, dass diese Domäne einen erheblichen Teil der insgesamt verfügbaren Konto-IDs beansprucht. Es wird ein Schutzmechanismus aktiviert, sobald für die Domäne für die verbliebenen verfügbaren Kontobezeichner der folgende Schwellenwert erreicht wurde: %1. Der Schutzmechanismus verhindert die Kontoerstellung, bis Sie die Zuweisung von Kontobezeichnern auf dem RID-Master-Domänencontroller manuell aktivieren. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=228610. |
Ereignis-ID | 16657 |
---|---|
`Source` | Verzeichnisdienst-SAM |
severity | Fehler |
`Message` | Es ist eine Aktion erforderlich! In dieser Domäne ist ein erheblicher Teil der grundsätzlich verfügbaren Kontobezeichner (RIDs) vergeben. Es wurde ein Schutzmechanismus aktiviert, da die Gesamtzahl der verbleibenden Kontobezeichner geringer ist als: X% [künstliches Obergrenzenargument]. Der Schutzmechanismus verhindert die Kontoerstellung, bis Sie die Zuweisung von Kontobezeichnern auf dem RID-Master-Domänencontroller manuell aktivieren. Vor der erneuten Aktivierung der Kontoerstellung müssen unbedingt bestimmte Diagnosemaßnahmen durchgeführt werden, um sicherzustellen, dass die Kontobezeichner der Domäne nicht übermäßig schnell verbraucht werden. Alle identifizierten Probleme sollten vor der erneuten Aktivierung der Kontoerstellung behoben werden. Wenn die Probleme, die zum übermäßig schnellen Verbrauch der RIDs führen, nicht behoben werden, können die RIDs der Domäne erschöpft werden, was zur permanenten Deaktivierung der Kontoerstellung in der Domäne führt. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=228610. |
Hinweise und Lösung | Kontaktieren Sie alle Domänenadministratoren und informieren Sie diese darüber, dass keine weiteren Sicherheitsprinzipale erstellt werden können, bis dieser Schutz außer Kraft gesetzt wird. Weitere Informationen zum Außerkraftsetzen des Schutzes und zur Vergrößerung des RID-Gesamtpools finden Sie unter Freischalten des globalen RID-Raums. |
Ereignis-ID | 16658 |
---|---|
`Source` | Verzeichnisdienst-SAM |
severity | Warnung |
Nachricht | Dieses Ereignis ist eine regelmäßige Aktualisierung der Anzahl von verbliebenen verfügbaren Kontobezeichnern (RIDs). Die Anzahl von verbliebenen Kontobezeichnern beträgt ungefähr: %1. Kontobezeichner werden verwendet, wenn Konten erstellt werden. Wenn keine Kontobezeichner mehr verfügbar sind, können in der Domäne keine neuen Konten mehr erstellt werden. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=228745. |
Hinweise und Lösung | Kontaktieren Sie alle Domänenadministratoren und informieren Sie diese darüber, dass der RID-Verbrauch einen wichtigen Meilenstein überschritten hat. Ermitteln Sie, ob dieses Verhalten zu erwarten ist, indem Sie die Erstellungsmuster für Objekte prüfen. Dieses Ereignis sollte nur in den seltensten Fällen auftreten und deutet darauf hin, dass mindestens ~100 Millionen RIDs verbraucht wurden. |