Compartir a través de


Administrar la emisión de RID

En este artículo se explica el cambio al rol FSMO del maestro RID, se incluye la nueva funcionalidad de emisión y supervisión del maestro RID, y se explica cómo analizar la emisión de RID y solucionar sus problemas.

Puede encontrar más información en el blog de AskDS.

Administrar la emisión de RID

De forma predeterminada, cada dominio tiene capacidad para, aproximadamente, mil millones de entidades de seguridad, como usuarios, grupos y equipos. Obviamente, no hay ningún dominio en el que se utilicen activamente tantos objetos. Sin embargo, el servicio de asistencia al cliente de Microsoft encontró casos en los que:

  • El software de aprovisionamiento o los scripts administrativos acumulan accidentalmente los usuarios, grupos y equipos creados.

  • Los usuarios delegados crearon muchos grupos de distribución y seguridad que no se utilizan.

  • Se disminuyeron de nivel o se restauraron muchos controladores de dominio, o se limpiaron sus metadatos.

  • Se realizaron recuperaciones de bosques.

  • La operación InvalidateRidPool se llevó a cabo con frecuencia.

  • El valor del Registro correspondiente al tamaño de los bloques de RID se incrementó de forma incorrecta.

Todas estas situaciones consumen RID innecesariamente, a menudo por error. Tras muchos años, algunos entornos se quedaron sin RID y esto los obligó a migrar a un nuevo dominio o realizar recuperaciones de bosques.

Windows Server 2012 se ocupa de los problemas relacionados con la asignación de RID que aparecieron con los años y la extensión de Active Directory. Ahí se incluye un registro de eventos mejorado, límites más apropiados y la posibilidad de duplicar (en caso de emergencia) el tamaño total del espacio global de RID de un dominio.

Advertencias periódicas de consumo

Windows Server 2012 agrega un seguimiento de eventos relacionados con el espacio global de RID que proporciona advertencias anticipadas cuando se alcanzan los hitos principales. El modelo calcula la marca del diez (10) por ciento utilizado del grupo global y, cuando se llega a esa marca, registra un evento. Luego, calcula el siguiente diez por ciento utilizado del resto y el ciclo de eventos continúa. A medida que se agote el espacio global de RID, los eventos se producirán cada vez con más frecuencia, dado que el diez por ciento se alcanza antes en el grupo si este va disminuyendo (pero la limitación del registro de eventos impedirá que haya más de una entrada por hora). El registro de eventos del sistema de cada controlador de dominio escribirá el evento de advertencia de Directory-Services-SAM 16658.

En un espacio global de RID de 30 bits predeterminado, el primer evento se registrará al asignar el grupo que contenga el RID número 107.374.182. La frecuencia de los eventos se acelerará, como es natural, hasta el último punto de control, de 100.000, con 110 eventos generados en total. El comportamiento es similar con un espacio global de RID de 31 bits desbloqueado: se inicia en el número 214.748.365 y finaliza en 117 eventos.

Importante

No se espera que aparezca este evento: si se produce, investiga enseguida los procesos de creación de usuarios, equipos y grupos del dominio. No es muy normal que se creen más de cien millones de objetos de AD DS.

Gráfico de puntos de referencia de eventos.

Eventos de invalidación de grupos de RID

Hay nuevas alertas de eventos que indican que se descartó un grupo de RID del controlador de dominio local. Son informativas y no es raro que aparezcan, especialmente con la nueva funcionalidad de controladores de dominio virtuales. Para ver los detalles del evento, consulta la lista de eventos que se incluye a continuación.

Límite de tamaño de los bloques de RID

Generalmente, los controladores de dominio solicitan asignaciones de RID en bloques de 500 RID cada uno. Puedes reemplazar esta configuración predeterminada con el siguiente valor de REG_DWORD del Registro de un controlador de dominio:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values
RID Block Size

En las versiones anteriores a Windows Server 2012, no se exigía ningún valor máximo en esa clave del Registro, excepto el máximo implícito de DWORD (que tiene el valor 0xffffffff o 4294967295). Este valor es considerablemente mayor que el espacio global de RID total. A veces, los administradores configuraban por error el tamaño de los bloques de RID con valores que agotaban el espacio global de RID a una velocidad desmesurada.

En Windows Server 2012, no se puede configurar este valor del Registro con un valor mayor de 15 000 decimal (0x3A98 hexadecimal). Así, se evita que se asignen muchos RID sin querer.

Si defines un valor superior a 15.000, el valor se tratará como si fuera 15.000 y el controlador de dominio registrará el evento 16653 en el registro de eventos de los Servicios de directorio con cada reinicio hasta que se corrija el valor.

Desbloqueo del tamaño del espacio global de RID

En las versiones anteriores a Windows Server 2012, el espacio global de RID estaba limitado a 230 (o 1.073.741.823) RID en total. Cuando se alcanzaba esta cifra, solo se podían crear más SID con una migración del dominio o una recuperación del bosque a un período de tiempo anterior: una recuperación ante desastres, fuera como fuera. Desde Windows Server 2012, se puede desbloquear el bit 231 para aumentar el grupo global a 2.147.483.648 RID.

AD DS almacena esta configuración en un atributo especial oculto llamado SidCompatibilityVersion del contexto RootDSE de todos los controladores de dominio. Este atributo no se puede leer con ADSIEdit, LDP ni otras herramientas. Para ver un aumento del espacio global de RID, examina el registro de eventos del sistema hasta encontrar el evento de advertencia 16655 de Directory-Services-SAM o utiliza el siguiente comando de Dcdiag:

Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"

Si incrementas el grupo global de RID, el grupo disponible cambiará a 2.147.483.647 en lugar de al valor predeterminado de 1.073.741.823. Por ejemplo:

Captura de pantalla de una ventana de terminal que muestra el aumento del valor predeterminado.

Advertencia

Este desbloqueo se diseñó únicamente para evitar que se agoten los RID y se debe utilizar únicamente si también se exige un límite superior de RID (consulta la siguiente sección). No lo configures “para prevenir” en los entornos en los que queden millones de RID y donde el crecimiento sea lento: podrían aparecer problemas de compatibilidad de aplicaciones con los SID generados desde el grupo de RID desbloqueado.

Esta operación de desbloqueo no se puede revertir ni quitar, excepto si el bosque se recupera por completo a copias de seguridad anteriores.

Advertencias importantes

Los controladores de dominio de Windows Server 2003 y Windows Server 2008 no pueden emitir RID cuando está desbloqueado el 31.º bit del grupo global de RID. Los controladores de dominio de Windows Server 2008 R2 pueden usar los RID del 31.º bit, pero solo si tienen instalada la revisión KB 2642658. Los controladores de dominio no admitidos y sin la revisión consideran que el grupo global de RID está agotado cuando está desbloqueado.

Ningún nivel funcional del dominio aplica esta característica: debe tener cuidado y asegurarse de que el dominio solo contiene controladores de dominio de Windows Server 2012 o Windows Server 2008 R2 actualizados.

Implementación del espacio global de RID desbloqueado

Para desbloquear el grupo de RID con el 31.º bit después de recibir la alerta de límite superior de RID (más información, a continuación), sigue estos pasos:

  1. Comprueba que el rol de maestro de RID se está ejecutando en un controlador de dominio de Windows Server 2012. Si no es así, transfiérelo a un controlador de dominio de Windows Server 2012.

  2. Ejecuta LDP.exe.

  3. Seleccione el menú Conexión, luego, Conectar en el maestro RID de Windows Server 2012 en el puerto 389 y, después, seleccione Enlazar como administrador de dominio.

  4. Seleccione el menú Examinar y después Modificar.

  5. Asegúrate de que DN está vacío.

  6. En Editar atributo de entrada, escriba:

    SidCompatibilityVersion
    
  7. En Valores, escribe:

    1
    
  8. Asegúrese de que Agregar está seleccionado en Operación y seleccione Introducir. Se actualizará la Lista de entradas.

  9. Seleccione las opciones Sincrónico y Extendido y, luego, Ejecutar.

    Captura de pantalla que muestra dónde seleccionar Ejecutar.

  10. Si finaliza correctamente, la ventana de salida de LDP mostrará:

    ***Call Modify...
     ldap_modify_ext_s(Id, '(null)',[1] attrs, SvrCtrls, ClntCtrls);
    modified "".
    
    

    Captura de pantalla que muestra la salida del LDP.

  11. Confirma que se aumentó el grupo global de RID: examina el registro de eventos del sistema de ese controlador de dominio y busca en él el evento informativo de Directory-Services-SAM 16655.

Cumplimiento del límite superior de RID

Para poder aplicar una medida de protección e informar mejor a los administradores, Windows Server 2012 incorpora un límite superior artificial en el intervalo global de RID: un diez (10) por ciento de RID restantes en el espacio global. Cuando se esté en el uno (1) por ciento del límite superior artificial, los controladores de dominio que soliciten grupos de RID escribirán el evento de advertencia de Directory-Services-SAM 16656 en su registro de eventos del sistema. Al alcanzar el límite superior de 10 % en el FSMO del maestro RID, este escribe el evento 16657 de Directory-Services-SAM en su registro de eventos del sistema y no asignará más grupos de RID hasta que se invalide el límite superior. Así, tendrás que evaluar el estado del maestro de RID del dominio y solucionar la posible asignación descontrolada de RID. Además, esto protege a los dominios para que no agoten todo el espacio de RID.

El límite superior está codificado de forma rígida en el diez por ciento restante del espacio de RID disponible. Es decir, el límite superior se activa cuando el maestro de RID asigna un grupo que incluye el RID correspondiente al noventa (90) por ciento del espacio global de RID.

  • En los dominios predeterminados, el primer punto en el que se desencadena es 230–1 * 0,90 = 966.367.640 (o 107.374.183 RID restantes).

  • En los dominios con espacio de RID desbloqueado de 31 bits, el punto en el que se desencadena es 231–1 * 0,90 = 1.932.735.282 RID (o 214.748.365 RID restantes).

Cuando se desencadena, el maestro de RID configura el atributo de Active Directory msDS-RIDPoolAllocationEnabled (nombre común: ms-DS-RID-Pool-Allocation-Enabled) como FALSE en el objeto:

CN=RID Manager$,CN=System,DC=<domain>

De este modo, se escribe el evento 16657 y se impide que se emitan más bloques de RID a todos los controladores de dominio. Los controladores de dominio seguirán consumiendo los grupos de RID pendientes que ya se emitieron para ellos.

Para quitar el bloque y permitir que continúe la asignación de grupos de RID, configura ese valor como TRUE. En la siguiente asignación de RID que lleve a cabo el maestro de RID, el atributo volverá al valor predeterminado de NOT SET. Después de esto, no habrá más límites superiores y, finalmente, el espacio global de RID se agotará y será necesario realizar una recuperación del bosque o una migración del dominio.

Eliminación del bloque del límite superior

Para quitar el bloque después de alcanzar el límite superior artificial, sigue estos pasos:

  1. Comprueba que el rol de maestro de RID se está ejecutando en un controlador de dominio de Windows Server 2012. Si no es así, transfiérelo a un controlador de dominio de Windows Server 2012.

  2. Ejecuta LDP.exe.

  3. Seleccione el menú Conexión, luego, Conectar en el maestro RID de Windows Server 2012 en el puerto 389 y, después, seleccione Enlazar como administrador de dominio.

  4. Seleccione el menú Ver, luego Árbol y, después, en DN base, seleccione el contexto de nomenclatura del dominio propio del maestro RID. Seleccione Aceptar.

  5. En el panel de navegación, explore en profundidad hasta entrar en el contenedor CN=System y seleccione el objeto CN=RID Manager$. Selecciónelo con el botón derecho y seleccione Modificar.

  6. En Editar atributo de entrada, escribe:

    MsDS-RidPoolAllocationEnabled
    
  7. En Valores, escribe (en mayúsculas):

    TRUE
    
  8. Seleccione Reemplazar en Operación y después Introducir. Se actualizará la Lista de entradas.

  9. Habilite las opciones Sincrónico y Extendido y, luego, seleccione Ejecutar:

    Captura de pantalla que muestra cómo ejecutar la operación.

  10. Si finaliza correctamente, la ventana de salida de LDP mostrará:

    ***Call Modify...
    ldap_modify_ext_s(ld, 'CN=RID Manager$,CN=System,DC=<domain>',[1] attrs, SvrCtrls, ClntCtrls);
    Modified "CN=RID Manager$,CN=System,DC=<domain>".
    
    

    Captura de pantalla que muestra la salida de una operación correcta.

Otras correcciones de RID

Los sistemas operativos de Windows Server anteriores tenían una pérdida de grupos de RID cuando faltaba el atributo rIDSetReferences. Para resolver este problema en los controladores de dominio que ejecutan Windows Server 2008 R2, instale la revisión de KB 2618669.

Problemas de RID sin corregir

Desde hace tiempo, hay una pérdida de RID cuando se produce un error al crear una cuenta: al crear la cuenta, el error sigue consumiendo un RID. El ejemplo habitual consiste en crear un usuario con una contraseña que no cumple los requisitos de complejidad.

Correcciones de RID para versiones anteriores de Windows Server

Para todos los cambios y las correcciones que indicamos, se publicaron revisiones de Windows Server 2008 R2. Actualmente no hay ninguna revisión de Windows Server 2008 planeada ni en curso.

Solución de problemas de emisión de RID

Introducción a la solución de problemas

La solución de problemas de emisión de RID requiere un método lógico y lineal. A menos que vaya a supervisar atentamente los registros de eventos en busca de advertencias y errores desencadenados por RID, lo más probable es que los primeros indicios que observe de que existe un problema sean errores en la creación de cuentas. La clave para solucionar problemas de emisión de RID es comprender en qué situaciones se espera o no que aparezca un síntoma. Muchos problemas de emisión de RID pueden afectar solamente a un controlador de dominio y no tener nada que ver con las mejoras en los componentes. Este sencillo diagrama sirve para aclarar más las decisiones:

Emisión de RID

Opciones de solución de problemas

Opciones de registro

Todo el registro de la emisión de RID se produce en el registro de eventos del sistema, en el origen Directory-Services-SAM. De forma predeterminada, el registro está habilitado y configurado con el máximo nivel de detalle. Si no hay entradas registradas correspondientes a los cambios de componentes nuevos de Windows Server 2012, trata el problema como un problema de emisión clásico (es decir, heredado, anterior a Windows Server 2012) observado en Windows 2008 R2 o sistemas operativos anteriores.

Utilidades y comandos para la solución de problemas

Para solucionar los problemas que no se expliquen en los registros indicados más arriba (especialmente, los problemas de emisión de RID anteriores), utiliza esta lista de herramientas como punto de partida:

  • Dcdiag.exe

  • Repadmin.exe

  • Monitor de red 3.4

Metodología general para la solución de problemas de configuración de controladores de dominio

  1. ¿La causa del error es un problema sencillo de permisos o disponibilidad de los controladores de dominio?

    1. ¿Estás tratando de crear una entidad de seguridad sin los permisos necesarios? Examina la salida y busca en ella errores de acceso denegado.

    2. ¿Está disponible un controlador de dominio? Examina los mensajes de disponibilidad del controlador de dominio, LDAP o el error devuelto.

  2. ¿El error devuelto menciona expresamente los RID y es lo suficientemente específico como para poder usarlo de guía? Si es así, sigue las indicaciones.

  3. ¿El error devuelto menciona expresamente los RID pero no es específico? Por ejemplo, "Windows no puede crear el objeto porque el servicio de directorio no ha podido asignar un identificador relativo".

    1. Examine el registro de eventos del sistema del controlador de dominio y busque en él los eventos de RID "·heredados" (anteriores a Windows Server 2012) que se detallan en Solicitud de grupos de RID (16642, 16643, 16644, 16645 y 16656).

    2. Examine el evento del sistema del controlador de dominio y el maestro RID para buscar en él los eventos que indican nuevos bloques y que se detallan más adelante en este artículo (16655, 16656 y 16657).

    3. Valida el mantenimiento de la replicación de Active Directory con Repadmin.exe y la disponibilidad del maestro de RID con Dcdiag.exe /test:ridmanager /v. Si estas pruebas no son concluyentes, habilita las capturas de red de doble cara entre el controlador de dominio y el maestro de RID.

Solucionar problemas específicos

En los controladores de dominio de Windows Server 2012, se registran los siguientes mensajes nuevos en el registro de eventos del sistema. Los sistemas de seguimiento del mantenimiento automatizados de AD, como System Center Operations Manager, deben supervisar estos eventos. Todos son destacables y algunos de ellos señalan problemas críticos en los dominios.

Id. de evento 16653
Source Directory-Services-SAM
severity Advertencia
Message Un tamaño de grupo para los identificadores de la cuenta (RID) configurado por un administrador es mayor que el máximo admitido. Se usará el valor máximo de %1 cuando el controlador del dominio sea el maestro RID.

Para obtener más información, vea el tema sobre límite de tamaño de los bloques de RID.

Notas y resolución Ahora, el valor máximo del tamaño de los bloques de RID es 15000 decimal (3A98 hexadecimal). Un solo controlador de dominio no puede solicitar más de 15 000 RID. Este evento se registra con cada arranque hasta que el valor se configura con un valor que no supere este máximo.
Id. de evento 16654
Source Directory-Services-SAM
severity Informativo
Message Se invalidó un grupo de identificadores de cuenta (RID). Esto puede suceder en los siguientes casos previstos:

1. Se restaura un controlador de dominio desde una copia de seguridad.

2. Un controlador de dominio que se ejecuta en una máquina virtual se restaura desde una instantánea.

3. Un administrador invalidó el grupo manualmente.

Consulte https://go.microsoft.com/fwlink/?LinkId=226247 para obtener más información.

Notas y resolución Si este evento no se esperaba, ponte en contacto con los administradores de todos los dominios y averigua cuál de ellos llevó a cabo esta acción. El registro de eventos de los Servicios de directorio también contiene información adicional sobre el momento en el que se realizó uno de estos pasos.
Id. de evento 16655
Source Directory-Services-SAM
severity Informativo
Message El máximo global para identificadores de cuenta (RID) se ha incrementado a %1.
Notas y resolución Si este evento no se esperaba, ponte en contacto con los administradores de todos los dominios y averigua cuál de ellos llevó a cabo esta acción. Este evento indica que el tamaño total del grupo de RID ha aumentado hasta superar el valor predeterminado de 230 y no aparecerá de forma automática; solamente por una acción administrativa.
Id. de evento 16656
Source Directory-Services-SAM
severity Advertencia
Message El máximo global para identificadores de cuenta (RID) se ha incrementado a %1.
Notas y resolución Acción requerida. Se asignó un grupo de identificadores de cuenta (RID) a este controlador de dominio. El valor del grupo indica que este dominio consumió una parte considerable del total de identificadores de cuenta disponibles.

Se activará un mecanismo de protección cuando el dominio llegue al siguiente umbral de identificadores de cuenta disponibles restantes en total: %1. El mecanismo de protección impedirá que se creen más cuentas hasta que vuelvas a habilitar manualmente la asignación de identificadores de cuenta en el controlador de dominio del maestro de RID.

Consulte https://go.microsoft.com/fwlink/?LinkId=228610 para obtener más información.

Id. de evento 16657
Source Directory-Services-SAM
severity Error
Message Acción requerida. Este dominio consumió una parte considerable del total de identificadores de cuenta (RID) disponibles. Se activó un mecanismo de protección porque el número total de identificadores de cuenta disponibles restantes es menor que: X% [argumento del límite superior artificial].

El mecanismo de protección impide que se creen más cuentas hasta que vuelvas a habilitar manualmente la asignación de identificadores de cuenta en el controlador de dominio del maestro de RID.

Es extremadamente importante que se realicen determinados diagnósticos antes de volver a habilitar la creación de cuentas, para comprobar que este dominio no consume identificadores de cuenta con una frecuencia inusualmente alta. Todos los problemas que se identifiquen se deben resolver antes de volver a habilitar la creación de cuentas.

Si no se diagnostican y se corrigen los problemas subyacentes que provocan el consumo de identificadores de cuenta a una frecuencia inusualmente alta, es posible que se agoten los identificadores de cuenta del dominio. Si esto ocurre, la creación de cuentas quedará deshabilitada permanentemente en este dominio.

Consulte https://go.microsoft.com/fwlink/?LinkId=228610 para obtener más información.

Notas y resolución Ponte en contacto con los administradores de todos los dominios e infórmales de que no se pueden crear más entidades de seguridad en este dominio hasta que se invalide esta protección. Para más información sobre cómo invalidar la protección y, posiblemente, incrementar el grupo de RID en general, consulta Desbloqueo del tamaño del espacio global de RID.
Id. de evento 16658
Source Directory-Services-SAM
severity Advertencia
Message Este evento es una actualización periódica sobre la cantidad total restante de identificadores de cuenta disponibles (RID). El número de identificadores de cuenta restantes es aproximadamente: %1.

Los identificadores de cuenta se usan a medida que se crean cuentas; cuando se agotan, no se pueden crear cuentas en el dominio.

Consulte https://go.microsoft.com/fwlink/?LinkId=228745 para obtener más información.

Notas y resolución Ponte en contacto con los administradores de todos los dominios e infórmales de que el consumo de RID alcanzó un hito principal. Para averiguar si este comportamiento se esperaba o no, revisa los patrones de creación de elementos de confianza de seguridad. Es muy poco habitual que aparezca este evento: significa que se asignaron, al menos, unos 100 millones de RID.

Consulte también