通过

Active Directory 林恢复 - 提高可用 RID 池的值

使用以下过程提高还原 DC 后 RID 操作主机将分配的相对 ID (RID) 池的值。 通过提高可用 RID 池的值,可以确保没有 DC 为在用于还原域的备份之后创建的安全主体分配 RID。

Active Directory RID 池和 rIDAvailablePool

每个域都有一个对象 CN=RID Manager$,CN=System,DC=<domain_name>。 此对象具有名为 rIDAvailablePool 的属性。 此属性值维护整个域的全局 RID 空间。 该值是一个具有上限和下限的大型整数。 上限定义可为每个域分配的安全主体的数量(0x3FFFFFFF 或略大于 10 亿)。 下限是域中已分配的 RID 数。

注意

在 Windows Server 2016 和 2012 中,可分配的安全主体数量增加到略大于 20 亿。 有关详细信息,请参阅管理 RID 颁发

  • 示例值:4611686014132422708
  • 下限:2100(下一个要分配的 RID 池的起始数)
  • 上限:1073741823(可在域内创建的 RID 总数)

如果增加大型整数的值,则将增加下限的值。 例如,如果将 4611686014132422708 的示例值增加 100,000,总和为 4611686014132522708,则新的下限值为 102100。 这表明将由 RID 主机分配的下一个 RID 池值将以 102100(而不是 2100)开始。

使用 adsiedit 和计算器提高可用 RID 池的值

  1. 打开“服务器管理器”,选择“工具”,然后选择“ADSI 编辑”
  2. 右键单击并选择“连接到”,连接到“默认命名上下文”,然后选择“确定”显示如何连接到“默认命名上下文”的屏幕截图
  3. 浏览到以下可分辨名称路径:CN=RID Manager$,CN=System,DC=<domain name>。 显示如何浏览到可分辨名称路径的屏幕截图。
  4. 右键单击并选择 CN=RID Manager$ 的属性
  5. 选择属性“rIDAvailablePool”,选择“编辑”,然后将大型整数值复制到剪贴板显示所选 rIDAvailablePool 属性的屏幕截图。
  6. 启动计算器,然后从“查看”菜单中选择“科学模式”。
  7. 将 100,000 添加到当前值。 显示在何处将 100,000 添加到当前值的屏幕截图。
  8. 使用 ctrl-c 或“编辑”菜单中的“复制”命令,将值复制到剪贴板。
  9. 在 adsiedit 的“编辑”对话框中,粘贴该新值。 ADSI 编辑器
  10. 选择对话框中的“确定”,然后选择属性表中的“应用”以更新 rIDAvailablePool 属性

使用 LDP 提高可用 RID 池的值

  1. 在命令提示符下,键入以下命令,然后按 Enter:ldp
  2. 依次选择“连接”、“连接”,键入 RID 管理器的名称,然后选择“确定”显示在何处键入 RID 管理器名称的屏幕截图。
  3. 依次选择“连接”、“绑定”,选择“使用凭据绑定”并键入管理凭据,然后选择“确定”显示“使用凭据绑定”选项的屏幕截图。
  4. 依次选择“查看”、“树”,然后键入以下可分辨名称路径:CN=RID Manager$,CN=System,DC=domain name
  5. 选择“浏览”,然后选择“修改”
  6. 将 100,000 添加到当前的 rIDAvailablePool 值,然后将总和键入“值”。
  7. 在 Dn 中,键入 cn=RID Manager$,cn=System,dc=<domain name>。
  8. 在“编辑条目属性”中,键入 rIDAvailablePool
  9. 选择“替换”作为操作,然后选择“输入”显示“替换”选项的屏幕截图。
  10. 选择“运行”以运行该操作。 选择“关闭”。
  11. 若要验证更改,依次选择“查看”、“树”,然后键入以下可分辨名称路径:CN=RID Manager$,CN=System,DC=domain name。 选中 rIDAvailablePool 属性。 LDP

后续步骤