Anheben der RID-Poolgrenze – SouToub


Anheben der RID-PoolgrenzeDas Anheben der RID-Poolgrenze ist eine eher seltene Aufgabe und kann in Ausnahmefällen erforderlich sein. Trotzdem möchte ich noch über die Existenz einer solchen Gelegenheit sprechen. und erklären Sie, in welchen Situationen dies erforderlich sein kann.


Wenn Sie an Windows Server-Themen interessiert sind, empfehlen wir Ihnen, das Windows Server-Tag in meinem Blog zu lesen.


Anheben der RID-Poolgrenze

Mit Blick auf die Zukunft möchte ich sagen, dass das Anheben der Poolgrenze nur die Hälfte der erforderlichen Maßnahmen ist. Es ist auch wichtig, die aktuellen Pools auf jeder CD ungültig zu machen.

Theorie

Der FSMO-RID-Master-Rolleninhaber ist für die Ausgabe von Pools relativer Kennungen verantwortlich, die ich im Artikel RID-Master – Master relativer Kennungen ausführlich beschrieben habe.

Informationen zum aktuellen RID-Pool sind im Objekt CN = enthaltenRID Manager $, CN = System, DC = Domäne, DC = tld. Sie können es mit einem der folgenden Snap-Ins finden: Active Directori – Benutzer und Computer oder Adsiedit.msc… Ich werde letzteres verwenden, um später zusätzliche Informationen für jeden Domänencontroller zu demonstrieren.

Anheben der Poolgrenze RID 04

RID Manager $ enthält zwei wichtige Parameter:

  • fSMORoleOwner – der aktuelle Inhaber der RID-Masterrolle;
  • rIDAvailablePool Der Bereich, aus dem RIDs zugewiesen werden.

Letzteres ist insofern interessant, als es sich um eine Zahl im Large Integer-Format handelt, die aus zwei gleichen Teilen besteht. Diese Teile speichern die oberen und unteren Grenzen des Bereichs der relativen Kennungen, die zur Rückgabe bereit sind. Um bestimmte Werte aus diesem Format zu extrahieren, können Sie den Konverter für lange Zahlen des Dienstprogramms LDP.exe (Menüabschnitt) verwenden Dienstprogramme):

Anheben der Poolgrenze RID 01

Als nächstes interessieren uns Informationen zu Domänencontrollern, da jeder von ihnen einen eigenen RID-Pool für die sofortige Ausgabe von Kennungen hat. Wie Sie wissen, wird dieser Pool vom RID-Eigentümer in Chargen von 500 Stück ausgegeben, und jede CD fordert eine neue Portion an, sobald 250 Stück aus diesem Pool verbraucht werden. Dieses Verhalten bietet eine stabile Versorgung mit Kennungen, falls der RID-Master für einige Zeit nicht verfügbar ist.

Also rein Adsiedit.msc gehe in das Verzeichnis OU =Domänencontroller, DC = Domäne, DC = tld, erweitern Sie es und sehen Sie Container mit den Namen Ihrer Domänencontroller. Wenn Sie in den CD-Container gehen, sehen Sie ein Objekt RID-Set… Es ist interessant für seine Eigenschaften:

  • rIDAllocationPool Der aktuell verwendete Pool;
  • rIDNextRID – die Kennung, die als nächstes ausgegeben wird;
  • rIDPreviousAllocationPool – Der Pool, aus dem die nächsten Identifikatorbündel ausgegeben werden.

Das erste und dritte Attribut sind immer noch zusammengesetzte Zahlen. Sie können beispielsweise Informationen von zwei CDs anzeigen, indem Sie die Werte von rIDAllocationPool verwenden:

Anheben der Poolgrenze RID 02

Es ist deutlich zu erkennen, dass die derzeit verwendeten Pools auf den Servern zusammenhängend sind.

Diese Informationen können auch über die Befehlszeile mit dem bekannten Dienstprogramm dcdiag abgerufen werden:

Erhalten Sie eine ähnliche Ausgabe:

Eigentlich ist das alles mit Theorie, es ist Zeit, mit der Praxis fortzufahren.

Wenn gebraucht

Objektiv gesehen gibt es nur eine Situation, in der das manuelle Anheben der Grenze des Pools relativer Bezeichner erforderlich ist – das Wiederherstellen der Gesamtstruktur oder der gesamten AD-Domäne. .

Darüber hinaus möchte ich Sie daran erinnern, dass es auch erforderlich ist, die aktuellen RID-Pools auf jeder CD ungültig zu machen, und ich werde im Folgenden darauf eingehen.

Die Grenze erhöhen

So erhöhen Sie die RID-Poolgrenze Verwenden Sie das zuvor geöffnete Rig Adsiedit.msc… Öffnen wir die Eigenschaften des soeben betrachteten RID Manager $ -Objekts und erhöhen den Wert des Attributs rIDAvailablePool pro 100.000 Einheiten. Beispielsweise:

  • war 4611686014132430214
  • wurde 4611686014132530214

Hinweis: Eine Erhöhung des Pools um 100.000 in 99,99% der Fälle ist mehr als ausreichend. Es ist jedoch äußerst unwahrscheinlich, aber in einigen Situationen reicht dieser Anstieg möglicherweise nicht aus. Legen Sie einen Rand fest, der für Ihre Infrastruktur relevant ist.

Danach werden die neuen RID-Werte aus dem erweiterten Pool ausgegeben.

Behinderung des RID-Pools

Der Pool wird vergrößert und es scheint, dass das mögliche Auftreten von Problemen ausgeschlossen ist, aber in Wirklichkeit ist dies nicht der Fall. Tatsache ist, dass die wiederhergestellten CDs den Pool verwenden, den sie zum Zeitpunkt der Sicherung hatten. Das heißt, unmittelbar nach dem Anheben der Poolgrenze müssen die lokalen Pools auf jeder CD zurückgesetzt werden (auf Englisch wird dies als Invalidierung des RID-Pools bezeichnet).

Um den Pool zurückzusetzen, führen Sie den Code in Powershell aus ::

Hinweis: Eine ähnliche Funktionalität bietet das offizielle Skript iRIDPool.vbs von Microsoft.

Wenn Sie unmittelbar nach dem Zurücksetzen ausführen dcdiag Auf der CD wird ein Fehler angezeigt:

Anheben der Poolgrenze RID 05

Die Ereignisanzeige registriert sich:

Anheben der Poolgrenze RID 06

Daran ist nichts SchrecklichesEs ist nur so, dass dem Domänencontroller noch kein neuer Pool zugewiesen wurde. Diese Situation wird korrigiert, sobald Sie versuchen, ein Sicherheitsprinzipal zu erstellen. Wenn Sie beispielsweise einen Benutzer erstellen, wird zuerst ein Fehler ausgegeben:

Anheben der Poolgrenze RID 07

Klicken Sie auf OK und versuchen Sie erneut, ein Benutzerkonto zu erstellen. Alles wird gut. Im aktuellen RID-Pool in dcdiag wird ein neues hervorgehoben:

Abschließend möchte ich hinzufügen, dass die Ungültigmachung des RID-Pools eine Einwegoperation ist und nicht verwendete RID-Werte nicht ins Spiel gebracht werden können.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *