使用以下过程提高还原 DC 后 RID 操作主机将分配的相对 ID (RID) 池的值。 通过提高可用 RID 池的值,可以确保没有 DC 为在用于还原域的备份之后创建的安全主体分配 RID。
Active Directory RID 池和 rIDAvailablePool
每个域都有一个对象 CN=RID Manager$,CN=System,DC=<domain_name>。 此对象具有名为 rIDAvailablePool 的属性。 此属性值维护整个域的全局 RID 空间。 该值是一个具有上限和下限的大型整数。 上限定义可为每个域分配的安全主体的数量(0x3FFFFFFF 或略大于 10 亿)。 下限是域中已分配的 RID 数。
Note
在 Windows Server 2016 和 2012 中,可分配的安全主体数量增加到略大于 20 亿。 有关详细信息,请参阅管理 RID 颁发。
- 示例值:4611686014132422708
- 下限:2100(下一个要分配的 RID 池的起始数)
- 上限:1073741823(可在域内创建的 RID 总数)
如果增加大型整数的值,则将增加下限的值。 例如,如果将 4611686014132422708 的示例值增加 100,000,总和为 4611686014132522708,则新的下限值为 102100。 这表明将由 RID 主机分配的下一个 RID 池值将以 102100(而不是 2100)开始。
使用 adsiedit 和计算器提高可用 RID 池的值
- 打开服务器管理器,选择 “工具 ”,然后选择 “ADSI 编辑”。
- 右键单击,选择连接到,连接默认命名上下文,并选择确定。
- 浏览到以下可分辨名称路径:CN=RID Manager$,CN=System,DC=<domain name>。
- 右键单击并选择 CN=RID Manager$的属性。
- 选择属性 rIDAvailablePool,选择 “编辑”,然后将大整数值复制到剪贴板。
- 启动计算器,然后从 “视图 ”菜单中选择 “科学模式”。
- 将 100,000 添加到当前值。
- 使用 ctrl-c 或“编辑”菜单中的“复制”命令,将值复制到剪贴板。
- 在 adsiedit 的“编辑”对话框中,粘贴该新值。
- 在对话框中选择 “确定 ”,并在属性表中 应用 以更新 rIDAvailablePool 属性。
使用 LDP 提高可用 RID 池的值
- 在命令提示符处,键入以下命令,然后按 Enter: ldp
- 选择 “连接”,选择 “连接”,键入 RID 管理器的名称,然后选择“ 确定”。
- 依次选择“连接”、“绑定”、“使用凭据绑定”并键入管理凭据,然后选择“确定”。
- 选择 “视图”,选择 “树 ”,然后键入以下可分辨名称路径:CN=RID Manager$,CN=System,DC=域名
- 选择 “浏览”,然后选择“ 修改”。
- 将 100,000 添加到当前 rIDAvailablePool 值,然后将总和键入 值。
- 在 Dn 中,键入
cn=RID Manager$,cn=System,dc=<域名>。 - 在“编辑条目属性”中,键入
rIDAvailablePool。 - 选择“替换” 作为操作,然后选择Enter。
- 选择 “运行” 以运行作。 选择 关闭。
- 若要验证更改,请选择 “视图”,选择“ 树”,然后键入以下可分辨名称路径:CN=RID Manager$,CN=System,DC=域名。 检查 rIDAvailablePool 属性。
