Решение проблемы Active Directory с выделением относительного идентификатора

Проблема Active Directory — служба каталогов не смогла выделить относительный идентификатор

Если вы столкнулись с ошибкой в службах Active Directory, то по данным исследования «PWC The 2018 Global State of Information Security Survey» в большинстве случаев её причиной является халатное отношение к своим обязанностям системного администратора (39%), чуть реже вредоносные атаки (37%) и в самом маловероятном сценарии — нарушения в работе инфраструктуры (24%). Сегодня мы остановимся на одной из самых болезненных ошибок, которая возникает при попытке создания нового объекта.

Не удалось создать объект, поскольку служба каталогов не смогла выделить относительный идентификатор.

Журнал событий NT регистрирует соответствующее событие, связанное с попыткой определения относительных идентификаторов RID. О том, что такое RID в Active Directory существует подробное объяснение в этой инструкции — вернитесь к ней, если рекомендации ниже не помогут.

Проблема Active Directory — служба каталогов не смогла выделить относительный идентификатор

Почему возникает проблема Active Directory с выделением относительного идентификатора?

Мы исследовали сообщения пользователей по этой ошибке и пришли к выводу, что наиболее вероятным источником возникновения проблемы становится удалённый контроллер домена (случайным или нарочитым образом). Например, с переездом на новую версию Windows Server и присоединением к домену, либо при попытке ввести компьютер в домен, роль владельца RID переносится на другой контроллер домена, а затем восстанавливается исходный вариант уже без прямой взаимосвязи, а значит полноценное восстановление не происходит.

В компании Microsoft несколько лет кряду предлагают решение для исправления такой ошибки в службах Active Directory, которое работает далеко не всегда.

В нём разработчики признают, что проблема кроется в самом продукте и требует системного подхода к распознаванию восстановления ролей RID. Более подробно компания Microsoft изучила вопрос здесь, но до сих пор не предлагает универсального подхода к предотвращению сбоя, когда служба каталогов не смогла выделить относительный идентификатор.

 

Проблема Active Directory — служба каталогов не смогла выделить относительный идентификатор

Новый подход в решении проблемы Active Directory с определением RID

На Evotec было предложено подойти к исправлению ошибки с другой стороны. Решение весьма простое и нашлось в ходе тестирования сценариев аварийного восстановления Active Directory под сайт аварийного восстановления (Disaster Recovery site).


  1. Вы должны очистить Active Directory от неработающих старых серверов.
  2. Проверено, что без удаления серверов и очищения метаданных ошибка продолжит возникать.
  3. Удалите их в контроллерах домена (Domain Controllers) в разделе пользователей Active Directory (AD Users).
  4. Также удалите их в AD Sites и в AD Services.
  5. После этих манипуляций вы сможете снова создавать пользователей.
  6. Важно! Не удаляйте рабочие серверы и не экспериментируйте на производственных машинах!
Логотип компании «ZEL-Услуги» Компания ZEL-Услуги

Если вам нужна помощь в решении проблем с Active Directory, то обратитесь в компанию ИТ-аутсорсинга за экспертной поддержкой и консультацией по любым техническим вопросам и задачам

Читайте также

Может быть интересно