11 replies to this topic

[salluste]

Bonjour a tous

je suis de retour!!!!

voila, j'ai un petit probleme sur mon 2003 serveur, je n'arrive plus a creer de compte sur mon active directory, je n'arrive plus a connecter une machine aussi. J'ai eu comme message reserve d'indentifiant epuisés. en consultant internet, j'ai vu que c'etait un probleme RID. Est ce que quelqun a une solution pour résoudre ce pb.

Je remercie tous ceus qui peuvent m'aider.

Ps: je voudrai passer un petit bonjour a mon ami TXON

Ce message a été modifié par salluste - 02 octobre 2007 - 19:33 .

[noisette]

Salut Salluste !

je suis loin de pouvoir répondre directement à ta question, malheuresement ^^

j'ai par contre trouvé une source qui pourra éventuellement t'aider, à savoir afficher le nombre d'adresses encore disponibles, pour vérifier, et éventuellement la façon d'en ajouter.

Si j'ai bien suivi .

Rôle du maitre RID

Le contrôleur de domaine possédant le rôle de maître RID, ou maître des identificateurs relatifs se charge d'allouer des blocs d'identificateurs relatifs à chaque contrôleur de domaine du domaine. Chaque contrôleur de domaine possède donc un pool de RID unique à attribuer aux nouveau objets créés. Lorsqu'un contrôleur de domaine à épuisé son pool d'identificateurs relatif, il contacte de maître RID par un dérivé du protocole RPC qui lui alloue une nouvelle plage d'identificateurs.

Si le maître RID ne peut être joint, la création d'un objet est impossible sur un contrôleur de domaine dont la réserve d'identificateurs relatifs est épuisée. L'utilitaire dcdiag situé dans le dossier \Support\Tools du cd-rom de Windows 2003 server permet d'afficher la réserve d'identifiants relatifs du contrôleur de domaine.

résultat de la commande dcdiag /test:ridmanager /v



Par défaut, les plages allouées contiennent 500 RID, mais se nombre peut être modifié grâce à une clé dans la base de registre du contrôleur de domaine ayant le rôle de Maître RID : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\RID Block Size



On ne peut pas spécifier un nombre plus petit que 500, dans ce cas, c'est la valeur par défaut qui sera utilisé, on peut par contre spécifier un nombre plus élevé, sans limite de taille. Il n'est pas nécessaire d'effectuer cette modification sur les autres contrôleurs de domaine du domaine, mais il est conseillé de le faire, en effet lors d' un éventuel transfert de rôle à un autre contrôleur, la taille du pool restera cohérente.

Un contrôleur de domaine sous Windows 2000 pré SP4 demande un nouveau pool d'identifiant relatif lorsqu'il ne lui reste que 20% de sa plage de RID à distribuer. Sous Windows 2000 SP4 et supérieur, la demande est effectuée lorsque 50% de la plage de RID est utilisé. Cette modification permet une tolérance de panne du maître RID plus élevé.

N.B : Le nombre de RID total d'un domaine n'est pas infini, on peut créer environ 2^30 (1 073 741 824) entités de sécurité par domaine!!
Il n'est pas conseillé de mettre une valeur trop élevé, car il faut savoir que si un contrôleur de domaine est rétrogradé, son pool de RID est perdu, il ne sera pas réutilisé, il en va de même lors d'une restauration, un contrôleur de domaine ayant subit une restauration se verra attribuer un nouveau pool afin d'éviter de distribuer des RID déjà utilisés.

Une fois tous les RIDs utilisés, il devient impossible de créer des nouveaux objets dans le domaine.

Le déplacement des objets d'un domaine à un autre doit s'effectuer OBLIGATOIREMENT sur le maître RID, dans le cas contraire, un message d'erreur "Movetree failed" apparaîtra. En effet, lors d'un déplacement, le maître RID supprime l'objet du domaine d'origine afin d'éviter une duplication. Si on déplace l'objet sans qu'il soit supprimé, cet objet pourra être déplacé à nouveau vers un autre domaine ce qui entraînerai des doublons.

Source : http://www.laboratoire-microsoft.org/articles/win/FSMO/2/

[Kyro]

Ps: je voudrai passer un petit bonjour a mon ami TXON

Il passe plus depuis environ 1 mois il a des problème, on en sait pas plus

[salluste]

Ps: je voudrai passer un petit bonjour a mon ami TXON

Il passe plus depuis environ 1 mois il a des problème, on en sait pas plus

D'abord merci pour les infos, moi aussi j'ai vu cette page, c'est pour cela que je pensais que c'etait un probleme de RID mais a priori ce serai peu etre un probleme de synchro

Pour le bonjour c'etait juste amical il n'y avait pas d'arriere pensé, et je pense qu'il le sait.
@+ et merci a tous

Ce message a été modifié par salluste - 02 octobre 2007 - 08:39 .

[Kyro]

j'imagine bien pour le bonjour mais juste que je previent que il ne te répondra pas

[salluste]

j'imagine bien pour le bonjour mais juste que je previent que il ne te répondra pas

pourquoi que c'est il passé, je viens juste de lui ecrire

[noisette]

je crains qu'il ne puisse se connecter, indépendamment de sa volonté.

nous n'en savons malheureusement pas plus.

évidemment, nous espérons que ce n'est pas trop grave et qu'il sera de retour un de ces jours prochains, mais pour l'instant, c'est l'inconnue.


Pour en revenir à ton soucis :

tu as essayé de lister le nombres d'adresses encore vacantes, juste pour vérifier ?
qu'appelles-tu un problème de synchro (j'apprends un peu aussi comme ça )
et où en es-tu en fait maintenant ?

[salluste]

je crains qu'il ne puisse se connecter, indépendamment de sa volonté.

nous n'en savons malheureusement pas plus.

évidemment, nous espérons que ce n'est pas trop grave et qu'il sera de retour un de ces jours prochains, mais pour l'instant, c'est l'inconnue.


Pour en revenir à ton soucis :

tu as essayé de lister le nombres d'adresses encore vacantes, juste pour vérifier ?
qu'appelles-tu un problème de synchro (j'apprends un peu aussi comme ça )
et où en es-tu en fait maintenant ?

La synchro: synchronisation entre le serveur 2003 et le serveur de replication qui est aussi 2003. je travaille dans un lycée, la region est venue changer les ip du serveur pour installer des vlan. Ils n'ont pas changer le wins. depuis la synchronisation entre les deux serveur ne se fait plus. Le probleme que nous avons est le suivant nous ne pouvons plus creer un compte utilisateur ou installer une machine. Nous obtenons a chaque fois le message suivant reserve d'identifiant d'annuaire epuisés. Il nous ai donc impossible d'ecrire sur l'active directory. Je pensais qu'il s'agissait de RID car j'avais moi aussi lu l'article du labo microsoft, cependant apres avoir changé la clé du registre j'obtiens toujours la meme erreur. On va essayer de re synchroniser les comptes utilisateurs du serveur sur le serveur de réplication.

Que veux tu dire par nombre d'adresse vacantes

@+

Salluste

[noisette]

je parlais de la réserve d'identificateurs relatifs dont il semble question dans mon lien et dans une des manifestations de ton soucis.

Mais je t'avoue, je ne connais pas du tout l'administration serveur,
je n'ai pas eu l'occasion de pratiquer,
et en fait ça ne m'interpelle que trés partiellement .

[salluste]

je parlais de la réserve d'identificateurs relatifs dont il semble question dans mon lien et dans une des manifestations de ton soucis.

Mais je t'avoue, je ne connais pas du tout l'administration serveur,
je n'ai pas eu l'occasion de pratiquer,
et en fait ça ne m'interpelle que trés partiellement .

je te remercie quand meme de ton aide

[salluste]

Probleme résolu

En fait on a supprimer les liens de replication du serveur principal vers le serveur de réplication et la mise a jour ce fait. Pour verifier les liens on a utiliser sonar petit utilitaire de microsoft qui verifie la réplication.

Merci @ tous

[Kyro]

edit le sujet et met [resolu] devant ça servira les personnes qui auront le même problème que toi