在 Windows 2008 服务器上测试创建约 800 个 AD 帐户的脚本时,出现以下错误:
目录服务已用尽相对标识符池
在此之后,所有 dsadd 尝试都会导致约 10 秒的暂停,并且 dsadd 失败:指定的域不存在或无法联系。
重新启动服务器后,第一个 dsadd 给出“池耗尽”消息,然后是“不存在或无法联系”
在事件日志中我看到
分配给此域控制器的最大帐户标识符已被分配。域控制器未能获得新的标识符池。
和
对新帐户标识符池的请求失败。将重试该操作,直到请求成功。错误是“请求的 FSMO 操作失败。无法联系当前的 FSMO 持有者。”
检查 RID/PDC/基础设施 FSMO 角色显示它们都分配给了这个服务器(它是一个单一的服务器 AD 域)那么还有什么可能导致这个问题?我已经重新启动了服务器,但问题仍然存在。
最终追踪到这一点 - _ldap._tcp.domain.com 的 DNS 中存在杂散 SRV 记录,这些记录指向旧的、已删除的 AD 控制器 - 它们没有正确自动更新,并且 DC 将指向它们并且然后在超时时不联系自己。
手动删除记录解决了该问题。
在旧 AD 删除后,该环境已运行了九个月,没有超时或延迟,因此在运行可能导致问题的最近更改时,我没有想到要检查它。
| 归档时间: |
|
| 查看次数: |
9753 次 |
| 最近记录: |