Hat das Unternehmens-AD ein Verfallsdatum?

Seit 2008 können in einer Active-Directory Gesamtstruktur bis ca. 2,15 Milliarden Objekte gespeichert werden. Davon bietet eine Domäne Kapazität für ca. 1 Milliarde Sicherheitsprinzipale. Sicherheitsprinzipale sind beispielsweise Nutzer, Computer oder Sicherheitsgruppen. Sicherheitsprinzipale besitzen einen Security Identifier (SID).

Der letzte Anteil der SID ist die relative ID (RID), die der SID bei der Erstellung des Objekts aus einem Pool hinzufügt wird. Die Gesamtgröße des Pools, aus der Blöcke von RIDs vergeben werden können, beträgt 30 Bit, also ca. 1 Milliarde. Sollten beim Erstellen des AD 1 Million Sicherheitsprinzipale angelegt werden und des Weiteren ein täglicher Verbrauch von 1.000 RIDs stattfinden (durch die Erstellung von Objekten), so wäre der RID Pool nach 2939 Jahren verbraucht.

Es kann jedoch zu Fehlern kommen, in denen ein unkontrollierter Verbrauch von RIDs auftritt:

• Viele DCs wurden herauf- oder herabgestuft oder Metadaten von vielen DCs wurden bereinigt

• Ungültige RID Blöcke

• Fehler bei manuellen Änderungen der RID-Blockgröße

• Fehler von delegierten Benutzern beim Anlegen von Objekten

Ab Windows Server 2012 warnt das System in Schritten von 10% des Verbrauchs des RID-Pools und protokolliert Ereignisse, beim Erreichen dieser Grenzen.

Sollte der RID-Raum von 2^30 RIDs nicht ausreichen, kann ab Windows Server 2012 der RID-Pool auf 2^31 RIDs erhöht werden.

Johannes Tröster
Microsoft™ Certified Solutions Expert und qSkills™-Dozent
Alle Neuerungen zu Active Directory in Windows Server 2012 / R2 gibt es im Kurs MS108.