イベント ID 16650: アカウント識別子の割り当て子がサーバーで初期化Windowsしました

この記事では、Active Directory にオブジェクトを追加したり、システム状態のバックアップからドメイン コントローラーを復元するときに発生するエラーを解決するためのソリューションを提供します。

適用対象:  WindowsServer 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号:   839879

現象

この記事は、2000 Windows以降のすべてのバージョンに適用されます。 Microsoft Windows Server コンピューター上の Active Directory に新しいユーザー、グループ、コンピューター、メールボックス、ドメイン コントローラー、その他のオブジェクトを追加しようとすると、次のエラー メッセージが表示されることがあります。

ディレクトリ サービスが相対識別子を割り当てできなかったため、オブジェクトを作成できません。

システム状態のバックアップからドメイン コントローラーを復元すると、システム ログに次のエラー メッセージが含まれる場合があります。

イベントの種類 : エラー

イベント ソース: SAM イベント
カテゴリ:なし

イベント ID: 16650

アカウント識別子のアロケーターが正しく初期化に失敗しました。 レコード データには、エラーの原因となる NT エラー コードが含まれている。 Windows 成功するまで初期化を再試行します。この時間まで、このドメイン コントローラーでアカウントの作成が拒否されます。 エラーの正確な理由を示す可能性がある他の SAM イベント ログを探します。

また、このコマンドと Dcdiag 詳細スイッチを組み合わせて使用して、追加のエラーを探することもできます。 これを行うには、次の手順を実行します。

  1. [スタート] ボタン をクリックし 、[実行] をクリックし、[開く] ボックスに **「cmd」**と入力、[OK] をクリックします
  2. コマンド プロンプトで、と入力 DCdiag /v し、Enter キーを 押します。

入力すると、 Dcdiag /v 次のようなエラー メッセージが表示される場合があります。

テストの開始: RidManager

* ドメインで使用可能な RID プールは、2355 ~ 1073741823

*dc01.contoso.com は RID マスターです

* RID マスターを使用した DsBind が成功しました

* rIDAllocationPool は 1355 ~ 1854 です

* rIDNextRID: 0 DS に破損したデータがあります。 rIDPreviousAllocationPool 値が無効です

* rIDPreviousAllocationPool は 0 から 0 に割り当てられた rids なし -- イベント ログを確認してください。
.........................DC01 のテストに失敗した RidManager

警告: rid セット参照が削除されます。

ldap_search_sW CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso ,DC= com が 2 で失敗しました。

.........................DC01 のテストに失敗した RidManager

テストの開始: RidManager

* ドメインで使用可能な RID プールは 3104 ~ 1073741823

警告: FSMO 役割の所有者が削除されます。

*dc01.contoso.com は RID マスターです

* RID マスターを使用した DsBind が成功しました

警告: rid セット参照が削除されます。

ldap_search_sW CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=dc=com が 2 で失敗しました。 .........................DC01 のテストに失敗した RidManager

テストの開始: KnowsOfRoleHolders

Role Rid Owner = CN="NTDS 設定 DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="NTDS 設定 DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com は Rid 所有者ですが、削除されます。

システム イベント ログに、問題のトラブルシューティングに役立つその他のエラーが表示される場合があります。

イベント ID: 16647

イベント ソース: SAM

説明: ドメイン コントローラーは、新しいアカウント識別子プールの要求を開始しています。

イベントの種類: エラー

イベント ソース: SAM イベント カテゴリ:なし

イベント ID: 16645

説明: このドメイン コントローラーに割り当てられた最大アカウント識別子が割り当てられている。 ドメイン コントローラーが新しい識別子プールを取得できなかった。 このため、ドメイン コントローラーがマスター ドメイン コントローラーに接続できなかった可能性があります。 このコントローラーのアカウント作成は、新しいプールが割り当てられるまで失敗します。 ドメインにネットワークまたは接続に問題がある場合や、マスター ドメイン コントローラーがオフラインまたはドメインから欠落している可能性があります。 マスター ドメイン コントローラーが実行され、ドメインに接続されていることを確認します。

原因

この問題は、次のいずれかのシナリオで発生します。

  • 相対 ID (RID) マスターがバックアップから復元された場合、他のドメイン コントローラーと同期して、他の RID マスターがオンラインで存在しなかろうとします。 ただし、同期に使用できるドメイン コントローラーがない場合、またはレプリケーションが機能していない場合、同期プロセスは失敗します。

    注意

    ドメインに常に 1 つのドメイン コントローラーだけが含まれている場合、RID マスターは他のドメイン コントローラーとの同期を試みない。 ドメイン コントローラーには、他のドメイン コントローラーに関する知識はありません。

  • RID プールが使い果たされたか、または RID 割り当てに関連する Active Directory 内のオブジェクトが正しくない値を使用するか、不足しています。

解決方法

2000 Windows以降のバージョンでは、2 つ目のドメイン コントローラーを復元して初期同期を完了できます。 2 つ目のドメイン コントローラーを復元できない場合は、存在しないドメイン コントローラーでメタデータクリーンアップを実行するか、Active Directory 名前付けコンテキストへのレプリケーション リンクを削除する必要があります。 後で他のドメイン コントローラーを復元する場合は、メタデータのクリーンアップを実行する代わりにレプリケーション リンクを削除する必要があります。

Active Directory の名前付けコンテキストへのレプリケーション リンクを削除する前に、コマンドを使用して objectGUID 値を識別する必要 Repadmin があります。 これを行うには、次の手順を実行します。

  1. [スタート] ボタン をクリックし 、[実行] をクリックし、[開く] ボックスに **「cmd」**と入力、[OK] をクリックします

  2. コマンド プロンプトで、と入力 repadmin /showreps します。 次のような出力が表示されます。

    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: Last attempt <GUID> @ が <DateTime> 成功しました。

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: Last attempt <GUID> @ が <DateTime> 成功しました。

    DC=contoso,DC=com DEFAULT-First-Site-Name\DC02 via RPC objectGuid: Last attempt <GUID> @ が <DateTime> 成功しました。

  3. レプリケーション repadmin /delete リンクを削除する場合に入力します。 次の例に示すように、名前付けコンテキストと objectGUID を指定します。

    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
    repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
    repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly
    
  4. RID マスター コンピューターを再起動します。 RID マスターが正しく初期化されます。

ドメイン内の他のすべてのドメイン コントローラーのドメイン コントローラーのメタデータを削除する

2 つ目のドメイン コントローラーを復元または接続して、初期同期を完了できます。 2 つ目のドメイン コントローラーを追加できない場合は、存在しないドメイン コントローラーでメタデータ クリーンアップを実行して、ドメインから完全に削除するか、Active Directory 名前付けコンテキストへのレプリケーション リンクを削除する必要があります。 メタデータを削除する方法の詳細については、次の記事番号をクリックして、「サーバー メタデータのクリーンアップ 」の記事を表示します。

RID 割り当てに関連する Active Directory オブジェクトが有効か確認するには、次の手順を実行します。

  1. Everyone グループにネットワーク ユーザーからこのコンピューターにアクセスする権限を持っている必要があります。 この設定は、グループ ポリシー オブジェクト エディターの次の場所で構成できます Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

  2. 2000 Windowsツールをインストールします。 これらのツールは、Windows 2000 および Windows Server 2003 CD-ROM のサポート フォルダーで使用できます。 これらのツールをインストールしたら、開始します ADSI Edit 。 これを行うには、次の手順を実行します。

    1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、[名前] ボックスに「mmc」と入力し、[OK] をクリックします。
    2. [Windows 2000 で、[コンソール]をクリック し、[スナップインの追加と削除]をクリックします。 [Windows Server 2003] で、[ファイル] をクリックし、[スナップインの追加と削除]をクリックします
    3. [追加 と削除] スナップインで、[追加] をクリックし 、[ADSIEdit] をクリックし、[追加] を クリックします
    4. [閉じる] をクリックし、[OK] をクリックします。
  3. MMC で [ADSIEdit] を右クリックし、[次へ] を Connectクリックします

  4. [接続] 設定[接続ポイント]、[既知の名前付 けコンテキストを選択する] をクリックします。 ドロップダウン リストで、[ドメイン]をクリックし**、[OK] をクリックします**。

  5. [ ドメイン] を展開し、ドメインの識別名を展開します。 たとえば 、DC= contoso**、DC=** com**** を展開します。

  6. OU=Domain Controllers を展開します

  7. 確認するドメイン コントローラーを右クリックし、[プロパティ] を クリックします

  8. [表示する プロパティの選択] メニューを クリックし 、[userAccountControl] をクリックします

  9. userAccountControl の値 が 532480 である必要があります。 userAccountControl 値を変更するには、ドメイン コントローラーの プロパティ ダイアログ ボックスで [編集] をクリックします。

  10. [整数属性 エディター] で、[ 値] フィールド に「532480」 と入力し 、[OK] をクリックします

RID マスターが別のドメイン コントローラーでレプリケート中である場合の確認

新しく昇格したドメイン コントローラーがイベント 16650 を生成した場合、ドメイン コントローラーは RID マスターではない別のドメイン コントローラーからレプリケーション情報を取得している可能性があります。 昇格中に、新しいドメイン コントローラーのコンピューター アカウントが変更されます。 これらの変更が RID マスター ロールを保持するドメイン コントローラーにレプリケートされていない場合、新しく昇格したドメイン コントローラーが RID プールを取得しようとすると、要求は失敗します。

RID マスターが少なくとも 1 つの直接パートナーとレプリケートを行っているのを確認するには、次の手順を実行します。

  1. CN=RID セット オブジェクトが存在することを 確認します。

    CN=RID Set オブジェクトは、左側のウィンドウの OU=ドメイン コントローラーの下でドメイン コントローラーが選択されている場合 、ADSI Edit の右側のウィンドウに表示されます。

    CN=RID Set オブジェクトが存在しない場合は、そのドメイン コントローラーを降格し、再度昇格してオブジェクトを作成する必要があります。

  2. CN=RID Set オブジェクトが存在する場合は、ドメイン コントローラーのコンピューター アカウント オブジェクトの rIDSetReferences 属性が 、CN=RID セット、CN=DC01、OU=ドメイン コントローラー、CN=contoso、DC=local に示すように 、RID セット オブジェクトの識別名をポイントすることを確認します。

    rIDSetReferences 属性が RID セット オブジェクトの識別名を指していない場合は、Microsoft 製品サポート サービスに問い合わせください。

状態

この動作は仕様です。

関連情報

822053: "ディレクトリ サービスWindows識別子を割り当てできなかったため、オブジェクトを作成できません。