イベント ID 16650: アカウント識別子アロケーターが Windows Server で初期化に失敗しました
この記事では、Active Directory にオブジェクトを追加したり、システム状態のバックアップからドメイン コントローラーを復元したりするときに発生するエラーを解決するソリューションについて説明します。
適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 839879
現象
この記事は、Windows 2000 以降のすべてのバージョンに適用されます。 Microsoft Windows Server コンピューター上の Active Directory に新しいユーザー、グループ、コンピューター、メールボックス、ドメイン コントローラー、またはその他のオブジェクトを追加しようとすると、次のエラー メッセージが表示されることがあります。
ディレクトリ サービスが相対識別子を割り当てられなかったため、オブジェクトを作成できません。
システム状態のバックアップからドメイン コントローラーを復元すると、システム ログに次のエラー メッセージが含まれる場合があります。
イベントの種類 : エラー
イベント ソース: SAM イベント
Category:Noneイベント ID: 16650
アカウント識別子アロケーターが正しく初期化できませんでした。 レコード データには、エラーの原因となった NT エラー コードが含まれています。 Windows は初期化が成功するまで再試行します。それまでは、このドメイン コントローラーでアカウントの作成が拒否されます。 エラーの正確な理由を示す可能性があるその他の SAM イベント ログを探します。
コマンドを詳細スイッチと共に Dcdiag
使用して、追加のエラーを探すこともできます。 これを行うには、次の手順を実行します。
- [スタート] をクリックし、[実行] をクリックし、[開く] ボックスに「cmd」と入力し、[OK] をクリックします。
- コマンド プロンプトで、「」と入力
DCdiag /v
し、Enter キーを押します 。
と入力 Dcdiag /v
すると、次のようなエラー メッセージが表示されることがあります。
テストの開始: RidManager
* ドメインで使用可能な RID プールは 2355 ~ 1073741823
*
dc01.contoso.com
は RID マスターです* RID マスターを使用した DsBind が成功しました
* rIDAllocationPool は 1355 から 1854 です
* rIDNextRID: 0 DS に破損したデータがある: rIDPreviousAllocationPool 値が無効です
* rIDPreviousAllocationPool は 0 から 0 いいえ rids allocated -- eventlog をチェックしてください。
.........................DC01 テスト RidManager に失敗しました警告: rid set 参照が削除されます。
CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d0516d、CN=Deleted Objects、DC= contoso、DC= com のldap_search_sWが 2 で失敗しました。システムは指定されたファイルを見つけることができません。
.........................DC01 テスト RidManager に失敗しました
テストの開始: RidManager
* ドメインで使用可能な RID プールは 3104 ~ 1073741823
警告: FSMO ロール所有者が削除されます。
*
dc01.contoso.com
は RID マスターです* RID マスターを使用した DsBind が成功しました
警告: rid set 参照が削除されます。
CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545、CN=Deleted Objects、DC=contoso、DC=com のldap_search_sW、2 で失敗しました。 .........................DC01 テスト RidManager に失敗しました
開始テスト: KnowsOfRoleHolders
ロール Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com 警告: CN==com "NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com は Rid Owner ですが、削除されます。
問題のトラブルシューティングに役立つその他のエラーがシステム イベント ログに表示される場合もあります。
イベント ID: 16647
イベント ソース: SAM
説明: ドメイン コントローラーは、新しいアカウント識別子プールの要求を開始しています。
イベントの種類: エラー
イベント ソース: SAM イベント カテゴリ:None
イベント ID: 16645
説明: このドメイン コントローラーに割り当てられた最大アカウント識別子が割り当てられています。 ドメイン コントローラーが新しい識別子プールを取得できませんでした。 その理由として、ドメイン コントローラーがマスター ドメイン コントローラーに接続できなかったことが考えられます。 このコントローラーでのアカウントの作成は、新しいプールが割り当てられるまで失敗します。 ドメインにネットワークまたは接続の問題がある場合や、マスター ドメイン コントローラーがオフラインであるか、ドメインに存在しない可能性があります。 マスター ドメイン コントローラーが実行され、ドメインに接続されていることを確認します。
原因
この問題は、次のいずれかのシナリオで発生します。
相対 ID (RID) マスターがバックアップから復元されると、他のドメイン コントローラーと同期して、他の RID マスターがオンラインでないことを確認しようとします。 ただし、同期に使用できるドメイン コントローラーがない場合、またはレプリケーションが機能していない場合、同期プロセスは失敗します。
注:
ドメインに常に 1 つのドメイン コントローラーのみが含まれている場合、RID マスターは他のドメイン コントローラーとの同期を試みません。 ドメイン コントローラーには、他のドメイン コントローラーに関する知識がありません。
RID プールが使い果たされているか、RID 割り当てに関連する Active Directory 内のオブジェクトが正しくない値を使用しているか、欠落しています。
解決方法
Windows の名前付けコンテキストのレプリケーション リンクを削除する
Windows 2000 以降のバージョンでは、2 つ目のドメイン コントローラーを復元して初期同期を完了できます。 2 つ目のドメイン コントローラーを復元できない場合は、存在しないドメイン コントローラーでメタデータ クリーンアップを実行するか、Active Directory の名前付けコンテキストへのレプリケーション リンクを削除する必要があります。 後で他のドメイン コントローラーを復元する予定の場合は、メタデータ クリーンアップを実行する代わりにレプリケーション リンクを削除する必要があります。
Active Directory の名前付けコンテキストへのレプリケーション リンクを削除する前に、 コマンドを使用して objectGUID 値を識別する Repadmin
必要があります。 これを行うには、次の手順を実行します。
[スタート] をクリックし、[実行] をクリックし、[開く] ボックスに「cmd」と入力し、[OK] をクリックします。
コマンド プロンプトで、「」と入力します
repadmin /showreps
。 次のような出力が表示されます。CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> が成功しました。
CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> が成功しました。
DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> が成功しました。
「」と入力
repadmin /delete
して、レプリケーション リンクを削除します。 次の例に示すように、名前付けコンテキストと objectGUID を指定します。repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly
RID マスター コンピューターを再起動します。 RID マスターは正しく初期化されます。
ドメイン内の他のすべてのドメイン コントローラーのドメイン コントローラー メタデータを削除する
2 つ目のドメイン コントローラーを復元または接続して、初期同期を完了できます。 2 つ目のドメイン コントローラーを追加できない場合は、存在しないドメイン コントローラーでメタデータ クリーンアップを実行してドメインから完全に削除するか、Active Directory の名前付けコンテキストへのレプリケーション リンクを削除する必要があります。 メタデータを削除する方法の詳細については、次の記事番号をクリックして、サーバー メタデータのクリーンアップに関する記事を参照してください。
RID 割り当てに関連する Active Directory オブジェクトが有効であることを確認する
RID 割り当てに関連する Active Directory オブジェクトが有効であることを確認するには、次の手順を実行します。
[すべてのユーザー] グループに[ネットワーク ユーザーからこのコンピューターにアクセスする] 権限があることを確認します。 この設定は、グループ ポリシー オブジェクト エディター 内の次の場所で構成できます。
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Windows 2000 サポート ツールをインストールします。 これらのツールは、Windows 2000 および Windows Server 2003 CD-ROM のサポート フォルダーで使用できます。 これらのツールをインストールしたら、 を起動します
ADSI Edit
。 これを行うには、次の手順を実行します。- [ スタート] をクリックし、[ 実行] をクリックし、[ 開く ] ボックスに「mmc」と入力して、[OK] をクリック します。
- Windows 2000 で、[ コンソール] をクリックし、[ スナップインの追加と削除] をクリックします。 Windows Server 2003 で、[ ファイル] をクリックし、[ スナップインの追加と削除] をクリックします。
- [ 追加と削除 ] スナップインで、[ 追加] をクリックし、[ ADSIEdit] をクリックし、[ 追加] をクリックします。
- [閉じる] をクリックし、[OK] をクリックします。
MMC で[ ADSIEdit]\(ADSIEdit\) を右クリックし、[ 接続] をクリックします。
[Connections設定] の [接続ポイント] で、[既知の名前付けコンテキストの選択] をクリックします。 ドロップダウン リストで [ ドメイン] をクリックし、[OK] をクリック します。
[ドメイン] を展開し、ドメインの識別名を展開します。 たとえば、 DC=contoso、DC=com を展開します。
[ OU=ドメイン コントローラー] を展開します。
チェックするドメイン コントローラーを右クリックし、[プロパティ] をクリックします。
[ プロパティの選択 ] をクリックしてメニューを表示し、[ userAccountControl] をクリックします。
userAccountControl の値が 532480 であることを確認します。 userAccountControl の値を変更するには、ドメイン コントローラーのプロパティ ダイアログ ボックスで [編集] をクリックします。
[整数属性] エディターで、[値] フィールドに「532480」と入力し、[OK] をクリックします。
RID マスターが別のドメイン コントローラーとレプリケートしていることを確認する
新しく昇格したドメイン コントローラーがイベント 16650 を生成した場合、ドメイン コントローラーは RID マスターではない別のドメイン コントローラーからレプリケーション情報を取得している可能性があります。 昇格中に、新しいドメイン コントローラーのコンピューター アカウントが変更されます。 これらの変更が RID マスター ロールを保持するドメイン コントローラーにレプリケートされていない場合、新しく昇格したドメイン コントローラーが RID プールを取得しようとすると、要求は失敗します。
RID マスターが少なくとも 1 つの直接パートナーとレプリケートしていることを確認するには、次の手順に従います。
CN=RID Set オブジェクトが存在することを確認します。
CN=RID Set オブジェクトは、左側のウィンドウの OU=ドメイン コントローラーでドメイン コントローラーが選択されている場合、ADSI Edit の右側のペインにあります。
CN=RID Set オブジェクトが存在しない場合は、そのドメイン コントローラーを降格し、再度昇格してオブジェクトを作成する必要があります。
CN=RID Set オブジェクトが存在する場合は、ドメイン コントローラーのコンピューター アカウント オブジェクトの rIDSetReferences 属性が RID Set オブジェクトの識別名を指していることを確認します。次の例に示すように、CN=RID Set、CN=DC01、OU=Domain Controllers、CN=contoso、DC=local
rIDSetReferences 属性が RID Set オブジェクトの識別名を指していない場合は、Microsoft 製品サポート サービスにお問い合わせください。
状態
この動作は仕様です。
関連情報
822053 エラー メッセージ: "ディレクトリ サービスが相対識別子を割り当てられなかったため、Windows でオブジェクトを作成できません"
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示