Identyfikator zdarzenia 16650: Nie można zainicjować alokatora identyfikatora konta w systemie Windows Server

Ten artykuł zawiera rozwiązanie rozwiązywania błędów występujących podczas dodawania obiektów do usługi Active Directory lub przywracania kontrolera domeny z kopii zapasowej stanu systemu.

              Dotyczy systemów: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Oryginalny numer KB: 839879

Symptomy

Ten artykuł dotyczy systemu Windows 2000 i wszystkich nowszych wersji. Podczas próby dodania nowych użytkowników, grup, komputerów, skrzynek pocztowych, kontrolerów domeny lub innych obiektów do usługi Active Directory na komputerze z systemem Microsoft Windows Server może zostać wyświetlony następujący komunikat o błędzie:

Nie można utworzyć obiektu, ponieważ usługa katalogowa nie może przydzielić identyfikatora względnego.

Po przywróceniu kontrolera domeny z kopii zapasowej stanu systemu dziennik systemowy może zawierać następujący komunikat o błędzie:

Typ zdarzenia:Błąd

Źródło zdarzeń: zdarzenie SAM
Kategoria:Brak

Identyfikator zdarzenia: 16650

Nie można poprawnie zainicjować alokatora identyfikatora konta. Dane rekordu zawierają kod błędu NT, który spowodował błąd. System Windows ponowi próbę zainicjowania, dopóki nie powiedzie się; do tego czasu tworzenie konta zostanie odrzucone na tym kontrolerze domeny. Poszukaj innych dzienników zdarzeń SAM, które mogą wskazywać dokładną przyczynę błędu.

Możesz również użyć Dcdiag polecenia razem z przełącznikiem pełnego w celu wyszukania dodatkowych błędów. Aby to zrobić, wykonaj następujące kroki.

1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd w polu Otwórz , a następnie kliknij przycisk OK.
2. W wierszu polecenia wpisz DCdiag /v, a następnie naciśnij klawisz Enter.

Po wpisaniu Dcdiag /vpolecenia mogą zostać wyświetlone komunikaty o błędach podobne do następujących:

Test początkowy: RidManager

* Dostępna pula identyfikatorów RID dla domeny to od 2355 do 1073741823

* dc01.contoso.com jest wzorcem RID

* DsBind z wzorcem RID zakończył się pomyślnie

* rIDAllocationPool to od 1355 do 1854

* rIDNextRID: 0 Usługa DS ma uszkodzone dane: wartość rIDPreviousAllocationPool jest nieprawidłowa

* rIDPreviousAllocationPool to od 0 do 0 Brak przydzielonych identyfikatorów RID — sprawdź dziennik zdarzeń.
......................... Test RidManager zakończony niepowodzeniem dc01

Ostrzeżenie: odwołanie do zestawu rid zostało usunięte.

ldap_search_sW cn=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com dla informacji rid nie powiodło się z 2: System nie może odnaleźć określonego pliku.

......................... Test RidManager zakończony niepowodzeniem dc01

Test początkowy: RidManager

* Dostępna pula identyfikatorów RID dla domeny to od 3104 do 1073741823

Ostrzeżenie: Właściciel roli FSMO jest usuwany.

* dc01.contoso.com jest wzorcem RID

* DsBind z wzorcem RID zakończył się pomyślnie

Ostrzeżenie: odwołanie do zestawu rid zostało usunięte.

ldap_search_sW cn=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com dla informacji rid nie powiodło się z 2: System nie może odnaleźć określonego pliku. ......................... Test RidManager zakończony niepowodzeniem dc01

Test początkowy: KnowsOfRoleHolders

Właściciel identyfikatora rid roli = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Ostrzeżenie: CN=="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com jest właścicielem rid, ale jest usuwany.

W dzienniku zdarzeń systemowych mogą również pojawić się inne błędy, które mogą pomóc w rozwiązaniu problemu:

Identyfikator zdarzenia: 16647

Źródło zdarzeń: SAM

Opis: Kontroler domeny uruchamia żądanie nowej puli identyfikatorów kont.

Typ zdarzenia: błąd

Źródło zdarzenia: KATEGORIA ZDARZENIA SAM:Brak

Identyfikator zdarzenia: 16645

Opis: Przypisano maksymalny identyfikator konta przydzielony do tego kontrolera domeny. Kontroler domeny nie może uzyskać nowej puli identyfikatorów. Możliwe, że kontroler domeny nie może skontaktować się z głównym kontrolerem domeny. Tworzenie konta na tym kontrolerze zakończy się niepowodzeniem, dopóki nie zostanie przydzielona nowa pula. W domenie mogą występować problemy z siecią lub łącznością albo główny kontroler domeny może być w trybie offline lub nie ma go w domenie. Sprawdź, czy główny kontroler domeny jest uruchomiony i połączony z domeną.

Przyczyna

Ten problem występuje w jednym z następujących scenariuszy:

• Po przywróceniu wzorca identyfikatora względnego (RID) z kopii zapasowej próbuje zsynchronizować go z innymi kontrolerami domeny, aby sprawdzić, czy w trybie online nie ma żadnych innych wzorców RID. Jednak proces synchronizacji kończy się niepowodzeniem, jeśli nie ma dostępnych kontrolerów domeny do synchronizacji lub jeśli replikacja nie działa.

  Uwaga

  Jeśli domena zawsze zawierała tylko jeden kontroler domeny, wzorzec RID nie spróbuje zsynchronizować z innymi kontrolerami domeny. Kontroler domeny nie zna żadnych innych kontrolerów domeny.

• Pula identyfikatorów RID została wyczerpana lub obiekty w usłudze Active Directory, które są związane z alokacją identyfikatorów RID, używają nieprawidłowych wartości lub ich brakuje.

Rozwiązanie

Usuwanie linków replikacji dla kontekstów nazewnictwa w systemie Windows

W systemie Windows 2000 i nowszych wersjach można przywrócić drugi kontroler domeny w celu ukończenia synchronizacji początkowej. Jeśli nie możesz przywrócić drugiego kontrolera domeny, musisz przeprowadzić oczyszczanie metadanych na nieistniejących kontrolerach domeny lub usunąć linki replikacji do kontekstów nazewnictwa usługi Active Directory. Jeśli planujesz później przywrócić inne kontrolery domeny, musisz usunąć łącza replikacji zamiast czyszczenia metadanych.

Aby można było usunąć linki replikacji do kontekstów nazewnictwa usługi Active Directory, należy zidentyfikować wartość objectGUID za pomocą Repadmin polecenia . Aby to zrobić, wykonaj następujące kroki.

1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd w polu Otwórz , a następnie kliknij przycisk OK.

2. W wierszu polecenia wpisz repadmin /showreps. Zostaną wyświetlone dane wyjściowe podobne do następujących:

   CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> was successful.

   CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Ostatnia próba @ <DataTime> zakończyła się pomyślnie.

   DC=contoso,DC=com Default-First-Site-Name\DC02 za pośrednictwem obiektu RPCGuid: <IDENTYFIKATOR GUID> Ostatnia próba @ <DataTime> zakończyła się pomyślnie.

3. Wpisz repadmin /delete , aby usunąć łącza replikacji. Określ kontekst nazewnictwa i identyfikator objectGUID, jak pokazano w następujących przykładach:

   repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
   repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
   repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly
   

4. Uruchom ponownie komputer główny identyfikatora RID. Wzorzec RID zostanie poprawnie zainicjowany.

Usuwanie metadanych kontrolera domeny dla wszystkich innych kontrolerów domeny w domenie

Możesz przywrócić lub połączyć drugi kontroler domeny, aby zakończyć synchronizację początkową. Jeśli nie możesz dodać drugiego kontrolera domeny, musisz przeprowadzić oczyszczanie metadanych na nieistniejących kontrolerach domeny, aby trwale usunąć je z domeny lub usunąć linki replikacji do kontekstów nazewnictwa usługi Active Directory. Aby uzyskać więcej informacji na temat usuwania metadanych, kliknij następujący numer artykułu, aby wyświetlić artykuł Oczyszczanie metadanych serwera.

Sprawdź, czy obiekty usługi Active Directory powiązane z alokacją identyfikatorów RID są prawidłowe

Aby sprawdzić, czy obiekty usługi Active Directory powiązane z alokacją identyfikatorów RID są prawidłowe, wykonaj następujące kroki:

1. Sprawdź, czy grupa Wszyscy ma prawo dostępu do tego komputera od użytkownika sieciowego. Ustawienie można skonfigurować w następującej lokalizacji w Redaktor obiektu zasady grupy: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

2. Zainstaluj narzędzia obsługi systemu Windows 2000. Te narzędzia są dostępne w folderze pomocy technicznej w systemach Windows 2000 i Windows Server 2003 CD-ROM. Po zainstalowaniu tych narzędzi uruchom polecenie ADSI Edit. Aby to zrobić, wykonaj następujące kroki.

   1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc w polu Otwórz , a następnie kliknij przycisk OK.
   2. W systemie Windows 2000 kliknij pozycję Konsola, a następnie kliknij pozycję Dodaj/Usuń przystawkę. W systemie Windows Server 2003 kliknij pozycję Plik, a następnie kliknij pozycję Dodaj/Usuń przystawkę.
   3. W przystawce Dodaj/Usuń kliknij pozycję Dodaj, kliknij pozycję ADSIEdytuj, a następnie kliknij pozycję Dodaj.
   4. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK.

3. W programie MMC kliknij prawym przyciskiem myszy pozycję ADSIEdytuj, a następnie kliknij pozycję Połącz z.

4. W obszarze Ustawienia Connections w obszarze Punkt połączenia kliknij pozycję Wybierz dobrze znany kontekst nazewnictwa. Na liście rozwijanej kliknij pozycję domena, a następnie kliknij przycisk OK.

5. Rozwiń domenę, a następnie rozwiń nazwę wyróżniającą domeny. Na przykład rozwiń węzeł DC=contoso, DC=com.

6. Rozwiń węzeł OU=Kontrolery domeny.

7. Kliknij prawym przyciskiem myszy kontroler domeny, który chcesz sprawdzić, a następnie kliknij pozycję Właściwości.

8. Kliknij menu Wybierz właściwość, aby wyświetlić , a następnie kliknij pozycję userAccountControl.

9. Sprawdź, czy wartość parametru userAccountControl to 532480. Aby zmienić wartość userAccountControl , kliknij przycisk Edytuj w oknie dialogowym właściwości kontrolera domeny.

10. W Redaktor Atrybut liczby całkowitej wpisz 532480 w polu Wartość, a następnie kliknij przycisk OK.

Sprawdź, czy wzorzec RID replikuje się przy użyciu innego kontrolera domeny

Jeśli nowo promowany kontroler domeny generuje zdarzenie 16650, kontroler domeny mógł uzyskać informacje o replikacji z innego kontrolera domeny, który nie jest wzorcem RID. Podczas podwyższania poziomu konto komputera dla nowego kontrolera domeny jest modyfikowane. Jeśli te zmiany nie zostały zreplikowane do kontrolera domeny, który pełni rolę wzorca RID, żądanie zakończy się niepowodzeniem, gdy nowo promowany kontroler domeny spróbuje uzyskać pulę identyfikatorów RID.

Aby sprawdzić, czy wzorzec RID replikuje się z co najmniej jednym z jego bezpośrednich partnerów, wykonaj następujące kroki:

1. Sprawdź, czy obiekt CN=RID Set istnieje.

   Obiekt CN=RID Set znajduje się w prawym okienku Edytuj adsi, gdy kontroler domeny jest zaznaczony w obszarze OU=Kontrolery domeny w okienku po lewej stronie.

   Jeśli żaden obiekt zestawu CN=RID nie istnieje, należy obniżyć poziom tego kontrolera domeny, a następnie podwyższyć poziom jego poziomu, aby utworzyć obiekt.

2. Jeśli obiekt CN=RID Set istnieje, upewnij się, że atrybut rIDSetReferences w obiekcie konta komputera kontrolera domeny wskazuje na nazwę wyróżniającą obiektu zestawu RID , jak pokazano w poniższym przykładzie: CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

   Jeśli atrybut rIDSetReferences nie wskazuje nazwy wyróżniającą obiektu zestawu RID , skontaktuj się z usługami pomocy technicznej firmy Microsoft, aby uzyskać więcej informacji.

Stan

Takie działanie jest celowe.

Informacje

822053 komunikat o błędzie: "System Windows nie może utworzyć obiektu, ponieważ usługa katalogowa nie mogła przydzielić identyfikatora względnego"