事件標識碼 16650:帳戶標識碼配置器無法在 Windows Server 中初始化

  • 文章

本文提供解決方案來解決當您將物件新增至 Active Directory 或從系統狀態備份還原域控制器時所發生的錯誤。

適用於: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
原始 KB 編號: 839879

徵狀

本文適用於 Windows 2000 和所有更新版本。 當您嘗試將新的使用者、群組、計算機、信箱、域控制器或其他物件新增至 Microsoft Windows Server 計算機上的 Active Directory 時,您可能會收到下列錯誤訊息:

無法建立 對象,因為目錄服務無法配置相對標識符。

當您從系統狀態備份還原域控制器時,系統記錄檔可能會包含下列錯誤訊息:

事件類型:錯誤

事件來源:SAM 事件
類別:無

事件標識碼:16650

帳戶識別元配置器無法正確初始化。 記錄數據包含造成失敗的NT錯誤碼。 Windows 會重試初始化,直到成功為止;在該時間之前,此域控制器上的帳戶建立將會遭到拒絕。 尋找可能指出失敗確切原因的其他 SAM 事件記錄檔。

您也可以使用 Dcdiag 命令搭配詳細資訊參數來尋找其他錯誤。 如果要執行這項操作,請依照下列步驟執行:

  1. 按兩下 [開始],按兩下 [執行],在 [啟] 方塊中輸入 cmd,然後按兩下 [確定]
  2. 在命令提示字元中輸入 DCdiag /v,然後按 Enter。

當您輸入 Dcdiag /v時,您可能會看到類似下列的錯誤訊息:

開始測試:RidManager

* 網域的可用 RID 集區是 2355 到 1073741823

* dc01.contoso.com 是 RID 主機

* 搭配 RID 主機的 DsBind 成功

* rIDAllocationPool 是 1355 到 1854

* rIDNextRID:0 DS 有損毀的數據:rIDPreviousAllocationPool 值無效

* rIDPreviousAllocationPool 是 0 到 0 沒有設定的 rid -- 請檢查 eventlog。
.........................DC01 失敗的測試 RidManager

警告:刪除 rid set reference。

LDAP_SEARCH_SW CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com for rid info failed with 2: The system cannot find the file specified.

.........................DC01 失敗的測試 RidManager

開始測試:RidManager

* 網域的可用 RID 集區是 3104 到 1073741823

警告:FSMO 角色擁有者已刪除。

* dc01.contoso.com 是 RID 主機

* 搭配 RID 主機的 DsBind 成功

警告:刪除 rid set reference。

ldap_search_sW CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com 的 rid 信息失敗,2:系統找不到指定的檔案。 .........................DC01 失敗的測試 RidManager

開始測試:KnowsOfRoleHolders

Role Rid Owner = CN=“NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593”,CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN=“” NTDS 設定 DEL:fd615439-1ebb-4652-b16f-3f8517d25593“,CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com 是 Rid Owner,但已刪除。

您也可能在系統事件記錄檔中收到其他錯誤,可協助您針對問題進行疑難解答:

事件標識碼:16647

事件來源:SAM

描述:域控制器正在啟動新帳戶標識碼集區的要求。

事件類型:錯誤

事件來源:SAM 事件類別目錄:無

事件標識碼:16645

描述:已指派配置給此域控制器的帳戶標識碼上限。 域控制器無法取得新的標識碼集區。 可能的原因是域控制器無法連絡主域控制器。 在此控制器上建立帳戶將會失敗,直到配置新的集區為止。 網域中可能有網路或連線問題,或主域控制器可能離線或網域遺失。 確認主域控制器正在執行並連線到網域。

原因

下列其中一個案例會發生此問題:

  • 當 RID) Master (相對識別子從備份還原時,它會嘗試與其他域控制器同步,以確認沒有其他 RID 主機在在線。 不過,如果沒有可用來同步處理的域控制器,或復寫無法運作,同步處理程式就會失敗。

    注意事項

    如果網域一律只包含一個域控制器,RID 主機將不會嘗試與其他域控制器同步處理。 域控制器不知道任何其他域控制器。

  • RID 集區已用盡,或 Active Directory 中與 RID 配置相關的物件使用不正確的值或遺失。

解決方案

在 Windows 2000 和更新版本中,您可以還原第二個域控制器,以完成初始同步處理。 如果您無法還原第二個域控制器,您必須在不存在的域控制器上執行元數據清除,或刪除 Active Directory 命名內容的復寫連結。 如果您打算稍後還原其他域控制器,則必須刪除復寫連結,而不是執行元數據清除。

您必須先使用 命令來識別 objectGUID 值,才能刪除 Active Directory 命名內容的 Repadmin 復寫連結。 如果要執行這項操作,請依照下列步驟執行:

  1. 按兩下 [開始],按兩下 [執行],在 [啟] 方塊中輸入 cmd,然後按兩下 [確定]

  2. 在命令提示字元中, 輸入 repadmin /showreps。 您會看到類似下列的輸出:

    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> was successful.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> was successful.

    DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> was successful.

  3. 輸入 repadmin /delete 以刪除復寫連結。 指定命名內容和 objectGUID,如下列範例所示:

    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly

  4. 重新啟動 RID 主電腦。 RID 主機將會正確初始化。

拿掉網域中所有其他域控制器的域控制器元數據

您可以還原或連線第二個域控制器,以完成初始同步處理。 如果您無法新增第二個域控制器,您必須在不存在的域控制器上執行元數據清除,才能從網域永久移除它們,或刪除 Active Directory 命名內容的復寫連結。 如需如何移除元數據的詳細資訊,請按下列文章編號以檢視清除伺服器元數據一文。

若要確認與 RID 配置相關的 Active Directory 物件是否有效,請遵循下列步驟:

  1. 確認 Everyone 群組具有 [從網络使用者存取這部計算機] 許可權。 您可以在 群組原則 物件 編輯器 中的下列位置設定設定:Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

  2. 安裝 Windows 2000 支援工具。 這些工具可在 Windows 2000 和 Windows Server 2003 CD-ROM 的支援資料夾中取得。 安裝這些工具之後,請啟動 ADSI Edit。 如果要執行這項操作,請依照下列步驟執行:

    1. 按兩下 [開始],按兩下 [ 執行],在 [ 啟] 方塊中輸入 mmc,然後按兩下 [ 確定]
    2. 在 Windows 2000 中,按兩下 [控制台],然後按兩下 [新增/移除嵌入式管理單元]。 在 Windows Server 2003 中,按兩下 [檔案],然後按兩下 [新增/移除嵌入式管理單元]
    3. 在 [ 新增/移除 ] 嵌入式管理單元中,依序按兩下 [ 新增]、[ ADSIEdit] 和 [ 新增]
    4. 按一下 [關閉],然後按一下 [確定]

  3. 在 MMC 中,以滑鼠右鍵按兩下 ADSIEdit,然後按兩下 [ 連線至]

  4. [Connections 設定] 的 [連接點] 下,按兩下 [選取已知的命名內容]。 在下拉式清單中,按兩下 [ 網域],然後按兩下 [ 確定]

  5. 展開 [網域],然後展開網域的辨別名稱。 例如,展開 DC=contoso,DC=com

  6. 展開 [OU=域控制器]

  7. 以滑鼠右鍵按下您要檢查的域控制器,然後按兩下 [ 屬性]

  8. 單擊 [ 選取要檢視的屬性 ] 功能表,然後按兩下 [userAccountControl]

  9. 確認 userAccountControl 的值為532480。 若要變更 userAccountControl 值,請按下域控制器屬性對話方塊上的 [ 編輯 ]。

  10. 在 [整數屬性] 編輯器 的 [] 字段中輸入 532480,然後按兩下 [確定]

確認 RID 主機正在使用另一個域控制器進行複寫

如果新升級的域控制器產生事件 16650,域控制器可能已從另一個不是 RID 主機的域控制器取得複寫資訊。 在升級期間,會修改新域控制器的計算機帳戶。 如果這些變更尚未復寫到保留 RID 主機角色的域控制器,當新升級的域控制器嘗試取得 RID 集區時,要求將會失敗。

若要確認 RID 主機正與至少其中一個直接合作夥伴一起複寫,請遵循下列步驟:

  1. 確認 CN=RID Set 物件存在。

    當在左窗格的 OU=域控制器下選取域控制器時,CN=RID Set 物件會位於 ADSI Edit 的右窗格中。

    如果沒有 CN=RID Set 物件存在,您必須將該域控制器降級,然後再次升級以建立物件。

  2. 如果 CN=RID Set 物件存在,請確定域控制器電腦帳戶物件上的 rIDSetReferences 屬性指向 RID Set 對象的辨別名稱,如下列範例所示: CN=RID Set,CN=DC01,OU=域控制器,CN=contoso,DC=local

    如果 rIDSetReferences 屬性未指向 RID Set 物件的辨別名稱,請連絡 Microsoft 產品支援服務以取得詳細資訊。

狀態

產生此錯誤是系統刻意為之。

參考資料

822053 錯誤訊息:「Windows 無法建立對象,因為目錄服務無法配置相對識別符」