Id. de evento 16650: el asignador de identificador de cuenta no se pudo inicializar en Windows Server

En este artículo se proporciona una solución para resolver errores que se producen al agregar objetos a Active Directory o restaurar un controlador de dominio desde una copia de seguridad de estado del sistema.

Número de KB original: 839879

Síntomas

Este artículo se aplica a Windows 2000 y a todas las versiones posteriores. Al intentar agregar nuevos usuarios, grupos, equipos, buzones, controladores de dominio u otros objetos a Active Directory en un equipo de Microsoft Windows Server, puede recibir el siguiente mensaje de error:

No se puede crear el objeto porque el servicio de directorio no pudo asignar un identificador relativo.

Al restaurar un controlador de dominio desde una copia de seguridad de estado del sistema, el registro del sistema puede contener el siguiente mensaje de error:

Tipo de evento:Error

Origen del evento: evento SAM
Category:None

Identificador de evento: 16650

El asignador de identificador de cuenta no se pudo inicializar correctamente. Los datos de registro contienen el código de error NT que provocó el error. Windows reintentará la inicialización hasta que se realice correctamente; hasta ese momento, se denegará la creación de la cuenta en este controlador de dominio. Busque otros registros de eventos SAM que puedan indicar el motivo exacto del error.

También puede usar el Dcdiag comando junto con el modificador detallado para buscar errores adicionales. Para ello, siga estos pasos:

1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.
2. En el símbolo del sistema, escriba DCdiag /v y pulse Entrar.

Al escribir Dcdiag /v, es posible que vea mensajes de error similares a los siguientes:

Prueba inicial: RidManager

* El grupo de RID disponible para el dominio es de 2355 a 1073741823

* dc01.contoso.com es el maestro rid

* DsBind con RID Master se realizó correctamente

* rIDAllocationPool es de 1355 a 1854

* rIDNextRID: 0 El DS tiene datos dañados: el valor rIDPreviousAllocationPool no es válido.

* rIDPreviousAllocationPool es de 0 a 0 Sin rids asignado- compruebe el registro de eventos.
......................... Prueba con error de DC01 RidManager

Advertencia: se elimina la referencia del conjunto de rid.

ldap_search_sW de CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com para rid info failed with 2: El sistema no encuentra el archivo especificado.

......................... Prueba con error de DC01 RidManager

Prueba inicial: RidManager

* El grupo de RID disponible para el dominio es de 3104 a 1073741823

Advertencia: Se elimina el propietario del rol FSMO.

* dc01.contoso.com es el maestro rid

* DsBind con RID Master se realizó correctamente

Advertencia: se elimina la referencia del conjunto de rid.

ldap_search_sW de CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com para rid info failed with 2: The system cannot find the file specified. ......................... Prueba con error de DC01 RidManager

Prueba de inicio: KnowsOfRoleHolders

Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com es el propietario de Rid, pero se elimina.

También puede recibir otros errores en el registro de eventos del sistema que pueden ayudarle a solucionar el problema:

Identificador de evento: 16647

Origen del evento: SAM

Descripción: el controlador de dominio inicia una solicitud para un nuevo grupo de identificadores de cuenta.

Tipo de evento: error

Origen del evento: Categoría de evento SAM:None

Identificador de evento: 16645

Descripción: se ha asignado el identificador máximo de cuenta asignado a este controlador de dominio. El controlador de dominio no ha podido obtener un nuevo grupo de identificadores. Una posible razón de esto es que el controlador de dominio no ha podido ponerse en contacto con el controlador de dominio maestro. Se producirá un error en la creación de la cuenta en este controlador hasta que se haya asignado un nuevo grupo. Puede haber problemas de red o conectividad en el dominio o que el controlador de dominio maestro esté sin conexión o que falte del dominio. Compruebe que el controlador de dominio maestro se está ejecutando y conectado al dominio.

Causa

Este problema se produce en uno de los escenarios siguientes:

• Cuando se restaura el maestro de identificador relativo (RID) a partir de la copia de seguridad, intenta sincronizarse con otros controladores de dominio para comprobar que no hay ningún otro maestro rid en línea. Sin embargo, se produce un error en el proceso de sincronización si no hay controladores de dominio disponibles para sincronizarse o si la replicación no funciona.

  Nota:

  Si el dominio siempre contiene un controlador de dominio, el maestro rid no intentará sincronizarse con otros controladores de dominio. El controlador de dominio no tiene conocimiento de ningún otro controlador de dominio.

• El grupo de RID se ha agotado o los objetos de Active Directory relacionados con la asignación de RID usan valores incorrectos o faltan.

Solución

Eliminar los vínculos de replicación para los contextos de nomenclatura en Windows

En Windows 2000 y versiones posteriores, puedes restaurar un segundo controlador de dominio para completar la sincronización inicial. Si no puede restaurar un segundo controlador de dominio, debe realizar una limpieza de metadatos en los controladores de dominio no existentes o eliminar los vínculos de replicación a los contextos de nomenclatura de Active Directory. Si planea restaurar los otros controladores de dominio más adelante, debe eliminar los vínculos de replicación en lugar de realizar una limpieza de metadatos.

Para poder eliminar los vínculos de replicación a los contextos de nomenclatura de Active Directory, debe identificar el valor objectGUID mediante el Repadmin comando . Para ello, siga estos pasos:

1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

2. En el símbolo del sistema, escriba repadmin /showreps. Verá una salida similar a la siguiente:

   CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 a través de RPC objectGuid: <GUID> Último intento @ <DateTime> se realizó correctamente.

   CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Último intento @ <DateTime> se realizó correctamente.

   DC=contoso,DC=com Default-First-Site-Name\DC02 a través de rpc objectGuid: <GUID> Último intento @ <DateTime> se realizó correctamente.

3. Escriba repadmin /delete para eliminar los vínculos de replicación. Especifique el contexto de nomenclatura y el objectGUID como se muestra en los ejemplos siguientes:

   repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
   repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
   repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly
   

4. Reinicie el equipo maestro rid. El maestro rid se inicializará correctamente.

Eliminación de metadatos del controlador de dominio para todos los demás controladores de dominio del dominio

Puede restaurar o conectar un segundo controlador de dominio para completar la sincronización inicial. Si no puede agregar un segundo controlador de dominio, debe realizar una limpieza de metadatos en los controladores de dominio no existentes para quitarlos del dominio de forma permanente o eliminar los vínculos de replicación a los contextos de nomenclatura de Active Directory. Para obtener más información sobre cómo quitar metadatos, haga clic en el número de artículo siguiente para ver el artículo Limpiar metadatos del servidor.

Compruebe que los objetos de Active Directory relacionados con la asignación rid sean válidos.

Para comprobar que los objetos de Active Directory relacionados con la asignación rid son válidos, siga estos pasos:

1. Compruebe que el grupo Todos tiene acceso a este equipo desde el derecho de usuario de red. La configuración se puede configurar en la siguiente ubicación en el Editor de objetos de directiva de grupo: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

2. Instale las herramientas de soporte técnico de Windows 2000. Estas herramientas están disponibles en la carpeta de soporte técnico de windows 2000 y los CD-ROMs de Windows Server 2003. Cuando haya instalado estas herramientas, inicie ADSI Edit. Para ello, siga estos pasos:

   1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc en el cuadro Abrir y, a continuación, haga clic en Aceptar.
   2. En Windows 2000, haga clic en Consola y, a continuación, haga clic en Agregar o quitar complemento. En Windows Server 2003, haga clic en Archivo y, a continuación, haga clic en Agregar o quitar complemento.
   3. En el complemento Agregar o quitar, haga clic en Agregar, haga clic en ADSIEdity, a continuación, haga clic en Agregar.
   4. Haga clic en Cerrar y después, en Aceptar.

3. En MMC, haga clic con el botón derecho en ADSIEdity, a continuación, haga clic en Conectar a.

4. En Configuración de conexiones, en Punto de conexión, haga clic en Seleccionar un contexto de nomenclatura conocido. En la lista desplegable, haga clic en dominio y, a continuación, haga clic en Aceptar.

5. Expanda dominio y, a continuación, expanda el nombre distintivo del dominio. Por ejemplo, expanda DC=contoso, DC=com.

6. Expanda OU=Controladores de dominio.

7. Haga clic con el botón derecho en el controlador de dominio que desea comprobar y, a continuación, haga clic en Propiedades.

8. Haga clic en el menú Seleccionar una propiedad para ver y, a continuación, haga clic en userAccountControl.

9. Compruebe que el valor de userAccountControl es 532480. Para cambiar el valor userAccountControl , haga clic en Editar en el cuadro de diálogo propiedad del controlador de dominio.

10. En el Editor de atributos enteros, escriba 532480 en el campo Valor y, a continuación, haga clic en Aceptar.

Compruebe que el maestro rid se está replicando con otro controlador de dominio

Si un controlador de dominio recién promocionado genera el evento 16650, es posible que el controlador de dominio haya obtenido información de replicación de otro controlador de dominio que no sea el maestro rid. Durante la promoción, se modifica la cuenta de equipo del nuevo controlador de dominio. Si estos cambios no se han replicado en el controlador de dominio que contiene el rol maestro rid, se producirá un error en la solicitud cuando el controlador de dominio recién promocionado intente obtener un grupo de RID.

Para comprobar que el maestro rid está replicando con al menos uno de sus asociados directos, siga estos pasos:

1. Compruebe que el objeto CN=RID Set existe.

   El objeto CN=RID Set se encuentra en el panel derecho de ADSI Edit cuando el controlador de dominio está seleccionado en OU=Controladores de dominio en el panel izquierdo.

   Si no existe ningún objeto CN=RID Set , debe degradar ese controlador de dominio y, a continuación, promoverlo de nuevo para crear el objeto.

2. Si el objeto SET CN=RID existe, asegúrese de que el atributo rIDSetReferences en el objeto de cuenta de equipo del controlador de dominio apunta al nombre distintivo del objeto RID Set , como se muestra en el ejemplo siguiente: CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

   Si el atributo rIDSetReferences no apunta al nombre distintivo del objeto Rid Set , póngase en contacto con los Servicios de soporte técnico de Microsoft para obtener más información.

Estado

Este comportamiento es por diseño.

Referencias

822053 mensaje de error: "Windows no puede crear el objeto porque el servicio de directorio no pudo asignar un identificador relativo"