Идентификатор события 16650: не удалось инициализировать распределитель идентификатора учетной записи в Windows Server

  • Статья

В этой статье описано решение для устранения ошибок, возникающих при добавлении объектов в Active Directory или восстановлении контроллера домена из резервной копии состояния системы.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 839879

Симптомы

Эта статья относится к Windows 2000 и всем более поздним версиям. При попытке добавить новых пользователей, группы, компьютеры, почтовые ящики, контроллеры домена или другие объекты в Active Directory на компьютере с Microsoft Windows Server может появиться следующее сообщение об ошибке:

Не удается создать объект, так как службе каталогов не удалось выделить относительный идентификатор.

При восстановлении контроллера домена из резервной копии состояния системы системный журнал может содержать следующее сообщение об ошибке:

Тип события:Ошибка

Источник события: событие SAM
Категория:Нет

Идентификатор события: 16650

Не удалось правильно инициализировать распределитель идентификаторов учетной записи. Данные записи содержат код ошибки NT, вызвавшей сбой. Windows будет повторять инициализацию, пока она не завершится успешно; до этого времени создание учетной записи будет запрещено на этом контроллере домена. Найдите другие журналы событий SAM, которые могут указывать точную причину сбоя.

Вы также можете использовать Dcdiag команду вместе с подробным переключателем для поиска дополнительных ошибок. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd в поле Открыть и нажмите кнопку ОК.
  2. В командной строке введите DCdiag /vи нажмите клавишу ВВОД.

При вводе Dcdiag /vмогут отображаться сообщения об ошибках, которые выглядят следующим образом:

Запуск теста: RidManager

* Доступный пул RID для домена — от 2355 до 1073741823

* dc01.contoso.com — это главный элемент RID

* DsBind с хозяином RID успешно выполнено

* значение rIDAllocationPool — от 1355 до 1854

* rIDNextRID: 0 Ds имеет поврежденные данные: значение rIDPreviousAllocationPool недопустимо

* значение rIDPreviousAllocationPool от 0 до 0 Не выделяется — проверка журнал событий.
......................... Dc01 не удалось проверить RidManager

Предупреждение: ссылка на набор rid удалена.

ldap_search_sW CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com для сведений rid завершился ошибкой 2: Система не может найти указанный файл.

......................... Dc01 не удалось проверить RidManager

Запуск теста: RidManager

* Доступный пул RID для домена — от 3104 до 1073741823

Предупреждение. Владелец роли FSMO удален.

* dc01.contoso.com — это главный элемент RID

* DsBind с хозяином RID успешно выполнено

Предупреждение: ссылка на набор rid удалена.

ldap_search_sW CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com для сведений rid завершился сбоем 2: система не может найти указанный файл. ......................... Dc01 не удалось проверить RidManager

Начальный тест: KnowsOfRoleHolders

Владелец rid role = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="" Параметры NTDS DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com является владельцем Rid, но удаляется.

Кроме того, в журнале системных событий могут появиться другие ошибки, которые помогут устранить проблему:

Идентификатор события: 16647

Источник события: SAM

Описание. Контроллер домена запускает запрос на новый пул идентификаторов учетных записей.

Тип события: Ошибка

Источник события: SAM Event Category:None

Идентификатор события: 16645

Описание. Назначен максимальный идентификатор учетной записи, выделенный этому контроллеру домена. Контроллеру домена не удалось получить новый пул идентификаторов. Возможной причиной этого является то, что контроллеру домена не удалось связаться с master контроллером домена. Создание учетной записи на этом контроллере завершится ошибкой, пока не будет выделен новый пул. В домене могут возникнуть проблемы с сетью или подключением, или контроллер домена master может находиться в автономном режиме или отсутствовать в домене. Убедитесь, что контроллер домена master запущен и подключен к домену.

Причина

Эта проблема возникает в одном из следующих сценариев:

  • Когда относительный идентификатор (RID) master восстанавливается из резервной копии, он пытается синхронизироваться с другими контроллерами домена, чтобы убедиться, что нет других мастеров RID в сети. Однако процесс синхронизации завершается ошибкой, если нет доступных контроллеров домена для синхронизации или репликация не работает.

    Примечание.

    Если домен всегда содержал только один контроллер домена, хозяин RID не будет пытаться синхронизироваться с другими контроллерами домена. Контроллер домена не имеет сведений о других контроллерах домена.

  • Пул RID исчерпан, или объекты в Active Directory, связанные с выделением RID, используют неверные значения или отсутствуют.

Разрешение

В Windows 2000 и более поздних версиях можно восстановить второй контроллер домена для завершения начальной синхронизации. Если не удается восстановить второй контроллер домена, необходимо либо выполнить очистку метаданных на несуществующих контроллерах домена, либо удалить ссылки репликации на контексты именования Active Directory. Если вы планируете восстановить другие контроллеры домена позже, вместо очистки метаданных необходимо удалить ссылки репликации.

Перед удалением ссылок репликации на контексты именования Active Directory необходимо определить значение objectGUID с помощью Repadmin команды . Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd в поле Открыть и нажмите кнопку ОК.

  2. В командной строке введите repadmin /showreps. Вы увидите следующие выходные данные:

    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 с помощью объекта RPCGuid: <GUID> Последняя попытка @ <DateTime> была успешной.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 через объект RPCGuid: <GUID> Последняя попытка @ <DateTime> была успешной.

    DC=contoso,DC=com Default-First-Site-Name\DC02 через объект RPCGuid: <GUID> Последняя попытка @ <DateTime> была успешной.

  3. Введите repadmin /delete , чтобы удалить ссылки репликации. Укажите контекст именования и objectGUID, как показано в следующих примерах:

    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly

  4. Перезагрузите главный компьютер RID. Хозяин RID инициализируется правильно.

Удаление метаданных контроллера домена для всех остальных контроллеров домена в домене

Для завершения начальной синхронизации можно восстановить или подключить второй контроллер домена. Если вы не можете добавить второй контроллер домена, необходимо либо выполнить очистку метаданных на несуществующих контроллерах домена, чтобы удалить их из домена навсегда, либо удалить ссылки репликации на контексты именования Active Directory. Для получения дополнительных сведений об удалении метаданных щелкните следующий номер статьи, чтобы просмотреть статью Очистка метаданных сервера.

Чтобы убедиться, что объекты Active Directory, связанные с выделением RID, действительны, выполните следующие действия.

  1. Убедитесь, что у группы Все есть право доступ к этому компьютеру из сетевого пользователя. Параметр можно настроить в следующем расположении в Редактор объекта групповая политика: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

  2. Установите средства поддержки Windows 2000. Эти средства доступны в папке поддержки на компакт-дисках Windows 2000 и Windows Server 2003. После установки этих средств запустите ADSI Edit. Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите mmc в поле Открыть и нажмите кнопку ОК.
    2. В Windows 2000 щелкните Консоль, а затем — Добавить и удалить оснастку. В Windows Server 2003 щелкните Файл, а затем — Добавить и удалить оснастку.
    3. В оснастке "Добавление и удаление " нажмите кнопку Добавить, выберите ADSIEdit, а затем нажмите кнопку Добавить.
    4. Нажмите кнопку Закрыть, а затем — ОК.

  3. В MMC щелкните правой кнопкой мыши ADSIEdit и выберите подключиться к.

  4. В Connections Параметры в разделе Точка подключения щелкните Выбрать известный контекст именования. В раскрывающемся списке выберите домен и нажмите кнопку ОК.

  5. Разверните домен, а затем разверните различающееся имя домена. Например, разверните DC=contoso, DC=com.

  6. Разверните узел OU=Контроллеры домена.

  7. Щелкните правой кнопкой мыши контроллер домена, который нужно проверка, и выберите пункт Свойства.

  8. Откройте меню Выберите свойство для просмотра и выберите userAccountControl.

  9. Убедитесь, что значение параметра userAccountControl равно 532480. Чтобы изменить значение userAccountControl , щелкните Изменить в диалоговом окне свойства контроллера домена.

  10. В Редактор Целочисленный атрибут введите 532480 в поле Значение и нажмите кнопку ОК.

Убедитесь, что главный элемент RID реплицируется с другим контроллером домена.

Если только что повышен контроллер домена создает событие 16650, контроллер домена, возможно, получил сведения о репликации от другого контроллера домена, который не является хозяином RID. Во время повышения учетная запись компьютера для нового контроллера домена изменяется. Если эти изменения не реплицировались на контроллер домена, содержащий роль RID master, запрос завершится ошибкой, когда контроллер домена с повышением уровня пытается получить пул RID.

Чтобы убедиться, что главный элемент RID реплицируется по крайней мере с одним из своих прямых партнеров, выполните следующие действия.

  1. Убедитесь, что объект CN=RID Set существует.

    Объект CN=RID Set находится в правой области редактирования ADSI, если контроллер домена выбран в разделе OU=Контроллеры домена в левой области.

    Если объект CN=RID Set не существует, необходимо понизить уровень этого контроллера домена, а затем снова повысить его, чтобы создать объект .

  2. Если объект CN=RID Set существует, убедитесь, что атрибут rIDSetReferences в объекте учетной записи компьютера контроллера домена указывает на различающееся имя объекта RID Set , как показано в следующем примере: CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

    Если атрибут rIDSetReferences не указывает на различающееся имя объекта RID Set , обратитесь в службу технической поддержки Майкрософт для получения дополнительных сведений.

Статус

Такое поведение является особенностью данного продукта.

Ссылки

822053 сообщение об ошибке: "Windows не удается создать объект, так как службе каталогов не удалось выделить относительный идентификатор"