イベント ID 16650: アカウント識別子アロケーターが Windows Server で初期化に失敗しました

  • [アーティクル]

この記事では、Active Directory にオブジェクトを追加したり、システム状態のバックアップからドメイン コントローラーを復元したりするときに発生するエラーを解決するソリューションについて説明します。

適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 839879

現象

この記事は、Windows 2000 以降のすべてのバージョンに適用されます。 Microsoft Windows Server コンピューター上の Active Directory に新しいユーザー、グループ、コンピューター、メールボックス、ドメイン コントローラー、またはその他のオブジェクトを追加しようとすると、次のエラー メッセージが表示されることがあります。

ディレクトリ サービスが相対識別子を割り当てられなかったため、オブジェクトを作成できません。

システム状態のバックアップからドメイン コントローラーを復元すると、システム ログに次のエラー メッセージが含まれる場合があります。

イベントの種類 : エラー

イベント ソース: SAM イベント
Category:None

イベント ID: 16650

アカウント識別子アロケーターが正しく初期化できませんでした。 レコード データには、エラーの原因となった NT エラー コードが含まれています。 Windows は初期化が成功するまで再試行します。それまでは、このドメイン コントローラーでアカウントの作成が拒否されます。 エラーの正確な理由を示す可能性があるその他の SAM イベント ログを探します。

コマンドを詳細スイッチと共に Dcdiag 使用して、追加のエラーを探すこともできます。 これを行うには、次の手順を実行します。

  1. [スタート] をクリックし、[実行] をクリックし、[開く] ボックスに「cmd」と入力し、[OK] をクリックします
  2. コマンド プロンプトで、「」と入力 DCdiag /vし、Enter キーを押します

と入力 Dcdiag /vすると、次のようなエラー メッセージが表示されることがあります。

テストの開始: RidManager

* ドメインで使用可能な RID プールは 2355 ~ 1073741823

* dc01.contoso.com は RID マスターです

* RID マスターを使用した DsBind が成功しました

* rIDAllocationPool は 1355 から 1854 です

* rIDNextRID: 0 DS に破損したデータがある: rIDPreviousAllocationPool 値が無効です

* rIDPreviousAllocationPool は 0 から 0 いいえ rids allocated -- eventlog をチェックしてください。
.........................DC01 テスト RidManager に失敗しました

警告: rid set 参照が削除されます。

CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d0516d、CN=Deleted Objects、DC= contoso、DC= com のldap_search_sWが 2 で失敗しました。システムは指定されたファイルを見つけることができません。

.........................DC01 テスト RidManager に失敗しました

テストの開始: RidManager

* ドメインで使用可能な RID プールは 3104 ~ 1073741823

警告: FSMO ロール所有者が削除されます。

* dc01.contoso.com は RID マスターです

* RID マスターを使用した DsBind が成功しました

警告: rid set 参照が削除されます。

CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545、CN=Deleted Objects、DC=contoso、DC=com のldap_search_sW、2 で失敗しました。 .........................DC01 テスト RidManager に失敗しました

開始テスト: KnowsOfRoleHolders

ロール Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com 警告: CN==com "NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com は Rid Owner ですが、削除されます。

問題のトラブルシューティングに役立つその他のエラーがシステム イベント ログに表示される場合もあります。

イベント ID: 16647

イベント ソース: SAM

説明: ドメイン コントローラーは、新しいアカウント識別子プールの要求を開始しています。

イベントの種類: エラー

イベント ソース: SAM イベント カテゴリ:None

イベント ID: 16645

説明: このドメイン コントローラーに割り当てられた最大アカウント識別子が割り当てられています。 ドメイン コントローラーが新しい識別子プールを取得できませんでした。 その理由として、ドメイン コントローラーがマスター ドメイン コントローラーに接続できなかったことが考えられます。 このコントローラーでのアカウントの作成は、新しいプールが割り当てられるまで失敗します。 ドメインにネットワークまたは接続の問題がある場合や、マスター ドメイン コントローラーがオフラインであるか、ドメインに存在しない可能性があります。 マスター ドメイン コントローラーが実行され、ドメインに接続されていることを確認します。

原因

この問題は、次のいずれかのシナリオで発生します。

  • 相対 ID (RID) マスターがバックアップから復元されると、他のドメイン コントローラーと同期して、他の RID マスターがオンラインでないことを確認しようとします。 ただし、同期に使用できるドメイン コントローラーがない場合、またはレプリケーションが機能していない場合、同期プロセスは失敗します。

    注:

    ドメインに常に 1 つのドメイン コントローラーのみが含まれている場合、RID マスターは他のドメイン コントローラーとの同期を試みません。 ドメイン コントローラーには、他のドメイン コントローラーに関する知識がありません。

  • RID プールが使い果たされているか、RID 割り当てに関連する Active Directory 内のオブジェクトが正しくない値を使用しているか、欠落しています。

解決方法

Windows 2000 以降のバージョンでは、2 つ目のドメイン コントローラーを復元して初期同期を完了できます。 2 つ目のドメイン コントローラーを復元できない場合は、存在しないドメイン コントローラーでメタデータ クリーンアップを実行するか、Active Directory の名前付けコンテキストへのレプリケーション リンクを削除する必要があります。 後で他のドメイン コントローラーを復元する予定の場合は、メタデータ クリーンアップを実行する代わりにレプリケーション リンクを削除する必要があります。

Active Directory の名前付けコンテキストへのレプリケーション リンクを削除する前に、 コマンドを使用して objectGUID 値を識別する Repadmin 必要があります。 これを行うには、次の手順を実行します。

  1. [スタート] をクリックし、[実行] をクリックし、[開く] ボックスに「cmd」と入力し、[OK] をクリックします

  2. コマンド プロンプトで、「」と入力します repadmin /showreps。 次のような出力が表示されます。

    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> が成功しました。

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> が成功しました。

    DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> が成功しました。

  3. 「」と入力 repadmin /delete して、レプリケーション リンクを削除します。 次の例に示すように、名前付けコンテキストと objectGUID を指定します。

    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly

  4. RID マスター コンピューターを再起動します。 RID マスターは正しく初期化されます。

ドメイン内の他のすべてのドメイン コントローラーのドメイン コントローラー メタデータを削除する

2 つ目のドメイン コントローラーを復元または接続して、初期同期を完了できます。 2 つ目のドメイン コントローラーを追加できない場合は、存在しないドメイン コントローラーでメタデータ クリーンアップを実行してドメインから完全に削除するか、Active Directory の名前付けコンテキストへのレプリケーション リンクを削除する必要があります。 メタデータを削除する方法の詳細については、次の記事番号をクリックして、サーバー メタデータのクリーンアップに関する記事を参照してください。

RID 割り当てに関連する Active Directory オブジェクトが有効であることを確認するには、次の手順を実行します。

  1. [すべてのユーザー] グループに[ネットワーク ユーザーからこのコンピューターにアクセスする] 権限があることを確認します。 この設定は、グループ ポリシー オブジェクト エディター 内の次の場所で構成できます。 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

  2. Windows 2000 サポート ツールをインストールします。 これらのツールは、Windows 2000 および Windows Server 2003 CD-ROM のサポート フォルダーで使用できます。 これらのツールをインストールしたら、 を起動します ADSI Edit。 これを行うには、次の手順を実行します。

    1. [ スタート] をクリックし、[ 実行] をクリックし、[ 開く ] ボックスに「mmc」と入力して、[OK] をクリック します
    2. Windows 2000 で、[ コンソール] をクリックし、[ スナップインの追加と削除] をクリックします。 Windows Server 2003 で、[ ファイル] をクリックし、[ スナップインの追加と削除] をクリックします。
    3. [ 追加と削除 ] スナップインで、[ 追加] をクリックし、[ ADSIEdit] をクリックし、[ 追加] をクリックします。
    4. [閉じる] をクリックし、[OK] をクリックします。

  3. MMC で[ ADSIEdit]\(ADSIEdit\) を右クリックし、[ 接続] をクリックします。

  4. [Connections設定] の [接続ポイント] で、[既知の名前付けコンテキストの選択] をクリックします。 ドロップダウン リストで [ ドメイン] をクリックし、[OK] をクリック します

  5. [ドメイン] を展開し、ドメインの識別名を展開します。 たとえば、 DC=contoso、DC=com を展開します

  6. [ OU=ドメイン コントローラー] を展開します

  7. チェックするドメイン コントローラーを右クリックし、[プロパティ] をクリックします。

  8. [ プロパティの選択 ] をクリックしてメニューを表示し、[ userAccountControl] をクリックします。

  9. userAccountControl の値が 532480 であることを確認します。 userAccountControl の値を変更するには、ドメイン コントローラーのプロパティ ダイアログ ボックスで [編集] をクリックします。

  10. [整数属性] エディターで、[] フィールドに「532480」と入力し、[OK] をクリックします

RID マスターが別のドメイン コントローラーとレプリケートしていることを確認する

新しく昇格したドメイン コントローラーがイベント 16650 を生成した場合、ドメイン コントローラーは RID マスターではない別のドメイン コントローラーからレプリケーション情報を取得している可能性があります。 昇格中に、新しいドメイン コントローラーのコンピューター アカウントが変更されます。 これらの変更が RID マスター ロールを保持するドメイン コントローラーにレプリケートされていない場合、新しく昇格したドメイン コントローラーが RID プールを取得しようとすると、要求は失敗します。

RID マスターが少なくとも 1 つの直接パートナーとレプリケートしていることを確認するには、次の手順に従います。

  1. CN=RID Set オブジェクトが存在することを確認します。

    CN=RID Set オブジェクトは、左側のウィンドウの OU=ドメイン コントローラーでドメイン コントローラーが選択されている場合、ADSI Edit の右側のペインにあります。

    CN=RID Set オブジェクトが存在しない場合は、そのドメイン コントローラーを降格し、再度昇格してオブジェクトを作成する必要があります。

  2. CN=RID Set オブジェクトが存在する場合は、ドメイン コントローラーのコンピューター アカウント オブジェクトの rIDSetReferences 属性が RID Set オブジェクトの識別名を指していることを確認します。次の例に示すように、CN=RID Set、CN=DC01、OU=Domain Controllers、CN=contoso、DC=local

    rIDSetReferences 属性が RID Set オブジェクトの識別名を指していない場合は、Microsoft 製品サポート サービスにお問い合わせください。

状態

この動作は仕様です。

関連情報

822053 エラー メッセージ: "ディレクトリ サービスが相対識別子を割り当てられなかったため、Windows でオブジェクトを作成できません"