Ereignis-ID 16650: Fehler beim Initialisieren des Kontobezeichners in Windows Server

  • Artikel

Dieser Artikel bietet eine Lösung zum Beheben von Fehlern, die auftreten, wenn Sie Objekte zu Active Directory hinzufügen oder einen Domänencontroller aus einer Systemstatussicherung wiederherstellen.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 839879

Symptome

Dieser Artikel gilt für Windows 2000 und alle höheren Versionen. Wenn Sie versuchen, neue Benutzer, Gruppen, Computer, Postfächer, Domänencontroller oder andere Objekte zu Active Directory auf einem Microsoft Windows Server-Computer hinzuzufügen, wird möglicherweise die folgende Fehlermeldung angezeigt:

Das Objekt kann nicht erstellt werden, weil der Verzeichnisdienst keinen relativen Bezeichner zuweisen konnte.

Wenn Sie einen Domänencontroller aus einer Systemstatussicherung wiederherstellen, enthält das Systemprotokoll möglicherweise die folgende Fehlermeldung:

Ereignistyp:Fehler

Ereignisquelle: SAM-Ereignis
Kategorie:Keine

Ereignis-ID: 16650

Die Kontobezeichnerzuweisung konnte nicht ordnungsgemäß initialisiert werden. Die Datensatzdaten enthalten den NT-Fehlercode, der den Fehler verursacht hat. Windows wiederholt die Initialisierung, bis sie erfolgreich ist. bis zu diesem Zeitpunkt wird die Kontoerstellung auf diesem Domänencontroller verweigert. Suchen Sie nach anderen SAM-Ereignisprotokollen, die den genauen Grund für den Fehler angeben können.

Sie können den Dcdiag Befehl auch zusammen mit dem ausführlichen Schalter verwenden, um nach zusätzlichen Fehlern zu suchen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie dann auf OK.
  2. Geben Sie an der Eingabeaufforderung ein DCdiag /v, und drücken Sie dann die EINGABETASTE.

Wenn Sie eingeben Dcdiag /v, werden möglicherweise Fehlermeldungen angezeigt, die in etwa wie folgt aussehen:

Test wird gestartet: RidManager

* Verfügbarer RID-Pool für die Domäne ist 2355 bis 1073741823

* dc01.contoso.com ist der RID-Master

* DsBind mit RID-Master war erfolgreich

* rIDAllocationPool ist 1355 bis 1854

* rIDNextRID: 0 Der DS weist beschädigte Daten auf: rIDPreviousAllocationPool-Wert ist ungültig.

* rIDPreviousAllocationPool ist 0 bis 0 Keine Rids zugeordnet - überprüfen Sie das Ereignisprotokoll.
......................... Fehler bei DC01– RidManager-Test

Warnung: Ridset-Verweis wird gelöscht.

ldap_search_sW von CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com for rid information failed with 2: The system cannot find the file specified.

......................... Fehler bei DC01– RidManager-Test

Test wird gestartet: RidManager

* Verfügbarer RID-Pool für die Domäne ist 3104 bis 1073741823

Warnung: DER FSMO-Rollenbesitzer wird gelöscht.

* dc01.contoso.com ist der RID-Master

* DsBind mit RID-Master war erfolgreich

Warnung: Ridset-Verweis wird gelöscht.

ldap_search_sW von CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com für Rid-Informationen fehlgeschlagen mit 2: Das System kann die angegebene Datei nicht finden. ......................... Fehler bei DC01– RidManager-Test

Test wird gestartet: KnowsOfRoleHolders

Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN=CN="NTDS-Einstellungen DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com ist der Rid-Besitzer, wird aber gelöscht.

Möglicherweise erhalten Sie auch andere Fehler im Systemereignisprotokoll, die Ihnen bei der Problembehandlung helfen können:

Ereignis-ID: 16647

Ereignisquelle: SAM

Beschreibung: Der Domänencontroller startet eine Anforderung für einen neuen Kontobezeichnerpool.

Ereignistyp: Fehler

Ereignisquelle: SAM-Ereigniskategorie: Keine

Ereignis-ID: 16645

Beschreibung: Der maximale Kontobezeichner, der diesem Domänencontroller zugeordnet ist, wurde zugewiesen. Der Domänencontroller konnte keinen neuen Bezeichnerpool abrufen. Ein möglicher Grund dafür ist, dass der Domänencontroller den master Domänencontroller nicht kontaktieren konnte. Die Kontoerstellung auf diesem Controller schlägt fehl, bis ein neuer Pool zugeordnet wurde. Möglicherweise gibt es Netzwerk- oder Konnektivitätsprobleme in der Domäne, oder der master Domänencontroller ist offline oder fehlt in der Domäne. Vergewissern Sie sich, dass der master Domänencontroller ausgeführt wird und mit der Domäne verbunden ist.

Ursache

Dieses Problem tritt in einem der folgenden Szenarien auf:

  • Wenn der RELATIVE ID-Master (RID) aus der Sicherung wiederhergestellt wird, versucht er, eine Synchronisierung mit anderen Domänencontrollern durchzuführen, um zu überprüfen, ob keine anderen RID-Master online sind. Der Synchronisierungsvorgang schlägt jedoch fehl, wenn keine Domänencontroller für die Synchronisierung verfügbar sind oder wenn die Replikation nicht funktioniert.

    Hinweis

    Wenn die Domäne immer nur einen Domänencontroller enthält, versucht der RID-Master nicht, mit anderen Domänencontrollern zu synchronisieren. Der Domänencontroller hat keine Kenntnis von anderen Domänencontrollern.

  • Der RID-Pool ist erschöpft, oder Objekte in Active Directory, die mit der RID-Zuweisung in Zusammenhang stehen, verwenden falsche Werte oder fehlen.

Lösung

In Windows 2000 und höheren Versionen können Sie einen zweiten Domänencontroller wiederherstellen, um die erste Synchronisierung abzuschließen. Wenn Sie einen zweiten Domänencontroller nicht wiederherstellen können, müssen Sie entweder eine Metadatenbereinigung auf den nicht vorhandenen Domänencontrollern durchführen oder die Replikationslinks zu den Active Directory-Benennungskontexten löschen. Wenn Sie die anderen Domänencontroller später wiederherstellen möchten, müssen Sie die Replikationslinks löschen, anstatt eine Metadatenbereinigung durchzuführen.

Bevor Sie die Replikationslinks zu den Active Directory-Benennungskontexten löschen können, müssen Sie den Wert objectGUID mithilfe des Repadmin Befehls identifizieren. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie dann auf OK.

  2. Geben Sie an der Eingabeaufforderung ein repadmin /showreps. Es wird eine Ausgabe angezeigt, die der folgenden ähnelt:

    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 über RPC objectGuid: <GUID> Letzter Versuch @ <DateTime> war erfolgreich.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 über RPC objectGuid: <GUID> Letzter Versuch @ <DateTime> war erfolgreich.

    DC=contoso,DC=com Default-First-Site-Name\DC02 über RPC objectGuid: <GUID> Letzter Versuch @ <DateTime> war erfolgreich.

  3. Geben Sie ein repadmin /delete , um die Replikationslinks zu löschen. Geben Sie den Namenskontext und die objectGUID an, wie in den folgenden Beispielen gezeigt:

    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly

  4. Starten Sie den RID-Mastercomputer neu. Der RID-Master wird ordnungsgemäß initialisiert.

Entfernen von Domänencontrollermetadaten für alle anderen Domänencontroller in der Domäne

Sie können einen zweiten Domänencontroller wiederherstellen oder eine Verbindung herstellen, um die erste Synchronisierung abzuschließen. Wenn Sie keinen zweiten Domänencontroller hinzufügen können, müssen Sie entweder eine Metadatenbereinigung auf den nicht vorhandenen Domänencontrollern ausführen, um sie dauerhaft aus der Domäne zu entfernen, oder die Replikationslinks zu den Active Directory-Benennungskontexten löschen. Wenn Sie weitere Informationen zum Entfernen von Metadaten erhalten möchten, klicken Sie auf die folgende Artikelnummer, um den Artikel Bereinigen von Servermetadaten anzuzeigen.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Active Directory-Objekte im Zusammenhang mit der RID-Zuordnung gültig sind:

  1. Vergewissern Sie sich, dass die Gruppe Jeder über das Benutzerrecht Auf diesen Computer über das Netzwerk zugreifen verfügt. Die Einstellung kann an der folgenden Stelle im Gruppenrichtlinie Object Editor konfiguriert werden: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

  2. Installieren Sie die Windows 2000-Supporttools. Diese Tools sind im Supportordner auf den Windows 2000- und Windows Server 2003-CD-ROMs verfügbar. Wenn Sie diese Tools installiert haben, starten Sie ADSI Edit. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc in das Feld Öffnen ein, und klicken Sie dann auf OK.
    2. Klicken Sie in Windows 2000 auf Konsole und dann auf Snap-In hinzufügen/entfernen. Klicken Sie in Windows Server 2003 auf Datei und dann auf Snap-In hinzufügen/entfernen.
    3. Klicken Sie im Snap-In Hinzufügen/Entfernen auf Hinzufügen, klicken Sie auf ADSIBearbeiten und dann auf Hinzufügen.
    4. Klicken Sie auf Schließen und anschließend auf OK.

  3. Klicken Sie in MMC mit der rechten Maustaste auf ADSIBearbeiten, und klicken Sie dann auf Verbinden mit.

  4. Klicken Sie in Connections Einstellungen unter Verbindungspunkt auf Bekannten Namenskontext auswählen. Klicken Sie in der Dropdownliste auf Domäne, und klicken Sie dann auf OK.

  5. Erweitern Sie Domäne, und erweitern Sie dann den Distinguished Name der Domäne. Erweitern Sie beispielsweise DC=contoso, DC=com.

  6. Erweitern Sie OU=Domänencontroller.

  7. Klicken Sie mit der rechten Maustaste auf den Domänencontroller, den Sie überprüfen möchten, und klicken Sie dann auf Eigenschaften.

  8. Klicken Sie auf das Menü Eigenschaft zum Anzeigen auswählen , und klicken Sie dann auf userAccountControl.

  9. Vergewissern Sie sich, dass der Wert für userAccountControl 532480 ist. Um den UserAccountControl-Wert zu ändern, klicken Sie im Eigenschaftendialogfeld des Domänencontrollers auf Bearbeiten .

  10. Geben Sie im Editor Integer-Attribut den Wert 532480 in das Feld Wert ein, und klicken Sie dann auf OK.

Überprüfen, ob der RID-Master mit einem anderen Domänencontroller repliziert wird

Wenn ein neu heraufgestufter Domänencontroller Ereignis 16650 generiert, hat der Domänencontroller möglicherweise Replikationsinformationen von einem anderen Domänencontroller abgerufen, der nicht der RID-Master ist. Während der Heraufstufung wird das Computerkonto für den neuen Domänencontroller geändert. Wenn diese Änderungen nicht auf dem Domänencontroller repliziert wurden, der die Rid-master-Rolle enthält, schlägt die Anforderung fehl, wenn der neu heraufgestufte Domänencontroller versucht, einen RID-Pool abzurufen.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der RID-Master mit mindestens einem seiner direkten Partner repliziert wird:

  1. Vergewissern Sie sich, dass das CN=RID Set-Objekt vorhanden ist.

    Das CN=RID Set-Objekt befindet sich im rechten Bereich von ADSI Bearbeiten, wenn der Domänencontroller im linken Bereich unter OU=Domänencontroller ausgewählt ist.

    Wenn kein CN=RID Set-Objekt vorhanden ist, müssen Sie diesen Domänencontroller herabstufen und dann erneut heraufstufen, um das Objekt zu erstellen.

  2. Wenn das CN=RID Set-Objekt vorhanden ist, stellen Sie sicher, dass das rIDSetReferences-Attribut im Computerkontoobjekt des Domänencontrollers auf den Distinguished Name des RID Set-Objekts verweist, wie im folgenden Beispiel gezeigt: CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

    Wenn das rIDSetReferences-Attribut nicht auf den Distinguished Name des RID Set-Objekts verweist, wenden Sie sich an den Microsoft-Produktsupport, um weitere Informationen zu erfahren.

Status

Es handelt sich hierbei um ein beabsichtigtes Verhalten.

References

822053 Fehlermeldung: "Windows kann das Objekt nicht erstellen, weil der Verzeichnisdienst keinen relativen Bezeichner zuweisen konnte"