Id. de suceso 16650: El asignador de identificadores de cuenta no pudo inicializarse en Windows 2000 y en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 839879 - Ver los productos a los que se aplica este artículo
Importante
Este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Síntomas

Cuando intenta agregar nuevos usuarios, grupos, equipos, buzones, controladores de dominio u otros objetos a Active Directory en un equipo basado en Microsoft Windows Server 2003 o en Windows 2000, puede recibir el mensaje de error siguiente:
No se puede crear el objeto porque el servicio de directorios no puede asignar un identificador relativo.
Cuando restaura un controlador de dominio a partir de una copia de seguridad de estado del sistema, el registro del sistema puede contener el mensaje de error siguiente:
Tipo de suceso: error
Origen del suceso: suceso SAM
Categoría: ninguna
Id. del suceso: 16650
El asignador de identificadores de cuenta no pudo inicializarse correctamente. Los valores registrados contienen los códigos de error de NT que causaron el error. Windows 2000 reintentará la inicialización hasta tener éxito y hasta entonces la creación de cuentas se denegará para este controlador de dominio. Busque otros registros de sucesos SAM que pudieran indicar la exacta razón del error.
También puede utilizar el comando Dcdiag junto con el modificador verbose para buscar errores adicionales. Para ello, siga estos pasos:
  1. Haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar.
  2. En el símbolo del sistema, escriba DCdiag /v y presione Entrar.
Cuando escriba Dcdiag /v, puede ver mensajes de error similares a los siguientes:
Starting test: RidManager
* Available RID Pool for the Domain is 2355 to 1073741823
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1355 to 1854
* rIDNextRID: 0 The DS has corrupt data: rIDPreviousAllocationPool value is not valid
* rIDPreviousAllocationPool is 0 to 0 No rids allocated -- please check eventlog.
......................... DC01 failed test RidManager

Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: El sistema no puede encontrar el archivo especificado.
......................... DC01 failed test RidManager


Starting test: RidManager
* Available RID Pool for the Domain is 3104 to 1073741823
Warning: FSMO Role Owner is deleted.
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: El sistema no puede encontrar el archivo especificado.
......................... DC01 failed test RidManager

Starting test: KnowsOfRoleHolders
Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com is the Rid Owner, but is deleted.
También puede recibir otros errores en el registro de sucesos del sistema que pueden ayudarle a solucionar el problema:
Id. del suceso: 16647
Origen del suceso: SAM
Descripción: El controlador de dominio está iniciando la solicitud de un nuevo grupo de identificadores de cuenta.

Tipo de suceso: error
Origen del suceso: suceso SAM
Categoría: ninguna
Id. del suceso: 16645
Descripción: Se ha asignado el número máximo de identificadores de cuenta a este controlador de dominio. El controlador de dominio no ha podido obtener un nuevo grupo de identificadores. Una posible razón de esto es que el controlador de dominio no ha podido ponerse en contacto con el controlador de dominio principal. La creación de cuentas en este controlador fracasará hasta que se haya asignado un nuevo grupo. Puede haber problemas de red o de conectividad en el dominio o es posible que el controlador de dominio principal esté sin conexión o ausente en el dominio. Compruebe que el controlador de dominio principal esté funcionando y conectado al dominio.

Causa

Este problema se produce en una de las situaciones siguientes:
  • Cuando el maestro de Id. relativo (RID) se restaura a partir de una copia de seguridad, intenta sincronizar con otros controladores de dominio para comprobar que no hay ningún otro maestro RID en conexión. Sin embargo, se produce un error en el proceso de sincronización si no hay ningún controlador de dominio disponible con el que sincronizar o si la replicación no está funcionando. El requisito de sincronización se implementó en el hotfix de Windows 2000 que se describe en el siguiente artículo de Microsoft Knowledge Base:
    307725 La copia de seguridad y restauración de un controlador de dominio Flexible Single-Master Operations RID produce SID duplicados
    Nota
    Si el dominio siempre ha contenido sólo un controlador de dominio, el maestro RID no intentará sincronizar con otros controladores de dominio. El controlador de dominio no tiene conocimiento de ningún otro controlador de dominio.
  • Se ha agotado el conjunto de RID, o los objetos de Active Directory relacionados con la asignación de RID utilizan valores incorrectos o no están presentes.

Solución

Elimine los vínculos de replicación para los contextos de nomenclatura en Windows 2000

En Windows 2000, puede restaurar un segundo controlador de dominio para finalizar la sincronización inicial. Si no puede restaurar un segundo controlador de dominio, debe realizar una limpieza de los metadatos en los controladores de dominio no existentes o eliminar los vínculos de replicación a los contextos de nomenclatura de Active Directory. Si piensa restaurar después los demás controladores de dominio, debe eliminar los vínculos de replicación en lugar de realizar una limpieza de los metadatos.
Antes de poder eliminar los vínculos de replicación a los contextos de nomenclatura de Active Directory, debe identificar el valor objectGUID utilizando el comando Repadmin. Para ello, siga estos pasos:
  1. Haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar.
  2. En el símbolo del sistema, escriba repadmin /showreps. Debe obtener un resultado parecido al siguiente:
    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:10.03 was successful.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.43 was successful.

    DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.01 was successful.
  3. Escriba repadmin /delete para eliminar los vínculos de replicación. Especifique el contexto de nomenclatura y objectGUID como se muestra en los ejemplos siguientes:
    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly 
    repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly 
    repadmin /delete DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
  4. Reinicie el equipo maestro RID. El maestro RID se inicializará correctamente.

Quite los metadatos de todos los demás controladores de dominio del dominio

Puede restaurar o conectar con un segundo controlador de dominio para finalizar la sincronización inicial. Si no puede agregar un segundo controlador de dominio, debe realizar una limpieza de los metadatos en los controladores de dominio no existentes para quitarlos del dominio de manera definitiva o eliminar los vínculos de replicación a los contextos de nomenclatura de Active Directory.
Para obtener más información acerca de cómo quitar metadatos, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
216498 Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio


Compruebe que los objetos de Active Directory relacionados con la asignación de RID son válidos

Para comprobar que los objetos de Active Directory relacionados con la asignación de RID son válidos, siga estos pasos:
  1. Compruebe que el grupo Todos tiene el derecho de usuario Tener acceso a este equipo desde la red. Esta opción se puede configurar en la siguiente ubicación en el Editor de objetos de directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario.
  2. Instale las herramientas de soporte de Windows 2000. Estas herramientas están disponibles en la carpeta Support de los CD-ROM de Windows 2000 y de Windows Server 2003. Cuando haya instalado estas herramientas, inicie Edición de ADSI. Para ello, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba mmc en el cuadro Abrir y haga clic en Aceptar.
    2. En Windows 2000, haga clic en Consola y, a continuación, haga clic en Agregar o quitar complemento. En Windows Server 2003, haga clic en Archivo y, a continuación, haga clic en Agregar o quitar complemento.
    3. En Agregar o quitar complemento, haga clic en Agregar, haga clic en ADSIEdit y, a continuación, haga clic en Agregar.
    4. Haga clic en Cerrar y, a continuación, haga clic en Aceptar.
  3. En MMC, haga clic con el botón secundario del mouse (ratón) en ADSIEdit y, a continuación, haga clic en Conectar con.
  4. En Configuración de conexiones, bajo Punto de conexión, haga clic en Seleccionar un contexto de nomenclatura conocido. En la lista desplegable, haga clic en dominio y, a continuación, haga clic en Aceptar.
  5. Expanda dominio y, a continuación, expanda el nombre completo del dominio. Por ejemplo, expanda DC=contoso, DC=com.
  6. Expanda OU=Domain Controllers.
  7. Haga clic con el botón secundario del mouse en el controlador de dominio que desee comprobar y, a continuación, haga clic en Propiedades.
  8. Haga clic en el menú Seleccionar una propiedad para ver y, a continuación, haga clic en userAccountControl.
  9. Compruebe que el valor para userAccountControl es 532480. Para cambiar el valor de userAccountControl, haga clic en Modificar en el cuadro de diálogo de propiedades del controlador de dominio.
  10. En el Editor de atributo del entero, escriba 532480 en el campo Valor y haga clic en Aceptar.

Compruebe que el maestro RID está replicando con otro controlador de dominio

Si un controlador de dominio recién promovido genera el suceso 16650, el controlador de dominio puede haber obtenido información de replicación de otro controlador de dominio que no es el maestro RID. Durante la promoción, se modifica la cuenta de equipo para el nuevo controlador de dominio. Si estos cambios no se han replicado en el controlador de dominio que contiene la función de maestro RID, se producirá un error en la solicitud cuando el controlador de dominio recién promovido intente obtener un conjunto de RID.

Para comprobar que el maestro RID está replicando con al menos uno de sus asociados directos, siga estos pasos:
  1. Compruebe que el objeto CN=RID Set existe.

    El objeto CN=RID Set está en el panel derecho de Edición de ADSI cuando el controlador de dominio está seleccionado bajo OU=Domain Controllers en el panel izquierdo.

    Si no existe ningún objeto CN=RID Set, debe degradar ese controlador de dominio y promoverlo de nuevo para crear el objeto.
  2. Si el objeto CN=RID Set existe, asegúrese de que el atributo rIDSetReferences en el objeto de cuenta de equipo del controlador de dominio señala al nombre completo del objeto RID Set, como se muestra en el ejemplo siguiente:
    CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

    Si el atributo rIDSetReferences no señala al nombre completo del objeto RID Set, póngase en contacto con los Servicios de soporte técnico de Microsoft para obtener más información.

Estado

Este comportamiento es una característica del diseño de la aplicación.

Referencias

Para obtener más información al respecto, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
913539 Los atributos de Active Directory que hacen referencia a un prefijo no se pueden almacenar en la copia local de Active Directory en un equipo que ejecuta Microsoft Windows Server 2003
305476 Requisitos de sincronización iniciales para los titulares de la función de maestro de operaciones de Windows 2000 Server y Windows Server 2003
822053 Mensaje de error: "Windows no puede crear el objeto porque el servicio de directorios no puede asignar un identificador relativo"
248410 Mensaje de error: El asignador de identificadores de cuenta no pudo inicializarse correctamente

Propiedades

Id. de artículo: 839879 - Última revisión: lunes, 25 de septiembre de 2006 - Versión: 9.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Palabras clave: 
kbprb KB839879

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com