Identificador de evento 16650: El asignador de identificador de cuenta no se pudo inicializar en Windows Server

  • Artículo

En este artículo se proporciona una solución para resolver errores que se producen al agregar objetos a Active Directory o restaurar un controlador de dominio desde una copia de seguridad de estado del sistema.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 839879

Síntomas

Este artículo se aplica a Windows 2000 y a todas las versiones posteriores. Al intentar agregar nuevos usuarios, grupos, equipos, buzones, controladores de dominio u otros objetos a Active Directory en un equipo de Microsoft Windows Server, puede recibir el siguiente mensaje de error:

No se puede crear el objeto porque el servicio de directorio no pudo asignar un identificador relativo.

Al restaurar un controlador de dominio desde una copia de seguridad de estado del sistema, el registro del sistema puede contener el siguiente mensaje de error:

Tipo de evento:Error

Origen del evento: evento SAM
Category:None

Identificador de evento: 16650

El asignador de identificador de cuenta no se pudo inicializar correctamente. Los datos del registro contienen el código de error nt que provocó el error. Windows volverá a intentar la inicialización hasta que se realice correctamente; hasta ese momento, se denegará la creación de cuentas en este controlador de dominio. Busque otros registros de eventos SAM que puedan indicar el motivo exacto del error.

También puede usar el Dcdiag comando junto con el modificador detallado para buscar errores adicionales. Para ello, siga estos pasos:

  1. Haga clic en Inicio, en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.
  2. En el símbolo del sistema, escriba DCdiag /vy presione Entrar.

Al escribir Dcdiag /v, es posible que vea mensajes de error similares a los siguientes:

Prueba inicial: RidManager

* El grupo de RID disponible para el dominio es 2355 para 1073741823

* dc01.contoso.com es el patrón de RID

* DsBind con el patrón de RID se realizó correctamente

* rIDAllocationPool es de 1355 a 1854

* rIDNextRID: 0 El DS tiene datos dañados: el valor de rIDPreviousAllocationPool no es válido

* rIDPreviousAllocationPool es de 0 a 0 Sin rids asignados -- compruebe eventlog.
......................... RidManager de prueba errónea de DC01

Advertencia: se elimina la referencia del conjunto de eliminación.

ldap_search_sW de CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com for rid info failed with 2: The system cannot find the file specified.

......................... RidManager de prueba errónea de DC01

Prueba inicial: RidManager

* El grupo de RID disponible para el dominio es 3104 para 1073741823

Advertencia: Se elimina el propietario del rol FSMO.

* dc01.contoso.com es el patrón de RID

* DsBind con el patrón de RID se realizó correctamente

Advertencia: se elimina la referencia del conjunto de eliminación.

ldap_search_sW de CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: The system cannot find the file specified. ......................... RidManager de prueba errónea de DC01

Prueba inicial: KnowsOfRoleHolders

Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN==com "NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com es el propietario de rid, pero se elimina.

También puede recibir otros errores en el registro de eventos del sistema que pueden ayudarle a solucionar el problema:

Identificador de evento: 16647

Origen del evento: SAM

Descripción: el controlador de dominio está iniciando una solicitud para un nuevo grupo de identificadores de cuenta.

Tipo de evento: Error

Origen de eventos: Categoría de eventos SAM:Ninguno

Identificador de evento: 16645

Descripción: se ha asignado el identificador máximo de cuenta asignado a este controlador de dominio. El controlador de dominio no ha podido obtener un nuevo grupo de identificadores. Una posible razón para esto es que el controlador de dominio no ha podido ponerse en contacto con el controlador de dominio maestro. Se producirá un error en la creación de cuentas en este controlador hasta que se haya asignado un nuevo grupo. Puede haber problemas de red o conectividad en el dominio, o el controlador de dominio maestro puede estar sin conexión o faltando del dominio. Compruebe que el controlador de dominio maestro está en ejecución y conectado al dominio.

Causa

Este problema se produce en uno de los siguientes escenarios:

  • Cuando se restaura el patrón de identificador relativo (RID) desde la copia de seguridad, intenta sincronizarse con otros controladores de dominio para comprobar que no hay ningún otro patrón de RID en línea. Sin embargo, se produce un error en el proceso de sincronización si no hay controladores de dominio disponibles para sincronizar con o si la replicación no funciona.

    Nota:

    Si el dominio siempre ha contenido un solo controlador de dominio, el maestro de RID no intentará sincronizarse con otros controladores de dominio. El controlador de dominio no tiene conocimiento de ningún otro controlador de dominio.

  • El grupo de RID se ha agotado o los objetos de Active Directory relacionados con la asignación de RID usan valores incorrectos o faltan.

Solución

En Windows 2000 y versiones posteriores, puedes restaurar un segundo controlador de dominio para completar la sincronización inicial. Si no puede restaurar un segundo controlador de dominio, debe realizar una limpieza de metadatos en los controladores de dominio que no existen o eliminar los vínculos de replicación a los contextos de nomenclatura de Active Directory. Si planea restaurar los demás controladores de dominio más adelante, debe eliminar los vínculos de replicación en lugar de realizar una limpieza de metadatos.

Para poder eliminar los vínculos de replicación a los contextos de nomenclatura de Active Directory, debe identificar el valor objectGUID mediante el Repadmin comando . Para ello, siga estos pasos:

  1. Haga clic en Inicio, en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, escriba repadmin /showreps. Verá una salida similar a la siguiente:

    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> was successful.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> was successful.

    DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> was successful.

  3. Escriba repadmin /delete para eliminar los vínculos de replicación. Especifique el contexto de nomenclatura y objectGUID como se muestra en los ejemplos siguientes:

    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly

  4. Reinicie el equipo maestro RID. El patrón RID se inicializará correctamente.

Eliminación de metadatos del controlador de dominio para el resto de controladores de dominio del dominio

Puede restaurar o conectar un segundo controlador de dominio para completar la sincronización inicial. Si no puede agregar un segundo controlador de dominio, debe realizar una limpieza de metadatos en los controladores de dominio que no existen para quitarlos del dominio de forma permanente o eliminar los vínculos de replicación a los contextos de nomenclatura de Active Directory. Para obtener más información sobre cómo quitar metadatos, haga clic en el número de artículo siguiente para ver el artículo Limpieza de metadatos del servidor.

Para comprobar que los objetos de Active Directory relacionados con la asignación de RID son válidos, siga estos pasos:

  1. Compruebe que el grupo Todos tiene el derecho Acceso a este equipo desde el usuario de red. La configuración se puede configurar en la siguiente ubicación en el Editor de objeto de directiva de grupo: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

  2. Instale las Herramientas de soporte técnico de Windows 2000. Estas herramientas están disponibles en la carpeta de soporte técnico en los CD-ROMs de Windows 2000 y Windows Server 2003. Cuando haya instalado estas herramientas, inicie ADSI Edit. Para ello, siga estos pasos:

    1. Haga clic en Inicio, en Ejecutar, escriba mmc en el cuadro Abrir y, a continuación, haga clic en Aceptar.
    2. En Windows 2000, haga clic en Consolay, a continuación, haga clic en Agregar o quitar complemento. En Windows Server 2003, haga clic en Archivoy, a continuación, haga clic en Agregar o quitar complemento.
    3. En el complemento Agregar o quitar , haga clic en Agregar, en ADSIEdity, a continuación, haga clic en Agregar.
    4. Haga clic en Cerrar y en Aceptar.

  3. En MMC, haga clic con el botón derecho en ADSIEdity, a continuación, haga clic en Conectar con.

  4. En Connections Configuración, en Punto de conexión, haga clic en Seleccionar un contexto de nomenclatura conocido. En la lista desplegable, haga clic en dominio y, a continuación, haga clic en Aceptar.

  5. Expanda dominio y, a continuación, expanda el nombre distintivo del dominio. Por ejemplo, expanda DC=contoso, DC=com.

  6. Expanda OU=Controladores de dominio.

  7. Haga clic con el botón derecho en el controlador de dominio que desea comprobar y, a continuación, haga clic en Propiedades.

  8. Haga clic en el menú Seleccionar una propiedad para ver y, a continuación, haga clic en userAccountControl.

  9. Compruebe que el valor de userAccountControl es 532480. Para cambiar el valor de userAccountControl , haga clic en Editar en el cuadro de diálogo de propiedad del controlador de dominio.

  10. En el Editor De atributo entero, escriba 532480 en el campo Valor y, a continuación, haga clic en Aceptar.

Comprobación de que el maestro de RID se está replicando con otro controlador de dominio

Si un controlador de dominio recién promocionado genera el evento 16650, es posible que el controlador de dominio haya obtenido información de replicación de otro controlador de dominio que no sea el maestro de RID. Durante la promoción, se modifica la cuenta de equipo del nuevo controlador de dominio. Si estos cambios no se han replicado en el controlador de dominio que contiene el rol maestro de RID, se producirá un error en la solicitud cuando el controlador de dominio recién promocionado intente obtener un grupo de RID.

Para comprobar que el patrón de RID se está replicando con al menos uno de sus asociados directos, siga estos pasos:

  1. Compruebe que existe el objeto CN=RID Set .

    El objeto CN=RID Set está en el panel derecho de ADSI Edit cuando el controlador de dominio está seleccionado en OU=Controladores de dominio en el panel izquierdo.

    Si no existe ningún objeto CN=RID Set , debe degradar ese controlador de dominio y, a continuación, promoverlo de nuevo para crear el objeto.

  2. Si existe el objeto CN=RID Set , asegúrese de que el atributo rIDSetReferences del objeto de cuenta de equipo del controlador de dominio apunte al nombre distintivo del objeto RID Set , como se muestra en el ejemplo siguiente: CN=CONJUNTO DE RID, CN=DC01,OU=Controladores de dominio,CN=contoso,DC=local

    Si el atributo rIDSetReferences no apunta al nombre distintivo del objeto RID Set , póngase en contacto con los Servicios de soporte técnico de Microsoft para obtener más información.

Estado

Este comportamiento es una característica del diseño de la aplicación.

Referencias

822053 mensaje de error: "Windows no puede crear el objeto porque el servicio de directorio no pudo asignar un identificador relativo"