ID d'événement 16650 : L'allocateur d'identificateur de compte n'a pas pu s'initialiser dans Windows 2000 et dans Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 839879 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Symptômes

Lorsque vous essayez d'ajouter de nouveaux objets tels que des utilisateurs, groupes, ordinateurs, boîtes aux lettres, contrôleurs de domaine ou autres à Active Directory sur un ordinateur Microsoft Windows Server 2003 ou Windows 2000, le message d'erreur suivant peut s'afficher :
Impossible de créer l'objet. Le service d'annuaire n'a pas pu allouer un identificateur relatif.
Lorsque vous restaurez un contrôleur de domaine à partir d'une sauvegarde de l'état du système, le journal système peut contenir le message d'erreur suivant :
Type d'événement : Erreur
Source de l'événement : Événement SAM
Catégorie : Aucune
ID de l'événement : 16650
L'allocateur d'identificateur de compte n'a pas pu s'initialiser. Les données d'enregistrement contiennent le code d'erreur NT ayant provoqué l'échec. Windows 2000 tentera l'initialisation jusqu'à ce que l'opération réussisse ; d'ici là, la création de compte sera refusée sur ce contrôleur de domaine. Recherchez d'autres journaux d'événements SAM pouvant indiquer la cause exacte de l'échec.
Vous pouvez également utiliser la commande Dcdiag avec le commutateur /v (commentaires) pour rechercher des erreurs supplémentaires. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. À l'invite de commandes, tapez DCdiag /v, puis appuyez sur Entrée.
Lorsque vous tapez Dcdiag /v, des messages d'erreur semblables aux suivants peuvent s'afficher :
Test de démarrage : RidManager
* Le pool RID disponible pour le domaine est 2355 à 1073741823
* dc01.contoso.com est le maître RID
* DsBind avec le maître RID a réussi
* rIDAllocationPool est 1355 à 1854
* rIDNextRID : 0 Le DS a des données endommagées : la valeur rIDPreviousAllocationPool n'est pas valide
* rIDPreviousAllocationPool est 0 à 0 Pas de RID alloués -- veuillez vérifier le journal d'événements.
......................... DC01 a échoué le test du RidManager

Avertissement : La référence au jeu de RID est supprimée.
ldap_search_sW of CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC=contoso,DC=com pour les informations d'échec du RID avec 2 : Le système ne peut pas trouver le fichier spécifié.
......................... DC01 a échoué le test du RidManager


Test de démarrage : RidManager
* Le pool RID disponible pour le domaine est 3104 à 1073741823
Avertissement : Le propriétaire du rôle FSMO est supprimé.
* dc01.contoso.com est le maître RID
* DsBind avec le maître RID a réussi
Avertissement : La référence RID Set est supprimée.
ldap_search_sW of CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com pour les informations d'échec du RID avec 2 : Le système ne peut pas trouver le fichier spécifié.
......................... DC01 a échoué le test du RidManager

Test de démarrage : KnowsOfRoleHolders
Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Avertissement : CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com est le propriétaire du RID mais est supprimé.
D'autres erreurs peuvent également être enregistrées dans le journal d'événements système et vous aider à résoudre le problème :
ID de l'événement : 16647
Source de l'événement : ?SAM
Description : Le contrôleur de domaine effectue une requête pour un nouveau pool d'identificateurs de comptes.

Type d'événement : Erreur
Source de l'événement : Événement SAM
Catégorie : Aucune
ID de l'événement : 16645
Description : L'identificateur de compte maximal alloué à ce contrôleur de domaine a été assigné. Le contrôleur de domaine n'est pas parvenu à obtenir un nouveau pool d'identificateurs. Une explication possible est que le contrôleur de domaine n'est pas parvenu à contacter le contrôleur de domaine principal. La création de comptes sur ce contrôleur ne fonctionnera qu'une fois un nouveau pool alloué. Il peut y avoir des problèmes réseau ou de connexion sur le domaine, ou bien le contrôleur de domaine principal peut être déconnecté ou être absent du domaine. Vérifiez que le contrôleur de domaine principal est actif et connecté au domaine.

Cause

Ce problème se produit dans l'un des scénarios suivants :
  • Lorsque le maître des ID relatifs (RID) est restauré à partir d'une sauvegarde, il essaie de se synchroniser avec d'autres contrôleurs de domaine pour vérifier qu'il n'y a pas d'autres maîtres RID connectés. Toutefois, le processus de synchronisation échoue si aucun contrôleur de domaine n'est disponible pour la synchronisation ou si la réplication ne fonctionne pas. La condition préalable de synchronisation a été implémentée dans le correctif Windows 2000 décrit dans l'article suivant de la Base de connaissances Microsoft :
    307725 La sauvegarde et la restauration d'un contrôleur de domaine FSMO RID génèrent des SID en double
    Remarque Si le domaine a toujours contenu un seul contrôleur de domaine, le maître RID n'essaiera pas de se synchroniser avec d'autres contrôleurs de domaine. Le contrôleur de domaine ne connaît pas l'existence d'autres contrôleurs de domaine.
  • Le pool RID a été épuisé ou des objets Active Directory liés à l'allocation RID utilisent des valeurs incorrectes ou manquantes.

Résolution

Suppression des liens de réplication pour les contextes de nommage dans Windows 2000

Dans Windows 2000, vous pouvez restaurer un deuxième contrôleur de domaine pour effectuer la synchronisation initiale. Si vous ne pouvez pas restaurer un deuxième contrôleur de domaine, vous devez soit effectuer un nettoyage des métadonnées sur les contrôleurs de domaine inexistants, soit supprimer les liens de réplication vers les contextes de nommage Active Directory. Si vous projetez de restaurer les autres contrôleurs de domaine ultérieurement, vous devez supprimer les liens de réplication au lieu d'effectuer un nettoyage des métadonnées.
Avant de pouvoir supprimer les liens de réplication vers les contextes de nommage Active Directory, vous devez identifier la valeur objectGUID à l'aide de la commande Repadmin. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. À l'invite de commandes, tapez repadmin /showreps. Vous obtenez une réponse de ce type :
    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:10.03 was successful.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.43 was successful.

    DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.01 was successful.
  3. Tapez repadmin /delete pour supprimer les liens de réplication. Spécifiez le contexte de nommage et l'entrée objectGUID comme illustré dans les exemples suivants :
    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly 
    repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly 
    repadmin /delete DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
  4. Redémarrez l'ordinateur maître RID. Le maître RID s'initialisera correctement.

Suppression des métadonnées de tous les contrôleurs de domaine du domaine

Vous pouvez restaurer ou connecter un deuxième contrôleur de domaine pour effectuer la synchronisation initiale. Si vous ne pouvez pas ajouter un deuxième contrôleur de domaine, vous devez soit effectuer un nettoyage des métadonnées sur les contrôleurs de domaine inexistants pour les supprimer définitivement du domaine, soit supprimer les liens de réplication vers les contextes de nommage Active Directory.
Pour plus d'informations sur la façon de supprimer les métadonnées, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
216498 Comment faire pour supprimer des données dans Active Directory après l'échec d'une rétrogradation de contrôleur de domaine.


Vérification de la validité des objets Active Directory liés à l'allocation de RID

Pour vérifier que les objets Active Directory liés à l'allocation de RID sont valides, procédez comme suit :
  1. Vérifiez que le groupe Tout le monde a le droit d'utilisateur Accéder à cet ordinateur à partir du réseau. Ce paramètre peut être configuré à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe : Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.
  2. Installez les outils de support de Windows 2000. Ces outils sont disponibles dans le dossier de support situé sur les CD-ROM Windows 2000 et Windows Server 2003. Lorsque vous avez installé ces outils, démarrez ADSI Edit. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez mmc dans la zone Ouvrir, puis cliquez sur OK.
    2. Dans Windows 2000, cliquez sur Console, puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans Windows Server 2003, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
    3. Dans le composant logiciel enfichable Ajouter/Supprimer, cliquez sur Ajouter, sur ADSIEdit, puis sur Ajouter.
    4. Cliquez sur Fermer, puis sur OK.
  3. Dans MMC, cliquez avec le bouton droit sur ADSIEdit, puis cliquez sur Se connecter à.
  4. Dans Paramètres de connexion, sous Point de connexion, cliquez sur Sélectionner un contexte de nommage bien connu. Dans la liste déroulante, cliquez sur domaine, puis sur OK.
  5. Développez domaine, puis le nom unique du domaine. Par exemple, développez DC=contoso, DC=com.
  6. Développez OU=Domain Controllers.
  7. Cliquez avec le bouton droit sur le contrôleur de domaine que vous voulez vérifier, puis cliquez sur Propriétés.
  8. Cliquez sur le menu Select a property to view, puis sur userAccountControl.
  9. Vérifiez que la valeur de userAccountControl est 532480. Pour modifier la valeur userAccountControl, cliquez sur Modifier dans la boîte de dialogue des propriétés du contrôleur de domaine.
  10. Dans Integer Attribute Editor (Éditeur d'attributs de type Entier), tapez 532480 dans le champ Valeur, puis cliquez sur OK.

Vérification de la réplication du maître RID avec un autre contrôleur de domaine

Si un contrôleur de domaine récemment promu génère l'événement 16650, il est possible que le contrôleur de domaine ait obtenu des informations de réplication d'un autre contrôleur de domaine qui n'est pas le maître RID. Pendant la promotion, le compte d'ordinateur pour le nouveau contrôleur de domaine est modifié. Si ces modifications n'ont pas été répliquées sur le contrôleur de domaine qui détient le rôle de maître RID, la requête échoue lorsque le contrôleur de domaine récemment promu essaie d'obtenir un pool RID.

Pour vérifier que le maître RID est répliqué avec au moins un de ses partenaires directs, procédez comme suit :
  1. Vérifiez que l'objet CN=RID Set existe.

    L'objet CN=RID Set est situé dans le volet droit de la fonctionnalité ADSI Edit lorsque le contrôleur de domaine est sélectionné sous OU=Domain Controllers dans le volet gauche.

    Si aucun objet CN=RID Set n'existe, vous devez rétrograder ce contrôleur de domaine, puis le promouvoir à nouveau pour créer l'objet.
  2. Si l'objet CN=RID Set existe, assurez-vous que l'attribut rIDSetReferences sur l'objet de compte d'ordinateur du contrôleur de domaine pointe sur le nom unique de l'objet RID Set, comme illustré dans l'exemple suivant :
    CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

    Si l'attribut rIDSetReferences ne pointe pas sur le nom unique de l'objet RID Set, contactez les services de Support technique de Microsoft pour plus d'informations.

Statut

Ce comportement est voulu par la conception même du produit.

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
913539 Les attributs Active Directory qui font référence à un préfixe ne peuvent pas être stockés dans la copie locale d'Active Directory sur un ordinateur qui exécute Microsoft Windows Server 2003
305476Nécessité d'une synchronisation initiale pour les propriétaires du rôle de maître d'opérations de Windows 2000 Server et Windows Server 2003
822053Message d'erreur : « Impossible de créer l'objet. Le service d'annuaire n'a pas pu allouer un identificateur relatif »
248410Message d'erreur : L'allocateur d'identificateur de compte n'a pas pu s'initialiser

Propriétés

Numéro d'article: 839879 - Dernière mise à jour: jeudi 23 novembre 2006 - Version: 9.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Mots-clés : 
kbprb KB839879
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com