ID d’événement 16650 : Échec de l’initialisation de l’allocateur account-identifier dans Windows Server

Cet article fournit une solution pour résoudre les erreurs qui se produisent lorsque vous ajoutez des objets à Active Directory ou restaurez un contrôleur de domaine à partir d’une sauvegarde de l’état du système.

Produits concernés : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 839879

Symptômes

Cet article s’applique à Windows 2000 et à toutes les versions ultérieures. Lorsque vous essayez d’ajouter de nouveaux utilisateurs, groupes, ordinateurs, boîtes aux lettres, contrôleurs de domaine ou autres objets à Active Directory sur un ordinateur Microsoft Windows Server, le message d’erreur suivant peut s’afficher :

Impossible de créer l’objet, car le service d’annuaire n’a pas pu allouer un identificateur relatif.

Lorsque vous restaurez un contrôleur de domaine à partir d’une sauvegarde de l’état du système, le journal système peut contenir le message d’erreur suivant :

Type d’événement :Erreur

Source de l’événement : Événement SAM
Category :None

ID d’événement : 16650

L’allocateur account-identifier n’a pas pu s’initialiser correctement. Les données d’enregistrement contiennent le code d’erreur NT qui a provoqué l’échec. Windows retente l’initialisation jusqu’à ce qu’elle aboutisse . jusqu’à ce moment, la création de compte sera refusée sur ce contrôleur de domaine. Recherchez d’autres journaux d’événements SAM qui peuvent indiquer la raison exacte de l’échec.

Vous pouvez également utiliser la Dcdiag commande avec le commutateur détaillé pour rechercher des erreurs supplémentaires. Pour cela, procédez comme suit :

1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir , puis cliquez sur OK.
2. À l’invite de commandes, tapez DCdiag /v, puis appuyez sur Entrée.

Lorsque vous tapez Dcdiag /v, vous pouvez voir des messages d’erreur qui ressemblent à ce qui suit :

Démarrage du test : RidManager

* Le pool RID disponible pour le domaine est de 2355 à 1073741823

* dc01.contoso.com est le maître RID

* DsBind avec RID Master a réussi

* rIDAllocationPool est de 1355 à 1854

* rIDNextRID : 0 La DS contient des données endommagées : la valeur rIDPreviousAllocationPool n’est pas valide

* rIDPreviousAllocationPool est compris entre 0 et 0 Aucun rids alloué. Veuillez case activée journal des événements.
......................... Échec du test RidManager DC01

Avertissement : la référence du jeu rid est supprimée.

ldap_search_sW de CN=RID SetDEL :cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com for rid info a échoué avec 2 : Le système ne peut pas trouver le fichier spécifié.

......................... Échec du test RidManager DC01

Démarrage du test : RidManager

* Le pool RID disponible pour le domaine est de 3104 à 1073741823

Avertissement : Le propriétaire du rôle FSMO est supprimé.

* dc01.contoso.com est le maître RID

* DsBind avec RID Master a réussi

Avertissement : la référence du jeu rid est supprimée.

ldap_search_sW de CN=RID SetDEL :5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info a échoué avec 2 : Le système ne trouve pas le fichier spécifié. ......................... Échec du test RidManager DC01

Démarrage du test : KnowsOfRoleHolders

Rôle Rid Owner = CN="NTDS Settings DEL :fd615439-1ebb-4652-b16f-3f8517d25593 »,CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning : CN=""Paramètres NTDS DEL :fd615439-1ebb-4652-b16f-3f8517d25593 »,CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com is the Rid Owner, mais est supprimé.

Vous pouvez également recevoir d’autres erreurs dans le journal des événements système qui peuvent vous aider à résoudre le problème :

ID d’événement : 16647

Source de l’événement : SAM

Description : le contrôleur de domaine démarre une demande pour un nouveau pool d’identificateurs de compte.

Type d'événement : Erreur

Source de l’événement : SAM Event Category :None

ID d’événement : 16645

Description : l’identificateur de compte maximal alloué à ce contrôleur de domaine a été attribué. Le contrôleur de domaine n’a pas pu obtenir un nouveau pool d’identificateurs. Cela peut être dû au fait que le contrôleur de domaine n’a pas pu contacter le contrôleur de domaine master. La création du compte sur ce contrôleur échoue tant qu’un nouveau pool n’a pas été alloué. Il peut y avoir des problèmes de réseau ou de connectivité dans le domaine, ou le contrôleur de domaine master peut être hors connexion ou manquant dans le domaine. Vérifiez que le contrôleur de domaine master est en cours d’exécution et connecté au domaine.

Cause

Ce problème se produit dans l’un des scénarios suivants :

• Lorsque le maître RID (RELATIVE ID) est restauré à partir de la sauvegarde, il tente de se synchroniser avec d’autres contrôleurs de domaine pour vérifier qu’il n’existe aucun autre maître RID en ligne. Toutefois, le processus de synchronisation échoue s’il n’existe aucun contrôleur de domaine disponible pour la synchronisation ou si la réplication ne fonctionne pas.

  Remarque

  Si le domaine contient toujours un seul contrôleur de domaine, le maître RID n’essaie pas de se synchroniser avec d’autres contrôleurs de domaine. Le contrôleur de domaine n’a connaissance d’aucun autre contrôleur de domaine.

• Le pool RID a été épuisé ou les objets dans Active Directory liés à l’allocation RID utilisent des valeurs incorrectes ou sont manquants.

Résolution

Supprimer les liens de réplication pour les contextes de nommage dans Windows

Dans Windows 2000 et versions ultérieures, vous pouvez restaurer un deuxième contrôleur de domaine pour terminer la synchronisation initiale. Si vous ne pouvez pas restaurer un deuxième contrôleur de domaine, vous devez effectuer un nettoyage des métadonnées sur les contrôleurs de domaine inexistants ou supprimer les liens de réplication vers les contextes de nommage Active Directory. Si vous envisagez de restaurer les autres contrôleurs de domaine ultérieurement, vous devez supprimer les liens de réplication au lieu d’effectuer un nettoyage des métadonnées.

Avant de pouvoir supprimer les liens de réplication vers les contextes d’affectation de noms Active Directory, vous devez identifier la valeur objectGUID à l’aide de la Repadmin commande . Pour cela, procédez comme suit :

1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir , puis cliquez sur OK.

2. À l’invite de commandes, tapez repadmin /showreps. Vous verrez une sortie qui ressemble à ce qui suit :

   CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid : <GUID> Last attempt @ <DateTime> a réussi.

   CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid : <GUID> La dernière tentative @ <DateTime> a réussi.

   DC=contoso,DC=com Default-First-Site-Name\DC02 via l’objet RPCGuid : <GUID> Dernière tentative @ <DateTime> réussie.

3. Tapez repadmin /delete pour supprimer les liens de réplication. Spécifiez le contexte de nommage et l’objectGUID comme indiqué dans les exemples suivants :

   repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
   repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
   repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly
   

4. Redémarrez l’ordinateur maître RID. Le maître RID s’initialise correctement.

Supprimer les métadonnées du contrôleur de domaine pour tous les autres contrôleurs de domaine dans le domaine

Vous pouvez restaurer ou connecter un deuxième contrôleur de domaine pour terminer la synchronisation initiale. Si vous ne pouvez pas ajouter un deuxième contrôleur de domaine, vous devez effectuer un nettoyage des métadonnées sur les contrôleurs de domaine inexistants pour les supprimer définitivement du domaine ou supprimer les liens de réplication vers les contextes d’affectation de noms Active Directory. Pour plus d’informations sur la suppression des métadonnées, cliquez sur le numéro d’article suivant pour afficher l’article Nettoyer les métadonnées du serveur.

Vérifier que les objets Active Directory liés à l’allocation RID sont valides

Pour vérifier que les objets Active Directory liés à l’allocation RID sont valides, procédez comme suit :

1. Vérifiez que le groupe Tout le monde dispose du droit Accéder à cet ordinateur à partir du réseau utilisateur. Le paramètre peut être configuré à l’emplacement suivant dans le Rédacteur d’objet stratégie de groupe : Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

2. Installez les outils de support Windows 2000. Ces outils sont disponibles dans le dossier de support sur les CD-ROM Windows 2000 et Windows Server 2003. Une fois ces outils installés, démarrez ADSI Edit. Pour cela, procédez comme suit :

   1. Cliquez sur Démarrer, sur Exécuter, tapez mmc dans la zone Ouvrir , puis cliquez sur OK.
   2. Dans Windows 2000, cliquez sur Console, puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans Windows Server 2003, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
   3. Dans le composant logiciel enfichable Ajouter/Supprimer , cliquez sur Ajouter, sur ADSIEdit, puis sur Ajouter.
   4. Cliquez sur Fermer, puis sur OK.

3. Dans MMC, cliquez avec le bouton droit sur ADSIEdit, puis cliquez sur Se connecter à.

4. Dans Connections Paramètres, sous Point de connexion, cliquez sur Sélectionner un contexte de nommage connu. Dans la liste déroulante, cliquez sur Domaine, puis sur OK.

5. Développez domaine, puis développez le nom unique du domaine. Par exemple, développez DC=contoso, DC=com.

6. Développez OU=Contrôleurs de domaine.

7. Cliquez avec le bouton droit sur le contrôleur de domaine que vous souhaitez case activée, puis cliquez sur Propriétés.

8. Cliquez sur le menu Sélectionner une propriété à afficher , puis sur userAccountControl.

9. Vérifiez que la valeur de userAccountControl est 532480. Pour modifier la valeur userAccountControl , cliquez sur Modifier dans la boîte de dialogue de propriété du contrôleur de domaine.

10. Dans la Rédacteur Attribut entier, tapez 532480 dans le champ Valeur, puis cliquez sur OK.

Vérifier que le maître RID est en cours de réplication avec un autre contrôleur de domaine

Si un contrôleur de domaine nouvellement promu génère l’événement 16650, le contrôleur de domaine peut avoir obtenu des informations de réplication à partir d’un autre contrôleur de domaine qui n’est pas le maître RID. Pendant la promotion, le compte d’ordinateur du nouveau contrôleur de domaine est modifié. Si ces modifications n’ont pas été répliquées sur le contrôleur de domaine qui détient le rôle master RID, la requête échoue lorsque le contrôleur de domaine nouvellement promu tente d’obtenir un pool RID.

Pour vérifier que le maître RID est en cours de réplication avec au moins l’un de ses partenaires directs, procédez comme suit :

1. Vérifiez que l’objet CN=RID Set existe.

   L’objet CN=RID Set se trouve dans le volet droit d’ADSI Edit lorsque le contrôleur de domaine est sélectionné sous OU=Contrôleurs de domaine dans le volet gauche.

   S’il n’existe aucun objet CN=RID Set , vous devez rétrograder ce contrôleur de domaine, puis le promouvoir à nouveau pour créer l’objet.

2. Si l’objet CN=RID Set existe, assurez-vous que l’attribut rIDSetReferences sur l’objet de compte d’ordinateur du contrôleur de domaine pointe vers le nom unique de l’objet RID Set , comme indiqué dans l’exemple suivant : CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

   Si l’attribut rIDSetReferences ne pointe pas vers le nom unique de l’objet RID Set , contactez les services de support technique Microsoft pour plus d’informations.

Statut

Ce comportement est inhérent au produit.

References

822053 Message d’erreur : « Windows ne peut pas créer l’objet, car le service d’annuaire n’a pas pu allouer un identificateur relatif »