ID d’événement 16650 : Échec de l’initialisation de l’allocateur account-identifier dans Windows Server
Cet article fournit une solution pour résoudre les erreurs qui se produisent lorsque vous ajoutez des objets à Active Directory ou restaurez un contrôleur de domaine à partir d’une sauvegarde de l’état du système.
Produits concernés : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 839879
Symptômes
Cet article s’applique à Windows 2000 et à toutes les versions ultérieures. Lorsque vous essayez d’ajouter de nouveaux utilisateurs, groupes, ordinateurs, boîtes aux lettres, contrôleurs de domaine ou autres objets à Active Directory sur un ordinateur Microsoft Windows Server, le message d’erreur suivant peut s’afficher :
Impossible de créer l’objet, car le service d’annuaire n’a pas pu allouer un identificateur relatif.
Lorsque vous restaurez un contrôleur de domaine à partir d’une sauvegarde de l’état du système, le journal système peut contenir le message d’erreur suivant :
Type d’événement :Erreur
Source de l’événement : Événement SAM
Category :NoneID d’événement : 16650
L’allocateur account-identifier n’a pas pu s’initialiser correctement. Les données d’enregistrement contiennent le code d’erreur NT qui a provoqué l’échec. Windows retente l’initialisation jusqu’à ce qu’elle aboutisse . jusqu’à ce moment, la création de compte sera refusée sur ce contrôleur de domaine. Recherchez d’autres journaux d’événements SAM qui peuvent indiquer la raison exacte de l’échec.
Vous pouvez également utiliser la Dcdiag
commande avec le commutateur détaillé pour rechercher des erreurs supplémentaires. Pour cela, procédez comme suit :
- Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir , puis cliquez sur OK.
- À l’invite de commandes, tapez
DCdiag /v
, puis appuyez sur Entrée.
Lorsque vous tapez Dcdiag /v
, vous pouvez voir des messages d’erreur qui ressemblent à ce qui suit :
Démarrage du test : RidManager
* Le pool RID disponible pour le domaine est de 2355 à 1073741823
*
dc01.contoso.com
est le maître RID* DsBind avec RID Master a réussi
* rIDAllocationPool est de 1355 à 1854
* rIDNextRID : 0 La DS contient des données endommagées : la valeur rIDPreviousAllocationPool n’est pas valide
* rIDPreviousAllocationPool est compris entre 0 et 0 Aucun rids alloué. Veuillez case activée journal des événements.
......................... Échec du test RidManager DC01Avertissement : la référence du jeu rid est supprimée.
ldap_search_sW de CN=RID SetDEL :cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com for rid info a échoué avec 2 : Le système ne peut pas trouver le fichier spécifié.
......................... Échec du test RidManager DC01
Démarrage du test : RidManager
* Le pool RID disponible pour le domaine est de 3104 à 1073741823
Avertissement : Le propriétaire du rôle FSMO est supprimé.
*
dc01.contoso.com
est le maître RID* DsBind avec RID Master a réussi
Avertissement : la référence du jeu rid est supprimée.
ldap_search_sW de CN=RID SetDEL :5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info a échoué avec 2 : Le système ne trouve pas le fichier spécifié. ......................... Échec du test RidManager DC01
Démarrage du test : KnowsOfRoleHolders
Rôle Rid Owner = CN="NTDS Settings DEL :fd615439-1ebb-4652-b16f-3f8517d25593 »,CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning : CN=""Paramètres NTDS DEL :fd615439-1ebb-4652-b16f-3f8517d25593 »,CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com is the Rid Owner, mais est supprimé.
Vous pouvez également recevoir d’autres erreurs dans le journal des événements système qui peuvent vous aider à résoudre le problème :
ID d’événement : 16647
Source de l’événement : SAM
Description : le contrôleur de domaine démarre une demande pour un nouveau pool d’identificateurs de compte.
Type d'événement : Erreur
Source de l’événement : SAM Event Category :None
ID d’événement : 16645
Description : l’identificateur de compte maximal alloué à ce contrôleur de domaine a été attribué. Le contrôleur de domaine n’a pas pu obtenir un nouveau pool d’identificateurs. Cela peut être dû au fait que le contrôleur de domaine n’a pas pu contacter le contrôleur de domaine master. La création du compte sur ce contrôleur échoue tant qu’un nouveau pool n’a pas été alloué. Il peut y avoir des problèmes de réseau ou de connectivité dans le domaine, ou le contrôleur de domaine master peut être hors connexion ou manquant dans le domaine. Vérifiez que le contrôleur de domaine master est en cours d’exécution et connecté au domaine.
Cause
Ce problème se produit dans l’un des scénarios suivants :
Lorsque le maître RID (RELATIVE ID) est restauré à partir de la sauvegarde, il tente de se synchroniser avec d’autres contrôleurs de domaine pour vérifier qu’il n’existe aucun autre maître RID en ligne. Toutefois, le processus de synchronisation échoue s’il n’existe aucun contrôleur de domaine disponible pour la synchronisation ou si la réplication ne fonctionne pas.
Remarque
Si le domaine contient toujours un seul contrôleur de domaine, le maître RID n’essaie pas de se synchroniser avec d’autres contrôleurs de domaine. Le contrôleur de domaine n’a connaissance d’aucun autre contrôleur de domaine.
Le pool RID a été épuisé ou les objets dans Active Directory liés à l’allocation RID utilisent des valeurs incorrectes ou sont manquants.
Résolution
Supprimer les liens de réplication pour les contextes de nommage dans Windows
Dans Windows 2000 et versions ultérieures, vous pouvez restaurer un deuxième contrôleur de domaine pour terminer la synchronisation initiale. Si vous ne pouvez pas restaurer un deuxième contrôleur de domaine, vous devez effectuer un nettoyage des métadonnées sur les contrôleurs de domaine inexistants ou supprimer les liens de réplication vers les contextes de nommage Active Directory. Si vous envisagez de restaurer les autres contrôleurs de domaine ultérieurement, vous devez supprimer les liens de réplication au lieu d’effectuer un nettoyage des métadonnées.
Avant de pouvoir supprimer les liens de réplication vers les contextes d’affectation de noms Active Directory, vous devez identifier la valeur objectGUID à l’aide de la Repadmin
commande . Pour cela, procédez comme suit :
Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir , puis cliquez sur OK.
À l’invite de commandes, tapez
repadmin /showreps
. Vous verrez une sortie qui ressemble à ce qui suit :CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid : <GUID> Last attempt @ <DateTime> a réussi.
CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid : <GUID> La dernière tentative @ <DateTime> a réussi.
DC=contoso,DC=com Default-First-Site-Name\DC02 via l’objet RPCGuid : <GUID> Dernière tentative @ <DateTime> réussie.
Tapez
repadmin /delete
pour supprimer les liens de réplication. Spécifiez le contexte de nommage et l’objectGUID comme indiqué dans les exemples suivants :repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly
Redémarrez l’ordinateur maître RID. Le maître RID s’initialise correctement.
Supprimer les métadonnées du contrôleur de domaine pour tous les autres contrôleurs de domaine dans le domaine
Vous pouvez restaurer ou connecter un deuxième contrôleur de domaine pour terminer la synchronisation initiale. Si vous ne pouvez pas ajouter un deuxième contrôleur de domaine, vous devez effectuer un nettoyage des métadonnées sur les contrôleurs de domaine inexistants pour les supprimer définitivement du domaine ou supprimer les liens de réplication vers les contextes d’affectation de noms Active Directory. Pour plus d’informations sur la suppression des métadonnées, cliquez sur le numéro d’article suivant pour afficher l’article Nettoyer les métadonnées du serveur.
Vérifier que les objets Active Directory liés à l’allocation RID sont valides
Pour vérifier que les objets Active Directory liés à l’allocation RID sont valides, procédez comme suit :
Vérifiez que le groupe Tout le monde dispose du droit Accéder à cet ordinateur à partir du réseau utilisateur. Le paramètre peut être configuré à l’emplacement suivant dans le Rédacteur d’objet stratégie de groupe :
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
.Installez les outils de support Windows 2000. Ces outils sont disponibles dans le dossier de support sur les CD-ROM Windows 2000 et Windows Server 2003. Une fois ces outils installés, démarrez
ADSI Edit
. Pour cela, procédez comme suit :- Cliquez sur Démarrer, sur Exécuter, tapez mmc dans la zone Ouvrir , puis cliquez sur OK.
- Dans Windows 2000, cliquez sur Console, puis sur Ajouter/Supprimer un composant logiciel enfichable. Dans Windows Server 2003, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
- Dans le composant logiciel enfichable Ajouter/Supprimer , cliquez sur Ajouter, sur ADSIEdit, puis sur Ajouter.
- Cliquez sur Fermer, puis sur OK.
Dans MMC, cliquez avec le bouton droit sur ADSIEdit, puis cliquez sur Se connecter à.
Dans Connections Paramètres, sous Point de connexion, cliquez sur Sélectionner un contexte de nommage connu. Dans la liste déroulante, cliquez sur Domaine, puis sur OK.
Développez domaine, puis développez le nom unique du domaine. Par exemple, développez DC=contoso, DC=com.
Développez OU=Contrôleurs de domaine.
Cliquez avec le bouton droit sur le contrôleur de domaine que vous souhaitez case activée, puis cliquez sur Propriétés.
Cliquez sur le menu Sélectionner une propriété à afficher , puis sur userAccountControl.
Vérifiez que la valeur de userAccountControl est 532480. Pour modifier la valeur userAccountControl , cliquez sur Modifier dans la boîte de dialogue de propriété du contrôleur de domaine.
Dans la Rédacteur Attribut entier, tapez 532480 dans le champ Valeur, puis cliquez sur OK.
Vérifier que le maître RID est en cours de réplication avec un autre contrôleur de domaine
Si un contrôleur de domaine nouvellement promu génère l’événement 16650, le contrôleur de domaine peut avoir obtenu des informations de réplication à partir d’un autre contrôleur de domaine qui n’est pas le maître RID. Pendant la promotion, le compte d’ordinateur du nouveau contrôleur de domaine est modifié. Si ces modifications n’ont pas été répliquées sur le contrôleur de domaine qui détient le rôle master RID, la requête échoue lorsque le contrôleur de domaine nouvellement promu tente d’obtenir un pool RID.
Pour vérifier que le maître RID est en cours de réplication avec au moins l’un de ses partenaires directs, procédez comme suit :
Vérifiez que l’objet CN=RID Set existe.
L’objet CN=RID Set se trouve dans le volet droit d’ADSI Edit lorsque le contrôleur de domaine est sélectionné sous OU=Contrôleurs de domaine dans le volet gauche.
S’il n’existe aucun objet CN=RID Set , vous devez rétrograder ce contrôleur de domaine, puis le promouvoir à nouveau pour créer l’objet.
Si l’objet CN=RID Set existe, assurez-vous que l’attribut rIDSetReferences sur l’objet de compte d’ordinateur du contrôleur de domaine pointe vers le nom unique de l’objet RID Set , comme indiqué dans l’exemple suivant : CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local
Si l’attribut rIDSetReferences ne pointe pas vers le nom unique de l’objet RID Set , contactez les services de support technique Microsoft pour plus d’informations.
Statut
Ce comportement est inhérent au produit.
References
822053 Message d’erreur : « Windows ne peut pas créer l’objet, car le service d’annuaire n’a pas pu allouer un identificateur relatif »
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour