ID evento 16650: l'allocatore dell'identificatore dell'account non è stato inizializzato in Windows Server

Questo articolo fornisce una soluzione per risolvere gli errori che si verificano quando si aggiungono oggetti ad Active Directory o si ripristina un controller di dominio da un backup dello stato del sistema.

Si applica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 839879

Sintomi

Questo articolo si applica a Windows 2000 e a tutte le versioni successive. Quando si tenta di aggiungere nuovi utenti, gruppi, computer, cassette postali, controller di dominio o altri oggetti ad Active Directory in un computer Microsoft Windows Server, è possibile che venga visualizzato il messaggio di errore seguente:

Impossibile creare l'oggetto perché il servizio directory non è riuscito ad allocare un identificatore relativo.

Quando si ripristina un controller di dominio da un backup dello stato del sistema, il log di sistema può contenere il messaggio di errore seguente:

Tipo di evento:Errore

Origine evento: evento SAM
Categoria:Nessuna

ID evento: 16650

Impossibile inizializzare correttamente l'allocatore dell'identificatore dell'account. I dati del record contengono il codice di errore NT che ha causato l'errore. Windows ritenterà l'inizializzazione fino a quando non avrà esito positivo; fino a quel momento, la creazione dell'account verrà negata in questo controller di dominio. Cercare altri log eventi SAM che potrebbero indicare il motivo esatto dell'errore.

È anche possibile usare il Dcdiag comando insieme all'opzione dettagliata per cercare errori aggiuntivi. A tal fine, attenersi alla seguente procedura:

1. Fare clic su Start, fare clic su Esegui, digitare cmd nella casella Apri e quindi fare clic su OK.
2. Al prompt dei comandi digitare DCdiag /ve quindi premere INVIO.

Quando si digita Dcdiag /v, è possibile che vengano visualizzati messaggi di errore simili ai seguenti:

Test iniziale: RidManager

* Il pool RID disponibile per il dominio è da 2355 a 1073741823

* dc01.contoso.com è il master RID

* DsBind con master RID ha avuto esito positivo

* rIDAllocationPool è da 1355 a 1854

* rIDNextRID: 0 Il DS ha dati danneggiati: il valore rIDPreviousAllocationPool non è valido

* rIDPreviousAllocationPool è da 0 a 0 Nessun rids allocato. Controllare il registro eventi.
......................... RidManager di test DC01 non riuscito

Avviso: il riferimento al set di rid viene eliminato.

ldap_search_sW di CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com for rid info failed with 2: The system cannot find the file specified.

......................... RidManager di test DC01 non riuscito

Test iniziale: RidManager

* Il pool RID disponibile per il dominio è da 3104 a 1073741823

Avviso: il proprietario del ruolo FSMO viene eliminato.

* dc01.contoso.com è il master RID

* DsBind con master RID ha avuto esito positivo

Avviso: il riferimento al set di rid viene eliminato.

ldap_search_sW di CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: The system cannot find the file specified. ......................... RidManager di test DC01 non riuscito

Test iniziale: KnowsOfRoleHolders

Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com è il proprietario rid, ma viene eliminato.

È anche possibile che vengano visualizzati altri errori nel registro eventi di sistema che consentono di risolvere il problema:

ID evento: 16647

Origine evento: SAM

Descrizione: il controller di dominio sta avviando una richiesta per un nuovo pool di identificatori di account.

Tipo evento: Errore

Origine evento: SAM Event Category:None

ID evento: 16645

Descrizione: è stato assegnato l'identificatore di account massimo allocato a questo controller di dominio. Il controller di dominio non è riuscito a ottenere un nuovo pool di identificatori. Un possibile motivo è che il controller di dominio non è stato in grado di contattare il controller di dominio master. La creazione dell'account in questo controller avrà esito negativo fino a quando non viene allocato un nuovo pool. Potrebbero verificarsi problemi di rete o connettività nel dominio oppure il controller di dominio master potrebbe essere offline o mancante nel dominio. Verificare che il controller di dominio master sia in esecuzione e connesso al dominio.

Causa

Questo problema si verifica in uno degli scenari seguenti:

• Quando il master RID (Relative ID) viene ripristinato dal backup, tenta di eseguire la sincronizzazione con altri controller di dominio per verificare che non siano presenti altri master RID online. Tuttavia, il processo di sincronizzazione ha esito negativo se non sono disponibili controller di dominio con cui eseguire la sincronizzazione o se la replica non funziona.

  Nota

  Se il dominio contiene sempre un solo controller di dominio, il master RID non tenterà di eseguire la sincronizzazione con altri controller di dominio. Il controller di dominio non è a conoscenza di altri controller di dominio.

• Il pool RID è stato esaurito o gli oggetti in Active Directory correlati all'allocazione RID usano valori non corretti o sono mancanti.

Risoluzione

Eliminare i collegamenti di replica per i contesti di denominazione in Windows

In Windows 2000 e versioni successive è possibile ripristinare un secondo controller di dominio per completare la sincronizzazione iniziale. Se non è possibile ripristinare un secondo controller di dominio, è necessario eseguire una pulizia dei metadati nei controller di dominio inesistenti oppure eliminare i collegamenti di replica ai contesti di denominazione di Active Directory. Se si prevede di ripristinare gli altri controller di dominio in un secondo momento, è necessario eliminare i collegamenti di replica anziché eseguire una pulizia dei metadati.

Prima di eliminare i collegamenti di replica ai contesti di denominazione di Active Directory, è necessario identificare il valore objectGUID usando il Repadmin comando . A tal fine, attenersi alla seguente procedura:

1. Fare clic su Start, fare clic su Esegui, digitare cmd nella casella Apri e quindi fare clic su OK.

2. Al prompt dei comandi digitare repadmin /showreps. Verrà visualizzato un output simile al seguente:

   CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 tramite RPC objectGuid: <GUID> Ultimo tentativo @ <DateTime> riuscito.

   CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: <GUID> Last attempt @ <DateTime> was successful.

   DC=contoso,DC=com Default-First-Site-Name\DC02 tramite RPC objectGuid: <GUID> Ultimo tentativo @ <DateTime> riuscito.

3. Digitare repadmin /delete per eliminare i collegamenti di replica. Specificare il contesto di denominazione e objectGUID come illustrato negli esempi seguenti:

   repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
   repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
   repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly
   

4. Riavviare il computer master RID. Il master RID verrà inizializzato correttamente.

Rimuovere i metadati del controller di dominio per tutti gli altri controller di dominio nel dominio

È possibile ripristinare o connettere un secondo controller di dominio per completare la sincronizzazione iniziale. Se non è possibile aggiungere un secondo controller di dominio, è necessario eseguire una pulizia dei metadati nei controller di dominio inesistenti per rimuoverli definitivamente dal dominio o eliminare i collegamenti di replica ai contesti di denominazione di Active Directory. Per altre informazioni su come rimuovere i metadati, fare clic sul numero dell'articolo Pulire i metadati del server.

Verificare che gli oggetti di Active Directory correlati all'allocazione RID siano validi

Per verificare che gli oggetti di Active Directory correlati all'allocazione RID siano validi, seguire questa procedura:

1. Verificare che il gruppo Everyone disponga del diritto Accesso al computer dall'utente di rete. L'impostazione può essere configurata nel percorso seguente nella Editor oggetto Criteri di gruppo: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

2. Installare gli strumenti di supporto di Windows 2000. Questi strumenti sono disponibili nella cartella di supporto in Windows 2000 e nelle CD-ROM di Windows Server 2003. Dopo aver installato questi strumenti, avviare ADSI Edit. A tal fine, attenersi alla seguente procedura:

   1. Fare clic su Start, fare clic su Esegui, digitare mmc nella casella Apri e quindi fare clic su OK.
   2. In Windows 2000 fare clic su Console e quindi su Aggiungi/Rimuovi snap-in. In Windows Server 2003 fare clic su File e quindi su Aggiungi/Rimuovi snap-in.
   3. Nello snap-in Aggiungi/Rimuovi fare clic su Aggiungi, fare clic su ADSIModitae quindi su Aggiungi.
   4. Fare clic su Chiudi e quindi su OK.

3. In MMC fare clic con il pulsante destro del mouse su ADSIEdit e quindi scegliere Connetti a.

4. In Connections Impostazioni, in Punto di connessione fare clic su Seleziona un contesto di denominazione noto. Nell'elenco a discesa fare clic su dominio e quindi su OK.

5. Espandere dominio e quindi espandere il nome distinto del dominio. Ad esempio, espandere DC=contoso, DC=com.

6. Espandere OU=Domain Controllers.

7. Fare clic con il pulsante destro del mouse sul controller di dominio da controllare e quindi scegliere Proprietà.

8. Fare clic sul menu Seleziona una proprietà per visualizzare e quindi su userAccountControl.

9. Verificare che il valore di userAccountControl sia 532480. Per modificare il valore userAccountControl , fare clic su Modifica nella finestra di dialogo delle proprietà del controller di dominio.

10. Nella Editor Attributo intero digitare 532480 nel campo Valore e quindi fare clic su OK.

Verificare che il master RID stia replicando con un altro controller di dominio

Se un controller di dominio appena promosso genera l'evento 16650, il controller di dominio potrebbe avere ottenuto informazioni di replica da un altro controller di dominio che non è il master RID. Durante l'innalzamento di livello, l'account computer per il nuovo controller di dominio viene modificato. Se queste modifiche non sono state replicate nel controller di dominio che contiene il ruolo master RID, la richiesta avrà esito negativo quando il controller di dominio appena promosso tenta di ottenere un pool RID.

Per verificare che il master RID stia replicando con almeno uno dei partner diretti, seguire questa procedura:

1. Verificare che l'oggetto CN=RID Set esista.

   L'oggetto CN=RID Set si trova nel riquadro destro di ADSI Edit quando il controller di dominio è selezionato in OU=Domain Controllers nel riquadro sinistro.

   Se non esiste alcun oggetto CN=RID Set , è necessario abbassare di livello tale controller di dominio e quindi alzarlo di nuovo di livello per creare l'oggetto.

2. Se l'oggetto CN=RID Set esiste, assicurarsi che l'attributo rIDSetReferences nell'oggetto account computer del controller di dominio punti al nome distinto dell'oggetto RID Set , come illustrato nell'esempio seguente: CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

   Se l'attributo rIDSetReferences non punta al nome distinto dell'oggetto SET RID , contattare il Servizio Supporto Tecnico Clienti Microsoft per altre informazioni.

Stato

Si tratta di un comportamento legato alla progettazione del prodotto.

Riferimenti

822053 Messaggio di errore: "Impossibile creare l'oggetto perché il servizio directory non è riuscito ad allocare un identificatore relativo"