이벤트 ID 16650: Windows Server에서 계정 식별자 할당자를 초기화하지 못했습니다.

  • 아티클

이 문서에서는 Active Directory에 개체를 추가하거나 시스템 상태 백업에서 도메인 컨트롤러를 복원할 때 발생하는 오류를 해결하는 솔루션을 제공합니다.

적용 대상: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
원래 KB 번호: 839879

증상

이 문서는 Windows 2000 이상 버전에 적용됩니다. Microsoft Windows Server 컴퓨터의 Active Directory에 새 사용자, 그룹, 컴퓨터, 사서함, 도메인 컨트롤러 또는 기타 개체를 추가하려고 하면 다음 오류 메시지가 표시될 수 있습니다.

디렉터리 서비스에서 상대 식별자를 할당할 수 없으므로 개체를 만들 수 없습니다.

시스템 상태 백업에서 도메인 컨트롤러를 복원하는 경우 시스템 로그에 다음 오류 메시지가 포함될 수 있습니다.

이벤트 유형:오류

이벤트 원본: SAM 이벤트
범주:없음

이벤트 ID: 16650

계정 식별자 할당자가 제대로 초기화하지 못했습니다. 레코드 데이터에는 오류를 발생시킨 NT 오류 코드가 포함되어 있습니다. Windows 는 성공할 때까지 초기화를 다시 시도합니다. 이 시간까지 이 도메인 컨트롤러에서 계정 만들기가 거부됩니다. 오류의 정확한 이유를 나타낼 수 있는 다른 SAM 이벤트 로그를 찾습니다.

자세한 정보 표시 스위치와 함께 명령을 사용하여 Dcdiag 추가 오류를 찾을 수도 있습니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 시작을 클릭하고 실행을 클릭하고 열기 상자에 cmd를 입력한 다음 확인을 클릭합니다.
  2. 명령 프롬프트에서 를 입력 DCdiag /v한 다음 Enter 키를 누릅니 다.

를 입력 Dcdiag /v하면 다음과 유사한 오류 메시지가 표시될 수 있습니다.

테스트 시작: RidManager

* 도메인에 사용 가능한 RID 풀은 2355에서 1073741823

* dc01.contoso.com 는 RID 마스터입니다.

* RID 마스터가 있는 DsBind가 성공했습니다.

* rIDAllocationPool은 1355~1854입니다.

* rIDNextRID: 0 DS에 손상된 데이터가 있습니다. rIDPreviousAllocationPool 값이 잘못되었습니다.

* rIDPreviousAllocationPool은 0에서 0까지 할당되지 않은 rids입니다. eventlog를 검사.
......................... DC01 테스트 RidManager 실패

경고: rid set 참조가 삭제됩니다.

제거 정보에 대한 CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com 의 ldap_search_sW 2: 시스템에서 지정된 파일을 찾을 수 없습니다.

......................... DC01 테스트 RidManager 실패

테스트 시작: RidManager

* 도메인에 사용 가능한 RID 풀은 1073741823 3104입니다.

경고: FSMO 역할 소유자가 삭제됩니다.

* dc01.contoso.com 는 RID 마스터입니다.

* RID 마스터가 있는 DsBind가 성공했습니다.

경고: rid set 참조가 삭제됩니다.

제거 정보에 대한 CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com의 ldap_search_sW 2: 시스템에서 지정된 파일을 찾을 수 없습니다. ......................... DC01 테스트 RidManager 실패

시작 테스트: KnowsOfRoleHolders

역할 제거 소유자 = CN="NTDS 설정 DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com 경고: CN=="NTDS 설정 DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com은 Rid 소유자이지만 삭제됩니다.

시스템 이벤트 로그에서 문제를 해결하는 데 도움이 되는 다른 오류가 발생할 수도 있습니다.

이벤트 ID: 16647

이벤트 원본: SAM

설명: 도메인 컨트롤러가 새 계정 식별자 풀에 대한 요청을 시작합니다.

이벤트 유형: 오류

이벤트 원본: SAM 이벤트 범주:없음

이벤트 ID: 16645

설명: 이 도메인 컨트롤러에 할당된 최대 계정 식별자가 할당되었습니다. 도메인 컨트롤러가 새 식별자 풀을 가져오지 못했습니다. 이로 인해 도메인 컨트롤러가 master 도메인 컨트롤러에 연결할 수 없기 때문입니다. 이 컨트롤러의 계정 생성은 새 풀이 할당될 때까지 실패합니다. 도메인에 네트워크 또는 연결 문제가 있거나 master 도메인 컨트롤러가 오프라인 상태이거나 도메인에서 누락될 수 있습니다. master 도메인 컨트롤러가 실행 중이고 도메인에 연결되어 있는지 확인합니다.

원인

이 문제는 다음 시나리오 중 하나에서 발생합니다.

  • RID(상대 ID) 마스터가 백업에서 복원되면 다른 도메인 컨트롤러와 동기화하여 다른 RID 마스터가 온라인 상태가 없는지 확인합니다. 그러나 동기화할 수 있는 도메인 컨트롤러가 없거나 복제가 작동하지 않는 경우 동기화 프로세스가 실패합니다.

    참고

    도메인에 항상 하나의 도메인 컨트롤러만 포함된 경우 RID 마스터는 다른 도메인 컨트롤러와 동기화를 시도하지 않습니다. 도메인 컨트롤러는 다른 도메인 컨트롤러에 대한 지식이 없습니다.

  • RID 풀이 소진되었거나 RID 할당과 관련된 Active Directory의 개체가 잘못된 값을 사용하거나 누락되었습니다.

해결 방법

Windows 2000 이상 버전에서는 두 번째 도메인 컨트롤러를 복원하여 초기 동기화를 완료할 수 있습니다. 두 번째 도메인 컨트롤러를 복원할 수 없는 경우 존재하지 않는 도메인 컨트롤러에서 메타데이터 정리를 수행하거나 Active Directory 명명 컨텍스트에 대한 복제 링크를 삭제해야 합니다. 나중에 다른 도메인 컨트롤러를 복원하려는 경우 메타데이터 정리를 수행하는 대신 복제 링크를 삭제해야 합니다.

Active Directory 명명 컨텍스트에 대한 복제 링크를 삭제하려면 먼저 명령을 사용하여 Repadmin objectGUID 값을 식별해야 합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 시작을 클릭하고 실행을 클릭하고 열기 상자에 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에 를 입력합니다 repadmin /showreps. 다음과 유사한 출력이 표시됩니다.

    RPC objectGuid를 통한 CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02: <GUID> 마지막 시도 @ <DateTime> 이 성공했습니다.

    RPC objectGuid를 통한 CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02: <GUID> 마지막 시도 @ <DateTime> 이 성공했습니다.

    RPC objectGuid를 통한 DC=contoso,DC=com Default-First-Site-Name\DC02: <GUID> 마지막 시도 @ <DateTime> 이 성공했습니다.

  3. 복제 링크를 삭제하려면 를 입력 repadmin /delete 합니다. 다음 예제와 같이 명명 컨텍스트 및 objectGUID를 지정합니다.

    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly

  4. RID 마스터 컴퓨터를 다시 시작합니다. RID 마스터가 올바르게 초기화됩니다.

도메인의 다른 모든 도메인 컨트롤러에 대한 도메인 컨트롤러 메타데이터 제거

두 번째 도메인 컨트롤러를 복원하거나 연결하여 초기 동기화를 완료할 수 있습니다. 두 번째 도메인 컨트롤러를 추가할 수 없는 경우 존재하지 않는 도메인 컨트롤러에서 메타데이터 정리를 수행하여 도메인에서 영구적으로 제거하거나 Active Directory 명명 컨텍스트에 대한 복제 링크를 삭제해야 합니다. 메타데이터를 제거하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 서버 메타데이터 정리 문서를 확인합니다.

RID 할당과 관련된 Active Directory 개체가 유효한지 확인하려면 다음 단계를 수행합니다.

  1. 모든 사용자 그룹에 네트워크 사용자 권한에서 이 컴퓨터에 액세스 권한이 있는지 확인합니다. 그룹 정책 Object Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment편집기 다음 위치에서 설정을 구성할 수 있습니다.

  2. Windows 2000 지원 도구를 설치합니다. 이러한 도구는 Windows 2000 및 Windows Server 2003 CD-ROM의 지원 폴더에서 사용할 수 있습니다. 이러한 도구를 설치한 경우 를 시작합니다 ADSI Edit. 이렇게 하려면 다음과 같이 하십시오.

    1. 시작을 클릭하고 실행을 클릭하고 열기 상자에 mmc를 입력한 다음 확인을 클릭합니다.
    2. Windows 2000에서 콘솔을 클릭한 다음 스냅인 추가/제거를 클릭합니다. Windows Server 2003에서 파일을 클릭한 다음 스냅인 추가/제거를 클릭합니다.
    3. 스냅인 추가/제거 에서 추가, ADSIEdit, 추가를 차례로 클릭합니다.
    4. 닫기를 클릭하고 확인을 클릭합니다.

  3. MMC에서 ADSIEdit를 마우스 오른쪽 단추로 클릭한 다음 연결을 클릭합니다.

  4. Connections 설정연결점에서 잘 알려진 명명 컨텍스트 선택을 클릭합니다. 드롭다운 목록에서 도메인을 클릭한 다음 확인을 클릭합니다.

  5. 도메인을 확장한 다음 도메인의 고유 이름을 확장합니다. 예를 들어 DC=contoso, DC=com을 확장합니다.

  6. OU=도메인 컨트롤러를 확장합니다.

  7. 검사 도메인 컨트롤러를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  8. 볼 속성 선택 메뉴를 클릭한 다음 userAccountControl을 클릭합니다.

  9. userAccountControl 값이 532480인지 확인합니다. userAccountControl 값을 변경하려면 도메인 컨트롤러 속성 대화 상자에서 편집을 클릭합니다.

  10. 정수 특성 편집기 필드에 532480을 입력한 다음 확인을 클릭합니다.

RID 마스터가 다른 도메인 컨트롤러와 복제 중인지 확인합니다.

새로 승격된 도메인 컨트롤러가 이벤트 16650을 생성하는 경우 도메인 컨트롤러는 RID 마스터가 아닌 다른 도메인 컨트롤러로부터 복제 정보를 얻었을 수 있습니다. 승격하는 동안 새 도메인 컨트롤러의 컴퓨터 계정이 수정됩니다. 이러한 변경 내용이 RID master 역할을 보유하는 도메인 컨트롤러에 복제되지 않은 경우 새로 승격된 도메인 컨트롤러가 RID 풀을 가져오려고 하면 요청이 실패합니다.

RID 마스터가 직접 파트너 중 하나 이상과 복제 중인지 확인하려면 다음 단계를 수행합니다.

  1. CN=RID Set 개체가 있는지 확인합니다.

    CN=RID Set 개체는 왼쪽 창의 OU=도메인 컨트롤러에서 도메인 컨트롤러를 선택할 때 ADSI 편집의 오른쪽 창에 있습니다.

    CN=RID Set 개체가 없는 경우 해당 도메인 컨트롤러를 강등한 다음 다시 승격하여 개체를 만들어야 합니다.

  2. CN=RID Set 개체가 있는 경우 도메인 컨트롤러의 컴퓨터 계정 개체에 있는 rIDSetReferences 특성이 다음 예제와 같이 RID Set 개체의 고유 이름을 가리키는지 확인합니다. CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

    rIDSetReferences 특성이 RID Set 개체의 고유 이름을 가리키지 않는 경우 자세한 내용은 Microsoft 제품 지원 서비스에 문의하세요.

상태

이것은 의도적으로 설계된 동작입니다.

참조

822053 오류 메시지: "디렉터리 서비스에서 상대 식별자를 할당할 수 없어 Windows에서 개체를 만들 수 없습니다."