ID do evento 16650: Ocorreu uma falha na inicialização do alocador do identificador de conta no Windows 2000 e no Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 839879 - Ver produtos para os quais este artigo se aplica.
Importante: este artigo contém informações sobre como modificar o registo. Antes de modificar o registo, certifique-se de que efectua uma cópia de segurança e de que compreende como o pode restaurar se ocorrer um problema. Para obter informações sobre como efectuar uma cópia de segurança, restaurar e editar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
256986 Descrição do registo do Microsoft Windows
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Quando tenta adicionar novos utilizadores, grupos, computadores, caixas de correio, controladores de domínio ou outros objectos ao Active Directory num computador baseado no Microsoft Windows Server 2003 ou num computador baseado no Windows 2000, poderá receber a seguinte mensagem de erro:
Não é possível criar o objecto porque o serviço de directório não conseguiu atribuir um identificador relativo. (Cannot create the object because directory service was unable to allocate a relative identifier.)
Quando restaura um controlador de domínio a partir de uma cópia de segurança do estado do sistema, o registo de sistema poderá conter a seguinte mensagem de erro:
Tipo de evento: Erro (Error)
Origem do evento: SAM
Categoria do evento: Nenhuma (None)
ID do evento: 16650
Ocorreu uma falha na inicialização adequada do alocador do identificador de conta. Os dados de registo contêm o código de erro NT que provocou a falha. O Windows 2000 vai repetir a inicialização até esta ser bem sucedida; até esse momento, a criação de contas será negada neste controlador de domínio. Verifique a existência de outros registos de evento SAM que possam indicar a razão exacta da falha.
Também pode utilizar o comando Dcdiag com o parâmetro verboso para procurar erros adicionais. Para o fazer, siga estes passos:
  1. Clique em Iniciar (Start), clique em Executar (Run), escreva cmd na caixa Abrir (Open) e clique em OK.
  2. Na linha de comandos, escreva DCdiag /v e prima Enter.
Quando escrever Dcdiag /v, poderá ver mensagens de erro semelhantes à seguinte:
Starting test: RidManager
* Available RID Pool for the Domain is 2355 to 1073741823
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1355 to 1854
* rIDNextRID: 0 The DS has corrupt data: rIDPreviousAllocationPool value is not valid
* rIDPreviousAllocationPool is 0 to 0 No rids allocated -- please check eventlog.
......................... DC01 failed test RidManager

Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: The system cannot find the file specified.
......................... DC01 failed test RidManager


Starting test: RidManager
* Available RID Pool for the Domain is 3104 to 1073741823
Warning: FSMO Role Owner is deleted.
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: The system cannot find the file specified.
......................... DC01 failed test RidManager

Starting test: KnowsOfRoleHolders
Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Nome-de-primeiro-site-predefinido,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Nome-de-primeiro-site-predefinido,CN=Sites,CN=Configuration,DC=contoso,DC=com is the Rid Owner, but is deleted.
Também poderá receber outros erros no registo de eventos do sistema que poderão ajudá-lo a resolver o problema:
ID do evento: 16647
Origem do evento: SAM
Descrição: O controlador de domínio está a iniciar um pedido de um novo conjunto de identificador de conta.

Tipo de evento: Erro (Error)
Origem do evento: SAM
Categoria do evento: Nenhuma (None)
ID do evento: 16645
Descrição: O identificador de conta máximo atribuído ao controlador deste domínio foi atribuído. O controlador do domínio falhou na obtenção de um novo conjunto de identificadores. Uma possível razão pode residir no facto de controlador de domínio não ter conseguido contactar o controlador de domínio principal. Ocorrerá uma falha na criação de contas neste controlador até à atribuição do conjunto. Podem existir problemas de ligação ou de rede no domínio ou o controlador de domínio principal poderá estar offline ou em falta no domínio. Verifique se o controlador de domínio principal está em execução e ligado ao domínio.

Causa

Este problema ocorre num dos seguintes cenários:
  • Quando o mestre de ID relativo (RID) é restaurado a partir de uma cópia de segurança, tenta sincronizar com outros controladores de domínio para se certificar de que não existem outros mestres de RID online. No entanto, o processo de sincronização falha se não existirem controladores de domínio disponíveis para sincronização, ou se a replicação não estiver a funcionar. O requisito de sincronização foi implementado na correcção do Windows 2000 descrita no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    307725 Backup and restore of RID Flexible Single-Master Operations domain controller causes duplicate SIDs
    Nota: se o domínio sempre teve apenas um controlador de domínio, o mestre de RID não tentará sincronizar com outros controladores de domínio. O controlador de domínio não tem qualquer referência de outros controladores de domínio.
  • O conjunto de RID esgotou, ou os objectos do Active Directory relacionados com a atribuição de RID utilizam valores incorrectos ou estão em falta.

Resolução

Eliminar as ligações de replicação para os contextos de atribuição de nomes do Windows 2000

No Windows 2000, pode restaurar um segundo controlador de domínio para concluir a sincronização inicial. Se não conseguir restaurar um segundo controlador de domínio, deverá efectuar uma limpeza dos metadados nos controladores de domínio não existentes ou eliminar as ligações de replicação para os contextos de atribuição de nomes do Active Directory. Se pretender restaurar os outros controladores de domínio posteriormente, tem de eliminar as ligações de replicação em vez de efectuar uma limpeza dos metadados.
Antes de eliminar as ligações de replicação para os contextos de atribuição de nomes do Active Directory, deverá identificar o valor objectGUID utilizando o comando Repadmin. Para o fazer, siga estes passos:
  1. Clique em Iniciar (Start), clique em Executar (Run), escreva cmd na caixa Abrir (Open) e clique em OK.
  2. Na linha de comandos, escreva repadmin /showreps. O resultado apresentado será semelhante ao seguinte:
    CN=Schema,CN=Configuration,DC=contoso,DC=com Nome-de-primeiro-site-predefinido\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:10.03 was successful.

    CN=Configuration,DC=contoso,DC=com Nome-de-primeiro-site-predefinido\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.43 was successful.

    DC=contoso,DC=com Nome-de-primeiro-site-predefinido\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.01 was successful.
  3. Escreva repadmin /delete para eliminar as ligações de replicação. Especifique o contexto de atribuição de nomes e o objectGUID, como apresentado nos seguintes exemplos:
    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com 
    DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com
    /localonly 
    repadmin /delete CN=Configuration,DC=contoso,DC=com 
    DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com 
    /localonly repadmin /delete DC=contoso,DC=com 
    DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com 
    /localonly
  4. Reinicie o computador do mestre de RID. O mestre de RID será correctamente inicializado.

Remover metadados de controlador de domínio para todos os outros controladores do domínio

Pode restaurar ou ligar um segundo controlador de domínio para concluir a sincronização inicial. Se não conseguir adidionar um segundo controlador de domínio, tem de efectuar uma limpeza dos metadados nos controladores de domínio não existentes, de os remover do domínio permanentemente ou de eliminar as ligações de replicação para os contextos de atribuição de nomes do Active Directory.
Para obter mais informações sobre como remover metadados, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
216498 Como remover dados do Active Directory após uma despromoção sem êxito de um controlador de domínio


Verificar se os objectos do Active Directory relacionados com a atribuição de RID são válidos

Para verificar se os objectos do Active Directory relacionados com a atribuição de RID são válidos, siga estes passos:
  1. Verifique se o grupo Todos (Everyone) tem o direito de utilizador Aceder a este computador a partir da rede (Access this computer from the network). A definição pode ser configurada na seguinte localização no editor de objectos de política de grupo: Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Atribuição de direitos de utilizadores. (Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.)
  2. Instale as ferramentas de suporte do Windows 2000. Estas ferramentas estão disponíveis na pasta de suporte nos CD-ROMs do Windows 2000 e do Windows Server 2003. Quando estas ferramentas estiverem instaladas, inicie o ADSI Edit. Para o fazer, siga estes passos:
    1. Clique em Iniciar (Start), clique em Executar (Run), escreva mmc na caixa Abrir (Open) e clique em OK.
    2. No Windows 2000, clique em Consola (Console) e clique em Adicionar/remover snap-in (Add/Remove Snap-in). No Windows Server 2003, clique em Ficheiro e clique em Adicionar/remover snap-in.
    3. No snap-in Adicionar/remover (Add/Remove), clique em Adicionar (Add), clique em ADSIEdit e clique em Adicionar (Add).
    4. Clique em Fechar (Close) e clique em OK.
  3. Na MMC, clique com o botão direito do rato em ADSIEdit e clique em Connect to.
  4. Em Connections Settings, em Connection Point, clique em Select a well known naming context. Na lista pendente, clique em domain e clique em OK.
  5. Expanda domain e expanda o nome distinto do domínio. Por exemplo, expanda DC=contoso, DC=com.
  6. Expanda OU=Controladores de domínio (OU=Domain Controllers).
  7. Clique com o botão direito do rato no controlador de domínio que pretende verificar e clique em Propriedades (Properties).
  8. Clique no menu Seleccionar uma propriedade a ver (Select a property to view) e clique em userAccountControl.
  9. Verifique se o valor de userAccountControl é 532480. Para alterar o valor de userAccountControl, clique em Editar (Edit) na caixa de diálogo das propriedades do controlador de domínio.
  10. No Editor de atributo de inteiro (Integer Attribute Editor), escreva 532480 no campo Valor (Value) e clique em OK.

Verificar se o mestre de RID está a replicar com outro controlador de domínio

Se um controlador de domínio recém-promovido gerar o evento 16650, o controlador de domínio poderá ter obtido informações de replicação de outro controlador de domínio diferente do mestre de RID. Durante a promoção, a conta do computador para o novo controlador de domínio é modificada. Se estas alterações não forem replicadas para o controlador de domínio que detém a função de mestre de RID, o pedido falhará quando o controlador de domínio recém-promovido tentar obter um conjunto de RID.

Para verificar se o mestre de RID está a replicar com pelo menos um dos parceiros directos, siga estes passos:
  1. Verifique se o objecto CN=RID Set existe.

    O objecto CN=RID Set encontra-se no painel da direita do ADSI Edit quando o controlador de domínio é seleccionado em OU=Controladores de domínio (OU=Domain Controllers) no painel da esquerda.

    Se não existir um objecto CN=RID Set, terá de despromover esse controlador de domínio e promovê-lo novamente para criar o objecto.
  2. Se o objecto CN=RID Set existir, certifique-se de que o atributo rIDSetReferences no objecto da conta do computador do controlador de domínio aponta para o nome distinto do objecto RID Set, como apresentado no exemplo que se segue:
    CN=RID Set, CN=DC01,OU=Controladores de domínio,CN=contoso,DC=local

    Se o atributo rIDSetReferences não apontar para o nome distinto do objecto RID Set, contacte o suporte técnico da Microsoft para obter mais informações.

Ponto Da Situação

Este comportamento ocorre por predefinição.

Referências

Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
913539 Active Directory attributes that refer to a prefix may not be stored in the local copy of Active Directory on a computer that is running Microsoft Windows Server 2003
305476 Initial synchronization requirements for Windows 2000 Server and Windows Server 2003 operations master role holders
822053 Error message: "Windows cannot create the object because the Directory Service was unable to allocate a relative identifier"
248410 Error message: The account-identifier allocator failed to initialize properly

Propriedades

Artigo: 839879 - Última revisão: 25 de setembro de 2006 - Revisão: 9.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003 Datacenter Edition
Palavras-chave: 
kbprb KB839879

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com