Identificação do evento 16650: Falha na inicialização do alocador de identificador de conta no Windows 2000 e no Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 839879 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que saiba como restaurá-lo caso ocorra algum problema. Para obter informações adicionais sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Ao tentar adicionar novos usuários, grupos, computadores, caixas de correio, controladores de domínio ou outros objetos ao Active Directory em um computador com Microsoft Windows Server 2003 ou Windows 2000, a seguinte mensagem de erro pode ser exibida:
Não foi possível criar o objeto porque o serviço de diretório não pôde alocar um identificador relativo.
Ao restaurar um controlador de domínio por um backup de estado do sistema, o log do sistema pode conter a seguinte mensagem de erro:
Tipo de evento: Erro
Fonte de evento: Evento SAM
Categoria: Nenhuma
Identificação do evento: 16650
Falha de inicialização do alocador de identificador de conta. Os dados registrados contêm o código de erro NT que causou a falha. O Windows 2000 tentará novamente a inicialização até que tenha êxito; antes disso, a criação da conta será negada nesse Controlador de domínio. Procure por outros logs de evento SAM que possam indicar a razão exata para a falha.
Também é possível usar o comando Dcdiag com a opção detalhada para procurar erros adicionais. Para fazer isto, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite cmd na caixa Abrir e clique em OK.
  2. No prompt de comando, digite DCdiag /v e pressione Enter.
Ao digitar Dcdiag /v, mensagens de erro semelhantes às seguintes podem ser exibidas:
Iniciando teste: RidManager
* Available RID Pool for the Domain is 2355 to 1073741823
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1355 to 1854
* rIDNextRID: 0 The DS has corrupt data: rIDPreviousAllocationPool value is not valid
* rIDPreviousAllocationPool is 0 to 0 No rids allocated -- please check eventlog.
......................... DC01 failed test RidManager

Aviso: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC=contoso, DC=com for rid info failed with 2: O sistema não pôde encontrar o arquivo especificado.
......................... DC01 failed test RidManager


Iniciando teste: RidManager
* Available RID Pool for the Domain is 3104 to 1073741823
Aviso: FSMO Role Owner is deleted.
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
Aviso: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: O sistema não pôde encontrar o arquivo especificado.
......................... DC01 failed test RidManager

Iniciando teste: KnowsOfRoleHolders
Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com is the Rid Owner, but is deleted.
Também é possível que apareçam outros erros no log de eventos do sistema que lhe ajudam a solucionar o problema:
Identificação do evento: 16647
Fonte de evento: SAM
Descrição: O controlador de domínio está iniciando uma solicitação para um novo pool de identificadores de conta.

Tipo de evento: Erro
Fonte de evento: Evento SAM
Categoria: Nenhuma
Identificação do evento: 16645
Descrição: O identificador de conta máximo alocado para este controlador de domínio foi atribuído. Houve falha do controlador do domínio na obtenção de um novo pool de identificadores. Talvez o controlador de domínio não pôde entrar em contato com o controlador de domínio principal. Não será possível criar contas no controlador até que um novo pool tenha sido alocado. Podem estar ocorrendo problemas de conectividade ou na rede no domínio ou o controlador de domínio principal pode estar offline ou ausente do domínio. Verifique se o controlador de domínio principal está sendo executado e está conectado ao domínio.

Causa

O problema pode ocorrer em uma das seguintes situações:
  • Ao ser restaurado a partir do backup, o mestre do ID relativo (RID) tenta sincronizar-se com outros controladores de domínio para verificar se não há outros online. No entanto, o processo de sincronização falha caso não haja controladores de domínio disponíveis com os quais sincronizar, ou se a replicação não estiver funcionando. A necessidade de sincronização foi implementada no hotfix do Windows 2000, descrito no seguinte artigo da Base de Dados de Conhecimento da Microsoft:
    307725 Backup e restauração do controlador de domínio FSMO (Flexible Single Master Operations) RID causam SIDs duplicados
    Observação Se o domínio sempre tiver apenas um controlador, o mestre de RID não tentará sincronizar com outros controladores de domínio. O controlador de domínio desconhece outros controladores.
  • O pool RID esgotou-se ou os objetos no Active Directory relacionados à alocação do RID usam valores incorretos ou que estão faltando.

Resolução

Excluir os vínculos de replicação para os contextos de nomeação no Windows 2000

No Windows 2000, é possível restaurar um segundo controlador de domínio para concluir a sincronização inicial. Se não for possível restaurar um segundo controlador de domínio, será necessário realizar uma limpeza de metadados nos controladores de domínio inexistentes ou excluir os vínculos de replicação para os contextos de nomeação do Active Directory. Se você pretende restaurar os outros controladores de domínio posteriormente, é necessário excluir os vínculos de replicação em vez de realizar uma limpeza dos metadados.
Antes da exclusão dos vínculos de replicação para os contextos de nomeação do Active Directory, é necessário identificar o valor objectGUID, usando o comando Repadmin. Para fazer isto, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite cmd na caixa Abrir e clique em OK.
  2. No prompt de comando, digite repadmin /showreps. Será possível ver uma saída semelhante à seguinte:
    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:10:000,03 was successful.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:140,43 was successful.

    DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.01 was successful.
  3. Digite repadmin /delete para excluir os vínculos de replicação. Especifique o contexto de nomeação e o objectGUID como mostram os seguintes exemplos:
    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
    repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
    repadmin /delete DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
  4. Reinicie o computador do mestre de RID. O mestre RID irá inicializar corretamente.

Remover os metadados do controlador de domínio para todos os contoladores de domínio do domínio

É possível restaurar ou conectar um segundo controlador de domínio para concluir a sincronização inicial. Se não for possível adicionar um segundo controlador de domínio, será necessário realizar uma limpeza de metadados nos controladores de domínio inexistentes para removê-los do domínio permanentemente ou excluir os vínculos de replicação para os contextos de nomeação do Active Directory.
Para obter mais informações sobre como remover os metadados, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
216498 Como remover dados do Active Directory após o rebaixamento mal-sucedido do controlador de domínio


Verificar se os objetos do Active Directory relacionados à alocação de RID são válidos

Para verificar se os objetos do Active Directory relacionados à alocação de RID são válidos, execute estas etapas:
  1. Verifique se o grupo Todos possui o direito de usuário Acesso a este computador pela rede. É possível definir a configuração no seguinte local do Editor de objeto de diretiva de grupo: Configuração do computador\Windows Settings\Security Settings\Local Policies\User Rights Assignment.
  2. Instale as Ferramentas de suporte do Windows 2000. Essas ferramentas estão disponíveis na pasta de suporte dos CD-ROMs do Windows 2000 e do Windows Server 2003. Depois que essas ferramentas forem instaladas, inicie o ADSI Edit. Para fazer isto, execute as seguintes etapas:
    1. Clique em Iniciar e em Executar, digite mmc na caixa Abrir e clique em OK.
    2. No Windows 2000, clique em Console e em Adicionar/remover snap-in. No Windows Server 2003, clique em Arquivo e em Adicionar/remover snap-in.
    3. Em Adicionar/remover snap-in, em Adicionar, em ADSIEdit e em Adicionar.
    4. Clique em Fechar e em OK.
  3. No MMC, clique com o botão direito do mouse em ADSIEdit e clique em Conectar a.
  4. Em Connections Settings (Configurações de conexão), sob Connection Point (Ponto de conexão), clique em Select a well known naming context (Selecionar um contexto de nomeação conhecido). Na lista suspensa, clique em domínio e em OK.
  5. Expanda domínio e o seu nome distinto. Por exemplo, expanda DC=contoso, DC=com.
  6. Expanda OU=Domain Controllers.
  7. Clique com o botão direito do mouse no controlador de domínio desejado e clique em Propriedades.
  8. Clique no menu Select a property to view (Selecionar uma propriedade para visualizar) e em userAccountControl.
  9. Verifique se o valor para userAccountControl é 532480. Para alterar o valor userAccountControl, clique em Edit (Editar) na caixa de diálogo de propriedades do controlador do domínio.
  10. No Integer Attribute Editor (Editor de Atributo do Inteiro), digite 532480 no campo Value (Valor) e clique em OK.

Verificar se o mestre de RID está replicando por meio de outro controlador de domínio

Se um controlador de domínio recém-promovido gera o Evento 16650, é sinal de que ele pode ter obtido as informações sobre replicação a partir de um outro controlador de domínio que não é o mestre de RID. Durante a promoção, a conta do computador para o novo controlador de domínio é modificada. Se essas alterações não forem replicadas para o controlador de domínio que exerce a função de mestre de RID, a solicitação irá falhar quando o controlador recém-promovido tentar obter um pool RID.

Para verificar se o mestre de RID está replicando por meio de pelo menos um de seus parceiros diretos, execute estas etapas:
  1. Verifique se o objeto CN=RID Set existe.

    O objeto CN=RID Set fica no painel à direita do ADSI Edit quando o controlador de domínio está selecionado em OU=Domain Controllers no painel à esquerda.

    Se não houver um objeto CN=RID Set, será necessário rebaixar esse controlador de domínio e promovê-lo novamente para criar o objeto.
  2. Se o objeto CN=RID Set existir, certifique-se de que o atributo rIDSetReferences no objeto de conta do computador do controlador de domínio esteja apontando para o nome distinto do objeto RID Set, como mostra o seguinte exemplo:
    CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

    Se o atributo rIDSetReferences não apontar para o nome distinto do objeto RID Set, contate o Atendimento Microsoft para obter mais informações.

Situação

Este comportamento é próprio do projeto.

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
913539 Atributos do active Directory que referenciam a um prefixo podem não ser armazenados na cópia local do Active Directory em um computador executando o Microsoft Windows Server 2003
305476 Requisitos de sincronização inicial para proprietários de função mestre de operações do Windows 2000 Server e do Windows Server 2003
822053 Mensagem de erro: "O Windows não pode criar o objeto porque o serviço de diretório não pôde alocar um identificador relativo"
248410 Mensagem de erro: O alocador de identificador de conta falhou em inicializar apropriadamente

Propriedades

ID do artigo: 839879 - Última revisão: quarta-feira, 20 de setembro de 2006 - Revisão: 9.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Palavras-chave: 
kbprb KB839879

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com