ID do evento 16650: o alocador de identificador de conta não foi inicializado no Windows Server

  • Artigo

Este artigo fornece uma solução para resolver erros que ocorrem quando você adiciona objetos ao Active Directory ou restaura um controlador de domínio de um backup de estado do sistema.

Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 839879

Sintomas

Este artigo se aplica ao Windows 2000 e a todas as versões posteriores. Ao tentar adicionar novos usuários, grupos, computadores, caixas de correio, controladores de domínio ou outros objetos ao Active Directory em um computador Microsoft Windows Server, você pode receber a seguinte mensagem de erro:

Não é possível criar o objeto porque o serviço de diretório não pôde alocar um identificador relativo.

Quando você restaura um controlador de domínio de um backup de estado do sistema, o log do sistema pode conter a seguinte mensagem de erro:

Tipo de evento:Erro

Fonte do evento: evento SAM
Categoria:Nenhum

ID do evento: 16650

O alocador de identificador de conta não foi inicializado corretamente. Os dados de registro contêm o código de erro NT que causou a falha. O Windows tentará novamente a inicialização até que ela seja bem-sucedida; até esse momento, a criação da conta será negada neste Controlador de Domínio. Procure outros logs de eventos SAM que possam indicar o motivo exato da falha.

Você também pode usar o Dcdiag comando junto com o comutador verboso para procurar erros adicionais. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, digite cmd na caixa Abrir e clique em OK.
  2. No prompt de comando, digite DCdiag /ve pressione Enter.

Ao digitar Dcdiag /v, você poderá ver mensagens de erro que se assemelham ao seguinte:

Teste inicial: RidManager

* Pool rid disponível para o domínio é 2355 para 1073741823

* dc01.contoso.com é o Mestre RID

* DsBind com RID Master foi bem-sucedido

* rIDAllocationPool é de 1355 a 1854

* rIDNextRID: 0 O DS tem dados corrompidos: rIDPreviousAllocationPool valor não é válido

* rIDPreviousAllocationPool é 0 a 0 Sem rids alocados -- marcar eventlog.
......................... DC01 falhou no teste RidManager

Aviso: a referência de conjunto de eliminação é excluída.

ldap_search_sW de CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC= contoso,DC= com for rid infofailed with 2: The system cannot find the file specified.

......................... DC01 falhou no teste RidManager

Teste inicial: RidManager

* O pool rid disponível para o domínio é 3104 para 1073741823

Aviso: o Proprietário da Função FSMO é excluído.

* dc01.contoso.com é o Mestre RID

* DsBind com RID Master foi bem-sucedido

Aviso: a referência de conjunto de eliminação é excluída.

ldap_search_sW de CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com para obter informações de livrar falha com 2: O sistema não pode encontrar o arquivo especificado. ......................... DC01 falhou no teste RidManager

Teste inicial: KnowsOfRoleHolders

Proprietário do Role Rid = CN="Configurações do NTDS DEL:fd615439-1ebb-4652-b16f-3f8517d25593", CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Aviso: CN="Configurações do NTDS DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com é o Proprietário rid, mas é excluído.

Você também pode receber outros erros no log de eventos do sistema que podem ajudá-lo a solucionar o problema:

ID do evento: 16647

Fonte do evento: SAM

Descrição: o controlador de domínio está iniciando uma solicitação para um novo pool de identificadores de conta.

Tipo de Evento: Erro

Fonte do evento: categoria de evento sam:nenhum

ID do evento: 16645

Descrição: o identificador máximo de conta alocado para esse controlador de domínio foi atribuído. O controlador de domínio falhou ao obter um novo pool de identificadores. Um possível motivo para isso é que o controlador de domínio não pôde entrar em contato com o controlador de domínio master. A criação de conta neste controlador falhará até que um novo pool seja alocado. Pode haver problemas de rede ou conectividade no domínio ou o controlador de domínio master pode estar offline ou ausente do domínio. Verifique se o controlador de domínio master está em execução e conectado ao domínio.

Motivo

Esse problema ocorre em um dos seguintes cenários:

  • Quando o Mestre de ID relativa (RID) é restaurado do backup, ele tenta sincronizar com outros controladores de domínio para verificar se não há outros Mestres RID online. No entanto, o processo de sincronização falhará se não houver controladores de domínio disponíveis para sincronização ou se a replicação não estiver funcionando.

    Observação

    Se o domínio sempre tiver contido apenas um controlador de domínio, o Mestre RID não tentará sincronizar com outros controladores de domínio. O controlador de domínio não tem conhecimento de nenhum outro controlador de domínio.

  • O pool RID foi esgotado ou objetos no Active Directory relacionados à alocação RID usam valores incorretos ou estão ausentes.

Resolução

No Windows 2000 e versões posteriores, você pode restaurar um segundo controlador de domínio para concluir a sincronização inicial. Se você não puder restaurar um segundo controlador de domínio, deverá executar uma limpeza de metadados nos controladores de domínio inexistentes ou excluir os links de replicação para os contextos de nomenclatura do Active Directory. Se você planeja restaurar os outros controladores de domínio mais tarde, você deve excluir os links de replicação em vez de executar uma limpeza de metadados.

Antes de poder excluir os links de replicação para os contextos de nomenclatura do Active Directory, você deve identificar o valor objectGUID usando o Repadmin comando. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, digite cmd na caixa Abrir e clique em OK.

  2. No prompt de comando, digite repadmin /showreps. Você verá uma saída que se assemelha ao seguinte:

    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via objeto RPCGuid: <GUID> Última tentativa @ <DateTime> foi bem-sucedida.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via objeto RPCGuid: <GUID> Última tentativa @ <DateTime> foi bem-sucedida.

    DC=contoso,DC=com Default-First-Site-Name\DC02 via objeto RPCGuid: <GUID> Última tentativa @ <DateTime> foi bem-sucedida.

  3. Digite repadmin /delete para excluir os links de replicação. Especifique o contexto de nomenclatura e o objectGUID, conforme mostrado nos seguintes exemplos:

    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly  
repadmin /delete DC=contoso,DC=com DC01 <GUID>._msdcs.contoso.com /localonly

  4. Reinicie o computador mestre RID. O Mestre RID será inicializado corretamente.

Remover metadados do controlador de domínio para todos os outros controladores de domínio no domínio

Você pode restaurar ou conectar um segundo controlador de domínio para concluir a sincronização inicial. Se você não puder adicionar um segundo controlador de domínio, deverá executar uma limpeza de metadados nos controladores de domínio inexistentes para removê-los do domínio permanentemente ou excluir os links de replicação para os contextos de nomenclatura do Active Directory. Para obter mais informações sobre como remover metadados, clique no número do artigo a seguir para exibir o artigo Limpar Metadados do Servidor.

Para verificar se os objetos do Active Directory relacionados à alocação RID são válidos, siga estas etapas:

  1. Verifique se o grupo Todos tem o access deste computador pelo usuário de rede direito. A configuração pode ser configurada no seguinte local no Política de Grupo Object Editor: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

  2. Instale as Ferramentas de Suporte do Windows 2000. Essas ferramentas estão disponíveis na pasta de suporte no Windows 2000 e nas CD-ROMs do Windows Server 2003. Quando você tiver instalado essas ferramentas, inicie ADSI Edit. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, clique em Executar, digite mmc na caixa Abrir e clique em OK.
    2. No Windows 2000, clique em Console e clique em Adicionar/Remover Snap-in. No Windows Server 2003, clique em Arquivo e clique em Adicionar/Remover Snap-in.
    3. No snap-in Adicionar/Remover , clique em Adicionar, clique em ADSIEdit e clique em Adicionar.
    4. Clique em Fechar e em OK.

  3. No MMC, clique com o botão direito do mouse em ADSIEdit e clique em Conectar.

  4. Em Configurações de Connections, em Ponto de Conexão, clique em Selecionar um contexto de nomenclatura bem conhecido. Na lista suspensa, clique em domínio e clique em OK.

  5. Expanda o domínio e expanda o nome diferenciado do domínio. Por exemplo, expanda DC=contoso, DC=com.

  6. Expanda OU=Controladores de Domínio.

  7. Clique com o botão direito do mouse no controlador de domínio que você deseja marcar e clique em Propriedades.

  8. Clique no menu Selecionar uma propriedade para exibir e clique em userAccountControl.

  9. Verifique se o valor para userAccountControl é 532480. Para alterar o valor userAccountControl , clique em Editar na caixa de diálogo propriedade do controlador de domínio.

  10. No atributo Inteiro Editor, digite532480 no campo Valor e clique em OK.

Verifique se o Mestre RID está se replicando com outro controlador de domínio

Se um controlador de domínio recém-promovido gerar o Evento 16650, o controlador de domínio poderá ter obtido informações de replicação de outro controlador de domínio que não é o Mestre RID. Durante a promoção, a conta de computador do novo controlador de domínio é modificada. Se essas alterações não tiverem sido replicadas para o controlador de domínio que detém a função RID master, a solicitação falhará quando o controlador de domínio recém-promovido tentar obter um pool RID.

Para verificar se o Mestre RID está se replicando com pelo menos um de seus parceiros diretos, siga estas etapas:

  1. Verifique se o objeto CONJUNTO CN=RID existe.

    O objeto Conjunto CN=RID está no painel direito do ADSI Editar quando o controlador de domínio é selecionado em OU=Controladores de Domínio no painel esquerdo.

    Se nenhum objeto CN=RID Set existir, você deverá rebaixar esse controlador de domínio e promovê-lo novamente para criar o objeto.

  2. Se o objeto Conjunto CN=RID existir, certifique-se de que o atributo rIDSetReferences no objeto da conta de computador do controlador de domínio aponte para o nome distinto do objeto RID Set , conforme mostrado no exemplo a seguir: CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

    Se o atributo rIDSetReferences não apontar para o nome distinto do objeto SET RID , entre em contato com os Serviços de Suporte ao Produto da Microsoft para obter mais informações.

Status

Este é o comportamento padrão.

Referências

822053 Mensagem de erro: "O Windows não pode criar o objeto porque o Serviço de Diretório não pôde alocar um identificador relativo"