Αναγνωριστικό συμβάντος 16650: Το πρόγραμμα εκχώρησης αναγνωριστικών λογαριασμού απέτυχε να προετοιμαστεί στα Windows 2000 και στα Windows Server 2003

Η υποστήριξη για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015

Η υποστήριξη της Microsoft για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες για την τροποποίηση του μητρώου. Πριν να τροποποιήσετε το μητρώο, βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας και ότι γνωρίζετε τον τρόπο επαναφοράς του μητρώου, σε περίπτωση που προκύψει κάποιο θέμα. Για πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας, τον τρόπο επαναφοράς και επεξεργασίας του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
256986 Περιγραφή του μητρώου των Microsoft Windows
Συμπτώματα
Κατά την προσπάθειά σας να προσθέσετε νέους χρήστες, ομάδες, υπολογιστές, γραμματοκιβώτια, ελεγκτές τομέα ή άλλα αντικείμενα στην υπηρεσία καταλόγου Active Directory ενός υπολογιστή με Microsoft Windows Server 2003 ή Windows 2000, ενδέχεται να εμφανιστεί το ακόλουθο μήνυμα λάθους:
Δεν είναι δυνατή η δημιουργία του αντικειμένου επειδή η υπηρεσία καταλόγου δεν ήταν δυνατό να εκχωρήσει ένα σχετικό αναγνωριστικό.

(Cannot create the object because directory service was unable to allocate a relative identifier.)
Κατά την επαναφορά ενός ελεγκτή τομέα από ένα αντίγραφο ασφαλείας κατάστασης συστήματος, το αρχείο καταγραφής του συστήματος είναι πιθανό να περιέχει το ακόλουθο μήνυμα λάθους:
Τύπος συμβάντος: Σφάλμα
Προέλευση συμβάντος: Συμβάν SAM
Κατηγορία : Καμία
Αναγνωριστικό συμβάντος: 16650
Ο εκχωρητής αναγνωριστικών λογαριασμού απέτυχε να προετοιμαστεί σωστά. Τα δεδομένα εγγραφής περιέχουν τον κωδικό σφάλματος των NT που προκάλεσε την αποτυχία. Τα Windows 2000 θα επιχειρήσουν πάλι την προετοιμασία μέχρι να επιτύχουν, μέχρι να απορριφθεί η δημιουργία του λογαριασμού από τον Ελεγκτή Τομέα. Αναζητήστε άλλα αρχεία καταγραφής συμβάντων SAM που είναι πιθανό να δηλώνουν την ακριβή αιτία της αποτυχίας.

(Event Type: Error
Event Source: SAM Event
Category: None
Event ID: 16650
The account-identifier allocator failed to initialize properly. The record data contains the NT error code that caused the failure. Windows 2000 will retry the initialization until it succeeds; until that time, account creation will be denied on this Domain Controller. Please look for other SAM event logs that may indicate the exact reason for the failure.)
Μπορείτε επίσης να χρησιμοποιήσετε την εντολή Dcdiag με το διακόπτη λεπτομερούς καταγραφής για να αναζητήσετε πρόσθετα σφάλματα. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
 1. Κάντε κλικ στο μενού Έναρξη (Start), κάντε κλικ στην επιλογή Εκτέλεση (Run), πληκτρολογήστε cmd στο πλαίσιο Άνοιγμα (Open) και στη συνέχεια κάντε κλικ στο κουμπί ΟΚ.
 2. Στη γραμμή εντολών, πληκτρολογήστε DCdiag /v και κατόπιν πιέστε το πλήκτρο Enter.
Όταν πληκτρολογήσετε Dcdiag /v, είναι πιθανό να δείτε μηνύματα λάθους παρόμοια με τα ακόλουθα:
Starting test: RidManager
* Available RID Pool for the Domain is 2355 to 1073741823
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1355 to 1854
* rIDNextRID: 0 The DS has corrupt data: rIDPreviousAllocationPool value is not valid
* rIDPreviousAllocationPool is 0 to 0 No rids allocated -- please check eventlog.
......................... DC01 failed test RidManager

Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: The system cannot find the file specified.
......................... DC01 failed test RidManager


Starting test: RidManager
* Available RID Pool for the Domain is 3104 to 1073741823
Warning: FSMO Role Owner is deleted.
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: The system cannot find the file specified.
......................... DC01 failed test RidManager

Starting test: KnowsOfRoleHolders
Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com is the Rid Owner, but is deleted.
Ενδέχεται επίσης να λάβετε άλλα σφάλματα στο αρχείο καταγραφής συμβάντων, τα οποία είναι δυνατό να σας βοηθήσουν να αντιμετωπίσετε το ζήτημα:
Αναγνωριστικό συμβάντος: 16647
Προέλευση συμβάντος: SAM
Περιγραφή: Ο ελεγκτής τομέα ξεκινά μια αίτηση για ένα νέο σύνολο αναγνωριστικών λογαριασμών.

(Event ID: 16647
Event Source: SAM
Description: The domain controller is starting a request for a new account-identifier pool.)

Τύπος συμβάντος: Σφάλμα
Προέλευση συμβάντος: Συμβάν SAM
Κατηγορία: Καμία
Αναγνωριστικό συμβάντος: 16645
Περιγραφή: Έχει αντιστοιχιστεί το μέγιστο πλήθος αναγνωριστικών λογαριασμών σε αυτόν τον ελεγκτή τομέα. Ο ελεγκτής τομέα απέτυχε να λάβει ένα νέο σετ αναγνωριστικών. Μια πιθανή αιτία για αυτό είναι ότι ο ελεγκτής τομέα δεν ήταν δυνατό να επικοινωνήσει με τον πρωτεύοντα ελεγκτή τομέα. Η δημιουργία λογαριασμού σε αυτόν τον ελεγκτή θα αποτύχει μέχρι να εκχωρηθεί ένα νέο σύνολο. Είναι πιθανό να υπάρχουν προβλήματα σύνδεσης δικτύου στον τομέα ή ο πρωτεύων ελεγκτής τομέα να είναι χωρίς σύνδεση ή να μην υπάρχει στον τομέα. Βεβαιωθείτε ότι ο πρωτεύων ελεγκτής τομέα λειτουργεί και είναι συνδεδεμένος στον τομέα.

(Event Type: Error
Event Source: SAM Event
Category: None
Event ID: 16645
Description: The maximum account identifier allocated to this domain controller has been assigned. The domain controller has failed to obtain a new identifier pool. A possible reason for this is that the domain controller has been unable to contact the master domain controller. Account creation on this controller will fail until a new pool has been allocated. There may be network or connectivity problems in the domain, or the master domain controller may be offline or missing from the domain. Verify that the master domain controller is running and connected to the domain.)
Αιτία
Αυτό το ζήτημα παρουσιάζεται σε ένα από τα ακόλουθα σενάρια:
 • Όταν ο πρωτεύων ελεγκτής σχετικού αναγνωριστικού (RID) έχει επαναφερθεί από ένα αντίγραφο ασφαλείας, προσπαθεί να συγχρονιστεί με άλλους ελεγκτές τομέα για να επιβεβαιώσει ότι δεν υπάρχουν άλλοι πρωτεύοντες ελεγκτές σχετικών αναγνωριστικών σε σύνδεση. Ωστόσο, η διαδικασία συγχρονισμού αποτυγχάνει όταν δεν υπάρχει κανένας ελεγκτής τομέα διαθέσιμος για συγχρονισμό ή όταν δεν λειτουργεί η αναπαραγωγή. Η απαίτηση για συγχρονισμό υλοποιήθηκε στην επείγουσα επιδιόρθωση των Windows 2000 που περιγράφεται στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
  307725 Η δημιουργία αντιγράφων ασφαλείας και η επαναφορά του ελεγκτή τομέα σχετικού αναγνωριστικού FSMO (Flexible Single Master Operations) προκαλεί τη δημιουργία διπλότυπων SID
  Σημείωση Στην περίπτωση που ο τομέας περιείχε πάντοτε μόνο έναν ελεγκτή τομέα, ο πρωτεύων ελεγκτής σχετικού αναγνωριστικού (RID) δεν θα προσπαθήσει να συγχρονιστεί με άλλους ελεγκτές τομέα. Ο ελεγκτής τομέα δεν γνωρίζει κανέναν άλλο ελεγκτή τομέα.
 • Ο χώρος συγκέντρωσης RID έχει εξαντληθεί ή τα αντικείμενα της υπηρεσίας καταλόγου Active Directory που σχετίζονται με την εκχώρηση RID χρησιμοποιούν εσφαλμένες τιμές ή λείπουν.
Προτεινόμενη αντιμετώπιση

Διαγραφή των συνδέσεων αναπαραγωγής για τα σχήματα ονομάτων στα Windows 2000

Στα Windows 2000, μπορείτε να επαναφέρετε ένα δεύτερο ελεγκτή τομέα για να ολοκληρώσετε τον αρχικό συγχρονισμό. Εάν δεν μπορείτε να επαναφέρετε ένα δεύτερο ελεγκτή τομέα, πρέπει να εκτελέσετε μια εκκαθάριση μετα-δεδομένων στους ελεγκτές τομέα που δεν υπάρχουν ή να διαγράψετε τις συνδέσεις αναπαραγωγής στα σχήματα ονομάτων της υπηρεσίας καταλόγου Active Directory. Εάν σκοπεύετε να επαναφέρετε τον άλλο ελεγκτή τομέα αργότερα, πρέπει να διαγράψετε τις συνδέσεις αναπαραγωγής αντί να εκτελέσετε εκκαθάριση μετα-δεδομένων.
Για να μπορέσετε να διαγράψετε τις συνδέσεις αναπαραγωγής στα σχήματα ονομάτων της υπηρεσίας καταλόγου Active Directory, πρέπει να προσδιορίσετε την τιμή objectGUID χρησιμοποιώντας την εντολή Repadmin. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
 1. Κάντε κλικ στο μενού Έναρξη (Start), κάντε κλικ στην επιλογή Εκτέλεση (Run), πληκτρολογήστε cmd στο πλαίσιο Άνοιγμα (Open) και στη συνέχεια κάντε κλικ στο κουμπί ΟΚ.
 2. Στη γραμμή εντολών, πληκτρολογήστε repadmin /showreps. Θα εμφανιστούν δεδομένα εξόδου παρόμοια με τα ακόλουθα:
  CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:10.03 was successful.

  CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.43 was successful.

  DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.01 was successful.
 3. Πληκτρολογήστε repadmin /delete για να διαγράψετε τις συνδέσεις αναπαραγωγής. Καθορίστε το σχήμα ονομάτων και το objectGUID όπως φαίνεται στα ακόλουθα παραδείγματα:
  repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly repadmin /delete DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
 4. Κάντε επανεκκίνηση του υπολογιστή με ρόλο πρωτεύοντος ελεγκτή RID. Το πρωτεύον RID θα ξεκινήσει σωστά.

Κατάργηση των μετα-δεδομένων ελεγκτή τομέα για όλους τους άλλους ελεγκτές τομέα στον τομέα

Μπορείτε να επαναφέρετε ένα δεύτερο ελεγκτή τομέα, για να ολοκληρώσετε τον αρχικό συγχρονισμό. Εάν δεν μπορείτε να προσθέσετε ένα δεύτερο ελεγκτή τομέα, πρέπει να εκτελέσετε μια εκκαθάριση μετα-δεδομένων στους ελεγκτές τομέα που δεν υπάρχουν, για να τους καταργήσετε μόνιμα από τον τομέα, ή να διαγράψετε τις συνδέσεις αναπαραγωγής στα σχήματα ονομάτων της υπηρεσίας καταλόγου Active Directory.
Για περισσότερες πληροφορίες σχετικά με τον τρόπο κατάργησης μετα-δεδομένων, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
216498 Τρόπος κατάργησης δεδομένων στην υπηρεσία καταλόγου Active Directory έπειτα από αποτυχημένο υποβιβασμό ελεγκτή τομέα


Επαλήθευση της εγκυρότητας των αντικειμένων της υπηρεσίας καταλόγου Active Directory τα οποία σχετίζονται με την εκχώρηση RID

Για να επαληθεύσετε ότι τα αντικείμενα της υπηρεσίας καταλόγου Active Directory που σχετίζονται με την εκχώρηση του RID είναι έγκυρα, ακολουθήστε τα εξής βήματα:
 1. Επαλήθευση ότι η ομάδα Everyone διαθέτει το δικαίωμα χρήστη Πρόσβαση αυτού του υπολογιστή από το δίκτυο (Access this computer from the network). Η ρύθμιση αυτή μπορεί να γίνει στην ακόλουθη θέση στο πρόγραμμα επεξεργασίας αντικειμένου πολιτικής ομάδας (Group Policy Object Editor): Ρυθμίσεις υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Τοπικές πολιτικές\Εκχώρηση δικαιωμάτων χρήστη (Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment).
 2. Εγκαταστήστε τα εργαλεία υποστήριξης των Windows 2000. Τα εργαλεία αυτά είναι διαθέσιμα στο φάκελο υποστήριξης των Windows 2000 και στα CD-ROM του Windows Server 2003. Όταν έχετε εγκαταστήσει αυτά τα εργαλεία, ξεκινήστε το πρόγραμμα ADSI Edit. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  • Κάντε κλικ στο μενού Έναρξη (Start), κάντε κλικ στην επιλογή Εκτέλεση (Run), πληκτρολογήστε mmc στο πλαίσιο Άνοιγμα (Open) και τέλος κάντε κλικ στο κουμπί OK.
  • Στα Windows 2000, κάντε κλικ στο μενού Κονσόλα (Console), και, στη συνέχεια, κάντε κλικ στην εντολή Προσθαφαίρεση συμπληρωματικών προγραμμάτων (Add/Remove Snap-in). Στα Windows Server 2003, κάντε κλικ στο μενού Αρχείο (File), και, στη συνέχεια, κάντε κλικ στην εντολή Προσθαφαίρεση συμπληρωματικών προγραμμάτων (Add/Remove Snap-in).
  • Στο συμπληρωματικό πρόγραμμα Προσθαφαίρεση (Add/Remove), κάντε κλικ στο κουμπί Προσθήκη (Add), κάντε κλικ στην επιλογή ADSIEdit και, στη συνέχεια, κάντε κλικ στο κουμπί Προσθήκη (Add).
  • Κάντε κλικ στην επιλογή Κλείσιμο (Close) και κατόπιν κάντε κλικ στο κουμπί OK.
 3. Στην κονσόλα MMC, κάντε δεξιό κλικ στο στοιχείο ADSIEdit και κατόπιν κάντε κλικ στην εντολή Connect to.
 4. Στην ενότητα Connections Settings, στην περιοχή Connection Point, κάντε κλικ στην επιλογή Select a well known naming context. Στην αναπτυσσόμενη λίστα, κάντε κλικ στην επιλογή domain και στη συνέχεια κάντε κλικ στο κουμπί OK.
 5. Αναπτύξτε το στοιχείο domain και, στη συνέχεια, αναπτύξτε το αποκλειστικό όνομα (Distinguished Name) του τομέα. Για παράδειγμα, αναπτύξτε το στοιχείο DC=contoso, DC=com.
 6. Αναπτύξτε το στοιχείο OU=Domain Controllers.
 7. Κάντε δεξιό κλικ στον ελεγκτή τομέα που θέλετε να ελέγξετε και κατόπιν κάντε κλικ στην εντολή Properties.
 8. Κάντε κλικ στο μενού Select a property to view και, στη συνέχεια, κάντε κλικ στην επιλογή userAccountControl.
 9. Επαληθεύστε ότι η τιμή του userAccountControl είναι 532480. Για να αλλάξετε την τιμή του userAccountControl, κάντε κλικ στην επιλογή Edit του παραθύρου διαλόγου ιδιοτήτων του ελεγκτή τομέα.
 10. Στο πλαίσιο Integer Attribute Editor, πληκτρολογήστε 532480 στο πεδίο Value και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

Επαλήθευση ότι ο πρωτεύοντας ελεγκτής RID κάνει αναπαραγωγή με έναν άλλο ελεγκτή τομέα

Στην περίπτωση που ένας ελεγκτής τομέα που μόλις προβιβάστηκε δημιουργήσει συμβάν 16650, ο ελεγκτής τομέα ενδέχεται να έχει αποκτήσει πληροφορίες αναπαραγωγής από άλλον ελεγκτή τομέα που δεν είναι πρωτεύοντας ελεγκτής RID. Στη διάρκεια του προβιβασμού, ο λογαριασμός υπολογιστή του νέου ελεγκτή τομέα τροποποιείται. Στην περίπτωση που αυτές οι αλλαγές δεν έχουν αναπαραχθεί στον ελεγκτή τομέα που κατέχει το ρόλο πρωτεύοντα ελεγκτή RID, η αίτηση θα αποτύχει όταν ο ελεγκτής τομέα που μόλις προβιβάστηκε προσπαθήσει να αποκτήσει ένα χώρο συγκέντρωσης RID.

Για να επαληθεύσετε ότι ο πρωτεύοντας ελεγκτής RID κάνει αναπαραγωγή με τουλάχιστον έναν από τους άμεσους συνεργάτες του, ακολουθήστε τα εξής βήματα:
 1. Επαληθεύστε ότι το αντικείμενο CN=RID Set υπάρχει.

  Το αντικείμενο CN=RID Set βρίσκεται στο δεξιό τμήμα του παραθύρου του ADSI Edit όταν ο ελεγκτής τομέα είναι επιλεγμένος στην περιοχή OU=Domain Controllers του αριστερού τμήματος του παραθύρου.

  Εάν δεν υπάρχει το αντικείμενο CN=RID Set, πρέπει να υποβιβάσετε αυτόν τον ελεγκτή τομέα και, στη συνέχεια, να τον προβιβάσετε ξανά για να δημιουργήσετε το αντικείμενο.
 2. Εάν το αντικείμενο CN=RID Set υπάρχει, βεβαιωθείτε ότι η ιδιότητα rIDSetReferences του αντικειμένου λογαριασμού υπολογιστή του ελεγκτή τομέα παραπέμπει στο αποκλειστικό όνομα του αντικειμένου RID Set, όπως φαίνεται στο ακόλουθο παράδειγμα:
  CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

  Στην περίπτωση που η ιδιότητα rIDSetReferences δεν παραπέμπει στο αποκλειστικό όνομα του αντικειμένου RID Set, επικοινωνήστε με τις υπηρεσίες τεχνικής υποστήριξης της Microsoft για περισσότερες πληροφορίες.
Κατάσταση
Αυτή η συμπεριφορά οφείλεται στη σχεδίαση.
Αναφορές
Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
913539 Τα χαρακτηριστικά της υπηρεσίας καταλόγου Active Directory που αναφέρονται σε ένα πρόθεμα ενδέχεται να μην αποθηκεύονται στο τοπικό αντίγραφο της υπηρεσίας καταλόγου Active Directory σε έναν υπολογιστή που εκτελεί τον Microsoft Windows Server 2003
305476 Αρχικές απαιτήσεις συγχρονισμού για τους κατόχους ρόλων πρωτεύοντος ελεγκτή λειτουργιών των Windows 2000 Server και Windows Server 2003
822053 Μήνυμα λάθους: "Windows cannot create the object because the Directory Service was unable to allocate a relative identifier"
248410 Μήνυμα λάθους: Ο εκχωρητής αναγνωριστικών λογαριασμού απέτυχε να προετοιμαστεί σωστά.
Ιδιότητες

Αναγνωριστικό άρθρου: 839879 - Τελευταία αναθεώρηση: 09/25/2006 12:47:00 - Αναθεώρηση: 9.1

Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

 • kbprb KB839879
Σχόλια