Al momento sei offline in attesa che la connessione Internet venga ristabilita

ID evento 16650: Inizializzazione dell'allocatore di identificatori di account non riuscita in Windows 2000 e in Windows Server 2003

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo e di sapere come ripristinare il Registro di sistema qualora si verifichino dei problemi. Per informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Sintomi
Quando si tenta di aggiungere nuovi utenti, gruppi, computer, cassette postali, controller di dominio o altri oggetti ad Active Directory in un computer basato su Microsoft Windows Server 2003 o su Windows 2000, è possibile che venga visualizzato un messaggio di errore analogo al seguente:
Impossibile creare l'oggetto. Il servizio directory non è stato in grado di allocare un identificatore relativo.
Quando si ripristina un controller di dominio da un backup dello stato del sistema, nel registro degli eventi di sistema può essere contenuto un messaggio di errore simile al seguente:
Tipo evento: Errore
Origine evento: Evento SAM
Categoria: Nessuna
ID evento: 16650
Inizializzazione dell'allocatore di identificatori di account non riuscita. I dati del record contengono il codice di errore NT che ha causato il problema. Windows 2000 tenterà di inizializzare. Fino a quando non vi riuscirà, la creazione dell'account verrà negata su questo controller di dominio. Cercare altri registri di eventi SAM che possano indicare la causa specifica del problema.
Per cercare ulteriori errori, è possibile utilizzare anche il comando Dcdiag con l'opzione di visualizzazione dettagliata. A questo fine, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
  2. Al prompt dei comandi digitare DCdiag /v e premere Invio.
Quando si digita Dcdiag /v, è possibile che vengano visualizzati messaggi di errore simili ai seguenti (l'output originale potrebbe essere in inglese):
Avvio del test: RidManager
* Pool RID disponibile per il dominio: da 2355 a 1073741823
* dc01.contoso.com è il master RID
* DsBind al master RID riuscito
* rIDAllocationPool: da 1355 a 1854
* rIDNextRID: 0 Il servizio directory include dati danneggiati: il valore di rIDPreviousAllocationPool non è valido
* rIDPreviousAllocationPool: da 0 a 0. Non è stato allocato alcun RID. Controllare il registro eventi.
......................... DC01 non ha superato il test RidManager

Avviso: il riferimento al set di RID è stato eliminato.
ldap_search_sW di CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC=contoso,DC=com per le informazioni RID non riuscito con codice di errore 2: Impossibile trovare il file specificato.
......................... DC01 non ha superato il test RidManager


Avvio del test: RidManager
* Pool RID disponibile per il dominio: da 3104 a 1073741823
Avviso: il proprietario del ruolo FSMO è stato eliminato.
* dc01.contoso.com è il master RID
* DsBind al master RID riuscito
Avviso: il riferimento al set di RID è stato eliminato.
ldap_search_sW di CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com per le informazioni RID non riuscito con il codice di errore 2: Impossibile trovare il file specificato.
......................... DC01 non ha superato il test RidManager

Avvio del test: KnowsOfRoleHolders
Proprietario RID ruoli = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Avviso: CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com è il proprietario RID ma è stato eliminato.
Inoltre, è possibile che vengano visualizzati altri errori nel registro degli eventi di sistema grazie a cui risolvere il problema:
ID evento: 16647
Origine evento: SAM
Descrizione: il controller di dominio sta avviando la richiesta di un nuovo pool di identificatori di account.

Tipo evento: Errore
Origine evento: Evento SAM
Categoria: Nessuna
ID evento: 16645
Descrizione: È stato assegnato l'identificatore di account di valore massimo allocato al controller del dominio corrente. Il controller del dominio non è riuscito a ottenere un nuovo pool di identificatori. Il controller del dominio potrebbe non essere riuscito a contattare il controller principale del dominio. Per poter creare account nel controller in uso, è necessario allocare un nuovo pool. Potrebbero essersi verificati problemi di rete o di connessione nel dominio oppure il controller principale del dominio potrebbe non essere in linea o non essere presente nel dominio. Verificare che il controller principale del dominio sia in esecuzione e connesso al dominio.
Cause
Questo problema si verifica in uno dei seguenti scenari:
  • Quando il master RID viene ripristinato da un backup, tenta di sincronizzarsi con gli altri controller di dominio per verificare che non vi siano in linea altri master RID. Tuttavia, il processo di sincronizzazione non riesce se non vi sono controller di dominio disponibili con cui sincronizzarsi o se la replica non funziona. Il requisito di sincronizzazione è stato implementato nell'hotfix di Windows 2000 descritto nell'articolo della Microsoft Knowledge Base riportato di seguito:
    307725 Presenza di ID di protezione duplicati causata dal backup e dal ripristino del controller di dominio FSMO RID
    Nota Se nel dominio è stato sempre incluso un solo controller di dominio, il master RID non tenta di sincronizzarsi con altri controller di dominio. Il controller di dominio ignora l'esistenza di eventuali altri controller di dominio.
  • Il pool di RID è esaurito oppure gli oggetti di Active Directory non correlati all'allocazione dei RID utilizzano valori non corretti o sono assenti.
Risoluzione

Eliminazione dei collegamenti di replica per i contesti dei nomi in Windows 2000

In Windows 2000 è possibile ripristinare un secondo controller di dominio per completare la sincronizzazione iniziale. Se non è possibile ripristinare un secondo controller di dominio, è necessario eseguire una pulitura dei metadati nei controller di dominio non esistenti oppure eliminare i collegamenti di replica ai contesti dei nomi di Active Directory. Se si prevede di ripristinare gli altri controller di dominio in un secondo momento, occorre eliminare i collegamenti di replica anziché eseguire la pulizia dei metadati.
Prima di poter eliminare i collegamenti di replica ai contesti dei nomi di Active Directory, è necessario identificare il valore di objectGUID utilizzando il comando Repadmin. A questo fine, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
  2. Al prompt dei comandi digitare repadmin /showreps. Si otterrà un output simile al seguente:
    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 tramite RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 L'ultimo tentativo del 26/02/2004 alle 09.10.03 è riuscito.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 tramite RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 L'ultimo tentativo del 26/02/2004 alle 09.14.43 è riuscito.

    DC=contoso,DC=com Default-First-Site-Name\DC02 tramite RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 L'ultimo tentativo del 26/02/2004 alle 09.14.01 è riuscito.
  3. Digitare repadmin /delete per eliminare i collegamenti di replica. Specificare il contesto dei nomi e l'objectGUID come mostrato negli esempi seguenti:
    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly repadmin /delete DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
  4. Riavviare il master RID, che verrà inizializzato correttamente.

Rimozione dei metadati di tutti gli altri controller di dominio del dominio

È possibile ripristinare un secondo controller di dominio o connettersi a esso per completare la sincronizzazione iniziale. Se non è possibile aggiungere un secondo controller di dominio, è necessario eseguire la pulizia dei metadati nei controller di dominio non esistenti per rimuoverli permanentemente dal dominio oppure eliminare i collegamenti di replica ai contesti dei nomi di Active Directory.
Per ulteriori informazioni sulla rimozione dei metadati, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
216498 Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio


Verifica della validità degli oggetti di Active Directory correlati all'allocazione dei RID

Per verificare che gli oggetti di Active Directory correlati all'allocazione dei RID siano validi, attenersi alla procedura seguente:
  1. Verificare che il gruppo Everyone disponga del diritto utente Accedi dalla rete al computer specificato. L'impostazione può essere configurata nel seguente percorso nell'Editor oggetti Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Assegnazione diritti utente.
  2. Installare gli Strumenti di supporto di Windows 2000, disponibili nella cartella Support del CD di Windows 2000 e di Windows Server 2003. Una volta installati gli strumenti, avviare Modifica ADSI. A questo fine, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc nella casella Apri, quindi scegliere OK.
    2. In Windows 2000, scegliere Console, quindi Aggiungi/Rimuovi snap-in. In Windows Server 2003, scegliere File, quindi Aggiungi/Rimuovi snap-in.
    3. Nello snap-in Aggiungi/Rimuovi scegliere Aggiungi, ADSIEdit, quindi Aggiungi.
    4. Scegliere Chiudi, quindi OK.
  3. Nella console MMC fare clic con il pulsante destro del mouse su ADSIEdit, quindi scegliere Connetti a.
  4. In Impostazioni di connessione in Punto di connessione, scegliere l'opzione di selezione di un contesto di nomi noto. Nell'elenco a discesa selezionare dominio, quindi scegliere OK.
  5. Espandere dominio, quindi espandere il nome distinto del dominio. Espandere ad esempio DC=contoso, DC=com.
  6. Espandere OU=Domain Controllers.
  7. Fare clic con il pulsante destro del mouse sul controller di dominio che si desidera controllare, quindi scegliere Proprietà.
  8. Scegliere il menu Selezionare una proprietà per visualizzarla o modificarla, quindi userAccountControl.
  9. Verificare che il valore di userAccountControl sia 532480. Per modificare il valore di userAccountControl, scegliere Modifica nella finestra di dialogo delle proprietà del controller di dominio.
  10. Nell'editor di attributi interi digitare 532480 nel campo Valore, quindi scegliere OK.

Verifica che il master RID stia eseguendo la replica con un altro controller di dominio

Se un controller di dominio appena innalzato di livello genera l'evento 16650, è possibile che abbia ottenuto le informazioni di replica da un altro controller di dominio diverso dal master RID. Durante l'innalzamento di livello, l'account di computer del nuovo controller di dominio viene modificato. Se tali modifiche non sono state replicate al controller di dominio che detiene il ruolo di master RID, la richiesta non riesce quando il controller di dominio appena innalzato di livello tenta di ottenere un pool di RID.

Per verificare che il master RID stia eseguendo la replica con almeno uno dei partner diretti, attenersi alla procedura seguente:
  1. Verificare che esista l'oggetto CN=RID Set.

    L'oggetto CN=RID Set si trova nel riquadro destro di Modifica ADSI quando il controller di dominio è selezionato in OU=Domain Controllers nel riquadro sinistro.

    Se non esiste alcun oggetto CN=RID Set, è necessario abbassare di livello il controller di dominio e quindi innalzarlo di nuovo per creare l'oggetto.
  2. Se l'oggetto CN=RID Set esiste, assicurarsi che l'attributo rIDSetReferences nell'oggetto account di computer del controller di dominio faccia riferimento al nome distinto dell'oggetto RID Set, come mostrato nell'esempio seguente:
    CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

    Se l'attributo rIDSetReferences non fa riferimento al nome distinto dell'oggetto RID Set, rivolgersi al Servizio Supporto Tecnico Clienti Microsoft per ulteriori informazioni.
Status
Si tratta di un comportamento legato alla progettazione del prodotto.
Riferimenti
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
913539 Gli attributi di Active Directory che fanno riferimento a un prefisso potrebbero non essere archiviati nella copia locale di Active Directory su un computer che esegue Microsoft Windows Server 2003
305476 Requisiti di sincronizzazione iniziale per i proprietari del ruolo di master operazioni Windows 2000 Server e Windows Server 2003
822053 Messaggio di errore: "Impossibile creare l'oggetto. Il servizio directory non è stato in grado di allocare un identificatore relativo"
248410 Messaggio di errore: Inizializzazione dell'allocatore di identificatori di account non riuscita
Proprietà

ID articolo: 839879 - Ultima revisione: 09/26/2006 16:37:00 - Revisione: 9.2

Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

  • kbprb KB839879
Feedback