"Identyfikator konta programu przydzielania błąd nie można poprawnie zainicjować" w systemie Windows Server

Dotyczy: Windows Server 2019Windows Server 2016Windows Server 2012 R2

Symptomy


Można zauważyć, że wpis podobny do następującego jest rejestrowane w dzienniku zdarzeń usługi NTDS około co dwie minuty:

Występuje zdarzenie 16650Identyfikator komunikatu = 0x410ASymbolicName = SAMMSG_RID_INIT_FAILUREJęzyk angielski =

Program przydzielający identyfikatory kont nie można poprawnie zainicjować. Dane rekordu zawierają kod błędu NT, który spowodował błąd. Windows Server mogą ponawiać inicjację aż do skutku; do tego czasu będzie występować odmowa tworzenia kont na ten Kontroler domeny. Zajrzyj do innych dzienników zdarzeń SAM, które mogą wskazywać na identyczną przyczynę błędu.

Przyczyna


Ten problem występuje, ponieważ operacji FSMO wzorca RID jest niedostępny lub nie można replikować. Kontroler domeny nie może uzyskać i zainicjować puli identyfikatorów RID.Ten problem może również wystąpić, jeśli nie przyznano prawo użytkownika "Dostęp do tego komputera z sieci" do odpowiednich grup, takich jak grupy "Kontrolery domeny przedsiębiorstwa" lub "Użytkownicy uwierzytelnieni".

Rozwiązanie


Aby rozwiązać ten problem, Zbadaj dziennik zdarzeń NTDS, aby uzyskać więcej szczegółów o awarii replikacji.Określić wzorzec RID FSMO, wykonując kroki opisane w następującym artykule bazy wiedzy Knowledge Base:

234790, Jak znaleźć serwery, które posiadają elastyczne ról operacji Single Master

Sprawdź, czy połączenie sieciowe przy użyciu polecenia ping . Aby uzyskać więcej informacji o tym, jak użyć polecenia ping , zobacz następujące artykuły dokumenty:

Rozdział 16 — Rozwiązywanie problemów z protokołu TCP/IP

Narzędzie NSlookup

Jeśli wzorzec RID jest wyłączony na dłuższy czas, wykonaj kroki opisane w następującym artykule bazy wiedzy Knowledge Base:

223787Elastyczne pojedynczego wzorca operacji transferu i Seizure Process

Aby dodać grupę "Kontrolery domeny przedsiębiorstwa" lub "Użytkownicy uwierzytelnieni", aby prawo użytkownika "Dostęp do tego komputera z sieci", wykonaj następujące kroki w zasadach zabezpieczeń Kontroler domeny:

  1. Otwórz zasady. Aby to zrobić, kliknij przycisk Start > Programy > Narzędzia administracyjne > Zasady zabezpieczeń Kontroler domeny.
  2. Ustawienia Zabezpieczeń, zasady Lokalne, a następnie wybierz Przypisywanie praw użytkownika.
  3. Kliknij dwukrotnie dostęp do tego komputera z sieci, , a następnie dodaj grupę albo Wszyscy lub Użytkownicy uwierzytelnieni do tego prawa.

Jeśli istnieje wiele kontrolerów domeny systemu Windows 2000 Server, uruchom następujące polecenie w wierszu polecenia Aby odświeżyć tę zmianę na tych zasad.

secedit /refreshpolicy machine_policy /enforce