Identyfikator zdarzenia 16650: Program przydzielający identyfikatory kont nie może zostać zainicjowany w systemie Windows 2000 i w systemie Windows Server 2003

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Ważne: Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows
Symptomy
Przy próbie dodania nowych użytkowników, grup, komputerów, skrzynek pocztowych, kontrolerów domeny lub innych obiektów do usługi Active Directory na komputerze z systemem Microsoft Windows Server 2003 lub Windows 2000 może pojawić się następujący komunikat o błędzie:
Nie można utworzyć obiektu, ponieważ usługa katalogowa nie może przydzielić mu odpowiedniego identyfikatora.
Jeśli kontroler domeny zostanie przywrócony z kopii zapasowej stanu systemu, dziennik systemu może zawierać następujący komunikat o błędzie:
Typ zdarzenia: Błąd
Źródło zdarzenia: Zdarzenie Menedżera kont zabezpieczeń (SAM)
Kategoria: Brak
Identyfikator zdarzenia: 16650
Program przydzielający identyfikatory kont nie może zostać poprawnie zainicjowany. Zarejestrowane dane zawierają kod błędu NT, który spowodował błąd. System Windows 2000 będzie ponawiać inicjację do skutku; do tego czasu będzie występować odmowa tworzenia kont na tym kontrolerze domeny. Wyszukaj inne wpisy w dzienniku zdarzeń Menedżera kont zabezpieczeń (SAM), które mogą wskazywać na identyczną przyczynę błędu.
Dodatkowe błędy można również wyszukać przy użyciu polecenia Dcdiag z pełnym przełącznikiem. Aby to zrobić, wykonaj następujące kroki:
 1. Kliknij przycisk Start, kliknij polecenie Uruchom wpisz polecenie cmd w polu Otwórz, a następnie kliknij przycisk OK.
 2. W wierszu polecenia wpisz polecenie DCdiag /v, a następnie naciśnij klawisz Enter.
Gdy zostanie wpisane polecenie Dcdiag /v, mogą się pojawić komunikaty o błędach podobne do następujących:
Starting test: RidManager
* Available RID Pool for the Domain is 2355 to 1073741823
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1355 to 1854
* rIDNextRID: 0 The DS has corrupt data: rIDPreviousAllocationPool value is not valid
* rIDPreviousAllocationPool is 0 to 0 No rids allocated -- please check eventlog.
......................... DC01 failed test RidManager

Ostrzeżenie: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: Nie można odnaleźć określonego pliku.
......................... DC01 failed test RidManager


Starting test: RidManager
* Available RID Pool for the Domain is 3104 to 1073741823
Ostrzeżenie: FSMO Role Owner is deleted.
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: Nie można odnaleźć określonego pliku.
......................... DC01 failed test RidManager

Starting test: KnowsOfRoleHolders
Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com is the Rid Owner, but is deleted.
W dzienniku systemu mogą się również pojawić inne błędy, które mogą ułatwić rozwiązanie problemu:
Identyfikator zdarzenia: 16647
Źródło zdarzenia: SAM
Opis: Kontroler domeny rozpoczyna żądanie nowej puli identyfikatorów kont.

Typ zdarzenia: Błąd
Źródło zdarzenia: Zdarzenie Menedżera kont zabezpieczeń (SAM)
Kategoria: Brak
Identyfikator zdarzenia: 16645
Opis: Przypisano maksymalną liczbę identyfikatorów kont przydzielonych do tej domeny. Kontroler domeny nie może uzyskać nowej puli identyfikatorów. Prawdopodobnie kontroler domeny nie mógł się skontaktować z głównym kontrolerem domeny. Do chwili przydzielenia puli tworzenie kont nie będzie możliwe. W domenie mogły wystąpić problemy z siecią lub łącznością albo główny kontroler domeny może nie istnieć lub być odłączony od domeny. Sprawdź, czy główny kontroler domeny działa i czy jest podłączony do domeny.
Przyczyna
Ten problem występuje w jednej z następujących sytuacji:
 • Jeśli wzorzec identyfikatora względnego (RID) zostanie przywrócony z kopii zapasowej, zostanie podjęta próba jego synchronizacji z identyfikatorami względnymi innych kontrolerów domen w celu sprawdzenia, czy w sieci nie ma żadnych innych wzorców RID. Synchronizacja zakończy się jednak niepowodzeniem, jeśli nie są dostępne żadne inne kontrolery domeny lub jeśli nie działa replikacja. Konieczność synchronizacji wprowadzono w poprawce dla systemu Windows 2000, którą opisano w następującym artykule bazy wiedzy Microsoft Knowledge Base:
  307725 Backup and restore of RID Flexible Single-Master Operations domain controller causes duplicate SIDs
  Uwaga Jeśli w domenie znajduje się zawsze tylko jeden kontroler domeny, synchronizacja głównego identyfikatora względnego z innymi kontrolerami domeny nigdy nie zostanie przeprowadzona. Kontroler domeny nie ma żadnych informacji o jakichkolwiek innych kontrolerach domeny.
 • Pula identyfikatorów RID została wyczerpana lub brakuje obiektów w usłudze Active Directory związanych przydzielonym identyfikatorem RID albo mają one niepoprawne wartości.
Rozwiązanie

Usuwanie łączy replikacji dotyczących kontekstu nazw w systemie Windows 2000

W systemie Windows 2000 można przywrócić pomocniczy kontroler domeny w celu wykonania synchronizacji początkowej. Jeśli nie można przywrócić pomocniczego kontrolera domeny, należy oczyścić metadane dotyczące nieistniejących kontrolerów domeny lub usunąć łącza replikacji prowadzące do kontekstów nazw usługi Active Directory. Jeśli jest planowane przywrócenie pozostałych kontrolerów domeny w przyszłości, zamiast oczyszczać metadane, trzeba usunąć łącza replikacji.
Aby usunąć łącza replikacji do kontekstów nazw usługi Active Directory, należy najpierw zidentyfikować wartość objectGUID, korzystając z polecenia Repadmin. Aby to zrobić, wykonaj następujące kroki:
 1. Kliknij przycisk Start, kliknij polecenie Uruchom wpisz polecenie cmd w polu Otwórz, a następnie kliknij przycisk OK.
 2. W wierszu polecenia wpisz polecenie repadmin /showreps. Zostaną wyświetlone informacje podobne od następujących:
  CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:10.03 was successful.

  CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.43 was successful.

  DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.01 was successful.
 3. Wpisz polecenie repadmin /delete, aby usunąć łącza replikacji. Określ kontekst nazw i wartość objectGUID w sposób przedstawiony w następujących przykładach:
  repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonlyrepadmin /delete CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonlyrepadmin /delete DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
 4. Ponownie uruchom komputer z wzorcem RID. Wzorzec RID zostanie poprawnie zainicjowany.

Usuwanie metadanych kontrolera domeny dla wszystkich innych kontrolerów domeny w domenie

W celu wykonania synchronizacji początkowej można przywrócić lub dołączyć drugi kontroler domeny. Jeśli nie można dodać drugiego kontrolera domeny, trzeba oczyścić metadane dotyczące nieistniejących kontrolerów domeny w celu trwałego usunięcia ich z domeny lub usunąć łącza replikacji prowadzące do kontekstów nazw usługi Active Directory.
Aby uzyskać więcej informacji dotyczących usuwania metadanych, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
216498 How to remove data in Active Directory after an unsuccessful domain controller demotion


Sprawdzanie poprawności obiektów usługi Active Directory związanych z przydzielonym identyfikatorem RID

Aby sprawdzić, czy obiekty usługi Active Directory związane z przydzielonym identyfikatorem RID są poprawne, wykonaj następujące kroki:
 1. Sprawdź, czy grupa Wszyscy ma prawo użytkownika Uzyskiwanie dostępu do tego komputera z sieci. To ustawienie można skonfigurować w następującej lokalizacji w Edytorze obiektów zasad grupy:Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika.
 2. Zainstaluj Narzędzia obsługi systemu Windows 2000. Są one dostępne w folderze support na dyskach CD z systemami Windows 2000 i Windows Server 2003. Po zainstalowaniu tych narzędzi uruchom program ADSI Edit. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie mmc w polu Otwórz, a następnie kliknij przycisk OK.
  2. W systemie Windows 2000 kliknij menu Konsola, a następnie kliknij polecenie Dodaj/Usuń przystawkę. W systemie Windows Server 2003 kliknij menu Plik, a następnie kliknij polecenie Dodaj/Usuń przystawkę.
  3. W oknie Dodawanie/Usuwanie przystawki kliknij przycisk Dodaj, kliknij pozycję ADSIEdit, a następnie kliknij przycisk Dodaj.
  4. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
 3. W programie Microsoft Management Console kliknij prawym przyciskiem myszy przystawkę ADSlEdit, a następnie kliknij polecenie Połącz z.
 4. W oknie Ustawienia połączeń w obszarze Punkt połączenia kliknij opcję Wybierz dobrze znany kontekst nazw. Na liście rozwijanej kliknij pozycję domena, a następnie kliknij przycisk OK.
 5. Rozwiń pozycję domena, a następnie rozwiń nazwę wyróżniającą domeny. Na przykład rozwiń pozycje DC=contoso, DC=com.
 6. Rozwiń węzeł OU=Domain Controllers.
 7. Kliknij prawym przyciskiem myszy kontroler domeny, który chcesz sprawdzić, a następnie kliknij polecenie Właściwości.
 8. Kliknij menu Wybierz właściwość do wyświetlenia, a następnie kliknij polecenie userAccountControl.
 9. Sprawdź, czy wartość userAccountControl jest równa 532480. Aby zmienić wartość userAccountControl, kliknij przycisk Edytuj w oknie dialogowym właściwości kontrolera domeny.
 10. W oknie Edytor wartości całkowitych w polu Wartość wpisz wartość 532480, a następnie kliknij przycisk OK.

Sprawdzanie, czy wzorzec RID jest replikowany na innym kontrolerze domeny

Jeśli na nowo podwyższonym kontrolerze domeny występuje zdarzenie 16650, być może kontroler ten uzyskał informacje o replikacji z innego kontrolera domeny, który nie jest wzorcem RID. W trakcie podwyższania jest modyfikowane konto komputera dotyczące nowego kontrolera domeny. Jeśli wprowadzone zmiany nie zostaną zreplikowane na kontrolerze domeny pełniącym rolę wzorca RID, żądanie uzyskania puli RID przez nowo podwyższony kontroler domeny zostanie odrzucone.

Aby sprawdzić, czy wzorzec RID jest replikowany na przynajmniej jednym ze swoich bezpośrednich partnerów, wykonaj następujące kroki:
 1. Sprawdź, czy istnieje obiekt CN=RID Set.

  Obiekt CN=RID Set zostanie wyświetlony w prawym okienku przystawki ADSI Edit po wybraniu kontrolera domeny w obszarze OU=Domain Controllers znajdującym się w lewym okienku.

  Jeśli nie istnieje żaden obiekt CN=RID Set, należy obniżyć kontroler domeny, a następnie ponownie go podwyższyć, aby utworzyć obiekt.
 2. Jeśli obiekt CN=RID Set istnieje, sprawdź, czy atrybut rIDSetReferences konta komputera pełniącego rolę kontrolera domeny wskazuje nazwę wyróżniającą obiektu RID Set, jak to pokazano w następującym przykładzie:
  CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

  Jeśli atrybut rIDSetReferences nie wskazuje nazwy wyróżniającej obiektu RID Set, skontaktuj się z Pomocą techniczną firmy Microsoft, aby uzyskać więcej informacji.
Stan
Zachowanie takie jest zgodne z projektem programu.
Materiały referencyjne
Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
913539 Active Directory attributes that refer to a prefix may not be stored in the local copy of Active Directory on a computer that is running Microsoft Windows Server 2003
305476 Initial synchronization requirements for Windows 2000 Server and Windows Server 2003 operations master role holders
822053 Error message: "Windows cannot create the object because the Directory Service was unable to allocate a relative identifier"
248410 Error message: The account-identifier allocator failed to initialize properly
Właściwości

Identyfikator artykułu: 839879 — ostatni przegląd: 09/22/2006 20:13:00 — zmiana: 9.1

Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

 • kbprb KB839879
Opinia