你目前正处于脱机状态,正在等待 Internet 重新连接

事件 ID 16650:在 Windows 2000 和 Windows Server 2003 中,帐户标识号分配器未能初始化

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先对其进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
症状
在基于 Microsoft Windows Server 2003 的计算机或基于 Windows 2000 的计算机上,尝试向 Active Directory 中添加新用户、组、计算机、邮箱、域控制器或其他对象时,可能会收到以下错误消息:
Cannot create the object because directory service was unable to allocate a relative identifier.
从系统状态备份中还原域控制器时,系统日志可能包含以下错误消息:
事件类型: 错误
事件来源: SAM Event
类别: 无
事件 ID: 16650
帐户-识别器分配器未能正确初始化。记录数据包含引起失败的 NT 错误代码。Windows 2000 将重试初始化,直到成功为止。在成功之前,在这个主域控制器上会拒绝帐户创建。请在其他 SAM 事件日志上查找可能造成失败的原因。
也可以结合使用“Dcdiag”命令和详细开关来查看更多错误。为此,请按照下列步骤操作:
  1. 依次单击“开始”、“运行”,在“打开”框中键入“cmd”,然后单击“确定”。
  2. 在命令提示符处,键入 DCdiag /v,然后按 Enter。
键入 Dcdiag /v 后,可看到类似以下内容的错误消息:
Starting test:RidManager
* Available RID Pool for the Domain is 2355 to 1073741823
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1355 to 1854
* rIDNextRID:0 The DS has corrupt data:rIDPreviousAllocationPool value is not valid
* rIDPreviousAllocationPool is 0 to 0 No rids allocated -- please check eventlog.
......................... DC01 failed test RidManager

Warning:rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2:The system cannot find the file specified.
......................... DC01 failed test RidManager


Starting test:RidManager
* Available RID Pool for the Domain is 3104 to 1073741823
Warning:FSMO Role Owner is deleted.
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
Warning:rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2:The system cannot find the file specified.
......................... DC01 failed test RidManager

Starting test:KnowsOfRoleHolders
Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning:CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com is the Rid Owner, but is deleted.
也可能在系统事件日志中收到有助于解决问题的其他错误:
事件 ID: 16647
事件来源:SAM
描述:域控制器正在开始请求一个新的帐户标识号池。

事件类型: 错误
事件来源: SAM Event
类别: 无
事件 ID: 16645
描述:给该域控制器已分配了最大值的帐户标识符。域控制器未能获取一个新的标识符池。这可能是因为域控制器未能与主域控制器取得联系。在分配一个新的池之前,在该控制器上所作的帐户创建都会失败。在域中可能有网络或连接问题,或者主域控制器处于脱机状态或不在域中。请确认主域控制器在运行并与域连接。
原因
在以下任一情况中,可能会发生此问题:
  • 当相关 ID (RID) 主机从备份中恢复后,它会尝试与其他域控制器同步,以确认没有其他 RID 主机联机。不过,如果没有可用于与其同步的域控制器,或复制未起作用,则同步过程将失败。同步要求是通过下面 Microsoft 知识库文章中描述的 Windows 2000 修补程序实现的:
    307725 备份和恢复 RID 灵活单主机操作域控制器导致重复的 SID
    注意:如果域中始终只包含一个域控制器,则 RID 主机将不会尝试与其他域控制器同步。此域控制器对其他域控制器一无所知。
  • RID 池已耗尽,或者 Active Directory 中与 RID 分配相关的对象使用了不正确的值或缺失。
解决方案

删除 Windows 2000 中命名上下文的复制链接

在 Windows 2000 中,可以恢复另一域控制器以完成初始同步。如果无法恢复另一域控制器,则必须在不存在的域控制器上清除元数据,或删除指向 Active Directory 名称上下文的复制链接。如果打算稍后再恢复其他域控制器,则必须删除复制链接,而不是清除元数据。
在删除指向 Active Directory 命名上下文的复制链接之前,必须使用“Repadmin”命令确定“objectGUID”值。为此,请按照下列步骤操作:
  1. 依次单击“开始”、“运行”,在“打开”框中键入“cmd”,然后单击“确定”。
  2. 在命令提示符处,键入 repadmin /showreps。将看到类似以下内容的输出:
    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid:97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:10.03 was successful.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid:97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.43 was successful.

    DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid:97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.01 was successful.
  3. 键入 repadmin /delete 以删除复制链接。按以下示例所示指定命名上下文和 objectGUID:
    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly repadmin /delete DC=contoso,DC=com DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
  4. 重新启动 RID 主机计算机。RID 主机将正确地初始化。

删除域中所有其他域控制器的域控制器元数据

可以恢复或连接另一个域控制器以完成初始同步。如果无法添加另一个域控制器,则必须在不存在的域控制器上清除元数据以便将它们从域中永久删除,或者删除指向 Active Directory 命名上下文的复制链接。
有关如何删除元数据的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
216498域控制器降级失败后如何删除 Active Directory 中的数据


验证与 RID 分配相关的 Active Directory 对象是否有效

要验证与 RID 分配相关的 Active Directory 对象是否有效,请按照下列步骤操作:
  1. 验证“Everyone”组是否具有“从网络访问此计算机”用户权限。可在组策略对象编辑器中的以下位置配置该设置:计算机配置\Windows 设置\安全设置\本地策略\用户权限分配。
  2. 安装 Windows 2000 支持工具。可在 Windows 2000 和 Windows Server 2003 CD-ROM 中的支持文件夹中找到这些工具。这些工具安装完毕后,启动 ADSI 编辑。为此,请按照下列步骤操作:
    1. 依次单击“开始”、“运行”,在“打开”框中键入 mmc,然后单击“确定”。
    2. 在 Windows 2000 中,单击“控制台”,然后单击“添加/删除管理单元”。在 Windows Server 2003 中,单击“文件”,然后单击“添加/删除管理单元”。
    3. 在“添加/删除管理单元”中,依次单击“添加”、“ADSIEdit”,然后单击“添加”。
    4. 单击“关闭”,然后单击“确定”。
  3. 在 MMC 中,右键单击“ADSIEdit”,然后单击“连接到”。
  4. 在“连接设置”中的“连接点”下,单击“选择已知名称上下文”。在下拉列表中单击“域”,然后单击“确定”。
  5. 展开“域”,然后展开此域的可分辨名称。例如,展开 DC=contoso、DC=com
  6. 展开“OU=Domain Controllers”。
  7. 右键单击要检查的域控制器,然后单击“属性”。
  8. 单击“选择要查看的属性”菜单,然后单击“userAccountControl”。
  9. 验证“userAccountControl”的值是否为 532480。要更改“userAccountControl”的值,请单击域控制器属性对话框中的“编辑”。
  10. 在“整数属性编辑器”中的“值”字段内键入“532480”,然后单击“确定”。

验证 RID 主机是否与另一域控制器重复

如果新提升的域控制器生成事件 16650,则该域控制器可能已从另一不是 RID 主机的域控制器获得了复制信息。在提升过程中,新域控制器的计算机帐户已被修改。如果未将这些更改复制到持有 RID 主机角色的域控制器,则在新提升的域控制器尝试获取 RID 池时,其请求将失败。

要验证 RID 主机是否至少在与其一个直接伙伴进行复制,请按照下列步骤操作:
  1. 验证“CN=RID Set”对象是否存在。

    在左窗格中的“OU=Domain Controllers”下选择域控制器时,“CN=RID Set”对象位于 ADSI 编辑的右窗格中。

    如果没有“CN=RID Set”对象,则必须将该域控制器降级然后再次将其提升,以创建此对象。
  2. 如果已有“CN=RID Set”对象,请确保域控制器计算机帐户对象的“rIDSetReferences”属性指向“RID 集”对象的可分辨名称,如以下示例所示:
    CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local

    如果“rIDSetReferences”属性未指向“RID 集”对象的可分辨名称,请与 Microsoft 产品支持服务联系以了解更多信息。
状态
这种现象是设计使然。
参考
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
913539引用前缀的 Active Directory 属性可能未存储在 Microsoft Windows Server 2003 计算机上的本地 Active Directory 副本中
305476 Windows 2000 Server 和 Windows Server 2003 操作主机角色持有者的初始同步要求
822053 错误消息:“Windows cannot create the object because the Directory Service was unable to allocate a relative identifier”
248410 错误消息:The account-identifier allocator failed to initialize properly(帐户-识别器分配器未能正确初始化)
属性

文章 ID:839879 - 上次审阅时间:12/21/2006 09:28:00 - 修订版本: 9.3

Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows Server 2003 Datacenter Edition

  • kbprb KB839879
反馈