Событие с кодом 16650: ошибка инициализации распределителя идентификаторов учетных записей в Windows 2000 и Windows Server 2003


Информация в данной статье применима к:

  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003 Datacenter Edition

Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивировании, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 (http://support.microsoft.com/kb/256986/) Описание реестра Microsoft Windows

Проблема


При добавлении новых пользователей, групп, компьютеров, почтовых ящиков, контроллеров домена и других объектов в Active Directory на компьютере под управлением Windows Server 2003 или Windows 2000 появляется следующее сообщение об ошибке:

Не удалось создать объект по следующей причине: служба каталогов не смогла выделить относительный идентификатор.

При восстановлении контроллера домена с помощью резервной копии состояния системы в журнале системных событий регистрируется следующее событие.

Тип: Ошибка
Источник: SAM Event
Категория: Отсутствует
Код (ID): 16650
Не удалось инициализировать распределитель идентификаторов учетных записей. Запись данных этого события содержит код ошибки. Windows 2000 будет пытаться выполнять инициализацию, пока она не будет выполнена успешно, а до тех пор создание учетных записей на этом контроллере домена будет запрещено. Просмотрите другие записи событий SAM в журнале событий, которые могут указывать истинную причину этой ошибки.

Кроме того, можно просмотреть сведения о дополнительных ошибках, запустив команду Dcdiag с параметром подробного вывода. Для этого выполните следующие действия.
1. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
2. В командной строке введите DCdiag /v и нажмите клавишу ВВОД.
По результатам выполнения команды Dcdiag /v могут быть отображены следующие сообщения об ошибках.

Starting test: RidManager
* Available RID Pool for the Domain is 2355 to 1073741823
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1355 to 1854
* rIDNextRID: 0 The DS has corrupt data: rIDPreviousAllocationPool value is not valid
* rIDPreviousAllocationPool is 0 to 0 No rids allocated -- please check eventlog.
......................... DC01 failed test RidManager

Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:cfe0828c-8842-4cb1-a642-6d9991d0516d,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: Не удается найти указанный файл.
......................... DC01 failed test RidManager


Starting test: RidManager
* Available RID Pool for the Domain is 3104 to 1073741823
Warning: FSMO Role Owner is deleted.
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
Warning: rid set reference is deleted.
ldap_search_sW of CN=RID SetDEL:5a128cf2-f365-47bc-a883-8ff9561ff545,CN=Deleted Objects,DC=contoso,DC=com for rid info failed with 2: Не удается найти указанный файл.
......................... DC01 failed test RidManager

Starting test: KnowsOfRoleHolders
Role Rid Owner = CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com Warning: CN="NTDS Settings DEL:fd615439-1ebb-4652-b16f-3f8517d25593",CN=dc01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com is the Rid Owner, but is deleted.
Кроме того, в журнале системных событий могут регистрироваться и другие ошибки, изучение которых поможет вам устранить проблему.

Код (ID): 16647
Источник: SAM
Описание: контроллер домена приступает к запросу нового пула идентификаторов учетных записей.



Тип: Ошибка
Источник: SAM Event
Категория: Отсутствует
Код (ID): 16645
Описание: выделен максимальный идентификатор учетной записи для этого домена. Контроллер домена не смог получить новый пул идентификаторов. Возможная причина — контроллер домена не смог связаться с главным контроллером домена. Создание учетных записей на этом контроллере домена не будет возможно, пока не будет получен пул идентификаторов. Возможно, в домене имеются сетевые проблемы или проблемы подключения или главный контроллер домена отсутствует или находится в автономном режиме. Проверьте, работает ли главный контроллер домена в этом домене.



Причина


Такое поведение наблюдается в следующих случаях.
  • После восстановления из резервной копии хозяин относительных идентификаторов (RID) пытается выполнить синхронизацию с другими контроллерами домена, чтобы убедиться, что нет других подключенных хозяев RID. Эта попытка завершается сбоем, если нет доступных контроллеров домена для синхронизации или не работает репликация. Дополнительные сведения об исправлении для Windows 2000, в котором было введено требование проводить синхронизацию, см. в следующей статье базы знаний Майкрософт:

    307725 (http://support.microsoft.com/kb/307725/) Создание резервной копии и восстановление контроллера домена, являющегося хозяином RID, приводит к дублированию идентификаторов безопасности (SID)

    Примечание. Если домен всегда содержал только один контроллер, то хозяин RID не пытается произвести синхронизацию с другими контроллерами домена, поскольку ему неизвестны другие контроллеры домена.
  • Пул идентификаторов RID исчерпан, либо объекты в Active Directory, имеющие отношение к распределению идентификаторов RID, используют неправильные значения или отсутствуют.



    • Решение

    Удалите связи репликации для контекстов именования в Windows 2000

    Чтобы обойти требование проведения начальной синхронизации, когда домен содержит контроллеры под управлением Windows Server 2003, передайте роль хозяина RID контроллеру домена под управлением Windows Server 2003, а затем захватите роль хозяина RID для ее текущего владельца. Захват роли FSMO для себя на контроллере домена под управлением Windows Server 2003 позволяет избежать проведения начальной синхронизации, которая необходима для запуска хозяина RID в работу, пока обладатель роли не перезагружен.

    Примечание. Поскольку средство NTDSUTIL производит дополнительную проверку, выполняйте захват роли с помощью оснастки «Active Directory — пользователи и компьютеры» (Dsa.msc).

    В Windows 2000 для проведения начальной синхронизации можно восстановить второй контроллер домена. Если восстановить второй контроллер домена не удается, выполните очистку метаданных несуществующих контроллеров домена или удалите связи репликации для контекстов именования Active Directory. Если позже вы планируете восстановить другие контроллеры домена, то вместо очистки метаданных следует удалить связи репликации.

    Перед удалением связей репликации для контекстов именования Active Directory необходимо с помощью команды Repadmin определить значение objectGUID. Для этого выполните следующие действия.
    1. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
    2. В командной строке введите repadmin /showreps. Результат выполнения команды выглядит примерно так.

    CN=Schema,CN=Configuration,DC=contoso,DC=comDefault-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:10.03 was successful.

    CN=Configuration,DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.43 was successful.

    DC=contoso,DC=com Default-First-Site-Name\DC02 via RPC objectGuid: 97c68f88-3864-4a12-9962-ca389937e237 Last attempt @ 2004-02-26 09:14.01 was successful.
    3. Введите команду repadmin /delete, чтобы удалить связи репликации. Контекст именования и objectGUID укажите, как показано в следующем примере. 
    repadmin /delete CN=Schema,CN=Configuration,DC=contoso,DC=com 
         DC01 97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
repadmin /delete CN=Configuration,DC=contoso,DC=com DC01 
         97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
repadmin /delete DC=contoso,DC=com DC01 
         97c68f88-3864-4a12-9962-ca389937e237._msdcs.contoso.com /localonly
    4. Перезагрузите компьютер, исполняющий роль хозяина RID. Хозяин RID инициализируется правильно.

    Убедитесь, что объектам Active Directory, имеющим отношение к распределению идентификаторов RID, присвоены действительные значения

    Для этого выполните следующие действия.
    1. Убедитесь, что группе «Все» предоставлено право Доступ к компьютеру из сети. Настроить этот параметр можно в окне редактора объектов групповой политики в разделе «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя».
    2. Установите средства поддержки Windows 2000 (расположены в папке Support на компакт-диске Windows 2000 или Windows Server 2003). После установки средств поддержки запустите оснастку ADSI Edit. Для этого выполните следующие действия.
    a. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду mmc и нажмите кнопку ОК.
    b. В Windows 2000 выберите в меню Консоль команду Добавить/удалить оснастку. В Windows Server 2003 выберите в меню Файл команду Добавить или удалить оснастку.
    c. В окне Добавить/удалить оснастку нажмите кнопку Добавить, выберите оснастку ADSIEdit и нажмите кнопку Добавить.
    d. Нажмите кнопку Закрыть, а затем — ОК.
    3. В окне консоли управления щелкните правой кнопкой мыши оснастку ADSIEdit и выберите команду Подключение.
    4. В окне Connections Settings в разделе Connection Point выберите вариант Select a well known naming context. В раскрывающемся списке выберите вариант domain и нажмите кнопку ОК.
    5. Разверните узел domain, а затем различающееся имя домена (например, DC=contoso, DC=com).
    6. Разверните узел OU=Domain Controllers.
    7. Щелкните правой кнопкой мыши контроллер домена, который требуется проверить, и выберите команду Properties.
    8. В меню Select a property to view выберите пункт userAccountControl.
    9. Убедитесь, что параметр userAccountControl имеет значение 532480. Чтобы изменить значение userAccountControl, нажмите кнопку Edit в диалоговом окне свойств контроллера домена.
    10. В окне Integer Attribute Editor введите в поле Value значение 532480 и нажмите кнопку .


    Убедитесь, что хозяин RID производит репликацию с другими контроллерами домена

    Если недавно повышенный в роли контроллер домена регистрирует событие с кодом 16650, то, возможно, он получил данные репликации от другого контроллера домена, который не является хозяином RID. В процессе повышения роли изменяется учетная запись компьютера для нового контролера домена. Если это изменение не реплицировано на контроллер домена, исполняющий роль хозяина RID, то новый контроллер домена не сможет получить пул RID.

    Чтобы убедиться, что хозяин RID осуществляет репликацию по крайней мере с одним непосредственным партнером, выполните следующие действия.
    1. Убедитесь, что существует объект CN=RID Set.

    Объект CN=RID Set отображается на правой панели оснастки ADSI Edit, когда на левой панели в разделе OU=Domain Controllers выбран контроллер домена.

    Если объект CN=RID Set не существует, то для его создания необходимо понизить, а затем снова повысить роль контроллера домена.
    2. Если объект CN=RID Set существует, убедитесь, что атрибут rIDSetReferences в объекте учетной записи компьютера для контроллера домена указывает на различающееся имя объекта RID Set, как показано в следующем примере.
    CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local
    Если атрибут rIDSetReferences не указывает на различающееся имя объекта RID Set, обращайтесь для получения дополнительных сведений в службу технической поддержки корпорации Майкрософт.


    Статус

    Такое поведение является особенностью данного продукта.


    Ссылки

    Дополнительные сведения см. в следующих статьях базы знаний Майкрософт.
    305476 (http://support.microsoft.com/kb/305476/) Выполнение начальной синхронизации хозяевами операций под управлением Windows 2000 Server и Windows Server 2003
    822053 (http://support.microsoft.com/kb/822053/) Сообщение об ошибке «Не удалось создать объект по следующей причине: служба каталогов не смогла выделить относительный идентификатор»
    248410 (http://support.microsoft.com/kb/248410/) Сообщение об ошибке «Не удалось инициализировать распределитель идентификаторов учетных записей»



    Hosted by uCoz