Active Directory-Replikationsfehler 1722: Der RPC-Server ist nicht verfügbar

  • Artikel

In diesem Artikel wird der Fehler 1722 der Active Directory-Replikation behoben.

Gilt für: Windows Server (alle unterstützten Versionen)
Ursprüngliche KB-Nummer: 2102154

Problembeschreibung

In diesem Artikel werden die Symptome, die Ursache und die Lösung für das Beheben von Fehlern bei der Active Directory-Replikation mit Win32-Fehler 1722: Der RPC-Server ist nicht verfügbar beschrieben.

  1. Die DCPROMO-Heraufstufung eines Replikatdomänencontrollers kann kein NTDS-Einstellungsobjekt auf dem Hilfsdomänencontroller mit dem Fehler 1722。

    Titeltext des Dialogfelds: Active Directory Domain Services-Installations-Assistent

    Text der Dialognachricht:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. DCDIAG meldet, dass der Active Directory-Replikationstest mit fehler 1722: Der RPC-Server ist nicht verfügbar ist.

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<dc name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE meldet, dass der Replikationsversuch mit status 1722 (0x6ba) fehlgeschlagen ist.

    REPADMIN-Befehle, die häufig die status -1722 (0x6ba) zitieren, umfassen, sind jedoch nicht beschränkt auf:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    Im Folgenden wird eine Beispielausgabe von REPADMIN /SHOWREPS und REPADMIN /SYNCALL mit dem Fehler Der RPC-Server ist nicht verfügbar dargestellt:

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    Beispielausgabe der Darstellung des REPADMIN /SYNCALL Fehlers Rpc-Server ist nicht verfügbar :

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. Der Befehl jetzt replizieren in Active Directory-Standorte und -Dienste gibt Den RPC-Server ist nicht verfügbar zurück.

    Wenn Sie mit der rechten Maustaste auf das Verbindungsobjekt von einem Quelldomänencontroller klicken und jetzt replizieren auswählen, tritt ein Fehler auf . Der RPC-Server ist nicht verfügbar. Die Fehlermeldung auf dem Bildschirm wird unten angezeigt:

    Dialogtiteltext: Jetzt replizieren

    Text der Dialogmeldung:

    Der folgende Fehler ist beim Synchronisieren des Namenskontexts <DNS-Name der Verzeichnispartition> vom Domänencontroller-Quell-DC-Hostnamen <> mit dem Domänencontroller-Ziel-DC-Hostnamen <>aufgetreten: Der RPC-Server ist nicht verfügbar. Dieser Vorgang wird nicht fortgesetzt. Diese Bedingung kann durch ein DNS-Nachschlageproblem verursacht werden. Informationen zur Behandlung häufiger PROBLEME bei der DNS-Suche finden Sie auf der folgenden Microsoft-Website: DNS-Nachschlageproblem

  5. NTDS Knowledge Consistency Checker (KCC), NTDS General oder Microsoft-Windows-ActiveDirectory_DomainService-Ereignisse mit dem 1722-status werden im Verzeichnisdienstereignisprotokoll protokolliert.

    Active Directory-Ereignisse, die häufig die status 1722 zitieren, umfassen, sind jedoch nicht beschränkt auf:

    Ereignisquelle Ereignis-ID Ereigniszeichenfolge
    Microsoft-Windows-ActiveDirectory_DomainService 1125 Der Active Directory Domain Services-Installations-Assistent (Dcpromo) konnte keine Verbindung mit dem folgenden Domänencontroller herstellen.
    NTDS KCC 1311 Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) hat Probleme mit der folgenden Verzeichnispartition erkannt.
    NTDS KCC 1865 Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) konnte keine vollständige netzwerkübergreifende Strukturtopologie bilden. Daher kann die folgende Liste der Websites vom lokalen Standort aus nicht erreicht werden.
    NTDS KCC 1925 Fehler beim Versuch, einen Replikationslink für die folgende beschreibbare Verzeichnispartition einzurichten.
    NTDS-Replikation 1960 Internes Ereignis: Der folgende Domänencontroller hat eine Ausnahme von einer RPC-Verbindung (Remote Procedure Call) empfangen. Der Vorgang ist möglicherweise fehlgeschlagen.

Ursache

RPC ist eine Zwischenschicht zwischen dem Netzwerktransport und dem Anwendungsprotokoll. RPC selbst hat keinen besonderen Einblick in Fehler, versucht aber, Protokollfehler niedrigerer Ebene einem Fehler auf der RPC-Ebene zuzuordnen.

RPC-Fehler 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE wird protokolliert, wenn ein Protokoll der unteren Ebene einen Konnektivitätsfehler meldet. Der häufige Fall ist, dass der abstrakte TCP CONNECT-Vorgang fehlgeschlagen ist. Im Kontext der AD-Replikation konnte der RPC-Client auf dem Zieldomänencontroller keine erfolgreiche Verbindung mit dem RPC-Server auf dem Quelldomänencontroller herstellen. Häufige Ursachen hierfür sind:

  1. Lokaler Linkfehler
  2. DHCP-Fehler
  3. DNS-Fehler
  4. WINS-Fehler
  5. Routingfehler (einschließlich blockierter Ports in Firewalls)
  6. IPSec/Netzwerkauthentifizierungsfehler
  7. Ressourcenbeschränkungen
  8. Das Protokoll der höheren Ebene wird nicht ausgeführt
  9. Das Protokoll der höheren Ebene gibt diesen Fehler zurück.

Fehlerbehebung

Grundlegende Schritte zur Problembehandlung, um das Problem zu identifizieren.

Überprüfen Sie, ob der Startwert und die status für RPC, RPC Locator und Kerberos Key Distribution Center korrekt sind.

Vergewissern Sie sich, dass der Startwert und die status für remote procedure call (RPC), RPC Locator (Remote Procedure Call) und Kerberos Key Distribution Center korrekt sind.

Die Betriebssystemversion bestimmt die richtigen Werte für das Quell- und Zielsystem, das den Replikationsfehler protokolliert. Verwenden Sie die folgende Tabelle, um die Einstellungen zu überprüfen.

Dienstname Windows 2000 Windows 2003 /R2 Windows 2008 Windows 2008 R2
Remoteprozeduraufruf (Remote Procedure Call, RPC) Gestartet/Automatisch Gestartet/Automatisch Gestartet/Automatisch Gestartet/Automatisch
RPC-Locator Gestartet/Automatisch (Domänencontroller)

Nicht gestartet/Manuell (Mitgliedsserver)		 Nicht gestartet/Manuell Nicht gestartet/Manuell Nicht gestartet/Manuell
Kerberos Key Distribution Center (KDC) Gestartet/Automatisch (Domänencontroller)

Nicht gestartet/Deaktiviert(Mitgliedsserver)		 Gestartet/Automatisch (Domänencontroller)

Nicht gestartet/Deaktiviert(Mitgliedsserver)		 Gestartet/Automatisch (Domänencontroller)

Nicht gestartet/Deaktiviert(Mitgliedsserver)		 Gestartet/Automatisch (Domänencontroller)

Nicht gestartet/Deaktiviert(Mitgliedsserver)

Wenn Sie Änderungen vornehmen, die den oben genannten Einstellungen entsprechen, starten Sie den Computer neu. Überprüfen Sie, ob sowohl der Startwert als auch der Dienst status mit den in der obigen Tabelle dokumentierten Werten übereinstimmen.

Überprüfen Sie, ob der ClientProtocols-Schlüssel unter HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc vorhanden ist und dass er die richtigen Standardprotokolle enthält.

Protokollname Typ Datenwert
ncacn_http REG_SZ rpcrt4.dll
Ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Wenn der ClientProtocols-Schlüssel oder einer der vier Standardwerte fehlt, importieren Sie den Schlüssel von einem als fehlerfrei bekannten Server.

Überprüfen, ob DNS funktioniert

DNS-Lookupfehler sind die Ursache für eine große Anzahl von 1722-RPC-Fehlern bei der Replikation.

Es gibt einige Tools, mit denen Sie DNS-Fehler identifizieren können:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    Der DCDIAG /TEST:DNS Befehl kann die DNS-Integrität von Domänencontrollern unter Windows 2000 Server (SP3 oder höher), Windows Server 2003 und Windows Server 2008 überprüfen. Dieser Test wurde erstmals mit Windows Server 2003 Service Pack 1 eingeführt.

    Für diesen Befehl gibt es sieben Testgruppen.

    • Authentifizierung (Authentifizierung)

    • Basic (Basc)

    • Datensatzregistrierung (RReg)

    • Dynamisches Update (Dyn)

    • Delegierungen (Del)

    • Weiterleitungen/Stammhinweise (Forw)

      Beispielausgabe:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      Zusammenfassung der DNS-Testergebnisse:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      Die Zusammenfassung enthält Korrekturschritte für die häufigeren Fehler aus diesem Test.

      Erläuterungen und zusätzliche Optionen für diesen Test finden Sie unter Domänencontroller-Diagnosetool (dcdiag.exe).

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc wird verwendet, um den DC-Locator-Prozess durchzuführen. Versucht daher /dsgetdc:<domain name> , den Domänencontroller für die Domäne zu finden. Die Verwendung des Force-Flags erzwingt den Speicherort des Domänencontrollers, anstatt den Cache zu verwenden. Sie können auch Optionen wie /gc oder /pdc angeben, um einen globalen Katalog oder einen primären Domänencontrolleremulator zu suchen. Zum Suchen des globalen Katalogs müssen Sie einen Strukturnamen angeben, bei dem es sich um den DNS-Domänennamen der Stammdomäne handelt.

    Beispielausgabe:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Kann mit Windows 2003 und früheren Versionen verwendet werden, um spezifische Informationen zur Netzwerkkonfiguration und zu Fehlern zu sammeln. Die Ausführung dieses Tools nimmt einige Zeit in Anspruch, wenn der -v Switch ausgeführt wird.

    Beispielausgabe für den DNS-Test:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server Ip address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <Ip Address>  
Authoritative NS:<Ip Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
The Record is correct on DNS server '<DNS Server Ip address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server Ip address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.

  • ping -a <IP_of_problem_server>

    Es ist ein einfacher Schnelltest, um zu überprüfen, ob der Hostdatensatz für einen Domänencontroller auf den richtigen Computer aufgelöst wird.

  • dnslint /s IP /ad IP

    DNSLint ist ein Windows-Hilfsprogramm, mit dem Sie häufige Probleme bei der DNS-Namensauflösung diagnostizieren können. Die Ausgabe ist eine HTM-Datei mit vielen Informationen, darunter:

    DNS-Server: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    SOA-Aufzeichnungsdaten vom Server:

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • Zusätzliche autoritative (NS)-Einträge vom Server: DC2.fabrikam.com <IP Address>

    Aliaseinträge (CNAME) und Glue (A) für Gesamtstruktur-GUIDs vom Server:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Alias: DC.fabrikam.com
      • Glue: <IP-Adresse>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Alias: dc2.child.fabrikam.com
      • Glue: <IP-Adresse>

      Weitere Informationen finden Sie unter Beschreibung des DnsLint-Hilfsprogramms.

Überprüfen Sie, ob Netzwerkports nicht von einer Firewall oder einer Drittanbieteranwendung blockiert werden, die an den erforderlichen Ports lauscht.

Die Endpunktzuordnung (lauscht an Port 135) teilt dem Client mit, welcher zufällig zugewiesene Port einem Dienst (FRS, AD-Replikation, MAPI usw.) lauscht.

Anwendungsprotokoll Protokoll Ports
Globaler Katalogserver TCP 3269
Globaler Katalogserver TCP 3268
LDAP-Server TCP 389
LDAP-Server UDP 389
LDAP SSL TCP 636
LDAP SSL UDP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
RPC nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP 1024 – 5000
49152 - 65535*

* Dies ist der Bereich in Windows Server 2008, Windows Vista, Windows 7 und Windows 2008 R2.

Portqry kann verwendet werden, um zu ermitteln, ob ein Port von einem Domänencontroller blockiert wird, wenn ein anderer DC als Ziel verwendet wird. Er kann unter PortQry Command Line Port Scanner Version 2.0 heruntergeladen werden.

Beispielsyntax:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Eine grafische Version von portqry namens Portqryui finden Sie unter PortQryUI – Benutzeroberfläche für den PortQry-Befehlszeilenportscanner.

Wenn für den dynamischen Portbereich Ports blockiert sind, verwenden Sie die folgenden Links, um einen Portbereich zu konfigurieren, der für den Kunden verwaltet werden kann.

Weitere wichtige Links zum Konfigurieren und Arbeiten mit Firewalls und Domänencontrollern:

Ungültige NIC-Treiber

Die neuesten Treiber finden Sie unter Netzwerk-Karte-Anbieter oder OEMs.

Die UDP-Fragmentierung kann Replikationsfehler verursachen, bei denen anscheinend eine Rpc-Serverquelle nicht verfügbar ist

Ereignis-ID 40960 & 40961-Fehler mit einer LSASRV-Quelle sind für diese bestimmte Ursache häufig.

Weitere Informationen finden Sie unter Erzwingen der Verwendung von TCP anstelle von UDP durch Kerberos in Windows.

SMB-Signaturkonflikt zwischen DCs

Die Verwendung der Standarddomänencontrollerrichtlinie zum Konfigurieren konsistenter Einstellungen für die SMB-Signatur im folgenden Abschnitt hilft, diese Ursache zu beheben:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) Deaktiviert.
  • Microsoft-Netzwerkclient: Digitales Signieren der Kommunikation (sofern der Server zustimmt) Aktiviert.
  • Microsoft-Netzwerkserver: Digitales Signieren der Kommunikation (immer) Deaktiviert.
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (sofern client zustimmt) Aktiviert.

Die Einstellungen finden Sie unter den folgenden Registrierungsschlüsseln:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters und HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always (0,disable, 1 enable).
    • EnableSecuritySignature = ist server agrees (0,disable, 1 enable).

Zusätzliche Problembehandlung:

Wenn die oben genannten keine Lösung für 1722 bereitstellen, verwenden Sie die folgende Diagnoseprotokollierung, um weitere Informationen zu sammeln:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.

References