Active Directory-Replikationsfehler 1722: Der RPC-Server ist nicht verfügbar
In diesem Artikel wird der Fehler 1722 der Active Directory-Replikation behoben.
Gilt für: Windows Server (alle unterstützten Versionen)
Ursprüngliche KB-Nummer: 2102154
Problembeschreibung
In diesem Artikel werden die Symptome, die Ursache und die Lösung für das Beheben von Fehlern bei der Active Directory-Replikation mit Win32-Fehler 1722: Der RPC-Server ist nicht verfügbar beschrieben.
Die DCPROMO-Heraufstufung eines Replikatdomänencontrollers kann kein NTDS-Einstellungsobjekt auf dem Hilfsdomänencontroller mit dem Fehler 1722。
Titeltext des Dialogfelds: Active Directory Domain Services-Installations-Assistent
Text der Dialognachricht:
The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."
DCDIAG meldet, dass der Active Directory-Replikationstest mit fehler 1722: Der RPC-Server ist nicht verfügbar ist.
[Replications Check,<DC Name>] A recent replication attempt failed: From <source DC> to <destination DC> Naming Context: <DN path of directory partition> The replication generated an error (1722): The RPC server is unavailable. The failure occurred at <date> <time>. The last success occurred at <date> <time>. <X> failures have occurred since the last success. [<dc name>] DsBindWithSpnEx() failed with error 1722, The RPC server is unavailable.. Printing RPC Extended Error Info: <snip>
REPADMIN.EXE meldet, dass der Replikationsversuch mit status 1722 (0x6ba) fehlgeschlagen ist.
REPADMIN-Befehle, die häufig die status -1722 (0x6ba) zitieren, umfassen, sind jedoch nicht beschränkt auf:
REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS
REPADMIN /SYNCALL
Im Folgenden wird eine Beispielausgabe von
REPADMIN /SHOWREPS
undREPADMIN /SYNCALL
mit dem Fehler Der RPC-Server ist nicht verfügbar dargestellt:c:\> repadmin /showreps <site name><destination DC> DC Options: <list of flags> Site Options: (none) DC object GUID: <NTDS settings object object GUID> DC invocationID: <invocation ID string> ==== INBOUND NEIGHBORS ====================================== DC=<DN path for directory partition> <site name><source DC via RPC DC object GUID: <source DCs ntds settings object object guid> Last attempt @ <date> <time> failed, result **1722 (0x6ba): The RPC server is unavailable. <X #> consecutive failure(s). Last success @ <date> <time>
Beispielausgabe der Darstellung des
REPADMIN /SYNCALL
Fehlers Rpc-Server ist nicht verfügbar :C:\>repadmin /syncall CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba): The RPC server is unavailable.
Der Befehl jetzt replizieren in Active Directory-Standorte und -Dienste gibt Den RPC-Server ist nicht verfügbar zurück.
Wenn Sie mit der rechten Maustaste auf das Verbindungsobjekt von einem Quelldomänencontroller klicken und jetzt replizieren auswählen, tritt ein Fehler auf . Der RPC-Server ist nicht verfügbar. Die Fehlermeldung auf dem Bildschirm wird unten angezeigt:
Dialogtiteltext: Jetzt replizieren
Text der Dialogmeldung:
Der folgende Fehler ist beim Synchronisieren des Namenskontexts <DNS-Name der Verzeichnispartition> vom Domänencontroller-Quell-DC-Hostnamen <> mit dem Domänencontroller-Ziel-DC-Hostnamen <>aufgetreten: Der RPC-Server ist nicht verfügbar. Dieser Vorgang wird nicht fortgesetzt. Diese Bedingung kann durch ein DNS-Nachschlageproblem verursacht werden. Informationen zur Behandlung häufiger PROBLEME bei der DNS-Suche finden Sie auf der folgenden Microsoft-Website: DNS-Nachschlageproblem
NTDS Knowledge Consistency Checker (KCC), NTDS General oder Microsoft-Windows-ActiveDirectory_DomainService-Ereignisse mit dem 1722-status werden im Verzeichnisdienstereignisprotokoll protokolliert.
Active Directory-Ereignisse, die häufig die status 1722 zitieren, umfassen, sind jedoch nicht beschränkt auf:
Ereignisquelle Ereignis-ID Ereigniszeichenfolge Microsoft-Windows-ActiveDirectory_DomainService 1125 Der Active Directory Domain Services-Installations-Assistent (Dcpromo) konnte keine Verbindung mit dem folgenden Domänencontroller herstellen. NTDS KCC 1311 Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) hat Probleme mit der folgenden Verzeichnispartition erkannt. NTDS KCC 1865 Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) konnte keine vollständige netzwerkübergreifende Strukturtopologie bilden. Daher kann die folgende Liste der Websites vom lokalen Standort aus nicht erreicht werden. NTDS KCC 1925 Fehler beim Versuch, einen Replikationslink für die folgende beschreibbare Verzeichnispartition einzurichten. NTDS-Replikation 1960 Internes Ereignis: Der folgende Domänencontroller hat eine Ausnahme von einer RPC-Verbindung (Remote Procedure Call) empfangen. Der Vorgang ist möglicherweise fehlgeschlagen.
Ursache
RPC ist eine Zwischenschicht zwischen dem Netzwerktransport und dem Anwendungsprotokoll. RPC selbst hat keinen besonderen Einblick in Fehler, versucht aber, Protokollfehler niedrigerer Ebene einem Fehler auf der RPC-Ebene zuzuordnen.
RPC-Fehler 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE wird protokolliert, wenn ein Protokoll der unteren Ebene einen Konnektivitätsfehler meldet. Der häufige Fall ist, dass der abstrakte TCP CONNECT-Vorgang fehlgeschlagen ist. Im Kontext der AD-Replikation konnte der RPC-Client auf dem Zieldomänencontroller keine erfolgreiche Verbindung mit dem RPC-Server auf dem Quelldomänencontroller herstellen. Häufige Ursachen hierfür sind:
- Lokaler Linkfehler
- DHCP-Fehler
- DNS-Fehler
- WINS-Fehler
- Routingfehler (einschließlich blockierter Ports in Firewalls)
- IPSec/Netzwerkauthentifizierungsfehler
- Ressourcenbeschränkungen
- Das Protokoll der höheren Ebene wird nicht ausgeführt
- Das Protokoll der höheren Ebene gibt diesen Fehler zurück.
Fehlerbehebung
Grundlegende Schritte zur Problembehandlung, um das Problem zu identifizieren.
Überprüfen Sie, ob der Startwert und die status für RPC, RPC Locator und Kerberos Key Distribution Center korrekt sind.
Vergewissern Sie sich, dass der Startwert und die status für remote procedure call (RPC), RPC Locator (Remote Procedure Call) und Kerberos Key Distribution Center korrekt sind.
Die Betriebssystemversion bestimmt die richtigen Werte für das Quell- und Zielsystem, das den Replikationsfehler protokolliert. Verwenden Sie die folgende Tabelle, um die Einstellungen zu überprüfen.
Dienstname | Windows 2000 | Windows 2003 /R2 | Windows 2008 | Windows 2008 R2 |
---|---|---|---|---|
Remoteprozeduraufruf (Remote Procedure Call, RPC) | Gestartet/Automatisch | Gestartet/Automatisch | Gestartet/Automatisch | Gestartet/Automatisch |
RPC-Locator | Gestartet/Automatisch (Domänencontroller) Nicht gestartet/Manuell (Mitgliedsserver) |
Nicht gestartet/Manuell | Nicht gestartet/Manuell | Nicht gestartet/Manuell |
Kerberos Key Distribution Center (KDC) | Gestartet/Automatisch (Domänencontroller) Nicht gestartet/Deaktiviert(Mitgliedsserver) |
Gestartet/Automatisch (Domänencontroller) Nicht gestartet/Deaktiviert(Mitgliedsserver) |
Gestartet/Automatisch (Domänencontroller) Nicht gestartet/Deaktiviert(Mitgliedsserver) |
Gestartet/Automatisch (Domänencontroller) Nicht gestartet/Deaktiviert(Mitgliedsserver) |
Wenn Sie Änderungen vornehmen, die den oben genannten Einstellungen entsprechen, starten Sie den Computer neu. Überprüfen Sie, ob sowohl der Startwert als auch der Dienst status mit den in der obigen Tabelle dokumentierten Werten übereinstimmen.
Überprüfen Sie, ob der ClientProtocols-Schlüssel unter HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc vorhanden ist und dass er die richtigen Standardprotokolle enthält.
Protokollname | Typ | Datenwert |
---|---|---|
ncacn_http | REG_SZ | rpcrt4.dll |
Ncacn_ip_tcp | REG_SZ | rpcrt4.dll |
ncacn_np | REG_SZ | rpcrt4.dll |
ncacn_ip_udp | REG_SZ | rpcrt4.dll |
Wenn der ClientProtocols-Schlüssel oder einer der vier Standardwerte fehlt, importieren Sie den Schlüssel von einem als fehlerfrei bekannten Server.
Überprüfen, ob DNS funktioniert
DNS-Lookupfehler sind die Ursache für eine große Anzahl von 1722-RPC-Fehlern bei der Replikation.
Es gibt einige Tools, mit denen Sie DNS-Fehler identifizieren können:
DCDIAG /TEST:DNS /V /E /F:<filename.log>
Der
DCDIAG /TEST:DNS
Befehl kann die DNS-Integrität von Domänencontrollern unter Windows 2000 Server (SP3 oder höher), Windows Server 2003 und Windows Server 2008 überprüfen. Dieser Test wurde erstmals mit Windows Server 2003 Service Pack 1 eingeführt.Für diesen Befehl gibt es sieben Testgruppen.
Authentifizierung (Authentifizierung)
Basic (
Basc
)Datensatzregistrierung (RReg)
Dynamisches Update (
Dyn
)Delegierungen (Del)
Weiterleitungen/Stammhinweise (Forw)
Beispielausgabe:
TEST: Authentication (Auth) Authentication test: Successfully completed TEST: Basic (Basc) Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported NETLOGON service is running kdc service is running DNSCACHE service is running DNS service is running DC is a DNS server Network adapters information: Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter: MAC address is 00:15:5D:40:CF:92 IP address is static IP address: <IP Address> DNS servers: <DNS IP Address> (DC.domain.com.) [Valid] The A record for this DC was found The SOA record for the Active Directory zone was found The Active Directory zone on this DC/DNS server was found (primary) Root zone on this DC/DNS server was not found <omitted other tests for readability>
Zusammenfassung der DNS-Testergebnisse:
Auth Basc Forw Del Dyn RReg Ext Domain: fragale.contoso.com DC1 PASS PASS FAIL PASS PASS PASS n/a Domain: child.fragale.contoso.com DC2 PASS PASS n/a n/a n/a PASS n/a Enterprise DNS infrastructure test results: For parent domain domain.com and subordinate domain child: Forwarders or root hints are not misconfigured from parent domain to subordinate domain Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests (See DNS servers section for error details) Delegation is configured properly from parent to subordinate domain ......................... domain.com failed test DNS
Die Zusammenfassung enthält Korrekturschritte für die häufigeren Fehler aus diesem Test.
Erläuterungen und zusätzliche Optionen für diesen Test finden Sie unter Domänencontroller-Diagnosetool (dcdiag.exe).
NLTEST /DSGETDC:<netbios or DNS domain name>
Nltest /dsgetdc
wird verwendet, um den DC-Locator-Prozess durchzuführen. Versucht daher/dsgetdc:<domain name>
, den Domänencontroller für die Domäne zu finden. Die Verwendung des Force-Flags erzwingt den Speicherort des Domänencontrollers, anstatt den Cache zu verwenden. Sie können auch Optionen wie /gc oder /pdc angeben, um einen globalen Katalog oder einen primären Domänencontrolleremulator zu suchen. Zum Suchen des globalen Katalogs müssen Sie einen Strukturnamen angeben, bei dem es sich um den DNS-Domänennamen der Stammdomäne handelt.Beispielausgabe:
DC: [\DC.fabrikam.com] Address: \\<IP Address> Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b Dom Name: fabrikam.com Forest Name: fabrikam.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully
Netdiag -v
Kann mit Windows 2003 und früheren Versionen verwendet werden, um spezifische Informationen zur Netzwerkkonfiguration und zu Fehlern zu sammeln. Die Ausführung dieses Tools nimmt einige Zeit in Anspruch, wenn der
-v
Switch ausgeführt wird.Beispielausgabe für den DNS-Test:
DNS test . . . . . . . . . . . . . : Passed Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A} DNS Domain: DNS Servers: <DNS Server Ip address> IP Address: Expected registration with PDN (primary DNS domain name): Hostname: DC.fabrikam.com. Authoritative zone: fabrikam.com. Primary DNS server: DC.fabrikam.com <Ip Address> Authoritative NS:<Ip Address> Check the DNS registration for DCs entries on DNS server <DNS Server Ip address> The Record is correct on DNS server '<DNS Server Ip address>'. (You will see this line repeated several times for every entry for this DC. Including srv records.) The Record is correct on DNS server '<DNS Server Ip address>'. PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.
ping -a <IP_of_problem_server>
Es ist ein einfacher Schnelltest, um zu überprüfen, ob der Hostdatensatz für einen Domänencontroller auf den richtigen Computer aufgelöst wird.
dnslint /s IP /ad IP
DNSLint ist ein Windows-Hilfsprogramm, mit dem Sie häufige Probleme bei der DNS-Namensauflösung diagnostizieren können. Die Ausgabe ist eine HTM-Datei mit vielen Informationen, darunter:
DNS-Server: localhost
IP Address: 127.0.0.1 UDP port 53 responding to queries: YES TCP port 53 responding to queries: Not tested Answering authoritatively for domain: NO
SOA-Aufzeichnungsdaten vom Server:
Authoritative name server: DC.domain.com Hostmaster: hostmaster Zone serial number: 14 Zone expires in: 1.00 day(s) Refresh period: 900 seconds Retry delay: 600 seconds Default (minimum) TTL: 3600 seconds
Zusätzliche autoritative (NS)-Einträge vom Server:
DC2.fabrikam.com <IP Address>
Aliaseinträge (CNAME) und Glue (A) für Gesamtstruktur-GUIDs vom Server:
CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com
- Alias:
DC.fabrikam.com
- Glue: <IP-Adresse>
- Alias:
CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com
- Alias:
dc2.child.fabrikam.com
- Glue: <IP-Adresse>
Weitere Informationen finden Sie unter Beschreibung des DnsLint-Hilfsprogramms.
- Alias:
Überprüfen Sie, ob Netzwerkports nicht von einer Firewall oder einer Drittanbieteranwendung blockiert werden, die an den erforderlichen Ports lauscht.
Die Endpunktzuordnung (lauscht an Port 135) teilt dem Client mit, welcher zufällig zugewiesene Port einem Dienst (FRS, AD-Replikation, MAPI usw.) lauscht.
Anwendungsprotokoll | Protokoll | Ports |
---|---|---|
Globaler Katalogserver | TCP | 3269 |
Globaler Katalogserver | TCP | 3268 |
LDAP-Server | TCP | 389 |
LDAP-Server | UDP | 389 |
LDAP SSL | TCP | 636 |
LDAP SSL | UDP | 636 |
IPsec ISAKMP | UDP | 500 |
NAT-T | UDP | 4500 |
RPC | TCP | 135 |
RPC nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ | TCP | 1024 – 5000 49152 - 65535* |
*
Dies ist der Bereich in Windows Server 2008, Windows Vista, Windows 7 und Windows 2008 R2.
Portqry kann verwendet werden, um zu ermitteln, ob ein Port von einem Domänencontroller blockiert wird, wenn ein anderer DC als Ziel verwendet wird. Er kann unter PortQry Command Line Port Scanner Version 2.0 heruntergeladen werden.
Beispielsyntax:
portqry -n <problem_server> -e 135
portqry -n <problem_server> -r 1024-5000
Eine grafische Version von portqry namens Portqryui finden Sie unter PortQryUI – Benutzeroberfläche für den PortQry-Befehlszeilenportscanner.
Wenn für den dynamischen Portbereich Ports blockiert sind, verwenden Sie die folgenden Links, um einen Portbereich zu konfigurieren, der für den Kunden verwaltet werden kann.
Weitere wichtige Links zum Konfigurieren und Arbeiten mit Firewalls und Domänencontrollern:
- VORGEHENSWEISE: Konfigurieren der dynamischen RPC-Portzuordnung für die Verwendung mit der Firewall
- Einschränken des Active Directory-Replikationsdatenverkehrs auf einen bestimmten Port
- Konfigurieren einer Firewall für Domänen und Vertrauensstellungen
- Eine Liste der Standardports des Windows Server-Domänencontrollers
- Portanforderungen für das Microsoft Windows Server-System
Ungültige NIC-Treiber
Die neuesten Treiber finden Sie unter Netzwerk-Karte-Anbieter oder OEMs.
Die UDP-Fragmentierung kann Replikationsfehler verursachen, bei denen anscheinend eine Rpc-Serverquelle nicht verfügbar ist
Ereignis-ID 40960 & 40961-Fehler mit einer LSASRV-Quelle sind für diese bestimmte Ursache häufig.
Weitere Informationen finden Sie unter Erzwingen der Verwendung von TCP anstelle von UDP durch Kerberos in Windows.
SMB-Signaturkonflikt zwischen DCs
Die Verwendung der Standarddomänencontrollerrichtlinie zum Konfigurieren konsistenter Einstellungen für die SMB-Signatur im folgenden Abschnitt hilft, diese Ursache zu beheben:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
- Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) Deaktiviert.
- Microsoft-Netzwerkclient: Digitales Signieren der Kommunikation (sofern der Server zustimmt) Aktiviert.
- Microsoft-Netzwerkserver: Digitales Signieren der Kommunikation (immer) Deaktiviert.
- Microsoft-Netzwerkserver: Kommunikation digital signieren (sofern client zustimmt) Aktiviert.
Die Einstellungen finden Sie unter den folgenden Registrierungsschlüsseln:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
undHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
- RequireSecuritySignature = always (0,disable, 1 enable).
- EnableSecuritySignature = ist server agrees (0,disable, 1 enable).
Zusätzliche Problembehandlung:
Wenn die oben genannten keine Lösung für 1722 bereitstellen, verwenden Sie die folgende Diagnoseprotokollierung, um weitere Informationen zu sammeln:
Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.
Crank up NTDS Diagnostic logging
1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.
Datensammlung
Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.
References
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für