Errore di replica di Active Directory 1722: il server RPC non è disponibile

  • Articolo

Questo articolo consente di correggere l'errore 1722 della replica di Active Directory.

Si applica a: Windows Server (tutte le versioni supportate)
Numero KB originale: 2102154

Sintomi

Questo articolo descrive i sintomi, la causa e la risoluzione dei problemi di replica di Active Directory con errore Win32 1722: il server RPC non è disponibile.

  1. La promozione DCPROMO di un controller di dominio di replica non riesce a creare un oggetto Impostazioni NTDS nel controller di dominio helper con errore 1722。

    Testo titolo finestra di dialogo: Installazione guidata Active Directory Domain Services

    Testo del messaggio della finestra di dialogo:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. DCDIAG segnala che il test delle repliche di Active Directory non è riuscito con l'errore 1722: Il server RPC non è disponibile.

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<dc name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE segnala che il tentativo di replica non è riuscito con stato 1722 (0x6ba).

    I comandi REPADMIN che in genere citano lo stato -1722 (0x6ba) includono, ma non sono limitati a:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    L'output di esempio da REPADMIN /SHOWREPS e REPADMIN /SYNCALL che illustra l'errore Il server RPC non è disponibile è illustrato di seguito:

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    Di seguito è riportato l'output di esempio relativo alla rappresentazione dell'errore REPADMIN /SYNCALLIl server RPC non è disponibile :

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. Il comando replica ora in Siti e servizi di Active Directory restituisce Il server RPC non è disponibile.

    Fare clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e scegliere Replica ora ha esito negativo con Il server RPC non è disponibile. Di seguito è riportato il messaggio di errore visualizzato sullo schermo:

    Testo del titolo della finestra di dialogo: Replica ora

    Testo del messaggio della finestra di dialogo:

    L'errore seguente si è verificato durante il tentativo di sincronizzare il nome DNS del contesto <di denominazione della partizione> di directory dal nome host dc di origine controller di dominio <al nome>> host del controller <di dominio di destinazione:Il server RPC non è disponibile. Questa operazione non continuerà. Questa condizione può essere causata da un problema di ricerca DNS. Per informazioni sulla risoluzione dei problemi di ricerca DNS comuni, vedere il seguente sito Web Microsoft: Problema di ricerca DNS

  5. Gli eventi NTDS Knowledge Consistency Checker (KCC), NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con stato 1722 vengono registrati nel registro eventi del servizio directory.

    Gli eventi di Active Directory che in genere citano lo stato 1722 includono, ma non sono limitati a:

    Origine evento ID evento Stringa di evento
    Microsoft-Windows-ActiveDirectory_DomainService 1125 L'installazione guidata Active Directory Domain Services (Dcpromo) non è riuscita a stabilire la connessione con il controller di dominio seguente.
    NTDS KCC 1311 Verifica coerenza conoscenze (KCC) ha rilevato problemi con la partizione di directory seguente.
    NTDS KCC 1865 Knowledge Consistency Checker (KCC) non è riuscito a formare una topologia di rete ad albero con estensione completa. Di conseguenza, l'elenco di siti seguente non può essere raggiunto dal sito locale.
    NTDS KCC 1925 Il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile seguente non è riuscito.
    Replica NTDS 1960 Evento interno: il controller di dominio seguente ha ricevuto un'eccezione da una connessione RPC (Remote Procedure Call). L'operazione potrebbe non essere riuscita.

Causa

RPC è un livello intermedio tra il trasporto di rete e il protocollo dell'applicazione. RPC non ha informazioni speciali sugli errori, ma tenta di eseguire il mapping degli errori del protocollo di livello inferiore in un errore a livello RPC.

L'errore RPC 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE viene registrato quando un protocollo di livello inferiore segnala un errore di connettività. Il caso comune è che l'operazione TCP CONNECT astratta non è riuscita. Nel contesto della replica di Active Directory, il client RPC nel controller di dominio di destinazione non è stato in grado di connettersi correttamente al server RPC nel controller di dominio di origine. Le cause più comuni sono:

  1. Errore di collegamento locale
  2. Errore DHCP
  3. Errore DNS
  4. Errore WINS
  5. Errore di routing (incluse le porte bloccate nei firewall)
  6. IpSec/Errori di autenticazione di rete
  7. Limitazioni delle risorse
  8. Protocollo di livello superiore non in esecuzione
  9. Il protocollo di livello superiore restituisce questo errore

Risoluzione

Procedura di risoluzione dei problemi di base per identificare il problema.

Verificare che il valore di avvio e lo stato del servizio siano corretti per RPC, localizzatore RPC e Centro distribuzione chiavi Kerberos

Verificare che il valore di avvio e lo stato del servizio siano corretti per RPC (Remote Procedure Call), REMOTE Procedure Call (RPC) Locator e Kerberos Key Distribution Center.

La versione del sistema operativo determinerà i valori corretti per il sistema di origine e di destinazione che registra l'errore di replica. Usare la tabella seguente per convalidare le impostazioni.

Nome servizio Windows 2000 Windows 2003 /R2 Windows 2008 Windows 2008 R2
Chiamata di procedura remota (RPC) Avviato/Automatico Avviato/Automatico Avviato/Automatico Avviato/Automatico
RPC Locator (Localizzatore Chiamata di procedura remota) Avviato/Automatico (controller di dominio)

Non avviato/Manuale (server membri)		 Non avviato/Manuale Non avviato/Manuale Non avviato/Manuale
Centro distribuzione chiavi Kerberos (KDC) Avviato/Automatico (controller di dominio)

Non avviato/Disabilitato (server membri)		 Avviato/Automatico (controller di dominio)

Non avviato/Disabilitato (server membri)		 Avviato/Automatico (controller di dominio)

Non avviato/Disabilitato (server membri)		 Avviato/Automatico (controller di dominio)

Non avviato/Disabilitato (server membri)

Se si apportano modifiche in base alle impostazioni precedenti, riavviare il computer. Verificare che il valore di avvio e lo stato del servizio corrispondano ai valori documentati nella tabella precedente.

Verificare che la chiave ClientProtocols esista in HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc e che contenga i protocolli predefiniti corretti

Nome protocollo Tipo Valore dati
ncacn_http REG_SZ rpcrt4.dll
Ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Se manca la chiave ClientProtocols o uno dei quattro valori predefiniti, importare la chiave da un server valido noto.

Verificare che DNS funzioni

Gli errori di ricerca DNS sono la causa di un numero elevato di errori RPC 1722 quando si tratta di replica.

Sono disponibili alcuni strumenti da usare per identificare gli errori DNS:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    Il DCDIAG /TEST:DNS comando può convalidare l'integrità DNS dei controller di dominio della famiglia Windows 2000 Server (SP3 o versioni successive), Windows Server 2003 e Windows Server 2008. Questo test è stato introdotto per la prima volta con Windows Server 2003 Service Pack 1.

    Questo comando include sette gruppi di test.

    • Autenticazione (autenticazione)

    • Basic (Basc)

    • Registrazione record (RReg)

    • Aggiornamento dinamico (Dyn)

    • Delegazioni (Del)

    • Forwarders/Root hints (Forw)

      Output di esempio:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      Riepilogo dei risultati dei test DNS:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      Il riepilogo fornisce i passaggi di correzione per gli errori più comuni di questo test.

      Spiegazione e opzioni aggiuntive per questo test sono disponibili in Strumento di diagnostica controller di dominio (dcdiag.exe).

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc viene usato per esercitare il processo di localizzatore dc. Tenta quindi /dsgetdc:<domain name> di trovare il controller di dominio per il dominio. L'uso del flag force forza la posizione del controller di dominio anziché usare la cache. È anche possibile specificare opzioni come /gc o /pdc per individuare un catalogo globale o un emulatore di controller di dominio primario. Per trovare il catalogo globale, è necessario specificare un nome di albero, ovvero il nome di dominio DNS del dominio radice.

    Output di esempio:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Può essere usato con Windows 2003 e versioni precedenti per raccogliere informazioni specifiche per la configurazione e l'errore di rete. L'esecuzione di questo strumento richiede del tempo durante l'esecuzione dell'opzione -v .

    Output di esempio per il test DNS:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server Ip address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <Ip Address>  
Authoritative NS:<Ip Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
The Record is correct on DNS server '<DNS Server Ip address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server Ip address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.

  • ping -a <IP_of_problem_server>

    È un semplice test rapido per convalidare il record host per un controller di dominio che sta risolvendo nel computer corretto.

  • dnslint /s IP /ad IP

    DNSLint è un'utilità di Windows che consente di diagnosticare problemi comuni di risoluzione dei nomi DNS. L'output è un file htm con molte informazioni, tra cui:

    Server DNS: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    Dati dei record SOA dal server:

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • Record autorevoli aggiuntivi (NS) dal server: DC2.fabrikam.com <IP Address>

    Alias (CNAME) e associa (A) i record per i GUID della foresta dal server:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Alias: DC.fabrikam.com
      • Glue: <Ip Adress>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Alias: dc2.child.fabrikam.com
      • Glue: <Indirizzo IP>

      Per altre informazioni, vedere Descrizione dell'utilità DNSLint.

Verificare che le porte di rete non siano bloccate da un firewall o da un'applicazione di terze parti in ascolto sulle porte necessarie

Il mapper dell'endpoint (in ascolto sulla porta 135) indica al client su quale porta assegnata in modo casuale un servizio (FRS, replica AD, MAPI e così via) è in ascolto.

Protocollo di applicazione Protocollo Porte
Server di catalogo globale TCP 3269
Server di catalogo globale TCP 3268
Server LDAP TCP 389
Server LDAP UDP 389
LDAP SSL TCP 636
LDAP SSL UDP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
Porte TCP di alto numero assegnate in modo casuale RPC¹ TCP 1024 - 5000
49152 - 65535*

* Questo è l'intervallo in Windows Server 2008, Windows Vista, Windows 7 e Windows 2008 R2.

È possibile usare Portqry per identificare se una porta è bloccata da un controller di dominio quando si fa riferimento a un altro controller di dominio. Può essere scaricato in PortQry Command Line Port Scanner versione 2.0.

Sintassi di esempio:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Una versione grafica di portqry, denominata Portqryui, è disponibile in PortQryUI - User Interface for the Port Scanner della riga di comando di PortQry.

Se l'intervallo di porte dinamiche ha porte bloccate, usare i collegamenti seguenti per configurare un intervallo di porte gestibile per il cliente.

Collegamenti importanti aggiuntivi per la configurazione e l'uso di firewall e controller di dominio:

Driver di scheda di interfaccia di rete non validi

Per i driver più recenti, vedere Fornitori di schede di rete o OEM.

La frammentazione UDP può causare errori di replica che sembrano avere un'origine del server RPC non disponibile

Gli errori dell'ID evento 40960 & 40961 con un'origine LSASRV sono comuni per questa causa specifica.

Per altre informazioni, vedere Come forzare Kerberos a usare TCP anziché UDP in Windows.

Mancata corrispondenza della firma SMB tra controller di dominio

L'uso di Criteri controller di dominio predefiniti per configurare impostazioni coerenti per la firma SMB nella sezione seguente consentirà di risolvere questa causa:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Client di rete Microsoft: firma digitalmente le comunicazioni (sempre) disabilitate.
  • Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo) Abilitato.
  • Server di rete Microsoft: firma digitalmente le comunicazioni (sempre) disabilitate.
  • Server di rete Microsoft: firma digitalmente le comunicazioni (se il client è d'accordo) Abilitato.

Le impostazioni sono disponibili nelle chiavi del Registro di sistema seguenti:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters e HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always (0,disable, 1 enable).
    • EnableSecuritySignature = is server agrees (0,disable, 1 enable).

Risoluzione dei problemi aggiuntiva:

Se le informazioni precedenti non forniscono una soluzione alla versione 1722, usare la registrazione diagnostica seguente per raccogliere altre informazioni:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.

Riferimenti