Active Directory 복제 오류 1722: RPC 서버를 사용할 수 없음

  • 아티클

이 문서는 Active Directory 복제 오류 1722를 해결하는 데 도움이 됩니다.

적용 대상: Windows Server(지원되는 모든 버전)
원래 KB 번호: 2102154

증상

이 문서에서는 Win32 오류 1722: RPC 서버를 사용할 수 없음으로 인해 Active Directory 복제 실패를 해결하기 위한 증상, 원인 및 해결 방법에 대해 설명합니다.

  1. 복제본(replica) DC의 DCPROMO 승격이 도우미 DC에 오류 1722와 함께 NTDS 설정 개체를 만들지 못함。

    대화 상자 제목 텍스트: Active Directory Domain Services 설치 마법사

    대화 상자 메시지 텍스트:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. DCDIAG는 1722 오류: RPC 서버를 사용할 수 없음 오류로 인해 Active Directory 복제 테스트가 실패했다고 보고합니다.

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<dc name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE 상태 1722(0x6ba)에서 복제 시도가 실패했다고 보고합니다.

    일반적으로 -1722(0x6ba)를 인용하는 REPADMIN 명령은 다음을 포함하지만 제한되지는 상태.

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    RPC 서버를 사용할 수 없음 오류를 보여 주는 샘플 출력 REPADMIN /SHOWREPSREPADMIN /SYNCALL 은 다음과 같습니다.

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    RPC 서버를 사용할 수 없음 오류를 보여 주는 샘플 출력 REPADMIN /SYNCALL 은 다음과 같습니다.

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. Active Directory 사이트 및 서비스의 replicate now 명령은 RPC 서버를 사용할 수 없음을 반환합니다.

    원본 DC에서 연결 개체를 마우스 오른쪽 단추로 클릭하고 이제 RPC 서버를 사용할 수 없으므로 복제를 선택하는 데 실패합니다. 화면에 표시되는 오류 메시지는 다음과 같습니다.

    대화 상자 제목 텍스트: 지금 복제

    대화 상자 메시지 텍스트:

    도메인 컨트롤러 원본 Dc 호스트 이름에서 도메인 컨트롤러 <대상 DC 호스트> 이름으로 디렉터리 파티션>의 명명 컨텍스트 <DNS 이름을><동기화하는 동안 다음 오류가 발생했습니다. RPC 서버를 사용할 수 없습니다. 이 작업은 계속되지 않습니다. 이 조건은 DNS 조회 문제로 인해 발생할 수 있습니다. 일반적인 DNS 조회 문제 해결에 대한 자세한 내용은 다음 Microsoft 웹 사이트 DNS 조회 문제를 참조하세요.

  5. 1722 상태 있는 NTDS KCC(지식 일관성 검사기), NTDS 일반 또는 Microsoft-Windows-ActiveDirectory_DomainService 이벤트는 디렉터리 서비스 이벤트 로그에 기록됩니다.

    일반적으로 1722 상태 인용하는 Active Directory 이벤트는 다음을 포함하지만 제한되지는 않습니다.

    Event Source 이벤트 ID 이벤트 문자열
    Microsoft-Windows-ActiveDirectory_DomainService 1125 dcpromo(Active Directory Domain Services 설치 마법사)에서 다음 도메인 컨트롤러와의 연결을 설정할 수 없습니다.
    NTDS KCC 1311 KCC(지식 일관성 검사기)에서 다음 디렉터리 파티션의 문제를 감지했습니다.
    NTDS KCC 1865 KCC(지식 일관성 검사기)가 전체 트리 네트워크 토폴로지를 구성할 수 없습니다. 따라서 다음 사이트 목록은 로컬 사이트에서 연결할 수 없습니다.
    NTDS KCC 1925 다음 쓰기 가능한 디렉터리 파티션에 대한 복제 링크를 설정하지 못했습니다.
    NTDS 복제 1960 내부 이벤트: 다음 도메인 컨트롤러는 RPC(원격 프로시저 호출) 연결에서 예외를 수신했습니다. 작업이 실패했을 수 있습니다.

원인

RPC는 네트워크 전송과 애플리케이션 프로토콜 간의 중간 계층입니다. RPC 자체는 오류에 대한 특별한 인사이트를 제공하지 않지만 하위 계층 프로토콜 오류를 RPC 계층의 오류에 매핑하려고 시도합니다.

낮은 계층 프로토콜에서 연결 실패를 보고하면 RPC 오류 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE 기록됩니다. 일반적인 경우는 추상 TCP CONNECT 작업이 실패한 것입니다. AD 복제의 컨텍스트에서 대상 DC의 RPC 클라이언트가 원본 DC의 RPC 서버에 성공적으로 연결할 수 없습니다. 이에 대한 일반적인 원인은 다음과 같습니다.

  1. 로컬 연결 실패
  2. DHCP 오류
  3. DNS 오류
  4. WINS 실패
  5. 라우팅 실패(방화벽의 차단된 포트 포함)
  6. IPSec/네트워크 인증 실패
  7. 리소스 제한 사항
  8. 더 높은 계층 프로토콜이 실행되지 않음
  9. 계층 프로토콜이 높을수록 이 오류가 반환됩니다.

해결 방법

문제를 식별하는 기본 문제 해결 단계입니다.

RPC, RPC 로케이터 및 Kerberos 키 배포 센터에 대해 시작 값 및 서비스 상태 올바른지 확인합니다.

RPC(원격 프로시저 호출), RPC(원격 프로시저 호출) 로케이터 및 Kerberos 키 배포 센터에 대해 시작 값 및 서비스 상태 올바른지 확인합니다.

OS 버전은 복제 오류를 기록하는 원본 및 대상 시스템에 대한 올바른 값을 결정합니다. 다음 표를 사용하여 설정의 유효성을 검사합니다.

서비스 이름 Windows 2000 Windows 2003 /R2 Windows 2008 Windows 2008 R2
RPC(Remote Procedure Call) 시작됨/자동 시작됨/자동 시작됨/자동 시작됨/자동
RPC(원격 프로시저 호출) 로케이터 시작/자동(도메인 컨트롤러)

시작 안 함/수동(멤버 서버)		 시작 안 됨/수동 시작 안 됨/수동 시작 안 됨/수동
KDC(Kerberos 키 배포 센터) 시작/자동(도메인 컨트롤러)

시작 안 함/사용 안 함(멤버 서버)		 시작/자동(도메인 컨트롤러)

시작 안 함/사용 안 함(멤버 서버)		 시작/자동(도메인 컨트롤러)

시작 안 함/사용 안 함(멤버 서버)		 시작/자동(도메인 컨트롤러)

시작 안 함/사용 안 함(멤버 서버)

위의 설정과 일치하도록 변경한 경우 컴퓨터를 다시 시작합니다. 시작 값과 서비스 상태 위의 표에 설명된 값과 일치하는지 확인합니다.

ClientProtocols 키가 HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc 아래에 있고 올바른 기본 프로토콜이 포함되어 있는지 확인합니다.

프로토콜 이름 유형 데이터 값
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

ClientProtocols 키 또는 네 가지 기본값 중 일부가 누락된 경우 알려진 양선 서버에서 키를 가져옵니다.

DNS가 작동하는지 확인

DNS 조회 실패는 복제와 관련하여 많은 수의 RPC 오류가 발생하는 원인입니다.

DNS 오류를 식별하는 데 사용할 수 있는 몇 가지 도구가 있습니다.

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    명령은 DCDIAG /TEST:DNS Windows 2000 Server(SP3 이상), Windows Server 2003 및 Windows Server 2008 제품군 도메인 컨트롤러의 DNS 상태를 확인할 수 있습니다. 이 테스트는 Windows Server 2003 서비스 팩 1에서 처음 도입되었습니다.

    이 명령에는 7개의 테스트 그룹이 있습니다.

    • 인증(인증)

    • 기본(Basc)

    • 레코드 등록(RReg)

    • 동적 업데이트(Dyn)

    • 위임(Del)

    • 전달자/루트 힌트(견인)

      샘플 출력:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      DNS 테스트 결과 요약:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      요약은 이 테스트의 일반적인 오류에 대한 수정 단계를 제공합니다.

      이 테스트에 대한 설명 및 추가 옵션은 도메인 컨트롤러 진단 도구(dcdiag.exe)에서 찾을 수 있습니다.

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc 는 dc 로케이터 프로세스를 연습하는 데 사용됩니다. 따라서 /dsgetdc:<domain name> 도메인에 대한 도메인 컨트롤러를 찾으려고 시도합니다. 강제 플래그를 사용하면 캐시를 사용하는 대신 도메인 컨트롤러 위치가 강제 적용됩니다. /gc 또는 /pdc와 같은 옵션을 지정하여 글로벌 카탈로그 또는 기본 도메인 컨트롤러 에뮬레이터를 찾을 수도 있습니다. 전역 카탈로그를 찾으려면 루트 도메인의 DNS 도메인 이름인 트리 이름을 지정해야 합니다.

    샘플 출력:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Windows 2003 및 이전 버전과 함께 사용하여 네트워킹 구성 및 오류에 대한 특정 정보를 수집할 수 있습니다. 이 도구는 스위치를 실행할 -v 때 실행하는 데 다소 시간이 걸립니다.

    DNS 테스트에 대한 샘플 출력:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server Ip address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <Ip Address>  
Authoritative NS:<Ip Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
The Record is correct on DNS server '<DNS Server Ip address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server Ip address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.

  • ping -a <IP_of_problem_server>

    도메인 컨트롤러의 호스트 레코드가 올바른 컴퓨터로 확인되고 있는지 확인하는 간단한 빠른 테스트입니다.

  • dnslint /s IP /ad IP

    DNSLint는 일반적인 DNS 이름 확인 문제를 진단하는 데 도움이 되는 Windows 유틸리티입니다. 출력은 다음을 비롯한 많은 정보를 포함하는 htm 파일입니다.

    DNS 서버: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    SOA는 서버의 데이터를 기록합니다.

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • 서버의 추가 신뢰할 수 있는(NS) 레코드: DC2.fabrikam.com <IP Address>

    서버의 포리스트 GUID에 대한 별칭(CNAME) 및 붙이기(A) 레코드:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • 별칭: DC.fabrikam.com
      • 붙이기: <IP 주소>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • 별칭: dc2.child.fabrikam.com
      • 붙이기: <IP 주소>

      자세한 내용은 DNSLint 유틸리티 설명을 참조하세요.

필요한 포트에서 수신 대기하는 방화벽 또는 타사 애플리케이션에 의해 네트워크 포트가 차단되지 않는지 확인합니다.

엔드포인트 매퍼(포트 135에서 수신 대기)는 서비스에 임의로 할당된 포트(FRS, AD 복제, MAPI 등)가 수신 대기 중임을 클라이언트에 알려줍니다.

응용 프로그램 프로토콜 Protocol(프로토콜) 포트
글로벌 카탈로그 서버 TCP 3269
글로벌 카탈로그 서버 TCP 3268
LDAP 서버 TCP 389
LDAP 서버 UDP 389
LDAP SSL TCP 636
LDAP SSL UDP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
RPC 임의 할당 상위 TCP 포트 TCP 1024~5000
49152 - 65535*

* Windows Server 2008, Windows Vista, Windows 7 및 Windows 2008 R2의 범위입니다.

Portqry를 사용하여 다른 DC를 대상으로 할 때 포트가 Dc에서 차단되었는지 확인할 수 있습니다. PortQry 명령줄 포트 스캐너 버전 2.0에서 다운로드할 수 있습니다.

예제 구문:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Portqryui라는 그래픽 버전의 portqry는 PortQry 명령줄 포트 스캐너의 PortQryUI - 사용자 인터페이스에서 찾을 수 있습니다.

동적 포트 범위에 차단되는 포트가 있는 경우 아래 링크를 사용하여 고객을 위해 관리할 수 있는 포트 범위를 구성합니다.

구성 및 방화벽 및 도메인 컨트롤러 작업에 대한 추가 중요한 링크:

잘못된 NIC 드라이버

최신 드라이버는 네트워크 카드 공급업체 또는 OEM을 참조하세요.

UDP 조각화로 인해 RPC 서버의 원본을 사용할 수 없는 것으로 보이는 복제 오류가 발생할 수 있습니다.

LSASRV 원본이 있는 이벤트 ID 40960 & 40961 오류는 이러한 특정 원인에 일반적입니다.

자세한 내용은 Windows에서 UDP 대신 Kerberos가 TCP를 사용하도록 강제 적용하는 방법을 참조하세요.

DC 간의 SMB 서명 불일치

기본 도메인 컨트롤러 정책을 사용하여 다음 섹션에서 SMB 서명에 대한 일관된 설정을 구성하면 이 원인을 해결하는 데 도움이 됩니다.

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) 사용 안 함
  • Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우) 사용.
  • Microsoft 네트워크 서버: 디지털 서명 통신(항상) 사용 안 함
  • Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트가 동의하는 경우) 사용.

설정은 다음 레지스트리 키에서 찾을 수 있습니다.

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\ParametersHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always(0,disable, 1 enable).
    • EnableSecuritySignature = 서버가 동의합니다(0,disable, 1 사용).

추가 문제 해결:

위의 내용이 1722에 대한 솔루션을 제공하지 않는 경우 다음 진단 로깅을 사용하여 자세한 정보를 수집합니다.

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

데이터 수집

Microsoft 지원의 지원이 필요한 경우 Active Directory 복제 문제에 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.

참조