Active Directory-replicatiefout 1722: de RPC-server is niet beschikbaar

  • Artikel

Dit artikel helpt bij het oplossen van fout 1722 van Active Directory-replicatie.

Van toepassing op: Windows Server (alle ondersteunde versies)
Origineel KB-nummer: 2102154

Symptomen

In dit artikel worden de symptomen, de oorzaak en de oplossing beschreven voor het oplossen van active directory-replicatie die mislukt met Win32-fout 1722: de RPC-server is niet beschikbaar.

  1. DCPROMO-promotie van een replica-DC kan geen NTDS-instellingenobject maken op de helper-DC met fout 1722。

    Titeltekst van dialoogvenster: wizard Active Directory Domain Services installeren

    Tekst van dialoogvensterbericht:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. DCDIAG meldt dat de active directory-replicatietest is mislukt met fout 1722: de RPC-server is niet beschikbaar.

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<dc name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE meldt dat de replicatiepoging is mislukt met status 1722 (0x6ba).

    REPADMIN-opdrachten die vaak de status -1722 (0x6ba) noemen, omvatten, maar zijn niet beperkt tot:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    Voorbeelduitvoer van REPADMIN /SHOWREPS en REPADMIN /SYNCALL met de fout De RPC-server is niet beschikbaar wordt hieronder weergegeven:

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    Voorbeelduitvoer van het weergeven van REPADMIN /SYNCALLde fout De RPC-server is niet beschikbaar wordt hieronder weergegeven:

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. De opdracht Nu repliceren in Active Directory Sites and Services retourneert De RPC-server is niet beschikbaar.

    Klikken met de rechtermuisknop op het verbindingsobject vanuit een bron-DC en nu repliceren mislukt met De RPC-server is niet beschikbaar. Het foutbericht op het scherm wordt hieronder weergegeven:

    Titeltekst van dialoogvenster: Nu repliceren

    Tekst van dialoogvensterbericht:

    De volgende fout is opgetreden tijdens de poging om naamgevingscontext <DNS-naam van de directorypartitie> van de domeincontrollerbron <Dc hostnaam> te synchroniseren met de doel-DC-hostnaam> van de domeincontroller<:De RPC-server is niet beschikbaar. Deze bewerking wordt niet voortgezet. Deze voorwaarde kan worden veroorzaakt door een probleem met DNS-opzoekacties. Zie de volgende Microsoft-website voor informatie over het oplossen van veelvoorkomende dns-zoekproblemen: DNS-opzoekprobleem

  5. NTDS Knowledge Consistency Checker (KCC), NTDS General of Microsoft-Windows-ActiveDirectory_DomainService gebeurtenissen met de status 1722 worden vastgelegd in het gebeurtenislogboek van de directoryservice.

    Active Directory-gebeurtenissen die vaak de status 1722 noemen, omvatten, maar zijn niet beperkt tot:

    Gebeurtenisbron Gebeurtenis-id Gebeurtenisreeks
    Microsoft-Windows-ActiveDirectory_DomainService 1125 De Active Directory Domain Services-installatiewizard (Dcpromo) kan geen verbinding maken met de volgende domeincontroller.
    NTDS KCC 1311 De Knowledge Consistency Checker (KCC) heeft problemen gedetecteerd met de volgende mappartitie.
    NTDS KCC 1865 De Knowledge Consistency Checker (KCC) kan geen volledige netwerktopologie met een spanningsstructuur vormen. Als gevolg hiervan kan de volgende lijst met sites niet worden bereikt vanaf de lokale site.
    NTDS KCC 1925 De poging om een replicatiekoppeling tot stand te brengen voor de volgende beschrijfbare mappartitie is mislukt.
    NTDS-replicatie 1960 Interne gebeurtenis: De volgende domeincontroller heeft een uitzondering ontvangen van een RPC-verbinding (Remote Procedure Call). De bewerking is mogelijk mislukt.

Oorzaak

RPC is een tussenliggende laag tussen het netwerktransport en het toepassingsprotocol. RPC zelf heeft geen speciaal inzicht in fouten, maar probeert protocolfouten in de lagere laag toe te wijzen aan een fout op de RPC-laag.

RPC-fout 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE wordt geregistreerd wanneer een protocol onder de laag een verbindingsfout meldt. Het algemene geval is dat de abstracte TCP CONNECT-bewerking is mislukt. In de context van AD-replicatie kon de RPC-client op de doel-DC geen verbinding maken met de RPC-server op de bron-DC. Veelvoorkomende oorzaken hiervoor zijn:

  1. Lokale koppelingsfout
  2. DHCP-fout
  3. DNS-fout
  4. WINS-fout
  5. Routeringsfout (inclusief geblokkeerde poorten op firewalls)
  6. IPSec-/netwerkverificatiefouten
  7. Resourcebeperkingen
  8. Protocol met een hogere laag wordt niet uitgevoerd
  9. Protocol met een hogere laag retourneert deze fout

Oplossing

Eenvoudige stappen voor probleemoplossing om het probleem te identificeren.

Controleer of de opstartwaarde en servicestatus juist zijn voor RPC, RPC-locator en Kerberos-sleuteldistributiecentrum

Controleer of de opstartwaarde en servicestatus juist zijn voor de Remote Procedure Call (RPC), Remote Procedure Call (RPC) Locator (RPC) locator (Remote Procedure Call) en Kerberos Key Distribution Center.

De versie van het besturingssysteem bepaalt de juiste waarden voor het bron- en doelsysteem dat de replicatiefout vaststelt. Gebruik de volgende tabel om de instellingen te valideren.

Servicenaam Windows 2000 Windows 2003 /R2 Windows 2008 Windows 2008 R2
Externe procedureaanroep (RPC) Gestart/automatisch Gestart/automatisch Gestart/automatisch Gestart/automatisch
RPC-locator (Externe procedureaanroep of Remote Procedure Call) Gestart/automatisch (domeincontrollers)

Niet gestart/Handmatig(Lidservers)		 Niet gestart / Handmatig Niet gestart / Handmatig Niet gestart / Handmatig
Kerberos Key Distribution Center (KDC) Gestart/automatisch (domeincontrollers)

Niet gestart/uitgeschakeld(Lidservers)		 Gestart/automatisch (domeincontrollers)

Niet gestart/uitgeschakeld(Lidservers)		 Gestart/automatisch (domeincontrollers)

Niet gestart/uitgeschakeld(Lidservers)		 Gestart/automatisch (domeincontrollers)

Niet gestart/uitgeschakeld(Lidservers)

Als u wijzigingen aanbrengt die overeenkomen met de bovenstaande instellingen, start u de computer opnieuw op. Controleer of zowel de opstartwaarde als de servicestatus overeenkomen met de waarden die in de bovenstaande tabel worden beschreven.

Controleer of de sleutel ClientProtocols bestaat onder HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc en of deze de juiste standaardprotocollen bevat

Protocolnaam Type Gegevenswaarde
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Als de ClientProtocols-sleutel of een van de vier standaardwaarden ontbreekt, importeert u de sleutel van een bekende goede server.

Controleren of DNS werkt

DNS-opzoekfouten zijn de oorzaak van een groot aantal 1722 RPC-fouten als het gaat om replicatie.

Er zijn enkele hulpprogramma's die u kunt gebruiken om DNS-fouten te identificeren:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    Met de DCDIAG /TEST:DNS opdracht kunt u de DNS-status van Windows 2000 Server (SP3 of hoger), Windows Server 2003 en Windows Server 2008-domeincontrollers valideren. Deze test is voor het eerst geïntroduceerd met Windows Server 2003 Service Pack 1.

    Er zijn zeven testgroepen voor deze opdracht.

    • Verificatie (verificatie)

    • Basic (Basc)

    • Registratie van records (RReg)

    • Dynamische update (Dyn)

    • Delegaties (Del)

    • Doorstuurservers/hoofdhints (Forw)

      Voorbeelduitvoer:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      Samenvatting van dns-testresultaten:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      De samenvatting bevat herstelstappen voor de meest voorkomende fouten van deze test.

      Uitleg en aanvullende opties voor deze test vindt u op Domeincontroller Diagnostics Tool (dcdiag.exe).

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc wordt gebruikt om het dc-locatorproces uit te voeren. Hiermee /dsgetdc:<domain name> wordt geprobeerd de domeincontroller voor het domein te vinden. Als u de force-vlag gebruikt, wordt de locatie van de domeincontroller afgedwongen in plaats van de cache te gebruiken. U kunt ook opties zoals /gc of /pdc opgeven om een globale catalogus of een primaire domeincontrolleremulator te zoeken. Als u de globale catalogus wilt vinden, moet u een structuurnaam opgeven, de DNS-domeinnaam van het hoofddomein.

    Voorbeelduitvoer:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Kan worden gebruikt met Windows 2003 en eerdere versies om specifieke informatie te verzamelen voor netwerkconfiguratie en -fout. Het uitvoeren van dit hulpprogramma duurt enige tijd bij het uitvoeren van de -v switch.

    Voorbeelduitvoer voor de DNS-test:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server Ip address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <Ip Address>  
Authoritative NS:<Ip Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
The Record is correct on DNS server '<DNS Server Ip address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server Ip address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.

  • ping -a <IP_of_problem_server>

    Het is een eenvoudige snelle test om te valideren dat de hostrecord voor een domeincontroller wordt omgezet naar de juiste computer.

  • dnslint /s IP /ad IP

    DNSLint is een Windows-hulpprogramma waarmee u veelvoorkomende problemen met DNS-naamomzetting kunt vaststellen. De uitvoer is een HTM-bestand met veel informatie, waaronder:

    DNS-server: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    SOA-recordgegevens van server:

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • Aanvullende gezaghebbende records (NS) van de server: DC2.fabrikam.com <IP Address>

    Alias- (CNAME) en lijmrecords (A) voor forest-GUID's van server:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Alias: DC.fabrikam.com
      • Lijm: <IP-adres>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Alias: dc2.child.fabrikam.com
      • Lijm: <IP-adres>

      Zie Beschrijving van het hulpprogramma DNSLint voor meer informatie.

Controleer of netwerkpoorten niet worden geblokkeerd door een firewall of een toepassing van derden die luistert op de vereiste poorten

De eindpunttoewijzing (luistert op poort 135) vertelt de client op welke willekeurig toegewezen poort een service (FRS, AD-replicatie, MAPI, enzovoort) luistert.

Toepassingsprotocol Protocol Poorten
Globale catalogusserver TCP 3269
Globale catalogusserver TCP 3268
LDAP Server TCP 389
LDAP Server UDP 389
LDAP SSL TCP 636
LDAP SSL UDP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
RPC willekeurig toegewezen hoge TCP-poorten¹ TCP 1024 - 5000
49152 - 65535*

* Dit is het bereik in Windows Server 2008, Windows Vista, Windows 7 en Windows 2008 R2.

Portqry kan worden gebruikt om te bepalen of een poort wordt geblokkeerd voor een dc bij het richten op een andere domeincontroller. Het kan worden gedownload op PortQry Command Line Port Scanner versie 2.0.

Voorbeeldsyntaxis:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Een grafische versie van portqry, portqryui genaamd, is te vinden op PortQryUI - User Interface voor de PortQry Command Line Port Scanner.

Als het dynamische poortbereik poorten heeft die zijn geblokkeerd, gebruikt u de onderstaande koppelingen om een poortbereik te configureren dat kan worden beheerd voor de klant.

Aanvullende belangrijke koppelingen voor de configuratie en het werken met firewalls en domeincontrollers:

Ongeldige NIC-stuurprogramma's

Zie leveranciers van netwerkkaarten of OEM's voor de nieuwste stuurprogramma's.

UDP-fragmentatie kan replicatiefouten veroorzaken die een bron van RPC-server niet beschikbaar lijken te hebben

Gebeurtenis-id 40960 & 40961-fouten met een bron van LSASRV komen vaak voor deze specifieke oorzaak voor.

Zie Kerberos dwingen tcp te gebruiken in plaats van UDP in Windows voor meer informatie.

SMB-ondertekening komt niet overeen tussen DC's

Als u standaardbeleid voor domeincontrollers gebruikt om consistente instellingen te configureren voor SMB-ondertekening in de volgende sectie, kunt u deze oorzaak oplossen:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd) uitgeschakeld.
  • Microsoft-netwerkclient: communicatie digitaal ondertekenen (als de server hiermee akkoord gaat) ingeschakeld.
  • Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd) uitgeschakeld.
  • Microsoft-netwerkserver: communicatie digitaal ondertekenen (als de client hiermee akkoord gaat) ingeschakeld.

De instellingen vindt u onder de volgende registersleutels:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always (0,disable, 1 enable).
    • EnableSecuritySignature = is server is akkoord (0,disable, 1 enable).

Aanvullende probleemoplossing:

Als het bovenstaande geen oplossing biedt voor de 1722, gebruikt u de volgende diagnostische logboekregistratie om meer informatie te verzamelen:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Gegevensverzameling

Als u hulp nodig hebt van Microsoft-ondersteuning, raden we u aan de gegevens te verzamelen door de stappen te volgen die worden vermeld in Gegevens verzamelen met behulp van TSS voor replicatieproblemen met Active Directory.

Verwijzingen