Active Directory-replicatiefout 1722: de RPC-server is niet beschikbaar
Dit artikel helpt bij het oplossen van fout 1722 van Active Directory-replicatie.
Van toepassing op: Windows Server (alle ondersteunde versies)
Origineel KB-nummer: 2102154
Symptomen
In dit artikel worden de symptomen, de oorzaak en de oplossing beschreven voor het oplossen van active directory-replicatie die mislukt met Win32-fout 1722: de RPC-server is niet beschikbaar.
DCPROMO-promotie van een replica-DC kan geen NTDS-instellingenobject maken op de helper-DC met fout 1722。
Titeltekst van dialoogvenster: wizard Active Directory Domain Services installeren
Tekst van dialoogvensterbericht:
The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."
DCDIAG meldt dat de active directory-replicatietest is mislukt met fout 1722: de RPC-server is niet beschikbaar.
[Replications Check,<DC Name>] A recent replication attempt failed: From <source DC> to <destination DC> Naming Context: <DN path of directory partition> The replication generated an error (1722): The RPC server is unavailable. The failure occurred at <date> <time>. The last success occurred at <date> <time>. <X> failures have occurred since the last success. [<dc name>] DsBindWithSpnEx() failed with error 1722, The RPC server is unavailable.. Printing RPC Extended Error Info: <snip>
REPADMIN.EXE meldt dat de replicatiepoging is mislukt met status 1722 (0x6ba).
REPADMIN-opdrachten die vaak de status -1722 (0x6ba) noemen, omvatten, maar zijn niet beperkt tot:
REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS
REPADMIN /SYNCALL
Voorbeelduitvoer van
REPADMIN /SHOWREPS
enREPADMIN /SYNCALL
met de fout De RPC-server is niet beschikbaar wordt hieronder weergegeven:c:\> repadmin /showreps <site name><destination DC> DC Options: <list of flags> Site Options: (none) DC object GUID: <NTDS settings object object GUID> DC invocationID: <invocation ID string> ==== INBOUND NEIGHBORS ====================================== DC=<DN path for directory partition> <site name><source DC via RPC DC object GUID: <source DCs ntds settings object object guid> Last attempt @ <date> <time> failed, result **1722 (0x6ba): The RPC server is unavailable. <X #> consecutive failure(s). Last success @ <date> <time>
Voorbeelduitvoer van het weergeven van
REPADMIN /SYNCALL
de fout De RPC-server is niet beschikbaar wordt hieronder weergegeven:C:\>repadmin /syncall CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba): The RPC server is unavailable.
De opdracht Nu repliceren in Active Directory Sites and Services retourneert De RPC-server is niet beschikbaar.
Klikken met de rechtermuisknop op het verbindingsobject vanuit een bron-DC en nu repliceren mislukt met De RPC-server is niet beschikbaar. Het foutbericht op het scherm wordt hieronder weergegeven:
Titeltekst van dialoogvenster: Nu repliceren
Tekst van dialoogvensterbericht:
De volgende fout is opgetreden tijdens de poging om naamgevingscontext <DNS-naam van de directorypartitie> van de domeincontrollerbron <Dc hostnaam> te synchroniseren met de doel-DC-hostnaam> van de domeincontroller<:De RPC-server is niet beschikbaar. Deze bewerking wordt niet voortgezet. Deze voorwaarde kan worden veroorzaakt door een probleem met DNS-opzoekacties. Zie de volgende Microsoft-website voor informatie over het oplossen van veelvoorkomende dns-zoekproblemen: DNS-opzoekprobleem
NTDS Knowledge Consistency Checker (KCC), NTDS General of Microsoft-Windows-ActiveDirectory_DomainService gebeurtenissen met de status 1722 worden vastgelegd in het gebeurtenislogboek van de directoryservice.
Active Directory-gebeurtenissen die vaak de status 1722 noemen, omvatten, maar zijn niet beperkt tot:
Gebeurtenisbron Gebeurtenis-id Gebeurtenisreeks Microsoft-Windows-ActiveDirectory_DomainService 1125 De Active Directory Domain Services-installatiewizard (Dcpromo) kan geen verbinding maken met de volgende domeincontroller. NTDS KCC 1311 De Knowledge Consistency Checker (KCC) heeft problemen gedetecteerd met de volgende mappartitie. NTDS KCC 1865 De Knowledge Consistency Checker (KCC) kan geen volledige netwerktopologie met een spanningsstructuur vormen. Als gevolg hiervan kan de volgende lijst met sites niet worden bereikt vanaf de lokale site. NTDS KCC 1925 De poging om een replicatiekoppeling tot stand te brengen voor de volgende beschrijfbare mappartitie is mislukt. NTDS-replicatie 1960 Interne gebeurtenis: De volgende domeincontroller heeft een uitzondering ontvangen van een RPC-verbinding (Remote Procedure Call). De bewerking is mogelijk mislukt.
Oorzaak
RPC is een tussenliggende laag tussen het netwerktransport en het toepassingsprotocol. RPC zelf heeft geen speciaal inzicht in fouten, maar probeert protocolfouten in de lagere laag toe te wijzen aan een fout op de RPC-laag.
RPC-fout 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE wordt geregistreerd wanneer een protocol onder de laag een verbindingsfout meldt. Het algemene geval is dat de abstracte TCP CONNECT-bewerking is mislukt. In de context van AD-replicatie kon de RPC-client op de doel-DC geen verbinding maken met de RPC-server op de bron-DC. Veelvoorkomende oorzaken hiervoor zijn:
- Lokale koppelingsfout
- DHCP-fout
- DNS-fout
- WINS-fout
- Routeringsfout (inclusief geblokkeerde poorten op firewalls)
- IPSec-/netwerkverificatiefouten
- Resourcebeperkingen
- Protocol met een hogere laag wordt niet uitgevoerd
- Protocol met een hogere laag retourneert deze fout
Oplossing
Eenvoudige stappen voor probleemoplossing om het probleem te identificeren.
Controleer of de opstartwaarde en servicestatus juist zijn voor RPC, RPC-locator en Kerberos-sleuteldistributiecentrum
Controleer of de opstartwaarde en servicestatus juist zijn voor de Remote Procedure Call (RPC), Remote Procedure Call (RPC) Locator (RPC) locator (Remote Procedure Call) en Kerberos Key Distribution Center.
De versie van het besturingssysteem bepaalt de juiste waarden voor het bron- en doelsysteem dat de replicatiefout vaststelt. Gebruik de volgende tabel om de instellingen te valideren.
Servicenaam | Windows 2000 | Windows 2003 /R2 | Windows 2008 | Windows 2008 R2 |
---|---|---|---|---|
Externe procedureaanroep (RPC) | Gestart/automatisch | Gestart/automatisch | Gestart/automatisch | Gestart/automatisch |
RPC-locator (Externe procedureaanroep of Remote Procedure Call) | Gestart/automatisch (domeincontrollers) Niet gestart/Handmatig(Lidservers) |
Niet gestart / Handmatig | Niet gestart / Handmatig | Niet gestart / Handmatig |
Kerberos Key Distribution Center (KDC) | Gestart/automatisch (domeincontrollers) Niet gestart/uitgeschakeld(Lidservers) |
Gestart/automatisch (domeincontrollers) Niet gestart/uitgeschakeld(Lidservers) |
Gestart/automatisch (domeincontrollers) Niet gestart/uitgeschakeld(Lidservers) |
Gestart/automatisch (domeincontrollers) Niet gestart/uitgeschakeld(Lidservers) |
Als u wijzigingen aanbrengt die overeenkomen met de bovenstaande instellingen, start u de computer opnieuw op. Controleer of zowel de opstartwaarde als de servicestatus overeenkomen met de waarden die in de bovenstaande tabel worden beschreven.
Controleer of de sleutel ClientProtocols bestaat onder HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc en of deze de juiste standaardprotocollen bevat
Protocolnaam | Type | Gegevenswaarde |
---|---|---|
ncacn_http | REG_SZ | rpcrt4.dll |
ncacn_ip_tcp | REG_SZ | rpcrt4.dll |
ncacn_np | REG_SZ | rpcrt4.dll |
ncacn_ip_udp | REG_SZ | rpcrt4.dll |
Als de ClientProtocols-sleutel of een van de vier standaardwaarden ontbreekt, importeert u de sleutel van een bekende goede server.
Controleren of DNS werkt
DNS-opzoekfouten zijn de oorzaak van een groot aantal 1722 RPC-fouten als het gaat om replicatie.
Er zijn enkele hulpprogramma's die u kunt gebruiken om DNS-fouten te identificeren:
DCDIAG /TEST:DNS /V /E /F:<filename.log>
Met de
DCDIAG /TEST:DNS
opdracht kunt u de DNS-status van Windows 2000 Server (SP3 of hoger), Windows Server 2003 en Windows Server 2008-domeincontrollers valideren. Deze test is voor het eerst geïntroduceerd met Windows Server 2003 Service Pack 1.Er zijn zeven testgroepen voor deze opdracht.
Verificatie (verificatie)
Basic (
Basc
)Registratie van records (RReg)
Dynamische update (
Dyn
)Delegaties (Del)
Doorstuurservers/hoofdhints (Forw)
Voorbeelduitvoer:
TEST: Authentication (Auth) Authentication test: Successfully completed TEST: Basic (Basc) Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported NETLOGON service is running kdc service is running DNSCACHE service is running DNS service is running DC is a DNS server Network adapters information: Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter: MAC address is 00:15:5D:40:CF:92 IP address is static IP address: <IP Address> DNS servers: <DNS IP Address> (DC.domain.com.) [Valid] The A record for this DC was found The SOA record for the Active Directory zone was found The Active Directory zone on this DC/DNS server was found (primary) Root zone on this DC/DNS server was not found <omitted other tests for readability>
Samenvatting van dns-testresultaten:
Auth Basc Forw Del Dyn RReg Ext Domain: fragale.contoso.com DC1 PASS PASS FAIL PASS PASS PASS n/a Domain: child.fragale.contoso.com DC2 PASS PASS n/a n/a n/a PASS n/a Enterprise DNS infrastructure test results: For parent domain domain.com and subordinate domain child: Forwarders or root hints are not misconfigured from parent domain to subordinate domain Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests (See DNS servers section for error details) Delegation is configured properly from parent to subordinate domain ......................... domain.com failed test DNS
De samenvatting bevat herstelstappen voor de meest voorkomende fouten van deze test.
Uitleg en aanvullende opties voor deze test vindt u op Domeincontroller Diagnostics Tool (dcdiag.exe).
NLTEST /DSGETDC:<netbios or DNS domain name>
Nltest /dsgetdc
wordt gebruikt om het dc-locatorproces uit te voeren. Hiermee/dsgetdc:<domain name>
wordt geprobeerd de domeincontroller voor het domein te vinden. Als u de force-vlag gebruikt, wordt de locatie van de domeincontroller afgedwongen in plaats van de cache te gebruiken. U kunt ook opties zoals /gc of /pdc opgeven om een globale catalogus of een primaire domeincontrolleremulator te zoeken. Als u de globale catalogus wilt vinden, moet u een structuurnaam opgeven, de DNS-domeinnaam van het hoofddomein.Voorbeelduitvoer:
DC: [\DC.fabrikam.com] Address: \\<IP Address> Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b Dom Name: fabrikam.com Forest Name: fabrikam.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully
Netdiag -v
Kan worden gebruikt met Windows 2003 en eerdere versies om specifieke informatie te verzamelen voor netwerkconfiguratie en -fout. Het uitvoeren van dit hulpprogramma duurt enige tijd bij het uitvoeren van de
-v
switch.Voorbeelduitvoer voor de DNS-test:
DNS test . . . . . . . . . . . . . : Passed Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A} DNS Domain: DNS Servers: <DNS Server Ip address> IP Address: Expected registration with PDN (primary DNS domain name): Hostname: DC.fabrikam.com. Authoritative zone: fabrikam.com. Primary DNS server: DC.fabrikam.com <Ip Address> Authoritative NS:<Ip Address> Check the DNS registration for DCs entries on DNS server <DNS Server Ip address> The Record is correct on DNS server '<DNS Server Ip address>'. (You will see this line repeated several times for every entry for this DC. Including srv records.) The Record is correct on DNS server '<DNS Server Ip address>'. PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.
ping -a <IP_of_problem_server>
Het is een eenvoudige snelle test om te valideren dat de hostrecord voor een domeincontroller wordt omgezet naar de juiste computer.
dnslint /s IP /ad IP
DNSLint is een Windows-hulpprogramma waarmee u veelvoorkomende problemen met DNS-naamomzetting kunt vaststellen. De uitvoer is een HTM-bestand met veel informatie, waaronder:
DNS-server: localhost
IP Address: 127.0.0.1 UDP port 53 responding to queries: YES TCP port 53 responding to queries: Not tested Answering authoritatively for domain: NO
SOA-recordgegevens van server:
Authoritative name server: DC.domain.com Hostmaster: hostmaster Zone serial number: 14 Zone expires in: 1.00 day(s) Refresh period: 900 seconds Retry delay: 600 seconds Default (minimum) TTL: 3600 seconds
Aanvullende gezaghebbende records (NS) van de server:
DC2.fabrikam.com <IP Address>
Alias- (CNAME) en lijmrecords (A) voor forest-GUID's van server:
CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com
- Alias:
DC.fabrikam.com
- Lijm: <IP-adres>
- Alias:
CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com
- Alias:
dc2.child.fabrikam.com
- Lijm: <IP-adres>
Zie Beschrijving van het hulpprogramma DNSLint voor meer informatie.
- Alias:
Controleer of netwerkpoorten niet worden geblokkeerd door een firewall of een toepassing van derden die luistert op de vereiste poorten
De eindpunttoewijzing (luistert op poort 135) vertelt de client op welke willekeurig toegewezen poort een service (FRS, AD-replicatie, MAPI, enzovoort) luistert.
Toepassingsprotocol | Protocol | Poorten |
---|---|---|
Globale catalogusserver | TCP | 3269 |
Globale catalogusserver | TCP | 3268 |
LDAP Server | TCP | 389 |
LDAP Server | UDP | 389 |
LDAP SSL | TCP | 636 |
LDAP SSL | UDP | 636 |
IPsec ISAKMP | UDP | 500 |
NAT-T | UDP | 4500 |
RPC | TCP | 135 |
RPC willekeurig toegewezen hoge TCP-poorten¹ | TCP | 1024 - 5000 49152 - 65535* |
*
Dit is het bereik in Windows Server 2008, Windows Vista, Windows 7 en Windows 2008 R2.
Portqry kan worden gebruikt om te bepalen of een poort wordt geblokkeerd voor een dc bij het richten op een andere domeincontroller. Het kan worden gedownload op PortQry Command Line Port Scanner versie 2.0.
Voorbeeldsyntaxis:
portqry -n <problem_server> -e 135
portqry -n <problem_server> -r 1024-5000
Een grafische versie van portqry, portqryui genaamd, is te vinden op PortQryUI - User Interface voor de PortQry Command Line Port Scanner.
Als het dynamische poortbereik poorten heeft die zijn geblokkeerd, gebruikt u de onderstaande koppelingen om een poortbereik te configureren dat kan worden beheerd voor de klant.
Aanvullende belangrijke koppelingen voor de configuratie en het werken met firewalls en domeincontrollers:
- Procedure: Dynamische RPC-poorttoewijzing configureren voor gebruik met firewall
- Active Directory-replicatieverkeer beperken tot een specifieke poort
- Een firewall configureren voor domeinen en vertrouwensrelaties
- Een lijst met de standaardpoorten van de Windows Server-domeincontroller
- Poortvereisten voor het Microsoft Windows Server-systeem
Ongeldige NIC-stuurprogramma's
Zie leveranciers van netwerkkaarten of OEM's voor de nieuwste stuurprogramma's.
UDP-fragmentatie kan replicatiefouten veroorzaken die een bron van RPC-server niet beschikbaar lijken te hebben
Gebeurtenis-id 40960 & 40961-fouten met een bron van LSASRV komen vaak voor deze specifieke oorzaak voor.
Zie Kerberos dwingen tcp te gebruiken in plaats van UDP in Windows voor meer informatie.
SMB-ondertekening komt niet overeen tussen DC's
Als u standaardbeleid voor domeincontrollers gebruikt om consistente instellingen te configureren voor SMB-ondertekening in de volgende sectie, kunt u deze oorzaak oplossen:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
- Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd) uitgeschakeld.
- Microsoft-netwerkclient: communicatie digitaal ondertekenen (als de server hiermee akkoord gaat) ingeschakeld.
- Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd) uitgeschakeld.
- Microsoft-netwerkserver: communicatie digitaal ondertekenen (als de client hiermee akkoord gaat) ingeschakeld.
De instellingen vindt u onder de volgende registersleutels:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
enHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
- RequireSecuritySignature = always (0,disable, 1 enable).
- EnableSecuritySignature = is server is akkoord (0,disable, 1 enable).
Aanvullende probleemoplossing:
Als het bovenstaande geen oplossing biedt voor de 1722, gebruikt u de volgende diagnostische logboekregistratie om meer informatie te verzamelen:
Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.
Crank up NTDS Diagnostic logging
1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.
Gegevensverzameling
Als u hulp nodig hebt van Microsoft-ondersteuning, raden we u aan de gegevens te verzamelen door de stappen te volgen die worden vermeld in Gegevens verzamelen met behulp van TSS voor replicatieproblemen met Active Directory.
Verwijzingen
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor