Błąd replikacji usługi Active Directory 1753: Nie ma więcej punktów końcowych dostępnych w programie mapowania punktów końcowych

W tym artykule opisano problem polegający na tym, że replikacje usługi Active Directory kończą się niepowodzeniem z błędem Win32 1753: "Nie ma więcej punktów końcowych dostępnych w programie mapowania punktów końcowych".

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 2089874

Użytkownicy domowi: Ten artykuł jest przeznaczony tylko dla agentów pomocy technicznej i specjalistów IT. Jeśli szukasz pomocy dotyczącej problemu, zapytaj społeczność firmy Microsoft.

Symptomy

W tym artykule opisano objawy, przyczyny i kroki rozwiązywania dla operacji usługi AD, które kończą się niepowodzeniem z błędem Win32 1753: "Nie ma więcej punktów końcowych dostępnych w mapowniku punktu końcowego".

1. Funkcja DCDIAG zgłasza, że test łączności, test replikacji usługi Active Directory lub test KnowsOfRoleHolders zakończył się niepowodzeniem z powodu błędu 1753: "Nie ma więcej punktów końcowych dostępnych z mapownika punktu końcowego".

   Serwer testów: <nazwa kontrolera domeny lokacji><>
   Test początkowy: łączność
   *Sprawdzanie usług Active Directory LDAP * Active Directory RPC Services Check
   [<Nazwa> kontrolera domeny] DsBindWithSpnEx() nie powiodło się z powodu błędu 1753,
   W programie mapper punktu końcowego nie ma więcej punktów końcowych.
   Drukowanie informacji o błędzie rozszerzonym RPC:
   Rekord błędu 1. Identyfikator procesu to <identyfikator> procesu (DcDiag)
   Godzina systemowa to: <data i godzina><>
   Stan składnika generowania to 2 (środowisko uruchomieniowe RPC) to 1753: Nie ma więcej punktów końcowych dostępnych w programie mapowania punktów końcowych. Lokalizacja wykrywania to 500 NumberOfParameters to 4
   Ciąg Unicode: ncacn_ip_tcp
   Ciąg Unicode: <źródłowy identyfikator GUID> obiektu kontrolera domeny._msdcs.contoso.com
   Długa wartość: -481213899
   Długa wartość: 65537
   Rekord błędu 2, Identyfikator procesu to 700 (DcDiag)
   Godzina systemowa to: <data i godzina><>
   Generowanie składnika to 2 (środowisko uruchomieniowe RPC)
   Stan to 1753: Nie ma więcej punktów końcowych dostępnych w mapowniku punktu końcowego.
   Wartość NumberOfParameters wynosi 1
   Ciąg Unicode: 1025

   [Sprawdzanie replikacji,<Nazwa> kontrolera domeny] Ostatnia próba replikacji nie powiodła się:
   Od <źródłowego kontrolera domeny> do <docelowego kontrolera domeny>
   Kontekst nazewnictwa: <ścieżka DN partycji katalogu>
   Replikacja wygenerowała błąd (1753):
   Nie ma więcej punktów końcowych dostępnych z mapownika punktu końcowego.
   Awaria wystąpiła o godzinie<.><>
   Ostatni sukces miał miejsce o tej godzinie<<>>.
   Od ostatniego sukcesu wystąpiły 3 błędy.
   Katalog w <nazwie> kontrolera domeny jest w trakcie procesu.
   uruchamiania lub zamykania i nie jest dostępna.
   Sprawdź, czy maszyna nie zawiesza się podczas rozruchu.

2. REPADMIN.EXE raportuje, że próba replikacji nie powiodła się ze stanem 1753.

   Polecenia REPADMIN, które często powołują się na stan 1753, obejmują, ale nie są ograniczone do:

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   Z poniższych przykładowych danych wyjściowych REPADMIN /SHOWREPS wynika, że replikacja przychodząca z modelu CONTOSO-DC2 do CONTOSO-DC1 kończy się niepowodzeniem z powodu błędu "Odmowa dostępu do replikacji":

   Default-First-Site-Name\CONTOSO-DC1
   Opcje DSA: IS_GC
   Opcje witryny: (brak)
   Identyfikator GUID obiektu DSA:
   DSA invocationID:

   DC=contoso,DC=com
   Default-First-Site-Name\CONTOSO-DC2 za pośrednictwem RPC
   Identyfikator GUID obiektu DSA:
   Ostatnia próba @ <data><godziny> nie powiodła się, wynik 1753 (0x6d9):
   Nie ma więcej punktów końcowych dostępnych z mapownika punktu końcowego.
   <#> kolejne błędy.
   Ostatni sukces @ <data godziny<>>.

3. Polecenie "Sprawdź topologię replikacji" w usługach i lokacjach usługi Active Directory zwraca wartość "nie ma więcej punktów końcowych dostępnych w programie mapowania punktów końcowych".

   Kliknięcie prawym przyciskiem myszy obiektu połączenia ze źródłowego kontrolera domeny i wybranie opcji "Sprawdź topologię replikacji" kończy się niepowodzeniem z komunikatem "Nie ma więcej punktów końcowych dostępnych z mapowania punktu końcowego. Poniższy komunikat o błędzie wyświetlany na ekranie:

   Tekst tytułu okna dialogowego: sprawdzanie topologii replikacji
   Tekst komunikatu okna dialogowego:

   Podczas próby skontaktowania się z kontrolerem domeny wystąpił następujący błąd: Nie ma więcej punktów końcowych dostępnych z mapownika punktu końcowego.

   OK

4. Polecenie "replikuj teraz" w usługach i lokacjach usługi Active Directory zwraca wartość "nie ma więcej punktów końcowych dostępnych z mapowania punktu końcowego".

   Kliknięcie prawym przyciskiem myszy obiektu połączenia ze źródłowego kontrolera domeny i wybranie opcji "replikuj teraz" kończy się niepowodzeniem z komunikatem "Nie ma więcej punktów końcowych dostępnych z mapowania punktu końcowego. Poniższy komunikat o błędzie wyświetlany na ekranie:

   Tekst tytułu okna dialogowego: Replikuj teraz

   Tekst komunikatu okna dialogowego: Podczas próby zsynchronizowania nazwy> partycji katalogu kontekstu <nazewnictwa z kontrolera domeny źródłowego> kontrolera domeny <do kontrolera domeny docelowego kontrolera> domeny <wystąpił następujący błąd: Nie ma więcej punktów końcowych dostępnych w programie mapowania punktów końcowych

   Operacja nie będzie kontynuowana

   Przyciski w oknie dialogowym: OK

5. NtDS Knowledge Consistency Checker (KCC), NTDS General lub Microsoft-Windows-ActiveDirectory_DomainService zdarzenia o stanie 1753 są rejestrowane w dzienniku zdarzeń usługi katalogowej.

   Zdarzenia usługi Active Directory, które często powołują się na stan 1753, obejmują, ale nie są ograniczone do:

   Źródło zdarzeń	Identyfikator zdarzenia	Ciąg zdarzenia
   NTDS Ogólne	1655	Usługa Active Directory próbowała nawiązać komunikację z następującym wykazem globalnym, a próby zakończyły się niepowodzeniem.
   NTDS KCC	1925	Próba ustanowienia linku replikacji dla następującej zapisywalnej partycji katalogu nie powiodła się.
   NTDS KCC	1265	Próba dodania umowy replikacji dla następującej partycji katalogu i źródłowego kontrolera domeny przez moduł sprawdzania spójności wiedzy (KCC) nie powiodła się.

Przyczyna

Na poniższym diagramie przedstawiono przepływ pracy zdalnego wywołania procedury (RPC). Przepływ pracy rozpoczyna się od rejestracji aplikacji serwera za pomocą narzędzia RPC Endpoint Mapper (EPM) w kroku 1. Kończy się przekazywaniem danych z klienta RPC do aplikacji klienckiej w kroku 7.

Kroki od 1 do 7 mapują następujące operacje:

1. Aplikacja serwera rejestruje swoje punkty końcowe za pomocą narzędzia RPC Endpoint Mapper (EPM).
2. Klient wykonuje wywołanie RPC w imieniu użytkownika, systemu operacyjnego lub operacji zainicjowanej przez aplikację.
3. RPC po stronie klienta kontaktuje się z komputerami docelowymi EPM i prosi o zakończenie wywołania klienta przez punkt końcowy.
4. Program EPM maszyny serwera odpowiada punktem końcowym.
5. RPC po stronie klienta kontaktuje się z aplikacją serwera.
6. Aplikacja serwera wykonuje wywołanie i zwraca wynik do klienta RPC.
7. RPC po stronie klienta przekazuje wynik z powrotem do aplikacji klienckiej.

Błąd 1753 jest generowany przez błąd między krokami 3 i 4. W szczególności błąd 1753 oznacza, że klient RPC (docelowy kontroler domeny) może skontaktować się z serwerem RPC (źródłowym kontrolerem domeny) za pośrednictwem portu 135, ale program EPM na serwerze RPC (źródłowy kontroler domeny) nie mógł zlokalizować interesującej aplikacji RPC i zwrócił błąd po stronie serwera 1753. Błąd wskazuje, że klient RPC (docelowy kontroler domeny) odebrał odpowiedź na błąd po stronie serwera RPC (kontroler domeny replikacji usługi AD) za pośrednictwem sieci.

Konkretne główne przyczyny błędu 1753 obejmują:

1. Aplikacja serwera nigdy nie została uruchomiona. Oznacza to, że krok 1 na diagramie "więcej informacji" nigdy nie został podjęty.
2. Aplikacja serwera została uruchomiona, ale wystąpił błąd podczas inicjowania. Błąd uniemożliwił zarejestrowanie się w programie RPC Endpoint Mapper. Oznacza to, że podjęto próbę wykonania kroku 1 na diagramie "więcej informacji", ale nie powiodło się.
3. Aplikacja serwera została uruchomiona, ale później zmarła. Oznacza to, że krok 1 na diagramie "więcej informacji" został ukończony pomyślnie. Została ona cofnięta później z powodu śmierci serwera.
4. Aplikacja serwera ręcznie wyrejestrowuje swoje punkty końcowe (podobne do 3, ale zamierzone. Nie jest prawdopodobne, ale dołączone do kompletności).
5. Klient RPC (docelowy kontroler domeny) skontaktował się z innym serwerem RPC niż zamierzony. Jest to spowodowane błędem mapowania nazwy na adres IP w pliku DNS, WINS lub hosta / lmhosts.

Błąd 1753 NIE jest spowodowany przez:

• brak łączności sieciowej między klientem RPC (docelowym kontrolerem domeny) i serwerem RPC (źródłowym kontrolerem domeny) przez port 135.
• brak łączności sieciowej między serwerem RPC (źródłowym kontrolerem domeny) przy użyciu portu 135 i klienta RPC (docelowy kontroler domeny) za pośrednictwem portu efemerycznego.
• niezgodność hasła lub niezdolność źródłowego kontrolera domeny do odszyfrowania zaszyfrowanego pakietu Kerberos.

Rozwiązanie

Sprawdź, czy usługa rejestrująca swoją usługę za pomocą mapowania punktu końcowego została uruchomiona

• W przypadku komputerów z systemami Windows 2000 i Windows Server 2003: upewnij się, że źródłowy kontroler domeny jest uruchamiany w normalnym trybie.
• W przypadku systemu Windows Server 2008 lub Windows Server 2008 R2: z konsoli źródłowego kontrolera domeny uruchom Program Services Manager (services.msc). Sprawdź, czy usługa Active Directory jest uruchomiona. Usługa Active Directory jest wyświetlana jako "Active Directory Domain Services"

Sprawdź, czy klient RPC (docelowy kontroler domeny) był połączony z zamierzonym serwerem RPC (źródłowym kontrolerem domeny)

Wszystkie kontrolery domeny w typowym lesie usługi Active Directory rejestrują rekord CNAME kontrolera domeny z przewodnikiem w _msdcs.<strefa DNS domeny> głównej lasu, niezależnie od domeny, w której znajdują się w lesie. Rekord CNAME kontrolera domeny z przewodnikiem jest tworzony na podstawie identyfikatora objectGUID każdego obiektu ustawień NTDS kontrolera domeny.

Podczas wykonywania operacji opartych na replikacji docelowy kontroler domeny wysyła zapytanie do systemu DNS dla źródłowego rekordu CNAME z przewodnikiem kontrolera domeny. Rekord CNAME zawiera w pełni kwalifikowaną nazwę komputera źródłowego kontrolera domeny. Ta nazwa służy do generowania źródłowego adresu IP kontrolerów domeny za pośrednictwem:

• Wyszukiwanie pamięci podręcznej klienta DNS
• Wyszukiwanie pliku hosta /LMHost
• hostowanie rekordu A/AAAA w systemie DNS lub WINS

Nieaktualne obiekty ustawień NTDS i nieprawidłowa nazwa mapowań adresów IP w plikach DNS, WINS, Host i LMHOST mogą spowodować, że klient RPC (docelowy kontroler domeny) połączy się z niewłaściwym serwerem RPC (źródłowym kontrolerem domeny). Ponadto nieprawidłowa nazwa mapowania adresów IP może spowodować, że klient RPC (docelowy kontroler domeny) nawiąże połączenie z komputerem, na którym nie zainstalowano nawet aplikacji serwera RPC (w tym przypadku roli usługi Active Directory). Na przykład nieaktualny rekord hosta dc2 zawiera adres IP dc3 lub komputera członkowskiego.

Sprawdź, czy następujące identyfikatory GUID są zgodne:

• identyfikator GUID obiektu źródłowego kontrolera domeny, który istnieje w kopii docelowych kontrolerów domeny usługi Active Directory
• źródłowy identyfikator GUID obiektu kontrolera domeny przechowywany w kopii źródłowej usługi Active Directory.

Jeśli występuje rozbieżność, użyj obiektu repadmin /showobjmeta ustawień NTDS, aby zobaczyć, który z nich odpowiada ostatniej promocji źródłowego kontrolera domeny. Porównaj następujące sygnatury dat:

• Data utworzenia obiektu NTDS Settings na podstawie /showobjmeta.
• Data ostatniej podwyższania poziomu w źródłowym pliku DCs dcpromo.log.

Może być konieczne użycie daty ostatniej modyfikacji/utworzenia modelu DCPROMO. Sam plik DZIENNIKA. Jeśli identyfikatory GUID obiektów nie są identyczne, docelowy kontroler domeny może mieć nieaktualne ustawienia NTDS obiektu źródłowego kontrolera domeny, którego rekord CNAME odwołuje się do rekordu hosta z nieprawidłową nazwą mapowania adresów IP.

Na docelowym kontrolerze domeny uruchom polecenie IPCONFIG /ALL , aby określić serwery DNS, których docelowy kontroler domeny używa do rozpoznawania nazw:

c:\>ipconfig /all  

Na docelowym kontrolerze domeny uruchom polecenie NSLOOKUP względem źródłowych kontrolerów domeny w pełni kwalifikowanego rekordu CNAME kontrolera domeny:

c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs secondary DNS Server IP>

Sprawdź, czy adres IP zwrócony przez NSLOOKUP "jest właścicielem" nazwy hosta/tożsamości zabezpieczeń źródłowego kontrolera domeny.

a) C:\\>NBTSTAT -A \\<IP address _returned_ by NSLOOKUP in the step above>

LUB

b) Zaloguj się do konsoli źródłowego kontrolera domeny, uruchom polecenie IPCONFIG z wiersza polecenia i sprawdź, czy źródłowy kontroler domeny jest właścicielem adresu IP zwróconego przez powyższe polecenie NSLOOKUP.

Sprawdź nieaktualne/zduplikowane mapowania hosta na adres IP w systemie DNS.

NSLOOKUP -type=hostname \<single label hostname of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<single label hostname of source DC> \<secondary DNS Server IP on destination DC>

NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<secondary DNS Server IP on dest. DC>

Jeśli w rekordach hostów istnieją nieprawidłowe adresy IP, sprawdź, czy oczyszczanie DNS jest włączone i prawidłowo skonfigurowane.

Jeśli powyższe testy lub ślad sieci nie wyświetla kwerendy nazwy zwracającej nieprawidłowy adres IP, rozważ nieaktualne wpisy w plikach HOST, plikach LMHOSTS i serwerach WINS. Serwery DNS można również skonfigurować do wykonywania rozpoznawania nazw rezerwowych WINS.

Sprawdź, czy aplikacja serwera (active directory itd.) została zarejestrowana przy użyciu mapowania punktów końcowych na serwerze RPC (źródłowy kontroler domeny)

Usługa Active Directory używa kombinacji dobrze znanych i dynamicznie zarejestrowanych portów. Dobrze znane porty i protokoły używane przez kontrolery domeny usługi Active Directory obejmują:

Dobrze znane porty NIE są zarejestrowane przy użyciu mapera punktów końcowych.

Usługa Active Directory i inne aplikacje rejestrują również usługi, które odbierają dynamicznie przypisane porty w efemerycznym zakresie portów RPC. Takie aplikacje serwera RPC są dynamicznie przypisywane porty TCP między 1024 i 5000 na komputerach z systemem Windows 2000 i Windows Server 2003. Są to dynamicznie przypisane porty TCP z zakresu od 49152 do 65535 na komputerach z systemami Windows Server 2008 i Windows Server 2008 R2. Port RPC używany przez replikację można zakodować na stałe w rejestrze, wykonując kroki opisane w 224196 MSKB. Usługa Active Directory nadal rejestruje się w programie EPM, gdy jest skonfigurowana do korzystania z zakodowanego portu.

Sprawdź, czy interesująca aplikacja serwera RPC zarejestrowała się w mapowaniu punktu końcowego RPC na serwerze RPC (źródłowym kontrolerze domeny w przypadku replikacji usługi AD).

Istnieje wiele sposobów wykonania tego zadania. Jednym z nich jest zainstalowanie i uruchomienie narzędzia PORTQRY z poziomu wiersza polecenia z uprawnieniami administratora w konsoli źródłowego kontrolera domeny:

c:\>portquery -n \<source DC> -e 135 >file.txt

portqry W danych wyjściowych zanotuj numery portów dynamicznie zarejestrowane przez "INTERFEJS DRS katalogu MS NT" (UUID = 351...) dla protokołu ncacn_ip_tcp. Poniższy fragment kodu przedstawia przykładowe dane wyjściowe z kontrolera domeny systemu Windows Server 2008 R2 i pary UUID/protokołu używanej przez usługę Active Directory pogrubioną czcionką:

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface ncacn_np:CONTOSO-DC01[\pipe\lsass]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\PIPE\protected_storage]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:CONTOSO-DC01[49156]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[49157]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[6004]

Inne przyczyny

1. Sprawdź, czy źródłowy kontroler domeny jest uruchamiany w trybie normalnym. Sprawdź, czy rola systemu operacyjnego i kontrolera domeny na źródłowym kontrolerze domeny została w pełni uruchomiona.

2. Sprawdź, czy usługa domena usługi Active Directory jest uruchomiona. Jeśli usługa jest obecnie zatrzymana lub nie została skonfigurowana z domyślnymi wartościami uruchamiania, zresetuj domyślne wartości uruchamiania. Uruchom ponownie zmodyfikowany kontroler domeny, a następnie ponów próbę wykonania operacji.

3. Sprawdź, czy wartość uruchamiania i stan usługi dla usługi RPC i lokalizatora RPC są poprawne dla wersji systemu operacyjnego klienta RPC (docelowego kontrolera domeny) i serwera RPC (źródłowego kontrolera domeny). Jeśli usługa jest obecnie zatrzymana lub nie została skonfigurowana z domyślnymi wartościami uruchamiania, zresetuj domyślne wartości uruchamiania. Uruchom ponownie zmodyfikowany kontroler domeny, a następnie ponów próbę wykonania operacji.

   Upewnij się również, że kontekst usługi jest zgodny z ustawieniami domyślnymi.

   Windows 2000	Wartość uruchamiania	Stan usługi
   Zdalne wywołanie procedury (RPC)	Automatyczne	Rozpoczął
   Lokalizator zdalnego wywołania procedury (RPC)	Automatyczne	Rozpoczął
   Windows Server 2003, Server 2008, Server 2008 R2	Wartość uruchamiania	Stan usługi
   Zdalne wywołanie procedury (RPC)	Automatyczne	Rozpoczął
   Lokalizator zdalnego wywołania procedury (RPC)	Ręcznie	Wartość null lub zatrzymana

4. Sprawdź, czy rozmiar zakresu portów dynamicznych nie został ograniczony. Poniżej przedstawiono składnię NETSH systemu Windows Server 2008 i Windows Server 2008 R2 do wyliczenia zakresu portów RPC:

   >netsh int ipv4 show dynamicport tcp
   >netsh int ipv4 show dynamicport udp
   >netsh int ipv6 show dynamicport tcp
   >netsh int ipv6 show dynamicport udp
   

5. Przejrzyj 224196 KB. Upewnij się, że zakodowany na stałe port należy do efemerycznego zakresu portów dla wersji systemu operacyjnego źródłowego kontrolera domeny.

6. Sprawdź, czy klucz ClientProtocols istnieje w obszarze HKLM\Software\Microsoft\Rpc i zawiera następujące pięć wartości domyślnych:

   ncacn_http REG_SZ rpcrt4.dll
   ncacn_ip_tcp REG_SZ rpcrt4.dll
   ncacn_nb_tcp REG_SZ rpcrt4.dll
   ncacn_np REG_SZ rpcrt4.dll
   ncacn_ip_udp REG_SZ rpcrt4.dll
   

Więcej informacji

Przykład nieprawidłowego mapowania nazwy na adres IP powodujący błąd RPC 1753 a -2146893022: docelowa nazwa główna jest niepoprawna

Domena contoso.com składa się z \\DC1 i \\DC2 z adresami IP x.x.1.1 i x.x.1.2. Rekordy hosta "A" / "AAAA" dla \\DC2 są poprawnie zarejestrowane na wszystkich serwerach DNS skonfigurowanych dla \\DC1. Ponadto plik HOSTS w folderze \\DC1 zawiera w pełni kwalifikowaną nazwę hosta DC2 na adres IP x.x.1.2. Później adres IP kontrolera DOMENY DC2 zmienia się z X.X.1.2 na X.X.1.3, a nowy komputer członkowski jest przyłączony do domeny z adresem IP x.x.1.2. Próby replikacji usługi AD wyzwalane przez polecenie "replikuj teraz" w przystawki Lokacje i usługi Active Directory kończy się niepowodzeniem z błędem 1753. Poniżej przedstawiono ślad:

Operacja DEST języka F# SRC
1 x.x.1.1 x.x.1.2 ARP:Request, x.x.1.1 prosi o x.x.1.2
2 x.x.1.2 x.x.1.1 ARP:Response, x.x.1.2 w 00-13-72-28-C8-5E
3 x.x.1.1 x.x.1.2 TCP:Flags=...... S., SrcPort=50206, DstPort=DCE endpoint resolution(135)
4 x.x.1.2 x.x.1.1 ARP:Request, x.x.1.2 prosi o x.x.1.1
5 x.x.1.1 x.x.1.2 ARP:Response, x.x.1.1 w 00-15-5D-42-2E-00
6 x.x.1.2 x.x.1.1 TCP:Flags=... A.. S., SrcPort=DCE endpoint resolution(135)
7 x.x.1.1 x.x.1.2 TCP:Flags=... A...., SrcPort=50206, DstPort=DCE endpoint resolution(135)
8 x.x.1.1 x.x.1.2 MSRPC:c/o Bind: UUID{E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT(EPMP)
9 x.x.1.2 x.x.1.1 MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x5E68 Xmit=0x16D0 Recv=0x16D0
10 x.x.1.1 x.x.1.2 EPM:Request: ept_map: NDR, DRSR(DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [DCE endpoint resolution(135)]
11 x.x.1.2 x.x.1.1 EPM:Odpowiedź: ept_map: 0x16C9A0D6 — EP_S_NOT_REGISTERED

W ramce 10 docelowy kontroler domeny wysyła zapytanie do mapowania punktu końcowego źródłowych kontrolerów domeny na porcie 135 dla klasy UUID usługi replikacji usługi Active Directory {E351...}

W ramce 11 źródłowy kontroler domeny, w tym przypadku komputer członkowski, nie hostuje jeszcze roli kontrolera domeny. Dlatego nie zarejestrowano elementu {E351...} Identyfikator UUID dla usługi replikacji z lokalnym modułem EPM. Źródłowy kontroler domeny odpowiada z błędem symbolicznym EP_S_NOT_REGISTERED. Ten błąd jest mapowany na błąd dziesiętny 1753, błąd szesnastkowy 0x6d9 i przyjazny błąd "nie ma więcej punktów końcowych dostępnych w mapowniku punktu końcowego".

Później komputer członkowski z adresem IP x.x.1.2 jest promowany jako replika "MayberryDC" w domenie contoso.com . Ponownie polecenie "replikuj teraz" jest używane do wyzwalania replikacji, ale tym razem kończy się niepowodzeniem z powodu błędu na ekranie "główna nazwa docelowa jest niepoprawna". Komputer, którego karta sieciowa jest właścicielem adresu IP x.x.1.2, jest kontrolerem domeny. Obecnie jest on uruchamiany w trybie normalnym i zarejestrował identyfikator UUID usługi replikacji {E351...} przy użyciu lokalnego modułu EPM. Ale nie jest właścicielem nazwy / tożsamości zabezpieczeń DC2 i nie może odszyfrować żądania Kerberos z DC1. W związku z tym żądanie kończy się niepowodzeniem z powodu błędu "Główna nazwa docelowa jest nieprawidłowa". Ten błąd mapuje na błąd dziesiętny — 2146893022, błąd szesnastkowy 0x80090322.

Takie nieprawidłowe mapowania adresów IP hosta do mogą być spowodowane przez nieaktualne wpisy w plikach hosta / lmhost, rejestracje hosta A / AAAA w systemie DNS lub WINS.

Krótki opis:

• Przykład 1 nie powiódł się z powodu nieprawidłowego mapowania hosta na adres IP (w tym przypadku w pliku HOST). To spowodowało, że docelowy kontroler domeny rozpoznał "źródłowy" kontroler domeny, który nie miał uruchomionej usługi AD (lub nawet zainstalowanej w tym celu). Dlatego nazwa SPN replikacji nie została jeszcze zarejestrowana, a źródłowy kontroler domeny zwrócił błąd 1753.
• W drugim przypadku nieprawidłowe mapowanie hosta na adres IP (ponownie w pliku HOST) spowodowało połączenie docelowego kontrolera domeny z kontrolerem domeny, który zarejestrował nazwę SPN replikacji {E351...}. Jednak to źródło miało inną nazwę hosta i tożsamość zabezpieczeń niż zamierzony źródłowy kontroler domeny, więc próby nie powiodły się z powodu błędu -2146893022: główna nazwa docelowa jest niepoprawna.

Zbieranie danych

Jeśli potrzebujesz pomocy ze strony pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki wymienione w temacie Zbieranie informacji przy użyciu usługi TSS w przypadku problemów z replikacją usługi Active Directory.

Powiązana zawartość

• Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows Server
• Ograniczanie ruchu replikacji usługi Active Directory i ruchu RPC klienta do określonego portu
• Jak skonfigurować dynamiczną alokację portów RPC do pracy z zaporą
• Jak działa RPC
• Jak serwer przygotowuje się do połączenia
• Jak klient nawiązuje połączenie
• Rejestrowanie interfejsu
• Udostępnianie serwera w sieci
• Rejestrowanie punktów końcowych
• Nasłuchiwanie wywołań klienta
• Jak klient nawiązuje połączenie
• 224196 ograniczanie ruchu replikacji usługi Active Directory i ruchu RPC klienta do określonego portu
• Nazwa SPN dla docelowego kontrolera domeny w usługach AD DS