Błąd replikacji usługi Active Directory 1722: Serwer RPC jest niedostępny
Ten artykuł pomaga naprawić błąd 1722 replikacji usługi Active Directory.
Dotyczy: Windows Server (wszystkie obsługiwane wersje)
Oryginalny numer KB: 2102154
Symptomy
W tym artykule opisano objawy, przyczyny i rozwiązania problemów z niepowodzeniem replikacji usługi Active Directory z błędem Win32 1722: Serwer RPC jest niedostępny.
Podwyższenie poziomu dcpromo repliki kontrolera domeny nie może utworzyć obiektu ustawień NTDS na kontrolerze domeny pomocnika z błędem 1722。
Tekst tytułu okna dialogowego: Kreator instalacji Active Directory Domain Services
Tekst komunikatu okna dialogowego:
The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."
Funkcja DCDIAG informuje, że test replikacji usługi Active Directory zakończył się niepowodzeniem z powodu błędu 1722: Serwer RPC jest niedostępny.
[Replications Check,<DC Name>] A recent replication attempt failed: From <source DC> to <destination DC> Naming Context: <DN path of directory partition> The replication generated an error (1722): The RPC server is unavailable. The failure occurred at <date> <time>. The last success occurred at <date> <time>. <X> failures have occurred since the last success. [<dc name>] DsBindWithSpnEx() failed with error 1722, The RPC server is unavailable.. Printing RPC Extended Error Info: <snip>
REPADMIN.EXE zgłasza, że próba replikacji nie powiodła się ze stanem 1722 (0x6ba).
Polecenia REPADMIN, które często powołują się na stan -1722 (0x6ba), obejmują między innymi:
REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS
REPADMIN /SYNCALL
Poniżej przedstawiono przykładowe dane wyjściowe z
REPADMIN /SHOWREPS
serwera RPC iREPADMIN /SYNCALL
przedstawiające błąd niedostępności serwera RPC :c:\> repadmin /showreps <site name><destination DC> DC Options: <list of flags> Site Options: (none) DC object GUID: <NTDS settings object object GUID> DC invocationID: <invocation ID string> ==== INBOUND NEIGHBORS ====================================== DC=<DN path for directory partition> <site name><source DC via RPC DC object GUID: <source DCs ntds settings object object guid> Last attempt @ <date> <time> failed, result **1722 (0x6ba): The RPC server is unavailable. <X #> consecutive failure(s). Last success @ <date> <time>
Poniżej przedstawiono
REPADMIN /SYNCALL
przykładowe dane wyjściowe przedstawiające błąd niedostępności serwera RPC :C:\>repadmin /syncall CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba): The RPC server is unavailable.
Polecenie replikuj teraz w lokacjach i usługach usługi Active Directory zwraca wartość Serwer RPC jest niedostępny.
Kliknięcie prawym przyciskiem myszy obiektu połączenia ze źródłowego kontrolera domeny i wybranie replikacji kończy się niepowodzeniem z powodu niedostępności serwera RPC. Poniższy komunikat o błędzie wyświetlany na ekranie:
Tekst tytułu okna dialogowego: Replikuj teraz
Tekst komunikatu okna dialogowego:
Podczas próby zsynchronizowania kontekstu <nazewnictwa nazwa DNS partycji> katalogu ze źródła kontrolera <domeny nazwa> hosta kontrolera domeny do docelowej nazwy hosta> kontrolera <domeny: Serwer RPC jest niedostępny. Ta operacja nie będzie kontynuowana. Ten warunek może być spowodowany problemem z wyszukiwaniem DNS. Aby uzyskać informacje na temat rozwiązywania typowych problemów z wyszukiwaniem DNS, zobacz następującą witrynę sieci Web firmy Microsoft: Problem z wyszukiwaniem DNS
NtDS Knowledge Consistency Checker (KCC), NTDS General lub Microsoft-Windows-ActiveDirectory_DomainService zdarzenia o stanie 1722 są rejestrowane w dzienniku zdarzeń usługi katalogowej.
Zdarzenia usługi Active Directory, które często powołują się na stan 1722, obejmują, ale nie są ograniczone do:
Źródło zdarzeń Identyfikator zdarzenia Ciąg zdarzenia Microsoft-Windows-ActiveDirectory_DomainService 1125 Kreator instalacji Active Directory Domain Services (Dcpromo) nie może nawiązać połączenia z następującym kontrolerem domeny. NTDS KCC 1311 Moduł sprawdzania spójności wiedzy (KCC) wykrył problemy z następującą partycją katalogu. NTDS KCC 1865 Kontroler spójności wiedzy (KCC) nie może utworzyć pełnej topologii sieci drzewa obejmującego. W związku z tym nie można uzyskać dostępu do następującej listy witryn z witryny lokalnej. NTDS KCC 1925 Próba ustanowienia linku replikacji dla następującej zapisywalnej partycji katalogu nie powiodła się. Replikacja NTDS 1960 Zdarzenie wewnętrzne: następujący kontroler domeny otrzymał wyjątek od połączenia zdalnego wywołania procedury (RPC). Operacja mogła zakończyć się niepowodzeniem.
Przyczyna
RPC to warstwa pośrednia między transportem sieciowym a protokołem aplikacji. Sam RPC nie ma specjalnego wglądu w błędy, ale próbuje mapować błędy protokołu niższej warstwy na błąd w warstwie RPC.
Błąd RPC 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE jest rejestrowany, gdy protokół niższej warstwy zgłasza błąd łączności. Typowym przypadkiem jest to, że abstrakcyjna operacja TCP CONNECT nie powiodła się. W kontekście replikacji usługi AD klient RPC na docelowym kontrolerze domeny nie mógł pomyślnie nawiązać połączenia z serwerem RPC na źródłowym kontrolerze domeny. Typowe przyczyny tego problemu to:
- Błąd lokalny łącza
- Błąd DHCP
- Błąd DNS
- Niepowodzenie USŁUGI WINS
- Błąd routingu (w tym zablokowane porty w zaporach)
- Błędy uwierzytelniania ipsec/sieci
- Ograniczenia zasobów
- Protokół wyższej warstwy nie jest uruchomiony
- Ten błąd zwraca protokół wyższej warstwy
Rozwiązanie
Podstawowe kroki rozwiązywania problemów w celu zidentyfikowania problemu.
Sprawdź, czy wartość uruchomienia i stan usługi są poprawne dla RPC, lokalizatora RPC i centrum dystrybucji kluczy Kerberos
Sprawdź, czy wartość uruchomienia i stan usługi są poprawne dla zdalnego wywołania procedury (RPC), lokalizatora zdalnego wywołania procedury (RPC) i centrum dystrybucji kluczy Kerberos.
Wersja systemu operacyjnego określi poprawne wartości dla systemu źródłowego i docelowego, który rejestruje błąd replikacji. Użyj poniższej tabeli, aby sprawdzić poprawność ustawień.
Nazwa usługi | Windows 2000 | Windows 2003 /R2 | Windows 2008 | Windows 2008 R2 |
---|---|---|---|---|
Zdalne wywołanie procedury (RPC) | Uruchomiono/automatycznie | Uruchomiono/automatycznie | Uruchomiono/automatycznie | Uruchomiono/automatycznie |
Lokalizator zdalnego wywołania procedury (RPC) | Uruchomiono/automatycznie (kontrolery domeny) Nie uruchomiono/ręcznie (serwery członkowskie) |
Nie uruchomiono/ręczne | Nie uruchomiono/ręczne | Nie uruchomiono/ręczne |
Centrum dystrybucji kluczy Kerberos (KDC) | Uruchomiono/automatycznie (kontrolery domeny) Nie uruchomiono/wyłączono (serwery członkowskie) |
Uruchomiono/automatycznie (kontrolery domeny) Nie uruchomiono/wyłączono (serwery członkowskie) |
Uruchomiono/automatycznie (kontrolery domeny) Nie uruchomiono/wyłączono (serwery członkowskie) |
Uruchomiono/automatycznie (kontrolery domeny) Nie uruchomiono/wyłączono (serwery członkowskie) |
Jeśli wprowadzisz jakiekolwiek zmiany zgodne z powyższymi ustawieniami, uruchom ponownie maszynę. Sprawdź, czy wartość uruchamiania i stan usługi są zgodne z wartościami opisanymi w powyższej tabeli.
Sprawdź, czy klucz ClientProtocols istnieje w obszarze HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc i czy zawiera prawidłowe protokoły domyślne
Nazwa protokołu | Wpisać | Wartość danych |
---|---|---|
ncacn_http | REG_SZ | rpcrt4.dll |
ncacn_ip_tcp | REG_SZ | rpcrt4.dll |
ncacn_np | REG_SZ | rpcrt4.dll |
ncacn_ip_udp | REG_SZ | rpcrt4.dll |
Jeśli brakuje klucza ClientProtocols lub dowolnej z czterech wartości domyślnych, zaimportuj klucz ze znanego dobrego serwera.
Sprawdzanie, czy system DNS działa
Błędy wyszukiwania DNS są przyczyną dużej liczby błędów RPC 1722, jeśli chodzi o replikację.
Istnieje kilka narzędzi, które ułatwiają identyfikowanie błędów DNS:
DCDIAG /TEST:DNS /V /E /F:<filename.log>
Polecenie
DCDIAG /TEST:DNS
może weryfikować kondycję SYSTEMU DNS kontrolerów domeny z rodziny Windows Server 2000 Server (SP3 lub nowszej), Windows Server 2003 i Windows Server 2008. Ten test został po raz pierwszy wprowadzony w systemie Windows Server 2003 z dodatkiem Service Pack 1.Dla tego polecenia jest siedem grup testowych.
Uwierzytelnianie (uwierzytelnianie)
Podstawowe (
Basc
)Rejestrowanie rekordów (RReg)
Aktualizacja dynamiczna (
Dyn
)Delegowania (Del)
Wskazówki dotyczące usługi przesyłania dalej/katalogu głównego (Forw)
Przykładowe dane wyjściowe:
TEST: Authentication (Auth) Authentication test: Successfully completed TEST: Basic (Basc) Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported NETLOGON service is running kdc service is running DNSCACHE service is running DNS service is running DC is a DNS server Network adapters information: Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter: MAC address is 00:15:5D:40:CF:92 IP address is static IP address: <IP Address> DNS servers: <DNS IP Address> (DC.domain.com.) [Valid] The A record for this DC was found The SOA record for the Active Directory zone was found The Active Directory zone on this DC/DNS server was found (primary) Root zone on this DC/DNS server was not found <omitted other tests for readability>
Podsumowanie wyników testów DNS:
Auth Basc Forw Del Dyn RReg Ext Domain: fragale.contoso.com DC1 PASS PASS FAIL PASS PASS PASS n/a Domain: child.fragale.contoso.com DC2 PASS PASS n/a n/a n/a PASS n/a Enterprise DNS infrastructure test results: For parent domain domain.com and subordinate domain child: Forwarders or root hints are not misconfigured from parent domain to subordinate domain Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests (See DNS servers section for error details) Delegation is configured properly from parent to subordinate domain ......................... domain.com failed test DNS
Podsumowanie zawiera kroki korygowania dla bardziej typowych błędów z tego testu.
Wyjaśnienie i dodatkowe opcje tego testu można znaleźć w narzędziu diagnostyki kontrolera domeny (dcdiag.exe).
NLTEST /DSGETDC:<netbios or DNS domain name>
Nltest /dsgetdc
Służy do wykonywania procesu lokalizatora dc. W ten sposób/dsgetdc:<domain name>
próbuje znaleźć kontroler domeny dla domeny. Użycie flagi wymusza lokalizację kontrolera domeny zamiast korzystania z pamięci podręcznej. Można również określić opcje, takie jak /gc lub /pdc , aby zlokalizować wykaz globalny lub emulator podstawowego kontrolera domeny. Aby znaleźć wykaz globalny, należy określić nazwę drzewa, która jest nazwą domeny DNS domeny głównej.Przykładowe dane wyjściowe:
DC: [\DC.fabrikam.com] Address: \\<IP Address> Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b Dom Name: fabrikam.com Forest Name: fabrikam.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully
Netdiag -v
Może być używany z systemem Windows 2003 i starszymi wersjami w celu zebrania określonych informacji dotyczących konfiguracji sieci i błędów. Uruchomienie tego narzędzia zajmuje trochę czasu podczas wykonywania przełącznika
-v
.Przykładowe dane wyjściowe testu DNS:
DNS test . . . . . . . . . . . . . : Passed Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A} DNS Domain: DNS Servers: <DNS Server Ip address> IP Address: Expected registration with PDN (primary DNS domain name): Hostname: DC.fabrikam.com. Authoritative zone: fabrikam.com. Primary DNS server: DC.fabrikam.com <Ip Address> Authoritative NS:<Ip Address> Check the DNS registration for DCs entries on DNS server <DNS Server Ip address> The Record is correct on DNS server '<DNS Server Ip address>'. (You will see this line repeated several times for every entry for this DC. Including srv records.) The Record is correct on DNS server '<DNS Server Ip address>'. PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.
ping -a <IP_of_problem_server>
Jest to prosty szybki test w celu zweryfikowania, czy rekord hosta dla kontrolera domeny jest rozpoznawana na właściwej maszynie.
dnslint /s IP /ad IP
DNSLint to narzędzie systemu Windows, które ułatwia diagnozowanie typowych problemów z rozpoznawaniem nazw DNS. Dane wyjściowe to plik htm zawierający wiele informacji, w tym:
Serwer DNS: localhost
IP Address: 127.0.0.1 UDP port 53 responding to queries: YES TCP port 53 responding to queries: Not tested Answering authoritatively for domain: NO
Dane rekordu SOA z serwera:
Authoritative name server: DC.domain.com Hostmaster: hostmaster Zone serial number: 14 Zone expires in: 1.00 day(s) Refresh period: 900 seconds Retry delay: 600 seconds Default (minimum) TTL: 3600 seconds
Dodatkowe rekordy autorytatywne (NS) z serwera:
DC2.fabrikam.com <IP Address>
Alias (CNAME) i przyklej rekordy (A) dla identyfikatorów GUID lasu z serwera:
CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com
- Alias:
DC.fabrikam.com
- Klej: <adresy IP>
- Alias:
CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com
- Alias:
dc2.child.fabrikam.com
- Klej: <adres IP>
Aby uzyskać więcej informacji, zobacz Opis narzędzia DNSLint.
- Alias:
Sprawdź, czy porty sieciowe nie są blokowane przez zaporę lub aplikację innej firmy nasłuchujące na wymaganych portach
Mapowanie punktu końcowego (nasłuchiwanie na porcie 135) informuje klienta, który losowo przypisany port usługi (FRS, replikacja usługi AD, MAPI itd.) nasłuchuje.
Protokół aplikacji | Protocol (Protokół) | Porty |
---|---|---|
Serwer wykazu globalnego | TCP | 3269 |
Serwer wykazu globalnego | TCP | 3268 |
LDAP Server | TCP | 389 |
LDAP Server | UDP | 389 |
LDAP SSL | TCP | 636 |
LDAP SSL | UDP | 636 |
IPsec ISAKMP | UDP | 500 |
NAT-T | UDP | 4500 |
RPC | TCP | 135 |
RPC losowo przydzielane wysokie porty TCP¹ | TCP | 1024 - 5000 49152 - 65535* |
*
Jest to zakres w systemach Windows Server 2008, Windows Vista, Windows 7 i Windows 2008 R2.
Portqry może służyć do identyfikowania, czy port jest zablokowany z kontrolera domeny podczas określania wartości docelowej innego kontrolera domeny. Można go pobrać ze skanera portów wiersza polecenia PortQry w wersji 2.0.
Przykładowa składnia:
portqry -n <problem_server> -e 135
portqry -n <problem_server> -r 1024-5000
Graficzną wersję portqry o nazwie Portqryui można znaleźć w witrynie PortQryUI — interfejs użytkownika skanera portów wiersza polecenia PortQry.
Jeśli zakres portów dynamicznych ma zablokowane porty, użyj poniższych linków, aby skonfigurować zakres portów, który jest możliwy do zarządzania dla klienta.
Dodatkowe ważne linki do konfiguracji i pracy z zaporami i kontrolerami domeny:
- HOWTO: Konfigurowanie dynamicznej alokacji portów RPC do pracy z zaporą
- Ograniczanie ruchu replikacji usługi Active Directory do określonego portu
- Jak skonfigurować zaporę dla domen i relacji zaufania
- Lista domyślnych portów kontrolera domeny systemu Windows Server
- Wymagania dotyczące portów dla systemu Microsoft Windows Server
Nieprawidłowe sterowniki kart sieciowych
Najnowsze sterowniki można znaleźć w temacie Network Card Vendors or OEMs (Dostawcy kart sieciowych lub OEM).
Fragmentacja UDP może powodować błędy replikacji, które wydają się mieć źródło serwera RPC jest niedostępne
Błąd zdarzenia 40960 & 40961 ze źródłem LSASRV jest typowy dla tej konkretnej przyczyny.
Aby uzyskać więcej informacji, zobacz How to force Kerberos to use TCP instead of UDP in Windows (Jak wymusić używanie protokołu Kerberos zamiast protokołu UDP w systemie Windows).
Niezgodności podpisywania SMB między kontrolerami domeny
Użycie domyślnych zasad kontrolerów domeny do skonfigurowania spójnych ustawień podpisywania SMB w poniższej sekcji pomoże rozwiązać tę przyczynę:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
- Klient sieci firmy Microsoft: podpisz cyfrowo komunikację (zawsze) Wyłączone.
- Klient sieci firmy Microsoft: podpisz cyfrowo komunikację (jeśli serwer wyrazi zgodę) Włączone.
- Serwer sieci firmy Microsoft: podpisz cyfrowo komunikację (zawsze) Wyłączone.
- Serwer sieci firmy Microsoft: podpisz cyfrowo komunikację (jeśli klient wyrazi zgodę) Włączone.
Ustawienia można znaleźć w następujących kluczach rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
IHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
- RequireSecuritySignature = always (0,disable, 1 enable).
- EnableSecuritySignature = czy serwer zgadza się (0,wyłącz, 1 włącz).
Dodatkowe rozwiązywanie problemów:
Jeśli powyższe rozwiązanie nie zawiera rozwiązania 1722, użyj następującego rejestrowania diagnostycznego, aby zebrać więcej informacji:
Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.
Crank up NTDS Diagnostic logging
1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.
Zbieranie danych
Jeśli potrzebujesz pomocy ze strony pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki wymienione w temacie Zbieranie informacji przy użyciu usługi TSS w przypadku problemów z replikacją usługi Active Directory.
Informacje
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla