Błąd replikacji usługi Active Directory 1722: Serwer RPC jest niedostępny

  • Artykuł

Ten artykuł pomaga naprawić błąd 1722 replikacji usługi Active Directory.

Dotyczy: Windows Server (wszystkie obsługiwane wersje)
Oryginalny numer KB: 2102154

Symptomy

W tym artykule opisano objawy, przyczyny i rozwiązania problemów z niepowodzeniem replikacji usługi Active Directory z błędem Win32 1722: Serwer RPC jest niedostępny.

  1. Podwyższenie poziomu dcpromo repliki kontrolera domeny nie może utworzyć obiektu ustawień NTDS na kontrolerze domeny pomocnika z błędem 1722。

    Tekst tytułu okna dialogowego: Kreator instalacji Active Directory Domain Services

    Tekst komunikatu okna dialogowego:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. Funkcja DCDIAG informuje, że test replikacji usługi Active Directory zakończył się niepowodzeniem z powodu błędu 1722: Serwer RPC jest niedostępny.

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<dc name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE zgłasza, że próba replikacji nie powiodła się ze stanem 1722 (0x6ba).

    Polecenia REPADMIN, które często powołują się na stan -1722 (0x6ba), obejmują między innymi:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    Poniżej przedstawiono przykładowe dane wyjściowe z REPADMIN /SHOWREPS serwera RPC i REPADMIN /SYNCALL przedstawiające błąd niedostępności serwera RPC :

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    Poniżej przedstawiono REPADMIN /SYNCALL przykładowe dane wyjściowe przedstawiające błąd niedostępności serwera RPC :

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. Polecenie replikuj teraz w lokacjach i usługach usługi Active Directory zwraca wartość Serwer RPC jest niedostępny.

    Kliknięcie prawym przyciskiem myszy obiektu połączenia ze źródłowego kontrolera domeny i wybranie replikacji kończy się niepowodzeniem z powodu niedostępności serwera RPC. Poniższy komunikat o błędzie wyświetlany na ekranie:

    Tekst tytułu okna dialogowego: Replikuj teraz

    Tekst komunikatu okna dialogowego:

    Podczas próby zsynchronizowania kontekstu <nazewnictwa nazwa DNS partycji> katalogu ze źródła kontrolera <domeny nazwa> hosta kontrolera domeny do docelowej nazwy hosta> kontrolera <domeny: Serwer RPC jest niedostępny. Ta operacja nie będzie kontynuowana. Ten warunek może być spowodowany problemem z wyszukiwaniem DNS. Aby uzyskać informacje na temat rozwiązywania typowych problemów z wyszukiwaniem DNS, zobacz następującą witrynę sieci Web firmy Microsoft: Problem z wyszukiwaniem DNS

  5. NtDS Knowledge Consistency Checker (KCC), NTDS General lub Microsoft-Windows-ActiveDirectory_DomainService zdarzenia o stanie 1722 są rejestrowane w dzienniku zdarzeń usługi katalogowej.

    Zdarzenia usługi Active Directory, które często powołują się na stan 1722, obejmują, ale nie są ograniczone do:

    Źródło zdarzeń Identyfikator zdarzenia Ciąg zdarzenia
    Microsoft-Windows-ActiveDirectory_DomainService 1125 Kreator instalacji Active Directory Domain Services (Dcpromo) nie może nawiązać połączenia z następującym kontrolerem domeny.
    NTDS KCC 1311 Moduł sprawdzania spójności wiedzy (KCC) wykrył problemy z następującą partycją katalogu.
    NTDS KCC 1865 Kontroler spójności wiedzy (KCC) nie może utworzyć pełnej topologii sieci drzewa obejmującego. W związku z tym nie można uzyskać dostępu do następującej listy witryn z witryny lokalnej.
    NTDS KCC 1925 Próba ustanowienia linku replikacji dla następującej zapisywalnej partycji katalogu nie powiodła się.
    Replikacja NTDS 1960 Zdarzenie wewnętrzne: następujący kontroler domeny otrzymał wyjątek od połączenia zdalnego wywołania procedury (RPC). Operacja mogła zakończyć się niepowodzeniem.

Przyczyna

RPC to warstwa pośrednia między transportem sieciowym a protokołem aplikacji. Sam RPC nie ma specjalnego wglądu w błędy, ale próbuje mapować błędy protokołu niższej warstwy na błąd w warstwie RPC.

Błąd RPC 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE jest rejestrowany, gdy protokół niższej warstwy zgłasza błąd łączności. Typowym przypadkiem jest to, że abstrakcyjna operacja TCP CONNECT nie powiodła się. W kontekście replikacji usługi AD klient RPC na docelowym kontrolerze domeny nie mógł pomyślnie nawiązać połączenia z serwerem RPC na źródłowym kontrolerze domeny. Typowe przyczyny tego problemu to:

  1. Błąd lokalny łącza
  2. Błąd DHCP
  3. Błąd DNS
  4. Niepowodzenie USŁUGI WINS
  5. Błąd routingu (w tym zablokowane porty w zaporach)
  6. Błędy uwierzytelniania ipsec/sieci
  7. Ograniczenia zasobów
  8. Protokół wyższej warstwy nie jest uruchomiony
  9. Ten błąd zwraca protokół wyższej warstwy

Rozwiązanie

Podstawowe kroki rozwiązywania problemów w celu zidentyfikowania problemu.

Sprawdź, czy wartość uruchomienia i stan usługi są poprawne dla RPC, lokalizatora RPC i centrum dystrybucji kluczy Kerberos

Sprawdź, czy wartość uruchomienia i stan usługi są poprawne dla zdalnego wywołania procedury (RPC), lokalizatora zdalnego wywołania procedury (RPC) i centrum dystrybucji kluczy Kerberos.

Wersja systemu operacyjnego określi poprawne wartości dla systemu źródłowego i docelowego, który rejestruje błąd replikacji. Użyj poniższej tabeli, aby sprawdzić poprawność ustawień.

Nazwa usługi Windows 2000 Windows 2003 /R2 Windows 2008 Windows 2008 R2
Zdalne wywołanie procedury (RPC) Uruchomiono/automatycznie Uruchomiono/automatycznie Uruchomiono/automatycznie Uruchomiono/automatycznie
Lokalizator zdalnego wywołania procedury (RPC) Uruchomiono/automatycznie (kontrolery domeny)

Nie uruchomiono/ręcznie (serwery członkowskie)		 Nie uruchomiono/ręczne Nie uruchomiono/ręczne Nie uruchomiono/ręczne
Centrum dystrybucji kluczy Kerberos (KDC) Uruchomiono/automatycznie (kontrolery domeny)

Nie uruchomiono/wyłączono (serwery członkowskie)		 Uruchomiono/automatycznie (kontrolery domeny)

Nie uruchomiono/wyłączono (serwery członkowskie)		 Uruchomiono/automatycznie (kontrolery domeny)

Nie uruchomiono/wyłączono (serwery członkowskie)		 Uruchomiono/automatycznie (kontrolery domeny)

Nie uruchomiono/wyłączono (serwery członkowskie)

Jeśli wprowadzisz jakiekolwiek zmiany zgodne z powyższymi ustawieniami, uruchom ponownie maszynę. Sprawdź, czy wartość uruchamiania i stan usługi są zgodne z wartościami opisanymi w powyższej tabeli.

Sprawdź, czy klucz ClientProtocols istnieje w obszarze HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc i czy zawiera prawidłowe protokoły domyślne

Nazwa protokołu Wpisać Wartość danych
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Jeśli brakuje klucza ClientProtocols lub dowolnej z czterech wartości domyślnych, zaimportuj klucz ze znanego dobrego serwera.

Sprawdzanie, czy system DNS działa

Błędy wyszukiwania DNS są przyczyną dużej liczby błędów RPC 1722, jeśli chodzi o replikację.

Istnieje kilka narzędzi, które ułatwiają identyfikowanie błędów DNS:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    Polecenie DCDIAG /TEST:DNS może weryfikować kondycję SYSTEMU DNS kontrolerów domeny z rodziny Windows Server 2000 Server (SP3 lub nowszej), Windows Server 2003 i Windows Server 2008. Ten test został po raz pierwszy wprowadzony w systemie Windows Server 2003 z dodatkiem Service Pack 1.

    Dla tego polecenia jest siedem grup testowych.

    • Uwierzytelnianie (uwierzytelnianie)

    • Podstawowe (Basc)

    • Rejestrowanie rekordów (RReg)

    • Aktualizacja dynamiczna (Dyn)

    • Delegowania (Del)

    • Wskazówki dotyczące usługi przesyłania dalej/katalogu głównego (Forw)

      Przykładowe dane wyjściowe:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      Podsumowanie wyników testów DNS:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      Podsumowanie zawiera kroki korygowania dla bardziej typowych błędów z tego testu.

      Wyjaśnienie i dodatkowe opcje tego testu można znaleźć w narzędziu diagnostyki kontrolera domeny (dcdiag.exe).

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc Służy do wykonywania procesu lokalizatora dc. W ten sposób /dsgetdc:<domain name> próbuje znaleźć kontroler domeny dla domeny. Użycie flagi wymusza lokalizację kontrolera domeny zamiast korzystania z pamięci podręcznej. Można również określić opcje, takie jak /gc lub /pdc , aby zlokalizować wykaz globalny lub emulator podstawowego kontrolera domeny. Aby znaleźć wykaz globalny, należy określić nazwę drzewa, która jest nazwą domeny DNS domeny głównej.

    Przykładowe dane wyjściowe:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Może być używany z systemem Windows 2003 i starszymi wersjami w celu zebrania określonych informacji dotyczących konfiguracji sieci i błędów. Uruchomienie tego narzędzia zajmuje trochę czasu podczas wykonywania przełącznika -v .

    Przykładowe dane wyjściowe testu DNS:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server Ip address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <Ip Address>  
Authoritative NS:<Ip Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
The Record is correct on DNS server '<DNS Server Ip address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server Ip address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.

  • ping -a <IP_of_problem_server>

    Jest to prosty szybki test w celu zweryfikowania, czy rekord hosta dla kontrolera domeny jest rozpoznawana na właściwej maszynie.

  • dnslint /s IP /ad IP

    DNSLint to narzędzie systemu Windows, które ułatwia diagnozowanie typowych problemów z rozpoznawaniem nazw DNS. Dane wyjściowe to plik htm zawierający wiele informacji, w tym:

    Serwer DNS: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    Dane rekordu SOA z serwera:

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • Dodatkowe rekordy autorytatywne (NS) z serwera: DC2.fabrikam.com <IP Address>

    Alias (CNAME) i przyklej rekordy (A) dla identyfikatorów GUID lasu z serwera:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Alias: DC.fabrikam.com
      • Klej: <adresy IP>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Alias: dc2.child.fabrikam.com
      • Klej: <adres IP>

      Aby uzyskać więcej informacji, zobacz Opis narzędzia DNSLint.

Sprawdź, czy porty sieciowe nie są blokowane przez zaporę lub aplikację innej firmy nasłuchujące na wymaganych portach

Mapowanie punktu końcowego (nasłuchiwanie na porcie 135) informuje klienta, który losowo przypisany port usługi (FRS, replikacja usługi AD, MAPI itd.) nasłuchuje.

Protokół aplikacji Protocol (Protokół) Porty
Serwer wykazu globalnego TCP 3269
Serwer wykazu globalnego TCP 3268
LDAP Server TCP 389
LDAP Server UDP 389
LDAP SSL TCP 636
LDAP SSL UDP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
RPC losowo przydzielane wysokie porty TCP¹ TCP 1024 - 5000
49152 - 65535*

* Jest to zakres w systemach Windows Server 2008, Windows Vista, Windows 7 i Windows 2008 R2.

Portqry może służyć do identyfikowania, czy port jest zablokowany z kontrolera domeny podczas określania wartości docelowej innego kontrolera domeny. Można go pobrać ze skanera portów wiersza polecenia PortQry w wersji 2.0.

Przykładowa składnia:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Graficzną wersję portqry o nazwie Portqryui można znaleźć w witrynie PortQryUI — interfejs użytkownika skanera portów wiersza polecenia PortQry.

Jeśli zakres portów dynamicznych ma zablokowane porty, użyj poniższych linków, aby skonfigurować zakres portów, który jest możliwy do zarządzania dla klienta.

Dodatkowe ważne linki do konfiguracji i pracy z zaporami i kontrolerami domeny:

Nieprawidłowe sterowniki kart sieciowych

Najnowsze sterowniki można znaleźć w temacie Network Card Vendors or OEMs (Dostawcy kart sieciowych lub OEM).

Fragmentacja UDP może powodować błędy replikacji, które wydają się mieć źródło serwera RPC jest niedostępne

Błąd zdarzenia 40960 & 40961 ze źródłem LSASRV jest typowy dla tej konkretnej przyczyny.

Aby uzyskać więcej informacji, zobacz How to force Kerberos to use TCP instead of UDP in Windows (Jak wymusić używanie protokołu Kerberos zamiast protokołu UDP w systemie Windows).

Niezgodności podpisywania SMB między kontrolerami domeny

Użycie domyślnych zasad kontrolerów domeny do skonfigurowania spójnych ustawień podpisywania SMB w poniższej sekcji pomoże rozwiązać tę przyczynę:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Klient sieci firmy Microsoft: podpisz cyfrowo komunikację (zawsze) Wyłączone.
  • Klient sieci firmy Microsoft: podpisz cyfrowo komunikację (jeśli serwer wyrazi zgodę) Włączone.
  • Serwer sieci firmy Microsoft: podpisz cyfrowo komunikację (zawsze) Wyłączone.
  • Serwer sieci firmy Microsoft: podpisz cyfrowo komunikację (jeśli klient wyrazi zgodę) Włączone.

Ustawienia można znaleźć w następujących kluczach rejestru:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters I HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always (0,disable, 1 enable).
    • EnableSecuritySignature = czy serwer zgadza się (0,wyłącz, 1 włącz).

Dodatkowe rozwiązywanie problemów:

Jeśli powyższe rozwiązanie nie zawiera rozwiązania 1722, użyj następującego rejestrowania diagnostycznego, aby zebrać więcej informacji:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Zbieranie danych

Jeśli potrzebujesz pomocy ze strony pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki wymienione w temacie Zbieranie informacji przy użyciu usługi TSS w przypadku problemów z replikacją usługi Active Directory.

Informacje