Erro de replicação do Active Directory 1722: o servidor RPC não está disponível

  • Artigo

Este artigo ajuda a corrigir o erro 1722 da replicação do Active Directory.

Aplica-se a: Windows Server (todas as versões com suporte)
Número de KB original: 2102154

Sintomas

Este artigo descreve os sintomas, a causa e a resolução para resolver a falha na replicação do Active Directory com o erro 1722 do Win32: o servidor RPC não está disponível.

  1. DCPROMO Promotion de um réplica DC falha ao criar um objeto NTDS Settings no auxiliar DC com o erro 1722。

    Texto título da caixa de diálogo: assistente de instalação Active Directory Domain Services

    Texto da mensagem de diálogo:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. O DCDIAG informa que o teste replicações do Active Directory falhou com o erro 1722: o servidor RPC não está disponível.

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<dc name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE relata que a tentativa de replicação falhou com status 1722 (0x6ba).

    Os comandos REPADMIN que geralmente citam o status -1722 (0x6ba) incluem, mas não se limitam a:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    A saída de exemplo e REPADMIN /SYNCALL a representação do REPADMIN /SHOWREPSservidor RPC não estão disponíveis é mostrada abaixo:

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    A saída de exemplo da representação do REPADMIN /SYNCALLservidor RPC não está disponível é mostrada abaixo:

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. O comando replicar agora em Sites e Serviços do Active Directory retorna O servidor RPC não está disponível.

    Clicar com o botão direito do mouse no objeto de conexão de um DC de origem e escolher replicar agora falha com o servidor RPC não está disponível. A mensagem de erro na tela é mostrada abaixo:

    Texto do título da caixa de diálogo: Replicar Agora

    Texto da mensagem de diálogo:

    O erro a seguir ocorreu durante a tentativa de sincronizar o nome DNS de contexto <de nomenclatura da partição> de diretório da origem do controlador <de domínio Nome> do host dc para o nome do> host DC de destino do controlador <de domínio:O servidor RPC não está disponível. Essa operação não continuará. Essa condição pode ser causada por um problema de pesquisa DNS. Para obter informações sobre como solucionar problemas comuns de pesquisa DNS, confira o seguinte site da Microsoft: Problema de pesquisa DNS

  5. Os eventos NTDS Knowledge Consistency Checker (KCC), NTDS General ou Microsoft-Windows-ActiveDirectory_DomainService com o 1722 status são registrados no log de eventos do serviço de diretório.

    Os eventos do Active Directory que geralmente citam o 1722 status incluem, mas não se limitam a:

    Fonte do evento ID do Evento Cadeia de Eventos
    Microsoft-Windows-ActiveDirectory_DomainService 1125 O Assistente de Instalação Active Directory Domain Services (Dcpromo) não pôde estabelecer conexão com o controlador de domínio a seguir.
    NTDS KCC 1311 O KCC (Verificador de Consistência de Conhecimento) detectou problemas com a partição de diretório a seguir.
    NTDS KCC 1865 O KCC (Verificador de Consistência de Conhecimento) não pôde formar uma topologia de rede de árvore completa. Como resultado, a lista a seguir de sites não pode ser acessada no site local.
    NTDS KCC 1925 A tentativa de estabelecer um link de replicação para a partição de diretório gravável a seguir falhou.
    Replicação do NTDS 1960 Evento interno: o controlador de domínio a seguir recebeu uma exceção de uma conexão RPC (chamada de procedimento remoto). A operação pode ter falhado.

Motivo

O RPC é uma camada intermediária entre o transporte de rede e o protocolo do aplicativo. O RPC em si não tem nenhuma visão especial sobre falhas, mas tenta mapear falhas de protocolo de camada inferior em um erro na camada RPC.

O erro RPC 1722 /0x6ba/RPC_S_SERVER_UNAVAILABLE é registrado quando um protocolo de camada inferior relata uma falha de conectividade. O caso comum é que a operação TCP CONNECT abstrata falhou. No contexto da replicação do AD, o cliente RPC no DC de destino não foi capaz de se conectar com êxito ao servidor RPC no DC de origem. As causas comuns para isso são:

  1. Vincular falha local
  2. Falha do DHCP
  3. Falha de DNS
  4. Falha do WINS
  5. Falha de roteamento (incluindo portas bloqueadas em firewalls)
  6. Falhas de autenticação IPSec /Network
  7. Limitações de recursos
  8. Protocolo de camada superior que não está em execução
  9. O protocolo de camada superior está retornando esse erro

Solução

Etapas básicas de solução de problemas para identificar o problema.

Verifique se o valor de inicialização e o status de serviço estão corretos para RPC, RPC Locator e Kerberos Key Distribution Center

Verifique se o valor de inicialização e o status de serviço estão corretos para o Localizador RPC (Chamada de Procedimento Remoto), o Localizador de Chamada de Procedimento Remoto (RPC) e o Centro de Distribuição de Chaves Kerberos.

A versão do sistema operacional determinará os valores corretos para o sistema de origem e de destino que está registrando o erro de replicação. Use a tabela a seguir para ajudar a validar as configurações.

Nome do Serviço Windows 2000 Windows 2003 /R2 Windows 2008 Windows 2008 R2
RPC (Chamada de procedimento remoto) Iniciado/Automático Iniciado/Automático Iniciado/Automático Iniciado/Automático
Localizador RPC Iniciado /Automático (Controladores de Domínio)

Não iniciado / Manual(Servidores membros)		 Não iniciado / Manual Não iniciado / Manual Não iniciado / Manual
Centro de Distribuição de Chaves Kerberos (KDC) Iniciado /Automático (Controladores de Domínio)

Não iniciado/desabilitado(Servidores Membros)		 Iniciado /Automático (Controladores de Domínio)

Não iniciado/desabilitado(Servidores Membros)		 Iniciado /Automático (Controladores de Domínio)

Não iniciado/desabilitado(Servidores Membros)		 Iniciado /Automático (Controladores de Domínio)

Não iniciado/desabilitado(Servidores Membros)

Se você fizer alterações para corresponder às configurações acima, reinicie o computador. Verifique se o valor de inicialização e o status de serviço correspondem aos valores documentados na tabela acima.

Verifique se a chave ClientProtocols existe em HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc e se ela contém os protocolos padrão corretos

Nome do protocolo Tipo Valor de dados
ncacn_http REG_SZ rpcrt4.dll
Ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Se a chave ClientProtocols ou qualquer um dos quatro valores padrão estiver ausente, importe a chave de um bom servidor conhecido.

Verificar se o DNS está funcionando

Falhas de pesquisa DNS são a causa de um grande número de erros de RPC de 1722 quando se trata de replicação.

Há algumas ferramentas a serem usadas para ajudar a identificar erros de DNS:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    O DCDIAG /TEST:DNS comando pode validar a integridade DNS dos controladores de domínio da família Windows 2000 Server (SP3 ou posterior), Windows Server 2003 e Windows Server 2008. Este teste foi introduzido pela primeira vez com o Windows Server 2003 Service Pack 1.

    Há sete grupos de teste para este comando.

    • Autenticação (Auth)

    • Básico (Basc)

    • Registro de registros (RReg)

    • Atualização dinâmica (Dyn)

    • Delegações (Del)

    • Encaminhamentos/dicas raiz (Forw)

      Saída de exemplo:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      Resumo dos resultados do teste DNS:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      O resumo fornece etapas de correção para as falhas mais comuns deste teste.

      Explicações e opções adicionais para este teste podem ser encontradas na Ferramenta de Diagnóstico do Controlador de Domínio (dcdiag.exe).

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc é usado para exercer o processo do localizador dc. Portanto, /dsgetdc:<domain name> tenta encontrar o controlador de domínio para o domínio. O uso do sinalizador de força força a localização do controlador de domínio em vez de usar o cache. Você também pode especificar opções como /gc ou /pdc para localizar um Catálogo Global ou um emulador de controlador de domínio primário. Para encontrar o Catálogo Global, você deve especificar um nome de árvore, que é o nome de domínio DNS do domínio raiz.

    Saída de exemplo:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Pode ser usado com o Windows 2003 e versões anteriores para coletar informações específicas para configuração e erro de rede. Essa ferramenta leva algum tempo para ser executada ao executar o -v comutador.

    Saída de exemplo para o teste DNS:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server Ip address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <Ip Address>  
Authoritative NS:<Ip Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
The Record is correct on DNS server '<DNS Server Ip address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server Ip address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.

  • ping -a <IP_of_problem_server>

    É um teste rápido simples para validar o registro de host de um controlador de domínio que está sendo resolvido para o computador correto.

  • dnslint /s IP /ad IP

    O DNSLint é um utilitário do Windows que ajuda você a diagnosticar problemas comuns de resolução de nomes DNS. A saída é um arquivo htm com muitas informações, incluindo:

    Servidor DNS: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    Dados de registro SOA do servidor:

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • Registros NS (autoritativos adicionais) do servidor: DC2.fabrikam.com <IP Address>

    Registros de Alias (CNAME) e cola (A) para GUIDs florestais do servidor:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Alias: DC.fabrikam.com
      • Cola: <Adress ip>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Alias: dc2.child.fabrikam.com
      • Cola: <Endereço IP>

      Para obter mais informações, consulte Descrição do utilitário DNSLint.

Verifique se as portas de rede não são bloqueadas por um firewall ou aplicativo de terceiros ouvindo nas portas necessárias

O mapeador do ponto de extremidade (escuta na porta 135) informa ao cliente que a porta de um serviço atribuído aleatoriamente (FRS, replicação do AD, MAPI e assim por diante) está escutando.

Protocolo de aplicativo Protocolo Portas
Servidor de Catálogo Global TCP 3269
Servidor de Catálogo Global TCP 3268
Servidor LDAP TCP 389
Servidor LDAP UDP 389
LDAP SSL TCP 636
LDAP SSL UDP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
Portas¹ TCP superiores alocadas aleatoriamente em RPCs TCP 1024 ‒ 5000
49152 - 65535*

* Esse é o intervalo no Windows Server 2008, Windows Vista, Windows 7 e Windows 2008 R2.

O Portqry pode ser usado para identificar se uma porta é bloqueada de um Dc ao direcionar outro DC. Ele pode ser baixado no PortQry Command Line Port Scanner Versão 2.0.

Sintaxe de exemplo:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Uma versão gráfica do portqry, chamada Portqryui, pode ser encontrada em PortQryUI – Interface do Usuário para o Verificador de Porta de Linha de Comando do PortQry.

Se o intervalo porta dinâmica tiver portas bloqueadas, use os links abaixo para configurar um intervalo de portas gerenciável para o cliente.

Links importantes adicionais para configuração e trabalho com firewalls e controladores de domínio:

Drivers NIC ruins

Consulte fornecedores de cartão de rede ou OEMs para obter os drivers mais recentes.

A fragmentação UDP pode causar erros de replicação que parecem ter uma origem do servidor RPC indisponível

A ID do evento 40960 & erros de 40961 com uma fonte de LSASRV são comuns para essa causa específica.

Para obter mais informações, consulte Como forçar Kerberos a usar o TCP em vez de UDP no Windows.

Incompatibilidades de assinatura de SMB entre DCs

Usar a Política padrão de controladores de domínio para configurar configurações consistentes para assinatura de SMB na seção a seguir ajudará a resolver essa causa:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Cliente de rede da Microsoft: comunicações de sinal digital (sempre) desabilitadas.
  • Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) Habilitado.
  • Servidor de rede da Microsoft: comunicações de sinal digital (sempre) desabilitadas.
  • Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) Habilitado.

As configurações podem ser encontradas nas seguintes chaves do registro:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters e HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always (0,desable, 1 enable).
    • EnableSecuritySignature = is server agrees (0,disable, 1 enable).

Solução de problemas adicionais:

Se o acima não fornecer uma solução para o 1722, use o seguinte log de diagnóstico para coletar mais informações:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando problemas de replicação do TSS para Active Directory.

Referências