Ошибка репликации Active Directory 1753: нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек

В этой статье описывается проблема, из-за которой репликация Active Directory завершается сбоем с ошибкой Win32 1753: "Нет дополнительных конечных точек, доступных от средства сопоставления конечных точек".

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2089874

Домашние пользователи: Эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь по проблеме, обратитесь в сообщество Майкрософт.

Симптомы

В этой статье описаны симптомы, причины и шаги по устранению неполадок для операций AD, которые завершаются сбоем Win32 с ошибкой 1753: "Нет дополнительных конечных точек, доступных из средства сопоставления конечных точек".

1. DCDIAG сообщает, что тест подключения, тест репликации Active Directory или KnowsOfRoleHolders завершился с ошибкой 1753: "Нет дополнительных конечных точек, доступных от средства сопоставления конечных точек".

   Сервер тестирования: <имя контроллера домена сайта><>
   Начальный тест: подключение
   *Проверка служб LDAP Active Directory * Проверка служб RPC Active Directory
   [<Имя контроллера домена>] Произошел сбой DsBindWithSpnEx() с ошибкой 1753,
   Нет дополнительных конечных точек, доступных из средства сопоставления конечных точек.
   Печать расширенных сведений об ошибке RPC:
   Запись об ошибке 1. ProcessID — это <идентификатор> процесса (DcDiag)
   Системное время: <дата><и время>
   Создание компонента — 2 (среда выполнения RPC). Состояние — 1753. В средстве сопоставления конечных точек больше нет. Расположение обнаружения — 500 ЧислоOfParameters — 4
   Строка Юникода: ncacn_ip_tcp
   Строка Юникода: <guid> объекта исходного контроллера домена._msdcs.contoso.com
   Long val: -481213899
   Long val: 65537
   Запись об ошибке 2, ProcessID — 700 (DcDiag)
   Системное время: <дата><и время>
   Компонент создания — 2 (среда выполнения RPC)
   Состояние — 1753. В средстве сопоставления конечных точек больше нет.
   ЧислоOfParameters — 1
   Строка Юникода: 1025

   [Проверка репликации,<Имя> контроллера домена] Не удалось выполнить недавнюю попытку репликации:
   От <исходного контроллера домена> к целевому контроллеру <домена>
   Контекст именования: <путь DN к секции каталога>
   Репликация вызвала ошибку (1753):
   Больше нет конечных точек, доступных в средстве сопоставления конечных точек.
   Сбой произошел в <дату><.>
   Последний успех произошел в <дату><.>
   С момента последнего успеха произошло 3 сбоя.
   Каталог в <имени> контроллера домена находится в процессе.
   при запуске или завершении работы, и недоступен.
   Убедитесь, что компьютер не завис во время загрузки.

2. REPADMIN.EXE сообщает о сбое попытки репликации с состоянием 1753.

   Команды REPADMIN, которые обычно ссылаются на состояние 1753, включают, но не ограничиваются:

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   В следующем примере выходных REPADMIN /SHOWREPS данных показано, что входящая репликация из CONTOSO-DC2 в CONTOSO-DC1 завершается сбоем с ошибкой "Репликация доступа была запрещена".

   Default-First-Site-Name\CONTOSO-DC1
   Параметры DSA: IS_GC
   Параметры сайта: (нет)
   Идентификатор GUID объекта DSA:
   DsA invocationID:

   DC=contoso,DC=com
   Default-First-Site-Name\CONTOSO-DC2 через RPC
   Идентификатор GUID объекта DSA:
   Последняя попытка при дате <><и времени> завершилась ошибкой, результат 1753 (0x6d9):
   Больше нет конечных точек, доступных в средстве сопоставления конечных точек.
   <#> последовательные сбои.
   Последний успех @ <время> даты><.

3. Команда "Проверить топологию репликации" на сайтах и службах Active Directory возвращает сообщение "Нет дополнительных конечных точек, доступных из средства сопоставления конечных точек".

   Если щелкнуть правой кнопкой мыши объект подключения из исходного контроллера домена и выбрать "Проверить топологию репликации", произойдет сбой со словом "Нет дополнительных конечных точек, доступных из средства сопоставления конечных точек". Экранное сообщение об ошибке отображается ниже:

   Текст заголовка диалогового окна: проверка топологии репликации
   Текст диалогового сообщения:

   При попытке связаться с контроллером домена произошла следующая ошибка: Нет дополнительных конечных точек, доступных из средства сопоставления конечных точек.

   OK

4. Команда "реплицировать сейчас" на сайтах и службах Active Directory возвращает сообщение "Нет дополнительных конечных точек, доступных из средства сопоставления конечных точек".

   При щелчке правой кнопкой мыши на объекте подключения из исходного контроллера домена и выборе параметра "реплицировать сейчас" завершается ошибкой "Нет дополнительных конечных точек, доступных из средства сопоставления конечных точек". Экранное сообщение об ошибке отображается ниже:

   Текст заголовка диалогового окна: "Реплицировать сейчас"

   Текст сообщения диалогового окна. При попытке синхронизировать имя секции контекстного <каталога из исходного> контроллера домена контроллера <домена с контроллером назначения> контроллера <домена произошла следующая ошибка: Нет дополнительных конечных точек, доступных из средства сопоставления конечных точек.>

   Операция не будет продолжена

   Кнопки в диалоговом окне: ОК

5. NtDS Knowledge Consistency Checker (KCC), NTDS General или Microsoft-Windows-ActiveDirectory_DomainService события с состоянием 1753 регистрируются в журнале событий службы каталогов.

   События Active Directory, которые обычно ссылаются на состояние 1753, включают, но не ограничиваются следующими:

   Источник события	Идентификатор события	Строка события
   ОБЩИЕ NTDS	1655	Служба Active Directory попыталась связаться со следующим глобальным каталогом, но попытки не увенчались успехом.
   NTDS KCC	1925	Попытка установить ссылку репликации для следующей секции каталога, допускаемой для записи, завершилась ошибкой.
   NTDS KCC	1265	Попытка средства проверки согласованности знаний (KCC) добавить соглашение репликации для следующего раздела каталога и исходного контроллера домена завершилась ошибкой.

Причина

На схеме ниже показан рабочий процесс удаленного вызова процедур (RPC). Рабочий процесс начинается с регистрации серверного приложения в средстве сопоставления конечных точек RPC (EPM) на шаге 1. Он заканчивается передачей данных из клиента RPC в клиентское приложение на шаге 7.

Шаги 1–7 сопоставляют со следующими операциями:

1. Серверное приложение регистрирует свои конечные точки в диспетчере сопоставления конечных точек RPC (EPM).
2. Клиент выполняет вызов RPC от имени пользователя, ОС или операции, инициированной приложением.
3. Клиентская RPC связывается с EPM целевых компьютеров и запрашивает конечную точку для завершения вызова клиента.
4. EPM серверного компьютера отвечает конечной точкой.
5. Клиентская RPC связывается с серверным приложением.
6. Серверная приложение выполняет вызов, возвращает результат клиенту RPC.
7. Клиентская RPC передает результат обратно в клиентское приложение.

Сбой 1753 возникает из-за сбоя между шагами 3 и 4. В частности, ошибка 1753 означает, что клиент RPC (целевой контроллер домена) может связаться с RPC Server (исходный контроллер домена) через порт 135, но EPM на сервере RPC (исходный контроллер домена) не смог найти интересующее приложение RPC и вернул ошибку 1753 на стороне сервера. Ошибка указывает, что клиент RPC (целевой контроллер домена) получил ответ об ошибке на стороне сервера от сервера RPC (источник контроллера домена репликации AD) по сети.

К конкретным первопричинам ошибки 1753 относятся:

1. Серверные приложения так и не запускались. То есть шаг 1 в схеме "дополнительные сведения" никогда не предпринимался.
2. Серверное приложение запущено, но во время инициализации произошел сбой. Сбой не позволил зарегистрировать его в средстве сопоставления конечных точек RPC. То есть шаг 1 на схеме "дополнительные сведения" был предпринят, но не удалось.
3. Серверное приложение запущено, но позже умерло. То есть шаг 1 на схеме "дополнительные сведения" был успешно завершен. Позже это было отменено, так как сервер умер.
4. Серверное приложение вручную отменяет регистрацию конечных точек (аналогично 3, но намеренно). Не вероятно, но включен для полноты.)
5. Клиент RPC (целевой контроллер домена) связался с сервером RPC, отличным от предполагаемого. Это связано с ошибкой сопоставления имени с IP-адресом в DNS, WINS или файле host/lmhosts.

Ошибка 1753 НЕ вызвана следующими причинами:

• отсутствие сетевого подключения между клиентом RPC (конечным контроллером домена) и RPC Server (исходный контроллер домена) через порт 135.
• отсутствие сетевого подключения между RPC-сервером (исходным контроллером домена) через порт 135 и клиентом RPC (конечным контроллером домена) через временный порт.
• несоответствие паролей или неспособность исходного контроллера домена расшифровать зашифрованный пакет Kerberos.

Разрешение

Убедитесь, что служба, регистрирующая свою службу в сопоставителя конечных точек, запущена

• Для контроллеров домена Windows 2000 и Windows Server 2003 убедитесь, что исходный контроллер домена загружен в обычном режиме.
• Для Windows Server 2008 или Windows Server 2008 R2: из консоли исходного контроллера домена запустите Services Manager (services.msc). Убедитесь, что служба Active Directory запущена. Active Directory отображается как "доменные службы Active Directory"

Убедитесь, что клиент RPC (целевой контроллер домена) подключен к предполагаемому серверу RPC (исходный контроллер домена)

Все контроллеры домена в общем лесу Active Directory регистрируют запись CNAME управляемого контроллера домена в _msdcs.<зона DNS корневого домена> леса независимо от того, в каком домене они находятся в лесу. Интерактивная запись DC CNAME является производным от objectGUID каждого объекта параметров NTDS DCs.

При выполнении операций на основе репликации целевой контроллер домена запрашивает DNS для исходной записи GUIDED CNAME контроллера домена. Запись CNAME содержит полное имя компьютера исходного контроллера домена. Это имя используется для получения IP-адреса исходных контроллеров домена с помощью:

• Поиск в кэше DNS-клиента
• Подстановка файла узла или LMHost
• запись A/ AAAA узла в DNS или WINS

Устаревшие объекты параметров NTDS и неправильное имя для сопоставлений IP-адресов в файлах DNS, WINS, Host и LMHOST могут привести к подключению клиента RPC (целевого контроллера домена) к неправильному RPC-серверу (исходному контроллеру домена). Кроме того, неправильное имя для сопоставления IP-адресов может привести к подключению клиента RPC (целевого контроллера домена) к компьютеру, на котором даже не установлено интересующее приложение RPC Server (роль Active Directory в данном случае). Например, устаревшая запись узла для DC2 содержит IP-адрес DC3 или рядового компьютера.

Убедитесь, что следующие идентификаторы GUID совпадают:

• идентификатор GUID объекта для исходного контроллера домена, существующего в копии целевого контроллера домена Active Directory.
• идентификатор GUID исходного объекта контроллера домена, хранящийся в копии исходного контроллера домена Active Directory.

Если есть несоответствие, используйте repadmin /showobjmeta в объекте параметров NTDS, чтобы узнать, какой из них соответствует последнему повышению исходного контроллера домена. Сравните следующие метки дат:

• Дата создания объекта NTDS Settings из /showobjmeta.
• Последняя дата повышения в исходном файле DCs dcpromo.log.

Возможно, потребуется использовать дату последнего изменения или создания DCPROMO. Сам файл LOG. Если идентификаторы GUID объекта не идентичны, целевой контроллер домена может иметь устаревший объект NTDS Settings для исходного контроллера домена, запись CNAME которого ссылается на запись узла с неправильным именем и сопоставлением IP-адресов.

В целевом контроллере домена выполните команду IPCONFIG /ALL , чтобы определить, какие DNS-серверы используется конечным контроллером домена для разрешения имен:

c:\>ipconfig /all  

В целевом контроллере домена выполните команду NSLOOKUP с полной записью CNAME исходного контроллера домена:

c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs secondary DNS Server IP>

Убедитесь, что IP-адрес, возвращенный "владельцем", является владельцем NSLOOKUP имени узла или удостоверения безопасности исходного контроллера домена.

a) C:\\>NBTSTAT -A \\<IP address _returned_ by NSLOOKUP in the step above>

ИЛИ

b) Войдите в консоль исходного контроллера домена, запустите IPCONFIG из командной строки CMD и убедитесь, что исходный контроллер домена владеет IP-адресом, возвращенным приведенной выше командой NSLOOKUP.

Проверьте наличие устаревших или повторяющихся сопоставлений узла с IP-адресами в DNS.

NSLOOKUP -type=hostname \<single label hostname of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<single label hostname of source DC> \<secondary DNS Server IP on destination DC>

NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<secondary DNS Server IP on dest. DC>

Если в записях узла существуют недопустимые IP-адреса, проверьте, включена ли очистка DNS и настроена ли она правильно.

Если приведенные выше тесты или трассировка сети не показывают запрос имени, возвращающий недопустимый IP-адрес, рассмотрите устаревшие записи в файлах HOST, файлах LMHOSTS и серверах WINS. DNS-серверы также можно настроить для выполнения разрешения резервных имен WINS.

Убедитесь, что серверное приложение (Active Directory и т. д.) зарегистрировано в сопоставителя конечных точек на сервере RPC (исходном контроллере домена)

Active Directory использует сочетание хорошо известных и динамически зарегистрированных портов. Известные порты и протоколы, используемые контроллерами домена Active Directory:

Известные порты не регистрируются в сопоставителя конечных точек.

Active Directory и другие приложения также регистрируют службы, которые получают динамически назначаемые порты в диапазоне временных портов RPC. Таким приложениям сервера RPC динамически назначаются TCP-порты между 1024 и 5000 на компьютерах с Windows 2000 и Windows Server 2003. Они динамически назначаются TCP-порты в диапазоне от 49152 до 65535 на компьютерах Windows Server 2008 и Windows Server 2008 R2. Порт RPC, используемый репликацией, можно жестко запрограммировать в реестре, выполнив действия, описанные в 224196 MSKB. Active Directory продолжает регистрироваться в EPM при настройке на использование жестко закодированного порта.

Убедитесь, что интересующее приложение RPC Server зарегистрировано в средстве сопоставления конечных точек RPC на сервере RPC (исходном контроллере домена в случае репликации AD).

Для выполнения этой задачи существует множество способов. Один из них заключается в установке и запуске PORTQRY из привилегированной командной строки администратора в консоли исходного контроллера домена:

c:\>portquery -n \<source DC> -e 135 >file.txt

В выходных portqry данных обратите внимание на номера портов, динамически регистрируются интерфейсом MS NT Directory DRS (UUID = 351...) для протокола ncacn_ip_tcp. В приведенном ниже фрагменте показан пример выходных данных из контроллера домена Windows Server 2008 R2 и пары UUID/протокол, используемой Active Directory , выделенной полужирным шрифтом:

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface ncacn_np:CONTOSO-DC01[\pipe\lsass]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\PIPE\protected_storage]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:CONTOSO-DC01[49156]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[49157]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[6004]

Другие причины

1. Убедитесь, что исходный контроллер домена загружен в обычном режиме. И убедитесь, что роль ОС и контроллера домена в исходном контроллере домена полностью запущены.

2. Убедитесь, что служба домен Active Directory запущена. Если служба в настоящее время остановлена или не настроена со значениями запуска по умолчанию, сбросьте значения запуска по умолчанию. Перезагрузите измененный контроллер домена, а затем повторите операцию.

3. Убедитесь, что значение запуска и состояние службы RPC и указателя RPC верны для версии ОС клиента RPC (целевой контроллер домена) и RPC Server (исходный контроллер домена). Если служба в настоящее время остановлена или не настроена со значениями запуска по умолчанию, сбросьте значения запуска по умолчанию. Перезагрузите измененный контроллер домена, а затем повторите операцию.

   Также убедитесь, что контекст службы соответствует параметрам по умолчанию.

   Windows 2000	Значение запуска	Состояние службы
   Удаленный вызов процедур (RPC)	Автоматически	Начал
   Локатор удаленного вызова процедур (RPC)	Автоматически	Начал
   Windows Server 2003, Server 2008, Server 2008 R2	Значение запуска	Состояние службы
   Удаленный вызов процедур (RPC)	Автоматически	Начал
   Локатор удаленного вызова процедур (RPC)	Вручную	Значение NULL или Остановлено

4. Убедитесь, что размер динамического диапазона портов не ограничен. Ниже показан синтаксис NETSH Windows Server 2008 и Windows Server 2008 R2 для перечисления диапазона портов RPC:

   >netsh int ipv4 show dynamicport tcp
   >netsh int ipv4 show dynamicport udp
   >netsh int ipv6 show dynamicport tcp
   >netsh int ipv6 show dynamicport udp
   

5. Ознакомьтесь с 224196 базы знаний. Убедитесь, что жестко заданный порт находится в диапазоне временных портов для версии ОС исходного контроллера домена.

6. Убедитесь, что ключ ClientProtocols существует в HKLM\Software\Microsoft\Rpc и содержит следующие пять значений по умолчанию:

   ncacn_http REG_SZ rpcrt4.dll
   ncacn_ip_tcp REG_SZ rpcrt4.dll
   ncacn_nb_tcp REG_SZ rpcrt4.dll
   ncacn_np REG_SZ rpcrt4.dll
   ncacn_ip_udp REG_SZ rpcrt4.dll
   

Дополнительная информация

Пример неправильного имени для сопоставления IP-адресов, вызывающего ошибку RPC 1753 и -2146893022: имя целевого субъекта неверно

Домен contoso.com состоит из \\DC1 и \\DC2 с IP-адресами x.x.1.1 и x.x.1.2. Записи узла "A" / "AAAA" для \\DC2 правильно регистрируются на всех DNS-серверах, настроенных для \\DC1. Кроме того, файл HOSTS в папке \\DC1 содержит полное имя узла DC2, сопоставленное с IP-адресом x.x.1.2. Позже IP-адрес DC2 изменяется с X.X.1.2 на X.X.1.3, и новый компьютер-член присоединяется к домену с IP-адресом x.x.1.2. Попытки репликации AD, запущенные командой "реплицировать сейчас" в оснастке "Сайты и службы Active Directory", завершатся ошибкой 1753. Трассировка показана ниже:

Операция DEST F#
1 x.x.1.1 x.x.1.2 ARP:Request, x.x.1.1 запрашивает x.x.1.2
2 x.x.1.2 x.x.1.1 ARP:Response, x.x.1.2 at 00-13-72-28-C8-5E
3 x.x.1.1 x.x.1.2 TCP:Flags=...... S., SrcPort=50206, DstPort=Разрешение конечной точки DCE(135)
4 x.x.1.2 x.x.1.1 ARP:Request, x.x.1.2 запрашивает x.x.1.1
5 x.x.1.1 x.x.1.2 ARP:Response, x.x.1.1 at 00-15-5D-42-2E-00
6 x.x.1.2 x.x.1.1 TCP:Flags=... A.. S., SrcPort=Разрешение конечной точки DCE(135)
7 x.x.1.1 x.x.1.2 TCP:Flags=... A...., SrcPort=50206, DstPort=DCE endpoint resolution(135)
8 x.x.1.1 x.x.1.2 MSRPC:c/o Bind: UUID{E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT(EPMP)
9 x.x.1.2 x.x.1.1 MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x5E68 Xmit=0x16D0 Recv=0x16D0
10 x.x.1.1 x.x.1.2 EPM:Request: ept_map: NDR, DRSR(DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [разрешение конечной точки DCE(135)]
11 x.x.1.2 x.x.1.1 EPM:Response: ept_map: 0x16C9A0D6 — EP_S_NOT_REGISTERED

В кадре 10 целевой контроллер домена запрашивает сопоставителя конечных точек исходных контроллеров домена через порт 135 для класса UUID службы репликации Active Directory {E351...}

В кадре 11 на исходном контроллере домена, в данном случае на компьютере-члене, еще не размещена роль контроллера домена. Таким образом, он не зарегистрировал {E351...} UUID для службы репликации с локальным EPM. Исходный контроллер домена отвечает символическим EP_S_NOT_REGISTERED ошибки. Эта ошибка сопоставляется с десятичной ошибкой 1753, шестнадцатеричной ошибкой 0x6d9 и понятной ошибкой "Нет дополнительных конечных точек, доступных из средства сопоставления конечных точек".

Позже компьютер-член с IP-адресом x.x.1.2 будет повышен как реплика "MayberryDC" в доменеcontoso.com. Опять же, команда "реплицировать сейчас" используется для запуска репликации, но на этот раз происходит сбой с экранной ошибкой "имя целевого субъекта неправильно". Компьютер, сетевой адаптер которого владеет IP-адресом x.x.1.2, является контроллером домена. Сейчас она загружена в обычном режиме и зарегистрирована служба репликации {E351...} с локальным EPM. Но он не владеет именем или удостоверением безопасности DC2 и не может расшифровать запрос Kerberos из DC1. Таким образом, запрос завершается ошибкой "Имя целевого субъекта неправильно". Эта ошибка сопоставляется с десятичной ошибкой -2146893022, шестнадцатеричной ошибкой 0x80090322.

Такие недопустимые сопоставления между узлами и IP-адресами могут быть вызваны устаревшими записями в файлах узла или lmhost, регистрациями A/AAAA в DNS или WINS.

Сводка.

• В примере 1 произошел сбой из-за недопустимого сопоставления узла с IP-адресом (в файле HOST в данном случае). Это привело к тому, что целевой контроллер домена разрешается в "исходный" контроллер домена, в котором служба AD не запущена (или даже установлена, если на то пошло). Таким образом, имя субъекта-службы репликации еще не зарегистрировано, а исходный контроллер домена вернул ошибку 1753.
• Во втором случае недопустимое сопоставление узла с IP-адресом (снова в файле HOST) приводило к подключению целевого контроллера домена к контроллеру домена, который зарегистрировал имя субъекта-службы репликации {E351...}. Но у этого источника было другое имя узла и удостоверение безопасности, чем у предполагаемого исходного контроллера домена, поэтому попытки завершились ошибкой -2146893022: имя целевого субъекта неверно.

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.

Связанное содержимое

• Общие сведения о службе и требования к сетевым портам для системы Windows Server
• Ограничение трафика репликации Active Directory и трафика RPC клиента определенным портом
• Настройка динамического выделения портов RPC для работы с брандмауэром
• Принцип работы RPC
• Подготовка сервера к подключению
• Как клиент устанавливает подключение
• Регистрация интерфейса
• Предоставление доступа к серверу в сети
• Регистрация конечных точек
• Прослушивание вызовов клиентов
• Как клиент устанавливает подключение
• 224196 ограничение трафика репликации Active Directory и трафика RPC клиента для определенного порта
• Имя субъекта-службы для целевого контроллера домена в AD DS