Ошибка репликации Active Directory 1722: сервер RPC недоступен
Эта статья поможет устранить ошибку 1722 при репликации Active Directory.
Применимо к: Windows Server (все поддерживаемые версии)
Исходный номер базы знаний: 2102154
Симптомы
В этой статье описываются симптомы, причины и способы устранения неполадок при сбое репликации Active Directory с ошибкой Win32 1722: RPC-сервер недоступен.
DcPROMO Promotion of a реплика DC не удается создать объект NTDS Settings на вспомогательном контроллере домена с ошибкой 1722。
Текст заголовка диалогового окна: мастер установки доменные службы Active Directory
Текст диалогового сообщения:
The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."DCDIAG сообщает, что сбой теста репликации Active Directory с ошибкой 1722: RPC-сервер недоступен.
[Replications Check,<DC Name>] A recent replication attempt failed: From <source DC> to <destination DC> Naming Context: <DN path of directory partition> The replication generated an error (1722): The RPC server is unavailable. The failure occurred at <date> <time>. The last success occurred at <date> <time>. <X> failures have occurred since the last success. [<dc name>] DsBindWithSpnEx() failed with error 1722, The RPC server is unavailable.. Printing RPC Extended Error Info: <snip>REPADMIN.EXE сообщает о сбое попытки репликации с состоянием 1722 (0x6ba).
Команды REPADMIN, которые обычно ссылаются на состояние -1722 (0x6ba), включают, но не ограничиваются следующим:
REPADMIN /REPLSUMREPADMIN /SHOWREPLREPADMIN /SHOWREPSREPADMIN /SYNCALL
Ниже показан пример выходных данных из
REPADMIN /SHOWREPSиREPADMIN /SYNCALL, в которых показана ошибка " Сервер RPC недоступен ":c:\> repadmin /showreps <site name><destination DC> DC Options: <list of flags> Site Options: (none) DC object GUID: <NTDS settings object object GUID> DC invocationID: <invocation ID string> ==== INBOUND NEIGHBORS ====================================== DC=<DN path for directory partition> <site name><source DC via RPC DC object GUID: <source DCs ntds settings object object guid> Last attempt @ <date> <time> failed, result **1722 (0x6ba): The RPC server is unavailable. <X #> consecutive failure(s). Last success @ <date> <time>Ниже показан пример выходных
REPADMIN /SYNCALLданных об ошибке "Сервер RPC недоступен ":C:\>repadmin /syncall CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba): The RPC server is unavailable.Команда реплицировать сейчас на сайтах и службах Active Directory возвращает значение RPC-сервер недоступен.
При щелчке правой кнопкой мыши на объекте подключения из исходного контроллера домена и выборе команды реплицировать теперь происходит сбой с сервером RPC. Экранное сообщение об ошибке отображается ниже:
Текст заголовка диалогового окна: "Реплицировать сейчас"
Текст сообщения диалогового окна:
При попытке синхронизировать dns-имя контекста <именования раздела> каталога с именем узла контроллера домена источника контроллера <домена с именем>> узла целевого контроллера <домена домена произошла следующая ошибка: Сервер RPC недоступен. Эта операция не будет продолжена. Это условие может быть вызвано проблемой поиска DNS. Сведения об устранении распространенных проблем с поиском DNS см. на следующем веб-сайте Майкрософт: Проблема с поиском DNS
NtDS Knowledge Consistency Checker (KCC), NTDS General или Microsoft-Windows-ActiveDirectory_DomainService события с состоянием 1722 регистрируются в журнале событий службы каталогов.
События Active Directory, которые обычно ссылаются на состояние 1722, включают, но не ограничиваются следующими:
Источник события Идентификатор события Строка события Microsoft-Windows-ActiveDirectory_DomainService 1125 Мастеру установки доменные службы Active Directory (Dcpromo) не удалось установить соединение со следующим контроллером домена. NTDS KCC 1311 Средство проверки согласованности знаний (KCC) обнаружило проблемы со следующим разделом каталога. NTDS KCC 1865 Средство проверки согласованности знаний (KCC) не смогло сформировать полную топологию сети дерева. В результате с локального сайта невозможно получить следующий список сайтов. NTDS KCC 1925 Попытка установить ссылку репликации для следующей секции каталога, допускаемой для записи, завершилась ошибкой. Репликация NTDS 1960 Внутреннее событие. Следующий контроллер домена получил исключение из подключения удаленного вызова процедуры (RPC). Возможно, операция завершилась ошибкой.
Причина
RPC — это промежуточный уровень между сетевым транспортом и протоколом приложения. Сам RPC не имеет специальных сведений о сбоях, но пытается сопоставить сбои протокола нижнего уровня с ошибкой на уровне RPC.
Ошибка RPC 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE регистрируется, когда протокол нижнего уровня сообщает о сбое подключения. Распространенный случай заключается в том, что абстрактная операция TCP CONNECT завершилась сбоем. В контексте репликации AD клиенту RPC на целевом контроллере домена не удалось успешно подключиться к серверу RPC на исходном контроллере домена. Ниже приведены распространенные причины.
- Сбой локальной связи
- Сбой DHCP
- Сбой DNS
- Сбой WINS
- Сбой маршрутизации (включая заблокированные порты в брандмауэрах)
- Сбои проверки подлинности IPSec и сети
- Ограничения ресурсов
- Протокол более высокого уровня не выполняется
- Протокол более высокого уровня возвращает эту ошибку
Разрешение
Основные действия по устранению неполадок для выявления проблемы.
Убедитесь, что значение запуска и состояние службы правильно для RPC, указателя RPC и центра распространения ключей Kerberos
Убедитесь, что значение запуска и состояние службы верны для указателя удаленного вызова процедур (RPC), указателя удаленного вызова процедур (RPC) и центра распространения ключей Kerberos.
Версия ОС определит правильные значения для исходной и целевой системы, которая регистрируют ошибку репликации. Используйте следующую таблицу для проверки параметров.
| Имя службы | Windows 2000 | Windows 2003 /R2 | Windows 2008 | Windows 2008 R2 |
|---|---|---|---|---|
| Удаленный вызов процедур (RPC) | Запущено / автоматически | Запущено / автоматически | Запущено / автоматически | Запущено / автоматически |
| Локатор удаленного вызова процедур (RPC) | Запущено и автоматически (контроллеры домена) Не запущено / вручную (рядовые серверы) |
Не запущено / Вручную | Не запущено / Вручную | Не запущено / Вручную |
| Центр распространения ключей Kerberos (KDC) | Запущено и автоматически (контроллеры домена) Не запущено или отключено(рядовые серверы) |
Запущено и автоматически (контроллеры домена) Не запущено или отключено(рядовые серверы) |
Запущено и автоматически (контроллеры домена) Не запущено или отключено(рядовые серверы) |
Запущено и автоматически (контроллеры домена) Не запущено или отключено(рядовые серверы) |
Если вы внесете какие-либо изменения в соответствии с приведенными выше параметрами, перезапустите компьютер. Убедитесь, что значение запуска и состояние службы соответствуют значениям, описанным в таблице выше.
Убедитесь, что ключ ClientProtocols существует в HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc и содержит правильные протоколы по умолчанию.
| Имя протокола | Тип | Значение данных |
|---|---|---|
| ncacn_http | REG_SZ | rpcrt4.dll |
| ncacn_ip_tcp | REG_SZ | rpcrt4.dll |
| ncacn_np | REG_SZ | rpcrt4.dll |
| ncacn_ip_udp | REG_SZ | rpcrt4.dll |
Если отсутствует ключ ClientProtocols или любое из четырех значений по умолчанию, импортируйте ключ с известного хорошего сервера.
Проверка работы DNS
Сбои поиска DNS являются причиной большого количества ошибок RPC 1722, когда дело доходит до репликации.
Для выявления ошибок DNS можно использовать несколько средств.
DCDIAG /TEST:DNS /V /E /F:<filename.log>Команда
DCDIAG /TEST:DNSможет проверить работоспособность DNS для контроллеров домена семейства Windows 2000 Server (SP3 или более поздней версии), Windows Server 2003 и Windows Server 2008. Этот тест был впервые представлен в Windows Server 2003 с пакетом обновления 1 (SP1).Для этой команды существует семь тестовых групп.
Проверка подлинности (проверка подлинности)
Базовый (
Basc)Регистрация записей (RReg)
Динамическое обновление (
Dyn)Делегирования (Del)
Перенаправления и корневые указания (Forw)
Пример выходных данных:
TEST: Authentication (Auth) Authentication test: Successfully completed TEST: Basic (Basc) Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported NETLOGON service is running kdc service is running DNSCACHE service is running DNS service is running DC is a DNS server Network adapters information: Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter: MAC address is 00:15:5D:40:CF:92 IP address is static IP address: <IP Address> DNS servers: <DNS IP Address> (DC.domain.com.) [Valid] The A record for this DC was found The SOA record for the Active Directory zone was found The Active Directory zone on this DC/DNS server was found (primary) Root zone on this DC/DNS server was not found <omitted other tests for readability>Сводка результатов теста DNS:
Auth Basc Forw Del Dyn RReg Ext Domain: fragale.contoso.com DC1 PASS PASS FAIL PASS PASS PASS n/a Domain: child.fragale.contoso.com DC2 PASS PASS n/a n/a n/a PASS n/a Enterprise DNS infrastructure test results: For parent domain domain.com and subordinate domain child: Forwarders or root hints are not misconfigured from parent domain to subordinate domain Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests (See DNS servers section for error details) Delegation is configured properly from parent to subordinate domain ......................... domain.com failed test DNSВ этой сводке приведены шаги по исправлению наиболее распространенных сбоев в этом тесте.
Объяснение и дополнительные параметры для этого теста можно найти в средстве диагностики контроллера домена (dcdiag.exe).
NLTEST /DSGETDC:<netbios or DNS domain name>Nltest /dsgetdcиспользуется для реализации процесса указателя контроллера домена. Таким образом/dsgetdc:<domain name>пытается найти контроллер домена для домена. При использовании принудительного флага требуется расположение контроллера домена, а не кэш. Вы также можете указать такие параметры, как /gc или /pdc , чтобы найти глобальный каталог или основной эмулятор контроллера домена. Чтобы найти глобальный каталог, необходимо указать имя дерева, которое является DNS-доменным именем корневого домена.Пример выходных данных:
DC: [\DC.fabrikam.com] Address: \\<IP Address> Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b Dom Name: fabrikam.com Forest Name: fabrikam.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfullyNetdiag -vМожно использовать с Windows 2003 и более ранними версиями для сбора конкретных сведений о конфигурации сети и ошибках. Выполнение этого средства занимает некоторое время при выполнении переключателя
-v.Пример выходных данных для теста DNS:
DNS test . . . . . . . . . . . . . : Passed Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A} DNS Domain: DNS Servers: <DNS Server Ip address> IP Address: Expected registration with PDN (primary DNS domain name): Hostname: DC.fabrikam.com. Authoritative zone: fabrikam.com. Primary DNS server: DC.fabrikam.com <Ip Address> Authoritative NS:<Ip Address> Check the DNS registration for DCs entries on DNS server <DNS Server Ip address> The Record is correct on DNS server '<DNS Server Ip address>'. (You will see this line repeated several times for every entry for this DC. Including srv records.) The Record is correct on DNS server '<DNS Server Ip address>'. PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.ping -a <IP_of_problem_server>Это простой быстрый тест, чтобы проверить, что запись узла для контроллера домена разрешается на правильный компьютер.
dnslint /s IP /ad IPDNSLint — это служебная программа Windows, которая помогает диагностировать распространенные проблемы с разрешением ИМЕН DNS. Выходные данные — это htm-файл с большим количеством сведений, включая:
DNS-сервер: localhost
IP Address: 127.0.0.1 UDP port 53 responding to queries: YES TCP port 53 responding to queries: Not tested Answering authoritatively for domain: NOSOA записывает данные с сервера:
Authoritative name server: DC.domain.com Hostmaster: hostmaster Zone serial number: 14 Zone expires in: 1.00 day(s) Refresh period: 900 seconds Retry delay: 600 seconds Default (minimum) TTL: 3600 secondsДополнительные достоверные (NS) записи с сервера:
DC2.fabrikam.com <IP Address>Псевдонимы (CNAME) и записи склеивания (A) для идентификаторов GUID леса с сервера:
CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com
- Псевдоним:
DC.fabrikam.com - Клей: <IP-адрес>
- Псевдоним:
CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com
- Псевдоним:
dc2.child.fabrikam.com - Клей: <IP-адрес>
Дополнительные сведения см. в разделе Описание служебной программы DNSLint.
- Псевдоним:
Убедитесь, что сетевые порты не заблокированы брандмауэром или сторонним приложением, прослушивающим необходимые порты
Сопоставитель конечных точек (прослушивающий порт 135) сообщает клиенту, какой случайно назначенный порт прослушивает служба (FRS, репликация AD, MAPI и т. д.).
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Сервер глобального каталога | TCP | 3269 |
| Сервер глобального каталога | TCP | 3268 |
| Сервер LDAP | TCP | 389 |
| Сервер LDAP | UDP | 389 |
| LDAP SSL | TCP | 636 |
| LDAP SSL | UDP | 636 |
| IPsec ISAKMP | UDP | 500 |
| NAT-T | UDP | 4500 |
| RPC | TCP | 135 |
| Порты ТСР с большими номерами, произвольно назначенные службой RPC¹ | TCP | 1024–5000 49152 - 65535* |
* Это диапазон в Windows Server 2008, Windows Vista, Windows 7 и Windows 2008 R2.
Portqry можно использовать для определения того, заблокирован ли порт для контроллера домена при нацеливание на другой контроллер домена. Его можно скачать на странице Средство проверки портов командной строки PortQry версии 2.0.
Пример синтаксиса:
portqry -n <problem_server> -e 135portqry -n <problem_server> -r 1024-5000
Графическую версию portqry, называемую Portqryui, можно найти в статье PortQryUI — пользовательский интерфейс для средства проверки портов командной строки PortQry.
Если в диапазоне динамических портов заблокированы порты, используйте приведенные ниже ссылки, чтобы настроить диапазон портов, управляемый для клиента.
Дополнительные важные ссылки для настройки и работы с брандмауэрами и контроллерами домена:
- ПРАКТИЧЕСКОЕ РУКОВОДСТВО. Настройка динамического распределения портов RPC для работы с брандмауэром
- Ограничение трафика репликации Active Directory определенным портом
- Настройка брандмауэра для доменов и доверия
- Список портов контроллера домена Windows Server по умолчанию
- Требования к портам для системы Microsoft Windows Server
Недопустимые драйверы сетевого адаптера
Последние версии драйверов см. в разделе поставщиков сетевых карта или изготовителей оборудования.
Фрагментация UDP может привести к ошибкам репликации, из-за которых источник RPC-сервера недоступен
Событие с идентификатором 40960 & ошибки 40961 с источником LSASRV являются общими для этой конкретной причины.
Дополнительные сведения см. в статье Принудительное использование Протокола Kerberos вместо UDP в Windows.
Несоответствия подписывания SMB между контроллерами домена
Использование политики контроллеров домена по умолчанию для настройки согласованных параметров для подписи SMB в следующем разделе поможет устранить эту причину:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
- Сетевой клиент Майкрософт: связь с цифровой подписью (всегда) отключена.
- Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер согласен) включено.
- Сетевой сервер Майкрософт. Связь с цифровой подписью (всегда) отключена.
- Сетевой сервер Майкрософт: цифровая подпись сообщений (если клиент согласен) включено.
Параметры можно найти в следующих разделах реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\ParametersиHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters- RequireSecuritySignature = always (0,disable, 1 enable).
- EnableSecuritySignature = принимает сервер (0,отключить, 1 включить).
Дополнительные сведения об устранении неполадок:
Если приведенное выше решение не предоставляет решение для 1722, используйте следующее ведение журнала диагностики для сбора дополнительных сведений:
Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.
Crank up NTDS Diagnostic logging
1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.
Сбор данных
Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.
Ссылки
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по