Active Directory çoğaltma hatası 1722: RPC sunucusu kullanılamıyor

  • Makale

Bu makale, Active Directory çoğaltmasının 1722 hatasını düzeltmeye yardımcı olur.

Şunlar için geçerlidir: Windows Server (Tüm desteklenen sürümler)
Özgün KB numarası: 2102154

Belirtiler

Bu makalede, Win32 hatası 1722: RPC sunucusu kullanılamıyor hatasıyla başarısız olan Active Directory çoğaltmasını çözümlemeye yönelik belirtiler, neden ve çözüm açıklanmaktadır.

  1. Bir çoğaltma DC'sinin DCPROMO Yükseltmesi, 1722。 hatasıyla yardımcı DC'de NTDS Ayarları nesnesi oluşturamıyor

    İletişim Kutusu Başlığı metni: Active Directory Domain Services Yükleme Sihirbazı

    İletişim Kutusu İletisi metni:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. DCDIAG, Active Directory Çoğaltmaları testinin 1722: RPC Sunucusu kullanılamıyor hatasıyla başarısız olduğunu bildirir.

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<dc name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE çoğaltma girişiminin 1722 (0x6ba) durumuyla başarısız olduğunu bildirir.

    -1722 (0x6ba) durumunu belirten REPADMIN komutları şunlardır ancak bunlarla sınırlı değildir:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    RPC sunucusu kullanılamıyor hatasının REPADMIN /SHOWREPS örnek çıktısı ve REPADMIN /SYNCALL gösterimi aşağıda gösterilmiştir:

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    RPC sunucusu kullanılamıyor hatasını REPADMIN /SYNCALL gösteren örnek çıktı aşağıda gösterilmiştir:

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. Active Directory Siteleri ve Hizmetleri'ndeki Şimdi çoğalt komutu RPC sunucusu kullanılamıyor değerini döndürür.

    Kaynak DC'den bağlantı nesnesine sağ tıklayıp Şimdi çoğalt seçeneğinin seçilmesi RPC sunucusu kullanılamıyor hatasıyla başarısız oluyor. Ekrandaki hata iletisi aşağıda gösterilmiştir:

    İletişim kutusu başlık metni: Şimdi Çoğalt

    İletişim kutusu iletisi metni:

    Etki alanı denetleyicisi kaynak Dc ana bilgisayar adından etki alanı denetleyicisi hedef DC ana bilgisayar adına dizin bölümünün> adlandırma bağlamı <DNS adını><eşitleme girişimi sırasında aşağıdaki hata oluştu:RPC sunucusu kullanılamıyor.>< Bu işlem devam edecektir. Bu koşul bir DNS arama sorunundan kaynaklanıyor olabilir. Yaygın DNS arama sorunlarını giderme hakkında bilgi için aşağıdaki Microsoft Web sitesine bakın: DNS Arama Sorunu

  5. NTDS Bilgi Tutarlılığı Denetleyicisi (KCC), NTDS Genel veya 1722 durumundaki Microsoft-Windows-ActiveDirectory_DomainService olayları dizin hizmeti olay günlüğüne kaydedilir.

    Genellikle 1722 durumunu belirten Active Directory olayları şunları içerir ancak bunlarla sınırlı değildir:

    Olay Kaynağı Olay Kimliği Olay Dizesi
    Microsoft-Windows-ActiveDirectory_DomainService 1125 Active Directory Domain Services Yükleme Sihirbazı (Dcpromo), aşağıdaki etki alanı denetleyicisiyle bağlantı kuramadı.
    NTDS KCC 1311 Bilgi Tutarlılığı Denetleyicisi (KCC), aşağıdaki dizin bölümüyle ilgili sorunlar algılamıştır.
    NTDS KCC 1865 Bilgi Tutarlılığı Denetleyicisi (KCC), tam kapsamlı bir ağaç ağ topolojisi oluşturamadı. Sonuç olarak, aşağıdaki site listesine yerel siteden ulaşılamaz.
    NTDS KCC 1925 Aşağıdaki yazılabilir dizin bölümü için çoğaltma bağlantısı kurma girişimi başarısız oldu.
    NTDS Çoğaltma 1960 İç olay: Aşağıdaki etki alanı denetleyicisi, uzak yordam çağrısı (RPC) bağlantısından bir özel durum aldı. İşlem başarısız olmuş olabilir.

Neden

RPC, ağ aktarımı ile uygulama protokolü arasında bir ara katmandır. RPC'nin kendisi hatalarla ilgili özel bir içgörüye sahip değildir, ancak alt katman protokol hatalarını RPC katmanındaki bir hatayla eşlemeye çalışır.

Alt katman protokolü bağlantı hatası bildirdiğinde RPC hatası 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE günlüğe kaydedilir. Yaygın durum, soyut TCP CONNECT işleminin başarısız olmasıdır. AD çoğaltma bağlamında, hedef DC'deki RPC istemcisi kaynak DC'deki RPC sunucusuna başarıyla bağlanamadı. Bunun yaygın nedenleri şunlardır:

  1. Yerel bağlantı hatası
  2. DHCP hatası
  3. DNS hatası
  4. WINS hatası
  5. Yönlendirme hatası (güvenlik duvarlarında engellenen bağlantı noktaları dahil)
  6. IPSec / Ağ kimlik doğrulaması hataları
  7. Kaynak sınırlamaları
  8. Daha yüksek katman protokolü çalışmıyor
  9. Daha yüksek katman protokolü bu hatayı döndüren

Çözüm

Sorunu tanımlamak için temel sorun giderme adımları.

RPC, RPC Bulucu ve Kerberos Anahtar Dağıtım Merkezi için başlangıç değerinin ve hizmet durumunun doğru olduğunu doğrulayın

Uzak Yordam Çağrısı (RPC), Uzak Yordam Çağrısı (RPC) Bulucu ve Kerberos Anahtar Dağıtım Merkezi için başlangıç değerinin ve hizmet durumunun doğru olduğunu doğrulayın.

İşletim sistemi sürümü, çoğaltma hatasını günlüğe kaydeden kaynak ve hedef sistem için doğru değerleri belirler. Ayarları doğrulamaya yardımcı olması için aşağıdaki tabloyu kullanın.

Hizmet Adı Windows 2000 Windows 2003 /R2 Windows 2008 Windows 2008 R2
Uzaktan Yordam Çağrısı (RPC) Başlatıldı / Otomatik Başlatıldı / Otomatik Başlatıldı / Otomatik Başlatıldı / Otomatik
Uzaktan Yordam Çağrısı (RPC) Konum Belirleyicisi Başlatıldı / Otomatik (Etki Alanı Denetleyicileri)

Başlatılmayan / El İle (Üye Sunucular)		 Başlatılmadi / El İle Başlatılmadi / El İle Başlatılmadi / El İle
Kerberos Anahtar Dağıtım Merkezi (KDC) Başlatıldı / Otomatik (Etki Alanı Denetleyicileri)

Başlatılmayan / Devre Dışı (Üye Sunucular)		 Başlatıldı / Otomatik (Etki Alanı Denetleyicileri)

Başlatılmayan / Devre Dışı (Üye Sunucular)		 Başlatıldı / Otomatik (Etki Alanı Denetleyicileri)

Başlatılmayan / Devre Dışı (Üye Sunucular)		 Başlatıldı / Otomatik (Etki Alanı Denetleyicileri)

Başlatılmayan / Devre Dışı (Üye Sunucular)

Yukarıdaki ayarlarla eşleşecek değişiklikler yaparsanız makineyi yeniden başlatın. Hem başlangıç değerinin hem de hizmet durumunun yukarıdaki tabloda belgelenen değerlerle eşleşip eşleşmedığını doğrulayın.

clientProtocols anahtarının HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc altında mevcut olduğunu ve doğru varsayılan protokolleri içerdiğini doğrulayın

Protokol Adı Tür Veri Değeri
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

ClientProtocols anahtarı veya dört varsayılan değerden biri eksikse, anahtarı bilinen iyi bir sunucudan içeri aktarın.

DNS'nin çalıştığını doğrulama

DNS arama hataları, çoğaltma söz konusu olduğunda çok sayıda 1722 RPC hatasının nedenidir.

DNS hatalarını tanımlamaya yardımcı olmak için kullanabileceğiniz birkaç araç vardır:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    Komut, DCDIAG /TEST:DNS Windows 2000 Server (SP3 veya üzeri), Windows Server 2003 ve Windows Server 2008 ailesi etki alanı denetleyicilerinin DNS durumunu doğrulayabilir. Bu test ilk olarak Windows Server 2003 Service Pack 1 ile kullanıma sunulmuştur.

    Bu komut için yedi test grubu vardır.

    • Kimlik Doğrulaması (Kimlik Doğrulaması)

    • Temel (Basc)

    • Kayıt kaydı (RReg)

    • Dinamik güncelleştirme (Dyn)

    • Temsilciler (Del)

    • İleticiler/Kök ipuçları (Forw)

      Örnek çıkış:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      DNS test sonuçlarının özeti:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      Özet, bu testten daha yaygın hatalar için düzeltme adımları sağlar.

      Bu testle ilgili açıklama ve ek seçenekler Etki Alanı Denetleyicisi Tanılama Aracı (dcdiag.exe) adresinde bulunabilir.

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc dc bulucu işlemini uygulamak için kullanılır. Bu nedenle /dsgetdc:<domain name> , etki alanı için etki alanı denetleyicisini bulmaya çalışır. Zorlama bayrağını kullanmak, önbelleği kullanmak yerine etki alanı denetleyicisi konumunu zorlar. Genel Katalog veya birincil etki alanı denetleyicisi öykünücüsü bulmak için /gc veya /pdc gibi seçenekleri de belirtebilirsiniz. Genel Kataloğu bulmak için kök etki alanının DNS etki alanı adı olan bir ağaç adı belirtmeniz gerekir.

    Örnek çıkış:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Ağ yapılandırması ve hatasıyla ilgili belirli bilgileri toplamak için Windows 2003 ve önceki sürümlerle birlikte kullanılabilir. Bu aracın çalıştırılması, anahtarı yürütürken -v biraz zaman alır.

    DNS testi için örnek çıkış:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server Ip address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <Ip Address>  
Authoritative NS:<Ip Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
The Record is correct on DNS server '<DNS Server Ip address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server Ip address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.

  • ping -a <IP_of_problem_server>

    Bir etki alanı denetleyicisinin konak kaydının doğru makineye çözümlendiğinden doğrulamak için basit bir hızlı testtir.

  • dnslint /s IP /ad IP

    DNSLint, yaygın DNS ad çözümleme sorunlarını tanılamanıza yardımcı olan bir Windows yardımcı programıdır. Çıkış, aşağıdakiler de dahil olmak üzere çok fazla bilgiye sahip bir htm dosyasıdır:

    DNS sunucusu: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    SOA verileri sunucudan kaydeder:

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • Sunucudan ek yetkili (NS) kayıtlar: DC2.fabrikam.com <IP Address>

    Sunucudan orman GUID'leri için diğer ad (CNAME) ve tutkal (A) kayıtları:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Diğer ad: DC.fabrikam.com
      • Tutkal: <IP Adresleri>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Diğer ad: dc2.child.fabrikam.com
      • Tutkal: <IP Adresi>

      Daha fazla bilgi için bkz. DNSLint yardımcı programının açıklaması.

Ağ bağlantı noktalarının gerekli bağlantı noktalarını dinleyen bir güvenlik duvarı veya üçüncü taraf uygulama tarafından engellenmediğini doğrulayın

Uç nokta eşleyicisi (bağlantı noktası 135'te dinleme) istemciye bir hizmeti (FRS, AD çoğaltma, MAPI vb.) rastgele atayan bağlantı noktasını bildirir.

Uygulama protokolü Protokol Bağlantı Noktaları
Genel Katalog Sunucusu TCP 3269
Genel Katalog Sunucusu TCP 3268
LDAP Sunucusu TCP 389
LDAP Sunucusu UDP 389
LDAP SSL TCP 636
LDAP SSL UDP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
RPC rastgele ayrılmış yüksek TCP bağlantı noktaları¹ TCP 1024 - 5000
49152 - 65535*

* Bu, Windows Server 2008, Windows Vista, Windows 7 ve Windows 2008 R2'deki aralıktır.

Portqry, başka bir DC'yi hedeflerken bir bağlantı noktasının Dc'den engellenip engellenmediğini belirlemek için kullanılabilir. PortQry Komut Satırı Bağlantı Noktası Tarayıcısı Sürüm 2.0'dan indirilebilir.

Örnek söz dizimi:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

PortQry Komut Satırı Bağlantı Noktası Tarayıcısı için PortQryUI - Kullanıcı Arabirimi sayfasında Portqryui adlı bir portqry grafik sürümü bulunabilir.

Dinamik Bağlantı Noktası aralığında engellenen bağlantı noktaları varsa, müşteri için yönetilebilir bir bağlantı noktası aralığı yapılandırmak için aşağıdaki bağlantıları kullanın.

Güvenlik Duvarları ve Etki Alanı Denetleyicileri ile çalışma ve yapılandırma için ek önemli bağlantılar:

Hatalı NIC sürücüleri

En son sürücüler için bkz. ağ kartı satıcıları veya OEM'ler.

UDP parçalanması, RPC sunucusunun kaynağı kullanılamıyor gibi görünen çoğaltma hatalarına neden olabilir

Bu özel neden için LSASRV kaynağıyla ilgili olay kimliği 40960 & 40961 hataları yaygındır.

Daha fazla bilgi için bkz. Kerberos'un Windows'da UDP yerine TCP kullanmaya zorlama.

DC'ler arasında SMB imzalama uyuşmazlıkları

Aşağıdaki bölümde yer alan SMB İmzalama için tutarlı ayarları yapılandırmak için Varsayılan Etki Alanı Denetleyicileri İlkesi'ni kullanmak bu nedeni gidermeye yardımcı olacaktır:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman) Devre Dışı.
  • Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) Etkin.
  • Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) Devre Dışı.
  • Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (istemci kabul ederse) Etkin.

Ayarlar aşağıdaki kayıt defteri anahtarları altında bulunabilir:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters Ve HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always (0,disable, 1 enable).
    • EnableSecuritySignature = sunucu kabul eder (0,disable, 1 enable).

Ek Sorun Giderme:

Yukarıdakiler 1722'ye bir çözüm sağlamazsa, daha fazla bilgi toplamak için aşağıdaki Tanılama günlüğünü kullanın:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Veri toplama

Microsoft desteğinden yardıma ihtiyacınız varsa, Active Directory çoğaltma sorunları için TSS kullanarak bilgi toplama bölümünde belirtilen adımları izleyerek bilgileri toplamanızı öneririz.

Başvurular