Active Directory 複寫錯誤 1722:RPC 伺服器無法使用
本文可協助修正 Active Directory 複寫的錯誤 1722。
適用於: Windows Server (所有支援的版本)
原始 KB 編號: 2102154
徵狀
本文說明解決 Active Directory 複寫失敗的徵兆、原因和解決方法,並顯示 Win32 錯誤 1722:RPC 伺服器無法使用。
復本 DC 的 DCPROMO 升級無法在協助程式 DC 上建立 NTDS 設定物件,錯誤為 1722。
對話框標題文字:Active Directory 網域服務 安裝精靈
對話框訊息正文:
The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."
DCDIAG 報告 Active Directory 複寫測試失敗,錯誤為 1722:RPC Server 無法使用。
[Replications Check,<DC Name>] A recent replication attempt failed: From <source DC> to <destination DC> Naming Context: <DN path of directory partition> The replication generated an error (1722): The RPC server is unavailable. The failure occurred at <date> <time>. The last success occurred at <date> <time>. <X> failures have occurred since the last success. [<dc name>] DsBindWithSpnEx() failed with error 1722, The RPC server is unavailable.. Printing RPC Extended Error Info: <snip>
REPADMIN.EXE 報告復寫嘗試失敗,狀態為 1722 (0x6ba) 。
通常會指出 -1722 (0x6ba) 狀態的 REPADMIN 命令包含但不限於:
REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS
REPADMIN /SYNCALL
RPC 伺服器無法使用錯誤的輸出
REPADMIN /SHOWREPS
範例如下REPADMIN /SYNCALL
所示:c:\> repadmin /showreps <site name><destination DC> DC Options: <list of flags> Site Options: (none) DC object GUID: <NTDS settings object object GUID> DC invocationID: <invocation ID string> ==== INBOUND NEIGHBORS ====================================== DC=<DN path for directory partition> <site name><source DC via RPC DC object GUID: <source DCs ntds settings object object guid> Last attempt @ <date> <time> failed, result **1722 (0x6ba): The RPC server is unavailable. <X #> consecutive failure(s). Last success @ <date> <time>
描述 RPC 伺服器無法使用錯誤的
REPADMIN /SYNCALL
範例輸出如下所示:C:\>repadmin /syncall CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba): The RPC server is unavailable.
Active Directory 月臺和服務中的 replicate now 命令會傳回 RPC 伺服器無法使用。
以滑鼠右鍵按兩下來源 DC 的連線物件, 然後選擇複寫現在 會失敗, 因為 RPC 伺服器無法使用。 畫面上的錯誤訊息如下所示:
對話框標題文字:立即複寫
對話訊息正文:
嘗試將目錄分割區的命名內容 <DNS 名稱從域控制器來源 Dc 主機名>同步至域控制器<<目的地 DC 主機名>:RPC 伺服器無法使用時,發生下列錯誤。> 此作業將不會繼續。 此情況可能是由 DNS 查閱問題所造成。 如需針對常見 DNS 查閱問題進行疑難解答的資訊,請參閱下列 Microsoft 網站: DNS 查閱問題
具有 1722 狀態的 NTDS 知識一致性檢查程式 (KCC) 、NTDS 一般或 Microsoft-Windows-ActiveDirectory_DomainService 事件會記錄在目錄服務事件記錄檔中。
通常會指出 1722 狀態的 Active Directory 事件包括但不限於:
Event Source 事件識別碼 事件字串 Microsoft-Windows-ActiveDirectory_DomainService 1125 Active Directory 網域服務 安裝精靈 (Dcpromo) 無法與下列域控制器建立連線。 NTDS KCC 1311 知識一致性檢查程式 (KCC) 偵測到下列目錄分割區的問題。 NTDS KCC 1865 知識一致性檢查程式 (KCC) 無法形成完整的跨樹狀結構網路拓撲。 因此,無法從本機網站連線到下列網站清單。 NTDS KCC 1925 嘗試建立下列可寫入目錄分割區的復寫連結失敗。 NTDS 複寫 1960 內部事件:下列域控制器從遠端過程調用 (RPC) 連線收到例外狀況。 作業可能失敗。
原因
RPC 是網路傳輸與應用程式通訊協議之間的中繼層。 RPC 本身對失敗沒有特殊見解,但會嘗試將較低層級的通訊協定失敗對應至 RPC 層的錯誤。
當較低層通訊協定報告連線失敗時,會記錄 RPC 錯誤 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE。 常見的情況是抽象 TCP CONNECT 作業失敗。 在AD複寫的內容中,目的地DC上的 RPC 用戶端無法成功連線到來源 DC 上的 RPC 伺服器。 常見的原因如下:
- 連結本機失敗
- DHCP 失敗
- DNS 失敗
- WINS 失敗
- 路由失敗 (包括防火牆上封鎖的埠)
- IPSec/ 網路驗證失敗
- 資源限制
- 較高層級的通訊協定未執行
- 較高層級的通訊協定傳回此錯誤
解決方案
識別問題的基本疑難解答步驟。
確認 RPC、RPC 定位器和 Kerberos 金鑰發佈中心的啟動值和服務狀態正確無誤
確認遠端過程調用 (RPC) 、遠端過程調用 (RPC) 定位器和 Kerberos 金鑰發佈中心的啟動值和服務狀態是否正確。
OS 版本會判斷記錄複寫錯誤之來源和目的地系統的正確值。 使用下表來協助驗證設定。
服務名稱 | Windows 2000 | Windows 2003 /R2 | Windows 2008 | Windows 2008 R2 |
---|---|---|---|---|
遠端程序呼叫 (RPC) | 已啟動/自動 | 已啟動/自動 | 已啟動/自動 | 已啟動/自動 |
遠端程序呼叫 (RPC) 定位器 | 已啟動/自動 (域控制器) 未啟動/手動 (成員伺服器) |
未啟動/手動 | 未啟動/手動 | 未啟動/手動 |
Kerberos 金鑰發佈中心 (KDC) | 已啟動/自動 (域控制器) 未啟動/停用 (成員伺服器) |
已啟動/自動 (域控制器) 未啟動/停用 (成員伺服器) |
已啟動/自動 (域控制器) 未啟動/停用 (成員伺服器) |
已啟動/自動 (域控制器) 未啟動/停用 (成員伺服器) |
如果您進行任何變更以符合上述設定,請重新啟動計算機。 確認啟動值和服務狀態都符合上表中記載的值。
確認 ClientProtocols 金鑰存在於 HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc 下,而且它包含正確的預設通訊協定
通訊協定名稱 | 類型 | 數據值 |
---|---|---|
ncacn_http | REG_SZ | rpcrt4.dll |
ncacn_ip_tcp | REG_SZ | rpcrt4.dll |
ncacn_np | REG_SZ | rpcrt4.dll |
ncacn_ip_udp | REG_SZ | rpcrt4.dll |
如果 遺漏 ClientProtocols 索引鍵或四個預設值中的任何一個,請從已知的良好伺服器匯入密鑰。
確認 DNS 正常運作
DNS 查閱失敗是複寫時發生大量 1722 RPC 錯誤的原因。
有幾個工具可用來協助識別 DNS 錯誤:
DCDIAG /TEST:DNS /V /E /F:<filename.log>
命令
DCDIAG /TEST:DNS
可以驗證 Windows 2000 Server (SP3 或更新版本) 、Windows Server 2003 和 Windows Server 2008 系列域控制器的 DNS 健康情況。 這項測試最初是透過 Windows Server 2003 Service Pack 1 引進。此命令有七個測試群組。
驗證 (驗證)
基本 (
Basc
)記錄註冊 (RReg)
動態更新 (
Dyn
)Del) (委派
Forw) (轉寄站/根提示
範例輸出:
TEST: Authentication (Auth) Authentication test: Successfully completed TEST: Basic (Basc) Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported NETLOGON service is running kdc service is running DNSCACHE service is running DNS service is running DC is a DNS server Network adapters information: Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter: MAC address is 00:15:5D:40:CF:92 IP address is static IP address: <IP Address> DNS servers: <DNS IP Address> (DC.domain.com.) [Valid] The A record for this DC was found The SOA record for the Active Directory zone was found The Active Directory zone on this DC/DNS server was found (primary) Root zone on this DC/DNS server was not found <omitted other tests for readability>
DNS 測試結果摘要:
Auth Basc Forw Del Dyn RReg Ext Domain: fragale.contoso.com DC1 PASS PASS FAIL PASS PASS PASS n/a Domain: child.fragale.contoso.com DC2 PASS PASS n/a n/a n/a PASS n/a Enterprise DNS infrastructure test results: For parent domain domain.com and subordinate domain child: Forwarders or root hints are not misconfigured from parent domain to subordinate domain Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests (See DNS servers section for error details) Delegation is configured properly from parent to subordinate domain ......................... domain.com failed test DNS
摘要提供此測試中較常見失敗的補救步驟。
如需這項測試的說明和其他選項,請參閱 域控制器診斷工具 (dcdiag.exe) 。
NLTEST /DSGETDC:<netbios or DNS domain name>
Nltest /dsgetdc
用來執行dc定位器程式。 因此/dsgetdc:<domain name>
,嘗試尋找網域的域控制器。 使用強制旗標會強制域控制器位置,而不是使用快取。 您也可以指定選項,例如 /gc 或 /pdc 來尋找全域編錄或主域控制器模擬器。 若要尋找全域編錄,您必須指定 樹狀目錄名稱,也就是根域的 DNS 功能變數名稱。範例輸出:
DC: [\DC.fabrikam.com] Address: \\<IP Address> Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b Dom Name: fabrikam.com Forest Name: fabrikam.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully
Netdiag -v
可以與 Windows 2003 和舊版搭配使用,以收集網路設定和錯誤的特定資訊。 執行參數時
-v
,此工具需要一些時間才能執行。DNS 測試的範例輸出:
DNS test . . . . . . . . . . . . . : Passed Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A} DNS Domain: DNS Servers: <DNS Server Ip address> IP Address: Expected registration with PDN (primary DNS domain name): Hostname: DC.fabrikam.com. Authoritative zone: fabrikam.com. Primary DNS server: DC.fabrikam.com <Ip Address> Authoritative NS:<Ip Address> Check the DNS registration for DCs entries on DNS server <DNS Server Ip address> The Record is correct on DNS server '<DNS Server Ip address>'. (You will see this line repeated several times for every entry for this DC. Including srv records.) The Record is correct on DNS server '<DNS Server Ip address>'. PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.
ping -a <IP_of_problem_server>
這是驗證域控制器主機記錄解析為正確計算機的簡單快速測試。
dnslint /s IP /ad IP
DNSLint 是 Windows 公用程式,可協助您診斷常見的 DNS 名稱解析問題。 輸出是包含許多資訊的 htm 檔案,包括:
DNS 伺服器:localhost
IP Address: 127.0.0.1 UDP port 53 responding to queries: YES TCP port 53 responding to queries: Not tested Answering authoritatively for domain: NO
SOA 從伺服器記錄資料:
Authoritative name server: DC.domain.com Hostmaster: hostmaster Zone serial number: 14 Zone expires in: 1.00 day(s) Refresh period: 900 seconds Retry delay: 600 seconds Default (minimum) TTL: 3600 seconds
其他權威 (來自伺服器的 NS) 記錄:
DC2.fabrikam.com <IP Address>
別名 (CNAME) 並黏附 (伺服器樹系 GUID 的) 記錄:
CNAME:98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com
- 別名:
DC.fabrikam.com
- 黏附: <IP 位址>
- 別名:
CNAME:a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com
- 別名:
dc2.child.fabrikam.com
- 黏附: <IP 位址>
如需詳細資訊,請參閱 DNSLint 公用程式的描述。
- 別名:
確認接聽必要埠的防火牆或第三方應用程式不會封鎖網路埠
端點對應程式 (接聽埠 135) 會告知用戶端, (FRS、AD 複寫、MAPI 等) 接聽服務的隨機指派埠。
應用程式通訊協定 | Protocol (通訊協定) | 連接埠 |
---|---|---|
全域編錄伺服器 | TCP | 3269 |
全域編錄伺服器 | TCP | 3268 |
LDAP 伺服器 | TCP | 389 |
LDAP 伺服器 | UDP | 389 |
LDAP SSL | TCP | 636 |
LDAP SSL | UDP | 636 |
IPsec ISAKMP | UDP | 500 |
NAT-T | UDP | 4500 |
RPC | TCP | 135 |
RPC 隨機分配的高 TCP 連接埠¹ | TCP | 1024 - 5000 49152 - 65535* |
*
這是 Windows Server 2008、Windows Vista、Windows 7 和 Windows 2008 R2 中的範圍。
Portqry 可用來識別埠是否在以另一個 DC 為目標時遭到封鎖。 您可以在 PortQry 命令列埠掃描器 2.0 版下載。
範例語法:
portqry -n <problem_server> -e 135
portqry -n <problem_server> -r 1024-5000
在 PortQryUI - PortQry 命令行埠掃描器的使用者介面中,可以找到名為 Portqryui 的圖形版本 portqry。
如果動態埠範圍已封鎖埠,請使用下列連結來設定可為客戶管理的埠範圍。
設定和使用防火牆和域控制器的其他重要連結:
- HOWTO:設定 RPC 動態埠配置以使用防火牆
- 限制特定埠的 Active Directory 複寫流量
- 如何設定網域和信任的防火牆
- Windows Server 域控制器預設埠的清單
- Microsoft Windows Server 系統的埠需求
不正確的 NIC 驅動程式
如需最新的驅動程式,請參閱網路卡廠商或 OEM。
UDP 片段化可能會導致復寫錯誤似乎有 RPC 伺服器的來源無法使用
事件標識碼 40960 & 40961 錯誤與 LSASRV 的來源是常見的這個特定原因。
如需詳細資訊,請 參閱如何在 Windows 中強制 Kerberos 使用 TCP 而非 UDP。
DC 之間的 SMB 簽署不相符
使用預設域控制器原則在下一節中設定SMB簽署一致的設定,有助於解決此原因:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
- Microsoft 網路用戶端:數位簽署通訊 (一律) 已停用。
- Microsoft 網路用戶端:如果伺服器同意) 啟用,則以數位方式簽署通訊 (。
- Microsoft 網路伺服器:數位簽署通訊 (一律) 停用。
- Microsoft 網路伺服器:如果用戶端同意) 啟用,則 (數位簽署通訊。
您可以在下列登入機碼下找到這些設定:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
和HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
- RequireSecuritySignature = 一律 (0,disable,1 啟用) 。
- EnableSecuritySignature = 伺服器同意 (0、disable、1 啟用) 。
其他疑難解答:
如果上述內容未提供 1722 的解決方案,請使用下列診斷記錄來收集詳細資訊:
Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.
Crank up NTDS Diagnostic logging
1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.
資料收集
如果您需要 Microsoft 支援的協助,建議您依照 使用 TSS 針對 Active Directory 複寫問題收集資訊中所述的步驟來收集資訊。
參考
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: