Active Directory 複寫錯誤 1722：RPC 伺服器無法使用

文章
04/10/2024

本文可協助修正 Active Directory 複寫的錯誤 1722。

適用於： Windows Server (所有支援的版本)
原始 KB 編號： 2102154

徵狀

本文說明解決 Active Directory 複寫失敗的徵兆、原因和解決方法，並顯示 Win32 錯誤 1722：RPC 伺服器無法使用。

復本 DC 的 DCPROMO 升級無法在協助程式 DC 上建立 NTDS 設定物件，錯誤為 1722。

對話框標題文字：Active Directory 網域服務安裝精靈

對話框訊息正文：

The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

DCDIAG 報告 Active Directory 複寫測試失敗，錯誤為 1722：RPC Server 無法使用。

[Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<dc name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

REPADMIN.EXE 報告復寫嘗試失敗，狀態為 1722 (0x6ba) 。

通常會指出 -1722 (0x6ba) 狀態的 REPADMIN 命令包含但不限於：

REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS
REPADMIN /SYNCALL

RPC 伺服器無法使用錯誤的輸出REPADMIN /SHOWREPS範例如下REPADMIN /SYNCALL所示：

c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

描述 RPC 伺服器無法使用錯誤的REPADMIN /SYNCALL範例輸出如下所示：

 C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

Active Directory 月臺和服務中的 replicate now 命令會傳回 RPC 伺服器無法使用。

以滑鼠右鍵按兩下來源 DC 的連線物件， 然後選擇複寫現在 會失敗， 因為 RPC 伺服器無法使用。畫面上的錯誤訊息如下所示：

對話框標題文字：立即複寫

對話訊息正文：

嘗試將目錄分割區的命名內容 <DNS 名稱從域控制器來源 Dc 主機名>同步至域控制器<<目的地 DC 主機名>：RPC 伺服器無法使用時，發生下列錯誤。> 此作業將不會繼續。此情況可能是由 DNS 查閱問題所造成。如需針對常見 DNS 查閱問題進行疑難解答的資訊，請參閱下列 Microsoft 網站： DNS 查閱問題

具有 1722 狀態的 NTDS 知識一致性檢查程式 (KCC) 、NTDS 一般或 Microsoft-Windows-ActiveDirectory_DomainService 事件會記錄在目錄服務事件記錄檔中。

通常會指出 1722 狀態的 Active Directory 事件包括但不限於：

Event Source	事件識別碼	事件字串
Microsoft-Windows-ActiveDirectory_DomainService	1125	Active Directory 網域服務安裝精靈 (Dcpromo) 無法與下列域控制器建立連線。
NTDS KCC	1311	知識一致性檢查程式 (KCC) 偵測到下列目錄分割區的問題。
NTDS KCC	1865	知識一致性檢查程式 (KCC) 無法形成完整的跨樹狀結構網路拓撲。因此，無法從本機網站連線到下列網站清單。
NTDS KCC	1925	嘗試建立下列可寫入目錄分割區的復寫連結失敗。
NTDS 複寫	1960	內部事件：下列域控制器從遠端過程調用 (RPC) 連線收到例外狀況。作業可能失敗。

原因

RPC 是網路傳輸與應用程式通訊協議之間的中繼層。 RPC 本身對失敗沒有特殊見解，但會嘗試將較低層級的通訊協定失敗對應至 RPC 層的錯誤。

當較低層通訊協定報告連線失敗時，會記錄 RPC 錯誤 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE。常見的情況是抽象 TCP CONNECT 作業失敗。在AD複寫的內容中，目的地DC上的 RPC 用戶端無法成功連線到來源 DC 上的 RPC 伺服器。常見的原因如下：

連結本機失敗
DHCP 失敗
DNS 失敗
WINS 失敗
路由失敗 (包括防火牆上封鎖的埠)
IPSec/ 網路驗證失敗
資源限制
較高層級的通訊協定未執行
較高層級的通訊協定傳回此錯誤

解決方案

識別問題的基本疑難解答步驟。

確認 RPC、RPC 定位器和 Kerberos 金鑰發佈中心的啟動值和服務狀態正確無誤

確認遠端過程調用 (RPC) 、遠端過程調用 (RPC) 定位器和 Kerberos 金鑰發佈中心的啟動值和服務狀態是否正確。

OS 版本會判斷記錄複寫錯誤之來源和目的地系統的正確值。使用下表來協助驗證設定。

服務名稱	Windows 2000	Windows 2003 /R2	Windows 2008	Windows 2008 R2
遠端程序呼叫 (RPC)	已啟動/自動	已啟動/自動	已啟動/自動	已啟動/自動
遠端程序呼叫 (RPC) 定位器	已啟動/自動 (域控制器) 未啟動/手動 (成員伺服器)	未啟動/手動	未啟動/手動	未啟動/手動
Kerberos 金鑰發佈中心 (KDC)	已啟動/自動 (域控制器) 未啟動/停用 (成員伺服器)	已啟動/自動 (域控制器) 未啟動/停用 (成員伺服器)	已啟動/自動 (域控制器) 未啟動/停用 (成員伺服器)	已啟動/自動 (域控制器) 未啟動/停用 (成員伺服器)

如果您進行任何變更以符合上述設定，請重新啟動計算機。確認啟動值和服務狀態都符合上表中記載的值。

確認 ClientProtocols 金鑰存在於 HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc 下，而且它包含正確的預設通訊協定

通訊協定名稱	類型	數據值
ncacn_http	REG_SZ	rpcrt4.dll
ncacn_ip_tcp	REG_SZ	rpcrt4.dll
ncacn_np	REG_SZ	rpcrt4.dll
ncacn_ip_udp	REG_SZ	rpcrt4.dll

如果 遺漏 ClientProtocols 索引鍵或四個預設值中的任何一個，請從已知的良好伺服器匯入密鑰。

確認 DNS 正常運作

DNS 查閱失敗是複寫時發生大量 1722 RPC 錯誤的原因。

有幾個工具可用來協助識別 DNS 錯誤：

DCDIAG /TEST:DNS /V /E /F:<filename.log>

命令 DCDIAG /TEST:DNS 可以驗證 Windows 2000 Server (SP3 或更新版本) 、Windows Server 2003 和 Windows Server 2008 系列域控制器的 DNS 健康情況。這項測試最初是透過 Windows Server 2003 Service Pack 1 引進。

此命令有七個測試群組。

驗證 (驗證)
基本 (Basc)
記錄註冊 (RReg)
動態更新 (Dyn)
Del) (委派

Forw) (轉寄站/根提示

範例輸出：

TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

DNS 測試結果摘要：

Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

摘要提供此測試中較常見失敗的補救步驟。

如需這項測試的說明和其他選項，請參閱域控制器診斷工具 (dcdiag.exe) 。

NLTEST /DSGETDC:<netbios or DNS domain name>

Nltest /dsgetdc 用來執行dc定位器程式。因此 /dsgetdc:<domain name> ，嘗試尋找網域的域控制器。使用強制旗標會強制域控制器位置，而不是使用快取。您也可以指定選項，例如 /gc 或 /pdc 來尋找全域編錄或主域控制器模擬器。若要尋找全域編錄，您必須指定 樹狀目錄名稱，也就是根域的 DNS 功能變數名稱。

範例輸出：
```
DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully
```

Netdiag -v

可以與 Windows 2003 和舊版搭配使用，以收集網路設定和錯誤的特定資訊。執行參數時 -v ，此工具需要一些時間才能執行。

DNS 測試的範例輸出：

DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server Ip address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <Ip Address>  
Authoritative NS:<Ip Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
The Record is correct on DNS server '<DNS Server Ip address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server Ip address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.

ping -a <IP_of_problem_server>

這是驗證域控制器主機記錄解析為正確計算機的簡單快速測試。

dnslint /s IP /ad IP

DNSLint 是 Windows 公用程式，可協助您診斷常見的 DNS 名稱解析問題。輸出是包含許多資訊的 htm 檔案，包括：

DNS 伺服器：localhost

IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

SOA 從伺服器記錄資料：

Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

其他權威 (來自伺服器的 NS) 記錄： DC2.fabrikam.com <IP Address>

別名 (CNAME) 並黏附 (伺服器樹系 GUID 的) 記錄：
- CNAME：98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com
  - 別名： DC.fabrikam.com
  - 黏附： <IP 位址>
- CNAME：a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com
  - 別名： dc2.child.fabrikam.com
  - 黏附： <IP 位址>
  如需詳細資訊，請參閱 DNSLint 公用程式的描述。

確認接聽必要埠的防火牆或第三方應用程式不會封鎖網路埠

端點對應程式 (接聽埠 135) 會告知用戶端， (FRS、AD 複寫、MAPI 等) 接聽服務的隨機指派埠。

應用程式通訊協定	Protocol (通訊協定)	連接埠
全域編錄伺服器	TCP	3269
全域編錄伺服器	TCP	3268
LDAP 伺服器	TCP	389
LDAP 伺服器	UDP	389
LDAP SSL	TCP	636
LDAP SSL	UDP	636
IPsec ISAKMP	UDP	500
NAT-T	UDP	4500
RPC	TCP	135
RPC 隨機分配的高 TCP 連接埠¹	TCP	1024 - 5000 49152 - 65535*

* 這是 Windows Server 2008、Windows Vista、Windows 7 和 Windows 2008 R2 中的範圍。

Portqry 可用來識別埠是否在以另一個 DC 為目標時遭到封鎖。您可以在 PortQry 命令列埠掃描器 2.0 版下載。

範例語法：

portqry -n <problem_server> -e 135
portqry -n <problem_server> -r 1024-5000

在 PortQryUI - PortQry 命令行埠掃描器的使用者介面中，可以找到名為 Portqryui 的圖形版本 portqry。

如果動態埠範圍已封鎖埠，請使用下列連結來設定可為客戶管理的埠範圍。

設定和使用防火牆和域控制器的其他重要連結：

不正確的 NIC 驅動程式

如需最新的驅動程式，請參閱網路卡廠商或 OEM。

UDP 片段化可能會導致復寫錯誤似乎有 RPC 伺服器的來源無法使用

事件標識碼 40960 & 40961 錯誤與 LSASRV 的來源是常見的這個特定原因。

如需詳細資訊，請參閱如何在 Windows 中強制 Kerberos 使用 TCP 而非 UDP。

DC 之間的 SMB 簽署不相符

使用預設域控制器原則在下一節中設定SMB簽署一致的設定，有助於解決此原因：

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Microsoft 網路用戶端：數位簽署通訊 (一律) 已停用。
Microsoft 網路用戶端：如果伺服器同意) 啟用，則以數位方式簽署通訊 (。
Microsoft 網路伺服器：數位簽署通訊 (一律) 停用。
Microsoft 網路伺服器：如果用戶端同意) 啟用，則 (數位簽署通訊。

您可以在下列登入機碼下找到這些設定：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters 和 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
- RequireSecuritySignature = 一律 (0，disable，1 啟用) 。
- EnableSecuritySignature = 伺服器同意 (0、disable、1 啟用) 。

其他疑難解答：

如果上述內容未提供 1722 的解決方案，請使用下列診斷記錄來收集詳細資訊：

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

資料收集

如果您需要 Microsoft 支援的協助，建議您依照使用 TSS 針對 Active Directory 複寫問題收集資訊中所述的步驟來收集資訊。