Active Directory-Replikationsfehler 1722: Der RPC-Server ist nicht verfügbar.

2025-01-15

In diesem Artikel wird der Fehler 1722 der Active Directory-Replikation behoben.

Gilt für: Alle unterstützten Versionen von Windows Server
Ursprüngliche KB-Nummer: 2102154

Symptome

In diesem Artikel werden die Symptome, Ursachen und Lösung für das Auflösen von Active Directory-Replikationsfehlern mit Win32-Fehler 1722 beschrieben: "Der RPC-Server ist nicht verfügbar."

DCPROMO-Heraufufung eines Replikatdomänencontrollers (DC) kann kein NTDS Settings-Objekt auf dem Hilfs-DC mit Fehler 1722 erstellen.

Dialogfeldtiteltext: Active Directory-Domäne Dienstinstallations-Assistent

Text der Dialogfeldnachricht:

The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

DCDIAG meldet, dass der Active Directory-Replikationstest mit Fehler 1722 fehlgeschlagen ist: "Der RPC-Server ist nicht verfügbar."

[Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<DC name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

REPADMIN.EXE meldet, dass der Replikationsversuch mit dem Status 1722 (0x6ba) fehlgeschlagen ist.

REPADMIN-Befehle, die häufig den Status -1722 (0x6ba) zitieren, sind jedoch nicht beschränkt auf:

REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS
REPADMIN /SYNCALL

Die Beispielausgabe und REPADMIN /SHOWREPS REPADMIN /SYNCALL die Darstellung des Fehlers "Der RPC-Server ist nicht verfügbar" wird wie folgt angezeigt:

c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

Die Beispielausgabe des REPADMIN /SYNCALL Fehlers "Der RPC-Server ist nicht verfügbar" wird wie folgt angezeigt:

 C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

Der Befehl "Jetzt replizieren" in Active Directory-Standorten und -Diensten gibt "Der RPC-Server ist nicht verfügbar" zurück.

Wenn Sie mit der rechten Maustaste auf das Verbindungsobjekt aus einer Quell-DC klicken und "Replizieren " auswählen, schlägt die Auswahl jetzt mit "Der RPC-Server ist nicht verfügbar" fehl. Die Fehlermeldung auf dem Bildschirm wird wie folgt angezeigt:

Dialogfeldtiteltext: Jetzt replizieren

Text der Dialogfeldnachricht:

Der folgende Fehler ist beim Versuch aufgetreten, den Namenskontext-DNS-Namen der Verzeichnispartition> vom Domänencontroller-Quellhostnamen> <mit dem Domänencontroller-Ziel-DC-Hostnamen>< zu synchronisieren: Der RPC-Server ist nicht verfügbar.< Dieser Vorgang wird nicht fortgesetzt. Diese Bedingung kann durch ein DNS-Nachschlageproblem verursacht werden. Informationen zur Problembehandlung allgemeiner DNS-Nachschlageprobleme finden Sie auf der folgenden Microsoft-Website: DNS-Nachschlageproblem

NTDS Knowledge Consistency Checker (KCC), NTDS General oder Microsoft-Windows-ActiveDirectory_DomainService-Ereignisse mit dem Status 1722 werden im Verzeichnisdienstereignisprotokoll protokolliert.

Active Directory-Ereignisse, die häufig den Status 1722 zitieren, sind jedoch nicht beschränkt auf:

Ereignisquelle	Ereignis-ID	Ereigniszeichenfolge
Microsoft-Windows-ActiveDirectory_DomainService	1125	Der Installations-Assistent für Active Directory-Domäne Dienste (Dcpromo) konnte keine Verbindung mit dem folgenden Domänencontroller herstellen.
NTDS KCC	1,311	Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) hat Probleme mit der folgenden Verzeichnispartition erkannt.
NTDS KCC	1,865	Die Wissenskonsistenzüberprüfung (Knowledge Consistency Checker, KCC) konnte keine vollständige Strukturnetzwerktopologie bilden. Daher kann die folgende Liste der Websites nicht von der lokalen Website aus erreicht werden.
NTDS KCC	1925	Beim Versuch, einen Replikationslink für eine beschreibbare Verzeichnispartition herzustellen, ist ein Fehler aufgetreten.
NTDS-Replikation	1960	Internes Ereignis: Der folgende Domänencontroller hat eine Ausnahme von einer Remoteprozeduraufrufverbindung (REMOTE Procedure Call, RPC) erhalten. Möglicherweise ist der Vorgang fehlgeschlagen.

Ursache

RPC ist eine Zwischenschicht zwischen dem Netzwerktransport und dem Anwendungsprotokoll. RPC selbst hat keinen besonderen Einblick in Fehler, versucht jedoch, Protokollfehler auf niedrigerer Ebene einem Fehler auf der RPC-Ebene zuzuordnen.

RPC-Fehler 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE wird protokolliert, wenn ein Protokoll mit niedrigerer Ebene einen Verbindungsfehler meldet. Der häufige Fall ist, dass der abstrakte TCP CONNECT-Vorgang fehlgeschlagen ist. Im Kontext der AD-Replikation konnte der RPC-Client auf dem Ziel-DC keine erfolgreiche Verbindung mit dem RPC-Server auf dem Quell-DC herstellen. Häufige Ursachen hierfür sind:

Lokale Verknüpfungsfehler
DHCP-Fehler
DNS-Fehler.
WINS-Fehler
Routingfehler (einschließlich blockierter Ports auf Firewalls)
IPSec/Netzwerkauthentifizierungsfehler
Ressourcenbeschränkungen
Protokoll mit höherer Ebene wird nicht ausgeführt
Protokoll mit höherer Ebene, das diesen Fehler zurückgibt

Lösung

Grundlegende Schritte zur Problembehandlung zum Identifizieren des Problems.

Überprüfen Sie, ob der ClientProtocols-Schlüssel unter HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc vorhanden ist und dass er die richtigen Standardprotokolle enthält.

Protokollname	Typ	Datenwert
ncacn_http	REG_SZ	rpcrt4.dll
ncacn_ip_tcp	REG_SZ	rpcrt4.dll
ncacn_np	REG_SZ	rpcrt4.dll
ncacn_ip_udp	REG_SZ	rpcrt4.dll

Wenn der ClientProtocols-Schlüssel oder eines der vier Standardwerte fehlt, importieren Sie den Schlüssel von einem bekannten guten Server.

Überprüfen, ob DNS funktioniert

Dns-Suchfehler (Domain Name System) sind die Ursache für eine große Anzahl von 1722 RPC-Fehlern bei der Replikation.

Es gibt einige Tools, mit denen Sie DNS-Fehler identifizieren können:

DCDIAG /TEST:DNS /V /E /F:<filename.log>

Der DCDIAG /TEST:DNS Befehl kann die DNS-Integrität von Windows 2000 Server (SP3 oder höher), Windows Server 2003 und Windows Server 2008-Familiendomänencontrollern überprüfen. Dieser Test wurde erstmals mit Windows Server 2003 Service Pack 1 eingeführt.

Für diesen Befehl gibt es sieben Testgruppen.

Authentifizierung (Authentifizierung)
Einfach (Basc)
Datensatzregistrierung (RReg)
Dynamisches Update (Dyn)
Delegationen (Del)

Weiterleitungs-/Stammhinweise (Forw)

Beispielausgabe:

TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

Zusammenfassung der DNS-Testergebnisse:

Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

Die Zusammenfassung enthält Korrekturschritte für die häufigeren Fehler aus diesem Test.

Erläuterungen und zusätzliche Optionen für diesen Test finden Sie unter Domänencontrollerdiagnosetool (dcdiag.exe).

NLTEST /DSGETDC:<netbios or DNS domain name>

Nltest /dsgetdc wird verwendet, um den DC-Locator-Prozess auszuüben. Versucht daher /dsgetdc:<domain name> , den Domänencontroller für die Domäne zu finden. Durch die Verwendung des Force-Flags wird der Domänencontrollerspeicherort erzwungen, anstatt den Cache zu verwenden. Sie können auch Optionen wie /gc oder /pdc angeben, um einen globalen Katalog oder einen primären Domänencontroller-Emulator zu suchen. Um den globalen Katalog zu finden, müssen Sie einen Strukturnamen angeben, bei dem es sich um den DNS-Domänennamen der Stammdomäne handelt.

Beispielausgabe:
```
DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully
```

Netdiag -v

Sie kann mit Windows 2003 und früheren Versionen verwendet werden, um bestimmte Informationen für die Netzwerkkonfiguration und den Fehler zu sammeln. Dieses Tool dauert einige Zeit, um beim Ausführen der -v Option ausgeführt zu werden.

Beispielausgabe für den DNS-Test:

DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server IP address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <IP Address>  
Authoritative NS:<IP Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server IP address>  
The Record is correct on DNS server '<DNS Server IP address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server IP address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server IP address>'.

ping -a <IP_of_problem_server>

Es ist ein einfacher, schneller Test, um den Hostdatensatz für einen Domänencontroller zu überprüfen, der auf dem richtigen Computer aufgelöst wird.

dnslint /s IP /ad IP

DNSLint ist ein Windows-Hilfsprogramm, mit dem Sie allgemeine Probleme bei der DNS-Namensauflösung diagnostizieren können. Die Ausgabe ist eine HTM-Datei mit vielen Informationen, einschließlich:

DNS-Server: localhost

IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

SOA-Datensatzdaten vom Server:

Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

Zusätzliche autoritative (NS)-Einträge vom Server: DC2.fabrikam.com <IP Address>

Aliaseinträge (CNAME) und Kleben (A) für Gesamtstruktur-GUIDs vom Server:
- CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com
  - Alias: DC.fabrikam.com
  - Kleben: <IP-Adresse>
- CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com
  - Alias: dc2.child.fabrikam.com
  - Kleben: <IP-Adresse>
  Weitere Informationen finden Sie in der Beschreibung des DNSLint-Hilfsprogramms.

Überprüfen, ob Netzwerkports von einer Firewall oder einer Drittanbieteranwendung blockiert werden, die auf die erforderlichen Ports lauscht

Die Endpunktzuordnung (Überwachung auf Port 135) teilt dem Client mit, welcher zufällig zugewiesene Port eines Diensts (FRS, AD-Replikation, MAPI usw.) überwacht wird.

In der Liste der erforderlichen Ports finden Sie Informationen zum Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen.

Portqry kann verwendet werden, um zu ermitteln, ob ein Port von einem DC blockiert wird, wenn er auf einen anderen DC ausgerichtet ist. Sie kann unter PortQry Command Line Port Scanner Version 2.0 heruntergeladen werden.

Beispielsyntax:

portqry -n <problem_server> -e 135
portqry -n <problem_server> -r 1024-5000

Eine grafische Version von Portqry, der als Portqryui bezeichnet wird, finden Sie unter PortQryUI – Benutzeroberfläche für den PortQry-Befehlszeilenportscanner.

Wenn der Dynamische Portbereich über blockierte Ports verfügt, verwenden Sie die folgenden Links, um einen Portbereich zu konfigurieren, der für den Kunden verwaltbar ist.

Weitere wichtige Links für die Konfiguration und das Arbeiten mit Firewalls und Domänencontrollern:

Schlechte NIC-Treiber

Informationen zu den neuesten Treibern finden Sie unter Netzwerkkartenanbieter oder OEMs.

UDP-Fragmentierung kann Replikationsfehler verursachen, die scheinbar über eine Quelle des RPC-Servers verfügen, nicht verfügbar ist.

Ereignis-ID 40960- und 40961-Fehler mit einer Quelle von LSASRV sind für diese spezielle Ursache üblich.

Weitere Informationen finden Sie unter How to force Kerberos to use TCP instead of UDP in Windows.

SMB-Signierungskonflikten zwischen DCs

Wenn Sie die Standard-Domänencontrollerrichtlinie verwenden, um konsistente Einstellungen für die SMB-Signatur im folgenden Abschnitt zu konfigurieren, helfen Sie bei dieser Ursache:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Microsoft network client: Digitally sign communications (always) Disabled.
Microsoft network client: Digitally sign communications (if server agrees) Enabled.
Microsoft network server: Digitally sign communications (always) Disabled.
Microsoft network server: Digitally sign communications (if client agrees) Enabled.

Die Einstellungen finden Sie unter den folgenden Registrierungsschlüsseln:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters und HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
- RequireSecuritySignature = always (0 = disable, 1 = enable).
- EnableSecuritySignature = if server agrees (0 = disable, 1 = enable).

Zusätzliche Problembehandlung:

Wenn die vorstehenden Methoden keine Lösung für den Fehler 1722 bereitstellen, verwenden Sie die folgende Diagnoseprotokollierung, um weitere Informationen zu sammeln:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.