Freigeben über


Active Directory-Replikationsfehler 1722: Der RPC-Server ist nicht verfügbar.

In diesem Artikel wird der Fehler 1722 der Active Directory-Replikation behoben.

Gilt für: Alle unterstützten Versionen von Windows Server
Ursprüngliche KB-Nummer: 2102154

Symptome

In diesem Artikel werden die Symptome, Ursachen und Lösung für das Auflösen von Active Directory-Replikationsfehlern mit Win32-Fehler 1722 beschrieben: "Der RPC-Server ist nicht verfügbar."

  1. DCPROMO-Heraufufung eines Replikatdomänencontrollers (DC) kann kein NTDS Settings-Objekt auf dem Hilfs-DC mit Fehler 1722 erstellen.

    Dialogfeldtiteltext: Active Directory-Domäne Dienstinstallations-Assistent

    Text der Dialogfeldnachricht:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."
    
  2. DCDIAG meldet, dass der Active Directory-Replikationstest mit Fehler 1722 fehlgeschlagen ist: "Der RPC-Server ist nicht verfügbar."

    [Replications Check,<DC Name>] A recent replication attempt failed:
    From <source DC> to <destination DC>  
    Naming Context: <DN path of directory partition>  
    The replication generated an error (1722):  
    The RPC server is unavailable.  
    The failure occurred at <date> <time>.  
    The last success occurred at <date> <time>.  
    <X> failures have occurred since the last success.  
    [<DC name>] DsBindWithSpnEx() failed with error 1722,  
    The RPC server is unavailable..  
    Printing RPC Extended Error Info:  
    <snip>
    
  3. REPADMIN.EXE meldet, dass der Replikationsversuch mit dem Status 1722 (0x6ba) fehlgeschlagen ist.

    REPADMIN-Befehle, die häufig den Status -1722 (0x6ba) zitieren, sind jedoch nicht beschränkt auf:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    Die Beispielausgabe und REPADMIN /SHOWREPS REPADMIN /SYNCALL die Darstellung des Fehlers "Der RPC-Server ist nicht verfügbar" wird wie folgt angezeigt:

    c:\> repadmin /showreps  
    <site name><destination DC>  
    DC Options: <list of flags>  
    Site Options: (none)  
    DC object GUID: <NTDS settings object object GUID>  
    DC invocationID: <invocation ID string>  
    ==== INBOUND NEIGHBORS ======================================  
    DC=<DN path for directory partition>  
        <site name><source DC via RPC  
            DC object GUID: <source DCs ntds settings object object guid>  
            Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
    The RPC server is unavailable.  
            <X #> consecutive failure(s).  
            Last success @ <date> <time>
    

    Die Beispielausgabe des REPADMIN /SYNCALL Fehlers "Der RPC-Server ist nicht verfügbar" wird wie folgt angezeigt:

     C:\>repadmin /syncall  
     CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
     The RPC server is unavailable.
    
  4. Der Befehl "Jetzt replizieren" in Active Directory-Standorten und -Diensten gibt "Der RPC-Server ist nicht verfügbar" zurück.

    Wenn Sie mit der rechten Maustaste auf das Verbindungsobjekt aus einer Quell-DC klicken und "Replizieren " auswählen, schlägt die Auswahl jetzt mit "Der RPC-Server ist nicht verfügbar" fehl. Die Fehlermeldung auf dem Bildschirm wird wie folgt angezeigt:

    Dialogfeldtiteltext: Jetzt replizieren

    Text der Dialogfeldnachricht:

    Der folgende Fehler ist beim Versuch aufgetreten, den Namenskontext-DNS-Namen der Verzeichnispartition> vom Domänencontroller-Quellhostnamen> <mit dem Domänencontroller-Ziel-DC-Hostnamen>< zu synchronisieren: Der RPC-Server ist nicht verfügbar.< Dieser Vorgang wird nicht fortgesetzt. Diese Bedingung kann durch ein DNS-Nachschlageproblem verursacht werden. Informationen zur Problembehandlung allgemeiner DNS-Nachschlageprobleme finden Sie auf der folgenden Microsoft-Website: DNS-Nachschlageproblem

  5. NTDS Knowledge Consistency Checker (KCC), NTDS General oder Microsoft-Windows-ActiveDirectory_DomainService-Ereignisse mit dem Status 1722 werden im Verzeichnisdienstereignisprotokoll protokolliert.

    Active Directory-Ereignisse, die häufig den Status 1722 zitieren, sind jedoch nicht beschränkt auf:

    Ereignisquelle Ereignis-ID Ereigniszeichenfolge
    Microsoft-Windows-ActiveDirectory_DomainService 1125 Der Installations-Assistent für Active Directory-Domäne Dienste (Dcpromo) konnte keine Verbindung mit dem folgenden Domänencontroller herstellen.
    NTDS KCC 1,311 Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) hat Probleme mit der folgenden Verzeichnispartition erkannt.
    NTDS KCC 1,865 Die Wissenskonsistenzüberprüfung (Knowledge Consistency Checker, KCC) konnte keine vollständige Strukturnetzwerktopologie bilden. Daher kann die folgende Liste der Websites nicht von der lokalen Website aus erreicht werden.
    NTDS KCC 1925 Beim Versuch, einen Replikationslink für eine beschreibbare Verzeichnispartition herzustellen, ist ein Fehler aufgetreten.
    NTDS-Replikation 1960 Internes Ereignis: Der folgende Domänencontroller hat eine Ausnahme von einer Remoteprozeduraufrufverbindung (REMOTE Procedure Call, RPC) erhalten. Möglicherweise ist der Vorgang fehlgeschlagen.

Ursache

RPC ist eine Zwischenschicht zwischen dem Netzwerktransport und dem Anwendungsprotokoll. RPC selbst hat keinen besonderen Einblick in Fehler, versucht jedoch, Protokollfehler auf niedrigerer Ebene einem Fehler auf der RPC-Ebene zuzuordnen.

RPC-Fehler 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE wird protokolliert, wenn ein Protokoll mit niedrigerer Ebene einen Verbindungsfehler meldet. Der häufige Fall ist, dass der abstrakte TCP CONNECT-Vorgang fehlgeschlagen ist. Im Kontext der AD-Replikation konnte der RPC-Client auf dem Ziel-DC keine erfolgreiche Verbindung mit dem RPC-Server auf dem Quell-DC herstellen. Häufige Ursachen hierfür sind:

  • Lokale Verknüpfungsfehler
  • DHCP-Fehler
  • DNS-Fehler.
  • WINS-Fehler
  • Routingfehler (einschließlich blockierter Ports auf Firewalls)
  • IPSec/Netzwerkauthentifizierungsfehler
  • Ressourcenbeschränkungen
  • Protokoll mit höherer Ebene wird nicht ausgeführt
  • Protokoll mit höherer Ebene, das diesen Fehler zurückgibt

Lösung

Grundlegende Schritte zur Problembehandlung zum Identifizieren des Problems.

Überprüfen Sie, ob der ClientProtocols-Schlüssel unter HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc vorhanden ist und dass er die richtigen Standardprotokolle enthält.

Protokollname Typ Datenwert
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Wenn der ClientProtocols-Schlüssel oder eines der vier Standardwerte fehlt, importieren Sie den Schlüssel von einem bekannten guten Server.

Überprüfen, ob DNS funktioniert

Dns-Suchfehler (Domain Name System) sind die Ursache für eine große Anzahl von 1722 RPC-Fehlern bei der Replikation.

Es gibt einige Tools, mit denen Sie DNS-Fehler identifizieren können:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    Der DCDIAG /TEST:DNS Befehl kann die DNS-Integrität von Windows 2000 Server (SP3 oder höher), Windows Server 2003 und Windows Server 2008-Familiendomänencontrollern überprüfen. Dieser Test wurde erstmals mit Windows Server 2003 Service Pack 1 eingeführt.

    Für diesen Befehl gibt es sieben Testgruppen.

    • Authentifizierung (Authentifizierung)

    • Einfach (Basc)

    • Datensatzregistrierung (RReg)

    • Dynamisches Update (Dyn)

    • Delegationen (Del)

    • Weiterleitungs-/Stammhinweise (Forw)

      Beispielausgabe:

      TEST: Authentication (Auth)  
      Authentication test: Successfully completed
      
      TEST: Basic (Basc)  
      Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
      NETLOGON service is running  
      kdc service is running  
      DNSCACHE service is running  
      DNS service is running  
      DC is a DNS server  
      Network adapters information:  
      Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
      MAC address is 00:15:5D:40:CF:92  
      IP address is static  
      IP address: <IP Address>  
      DNS servers:  
      <DNS IP Address> (DC.domain.com.) [Valid]  
      The A record for this DC was found  
      The SOA record for the Active Directory zone was found  
      The Active Directory zone on this DC/DNS server was found (primary)  
      Root zone on this DC/DNS server was not found  
      <omitted other tests for readability>
      

      Zusammenfassung der DNS-Testergebnisse:

      Auth Basc Forw Del  Dyn  RReg Ext
      
      Domain: fragale.contoso.com
      DC1 PASS PASS FAIL PASS PASS PASS n/a  
      Domain: child.fragale.contoso.com  
      DC2 PASS PASS n/a  n/a  n/a  PASS n/a  
      
      Enterprise DNS infrastructure test results:  
      For parent domain domain.com and subordinate domain child:  
      Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
      Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  
      
      (See DNS servers section for error details)  
      Delegation is configured properly from parent to subordinate domain  
      ......................... domain.com failed test DNS
      

      Die Zusammenfassung enthält Korrekturschritte für die häufigeren Fehler aus diesem Test.

      Erläuterungen und zusätzliche Optionen für diesen Test finden Sie unter Domänencontrollerdiagnosetool (dcdiag.exe).

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc wird verwendet, um den DC-Locator-Prozess auszuüben. Versucht daher /dsgetdc:<domain name> , den Domänencontroller für die Domäne zu finden. Durch die Verwendung des Force-Flags wird der Domänencontrollerspeicherort erzwungen, anstatt den Cache zu verwenden. Sie können auch Optionen wie /gc oder /pdc angeben, um einen globalen Katalog oder einen primären Domänencontroller-Emulator zu suchen. Um den globalen Katalog zu finden, müssen Sie einen Strukturnamen angeben, bei dem es sich um den DNS-Domänennamen der Stammdomäne handelt.

    Beispielausgabe:

    DC: [\DC.fabrikam.com]  
    Address: \\<IP Address>  
    Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
    Dom Name: fabrikam.com  
    Forest Name: fabrikam.com  
    Dc Site Name: Default-First-Site-Name  
    Our Site Name: Default-First-Site-Name  
    Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
    The command completed successfully
    
  • Netdiag -v

    Sie kann mit Windows 2003 und früheren Versionen verwendet werden, um bestimmte Informationen für die Netzwerkkonfiguration und den Fehler zu sammeln. Dieses Tool dauert einige Zeit, um beim Ausführen der -v Option ausgeführt zu werden.

    Beispielausgabe für den DNS-Test:

    DNS test . . . . . . . . . . . . . : Passed  
    Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
    DNS Domain:  
    DNS Servers: <DNS Server IP address>  
    IP Address:         Expected registration with PDN (primary DNS domain name):  
    Hostname: DC.fabrikam.com.  
    Authoritative zone: fabrikam.com.  
    Primary DNS server: DC.fabrikam.com <IP Address>  
    Authoritative NS:<IP Address>  
    Check the DNS registration for DCs entries on DNS server <DNS Server IP address>  
    The Record is correct on DNS server '<DNS Server IP address>'.  
    (You will see this line repeated several times for every entry for this DC.  Including srv records.)  
    The Record is correct on DNS server '<DNS Server IP address>'.  
    PASS - All the DNS entries for DC are registered on DNS server '<DNS Server IP address>'.
    
  • ping -a <IP_of_problem_server>

    Es ist ein einfacher, schneller Test, um den Hostdatensatz für einen Domänencontroller zu überprüfen, der auf dem richtigen Computer aufgelöst wird.

  • dnslint /s IP /ad IP

    DNSLint ist ein Windows-Hilfsprogramm, mit dem Sie allgemeine Probleme bei der DNS-Namensauflösung diagnostizieren können. Die Ausgabe ist eine HTM-Datei mit vielen Informationen, einschließlich:

    DNS-Server: localhost

    IP Address: 127.0.0.1  
    UDP port 53 responding to queries: YES  
    TCP port 53 responding to queries: Not tested  
    Answering authoritatively for domain: NO
    

    SOA-Datensatzdaten vom Server:

    Authoritative name server: DC.domain.com  
    Hostmaster: hostmaster  
    Zone serial number: 14  
    Zone expires in: 1.00 day(s)  
    Refresh period: 900 seconds  
    Retry delay: 600 seconds  
    Default (minimum) TTL: 3600 seconds
    
  • Zusätzliche autoritative (NS)-Einträge vom Server: DC2.fabrikam.com <IP Address>

    Aliaseinträge (CNAME) und Kleben (A) für Gesamtstruktur-GUIDs vom Server:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Alias: DC.fabrikam.com
      • Kleben: <IP-Adresse>
    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Alias: dc2.child.fabrikam.com
      • Kleben: <IP-Adresse>

      Weitere Informationen finden Sie in der Beschreibung des DNSLint-Hilfsprogramms.

Überprüfen, ob Netzwerkports von einer Firewall oder einer Drittanbieteranwendung blockiert werden, die auf die erforderlichen Ports lauscht

Die Endpunktzuordnung (Überwachung auf Port 135) teilt dem Client mit, welcher zufällig zugewiesene Port eines Diensts (FRS, AD-Replikation, MAPI usw.) überwacht wird.

In der Liste der erforderlichen Ports finden Sie Informationen zum Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen.

Portqry kann verwendet werden, um zu ermitteln, ob ein Port von einem DC blockiert wird, wenn er auf einen anderen DC ausgerichtet ist. Sie kann unter PortQry Command Line Port Scanner Version 2.0 heruntergeladen werden.

Beispielsyntax:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Eine grafische Version von Portqry, der als Portqryui bezeichnet wird, finden Sie unter PortQryUI – Benutzeroberfläche für den PortQry-Befehlszeilenportscanner.

Wenn der Dynamische Portbereich über blockierte Ports verfügt, verwenden Sie die folgenden Links, um einen Portbereich zu konfigurieren, der für den Kunden verwaltbar ist.

Weitere wichtige Links für die Konfiguration und das Arbeiten mit Firewalls und Domänencontrollern:

Schlechte NIC-Treiber

Informationen zu den neuesten Treibern finden Sie unter Netzwerkkartenanbieter oder OEMs.

UDP-Fragmentierung kann Replikationsfehler verursachen, die scheinbar über eine Quelle des RPC-Servers verfügen, nicht verfügbar ist.

Ereignis-ID 40960- und 40961-Fehler mit einer Quelle von LSASRV sind für diese spezielle Ursache üblich.

Weitere Informationen finden Sie unter How to force Kerberos to use TCP instead of UDP in Windows.

SMB-Signierungskonflikten zwischen DCs

Wenn Sie die Standard-Domänencontrollerrichtlinie verwenden, um konsistente Einstellungen für die SMB-Signatur im folgenden Abschnitt zu konfigurieren, helfen Sie bei dieser Ursache:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft network client: Digitally sign communications (always) Disabled.
  • Microsoft network client: Digitally sign communications (if server agrees) Enabled.
  • Microsoft network server: Digitally sign communications (always) Disabled.
  • Microsoft network server: Digitally sign communications (if client agrees) Enabled.

Die Einstellungen finden Sie unter den folgenden Registrierungsschlüsseln:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters und HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always (0 = disable, 1 = enable).
    • EnableSecuritySignature = if server agrees (0 = disable, 1 = enable).

Zusätzliche Problembehandlung:

Wenn die vorstehenden Methoden keine Lösung für den Fehler 1722 bereitstellen, verwenden Sie die folgende Diagnoseprotokollierung, um weitere Informationen zu sammeln:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.

References