Freigeben über


Active Directory-Replikationsfehler 1753: Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar.

In diesem Artikel wird ein Problem beschrieben, bei dem Active Directory-Replikationen mit Win32-Fehler 1753 fehlschlagen: "Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar."

Ursprüngliche KB-Nummer: 2089874
Gilt für: Alle unterstützten Versionen von Windows Server

Private Benutzer: Dieser Artikel ist nur für technische Supportmitarbeiter und IT-Experten vorgesehen. Wenn Sie nach Hilfe zu einem Problem suchen, bitten Sie die Microsoft Community.

Symptome

In diesem Artikel werden Symptome, Ursachen und Lösungsschritte für AD-Vorgänge beschrieben, die mit Win32-Fehler 1753 fehlschlagen: "Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar."

  1. DCDIAG meldet, dass der Verbindungstest, der Active Directory-Replikationstest oder der KnowsOfRoleHolders-Test mit Fehler 1753 fehlgeschlagen ist: "Es sind keine weiteren Endpunkte aus dem Endpunktzuordnung verfügbar."

    Testserver: <Standort-DC-Name><>
    Starttest: Konnektivität
    *Active Directory LDAP-Diensteprüfung* Active Directory RPC-Diensteprüfung
    [<DC Name>] DsBindWithSpnEx() mit Fehler 1753 fehlgeschlagen,
    Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar..
    Erweiterte RPC-Fehlerinformationen drucken:
    Error Record 1, Prozess-ID ist <Prozess-ID> (DcDiag)
    Systemzeit ist: <Datumszeit><>
    Die generierende Komponente ist 2 (RPC-Laufzeit) status 1753: Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar. Erkennungsort ist 500 NumberOfParameters ist 4
    Unicode-Zeichenfolge: ncacn_ip_tcp
    Unicode-Zeichenfolge: <QUELL-DC-Objekt-GUID>._msdcs.contoso.com
    Long val: -481213899
    Long val: 65537
    Fehleraufzeichnung 2, ProcessID ist 700 (DcDiag)
    Systemzeit ist: <Datumszeit><>
    Die generierende Komponente ist 2 (RPC-Laufzeit)
    Status ist 1753: Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar.
    NumberOfParameters ist 1
    Unicode-Zeichenfolge: 1025

    [Replikationsüberprüfung,<DC-Name>] Fehler beim letzten Replikationsversuch:
    Vom <Quell-DC zum >Ziel-DC<>
    Namenskontext: <DN-Pfad der Verzeichnispartition>
    Die Replikation hat einen Fehler generiert (1753):
    Es sind keine Endpunkte mehr von der Endpunktzuordnung verfügbar.
    Der Fehler ist zu <Datumszeit><> aufgetreten.
    Der letzte Erfolg ist zum <Zeitpunkt des Datums><> aufgetreten.
    3 Fehler sind seit dem letzten Erfolg aufgetreten.
    Das Verzeichnis auf <DC-Namen> befindet sich im Prozess.
    das Starten oder Herunterfahren ist nicht verfügbar.
    Überprüfen Sie, ob der Computer während des Starts nicht hängen bleibt.

  2. REPADMIN.EXE meldet, dass der Replikationsversuch mit Status 1753 fehlgeschlagen ist.

    REPADMIN-Befehle, bei denen in der Regel der Status 1753 auftritt, sind u. a.:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    Die folgende Beispielausgabe zeigt REPADMIN /SHOWREPS , dass die eingehende Replikation von CONTOSO-DC2 zu CONTOSO-DC1 mit dem Fehler "Replikationszugriff verweigert" fehlschlägt:

    Default-First-Site-Name\CONTOSO-DC1
    DSA-Optionen: IS_GC
    Websiteoptionen: (keine)
    GUID des DSA-Objekts:
    DSA-Aufruf-ID:

    DC=contoso,DC=com
    Default-First-Site-Name\CONTOSO-DC2 über RPC
    GUID des DSA-Objekts:
    Fehler beim letzten Versuch @ <Datumszeit><>, Ergebnis 1753 (0x6d9):
    Es sind keine Endpunkte mehr von der Endpunktzuordnung verfügbar.
    <#> aufeinander folgende Fehler(n).
    Letzter Erfolg @ <Datum><.>

  3. Der Befehl "Replikationstopologie überprüfen" in Active Directory-Websites und -Diensten gibt "Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar".

    Wenn Sie mit der rechten Maustaste auf das Verbindungsobjekt aus einer Quell-DC-Quelle klicken und "Replikationstopologie überprüfen" auswählen, tritt ein Fehler auf: "Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar. Die Fehlermeldung auf dem Bildschirm wird unten angezeigt:

    Dialogfeldtiteltext: Replikationstopologie überprüfen
    Meldungstext des Dialogfelds:

    Der folgende Fehler ist während des Versuchs aufgetreten, den Domänencontroller zu kontaktieren: Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar.

    OKAY

  4. Der Befehl "Jetzt replizieren" in Active Directory-Websites und -Diensten gibt "Es sind keine weiteren Endpunkte aus der Endpunktzuordnung verfügbar".

    Wenn Sie mit der rechten Maustaste auf das Verbindungsobjekt aus einer Quell-DC klicken und "Jetzt replizieren" auswählen, tritt ein Fehler auf: "Es stehen keine weiteren Endpunkte aus der Endpunktzuordnung zur Verfügung. Die Fehlermeldung auf dem Bildschirm wird unten angezeigt:

    Dialogfeldtiteltext: Jetzt replizieren

    Meldungstext des Dialogfelds: Der folgende Fehler ist beim Versuch aufgetreten, den Namen der Namensverzeichnispartition <> des Domänencontrollers<>mit dem Domänencontroller-Ziel-DC <>zu synchronisieren: Es sind keine weiteren Endpunkte aus dem Endpunktzuordnungs-Mapper verfügbar.

    Der Vorgang wird nicht fortgesetzt.

    Schaltflächen im Dialogfeld: OK

  5. NTDS Knowledge Consistency Checker (KCC), NTDS General oder Microsoft-Windows-ActiveDirectory_DomainService-Ereignisse mit dem Status 1753 werden im Verzeichnisdienstereignisprotokoll protokolliert.

    Active Directory-Ereignisse, die häufig den Status 1753 zitieren, sind jedoch nicht beschränkt auf:

    Ereignisquelle Ereignis-ID Ereigniszeichenfolge
    NTDS allgemein 1655 Active Directory hat versucht, mit dem folgenden globalen Katalog zu kommunizieren, aber die Versuche waren nicht erfolgreich.

    NTDS KCC 1925 Beim Versuch, einen Replikationslink für eine beschreibbare Verzeichnispartition herzustellen, ist ein Fehler aufgetreten.

    NTDS KCC 1265 Fehler beim Versuch der Konsistenzprüfung (Knowledge Consistency Checker, KCC), eine Replikationsvereinbarung für die folgende Verzeichnispartition und den folgenden Quelldomänencontroller hinzuzufügen.

Ursache

Das folgende Diagramm zeigt den REMOTE Procedure Call (RPC)-Workflow. Der Workflow beginnt mit der Registrierung der Serveranwendung mit dem RPC Endpoint Mapper (EPM) in Schritt 1. Sie endet mit der Übergabe von Daten vom RPC-Client an die Clientanwendung in Schritt 7.

Screenshot des RPC-Workflowdiagramms, das die Details von Schritt 1 bis Schritt 7 zeigt.

Die Schritte 1 bis 7 sind den folgenden Vorgängen zugeordnet:

  1. Die Server-App registriert ihre Endpunkte mit dem RPC Endpoint Mapper (EPM).
  2. Der Client führt einen RPC-Aufruf im Auftrag eines Benutzers, eines Betriebssystems oder eines anwendungsinitiierte Vorgangs aus.
  3. Clientseitige RPC kontaktiert die Zielcomputer EPM und fordert den Endpunkt auf, den Clientanruf abzuschließen.
  4. Das EPM des Servercomputers antwortet mit einem Endpunkt.
  5. Clientseitige RPC-Kontakte in der Server-App.
  6. Die Server-App führt den Aufruf aus und gibt das Ergebnis an den Client-RPC zurück.
  7. Clientseitige RPC übergibt das Ergebnis an die Client-App.

Fehler 1753 wird durch einen Fehler zwischen schritt 3 und 4 generiert. Insbesondere bedeutet Fehler 1753, dass der RPC-Client (Ziel-DC) den RPC-Server (Quell-DC) über Port 135 kontaktieren könnte, aber das EPM auf dem RPC-Server (Quell-DC) konnte die RPC-Anwendung von Interesse nicht finden und gibt serverseitigen Fehler 1753 zurück. Der Fehler gibt an, dass der RPC-Client (Ziel-DC) die serverseitige Fehlerantwort vom RPC-Server (AD-Replikationsquelle DC) über das Netzwerk empfangen hat.

Zu den spezifischen Grundursachen für den Fehler 1753 gehören u. a.:

  1. Die Server-App wurde nie gestartet. Das heißt, Schritt 1 im Diagramm "Weitere Informationen" wurde nie versucht.
  2. Die Server-App wurde gestartet, während der Initialisierung gab es jedoch einen Fehler. Der Fehler verhinderte die Registrierung bei der RPC-Endpunktzuordnung. Das heißt, Schritt 1 im Diagramm "Weitere Informationen" wurde versucht, aber fehlgeschlagen.
  3. Die Server-App wurde gestartet, ist aber später gestorben. Das heißt, Schritt 1 im Diagramm "Weitere Informationen" wurde erfolgreich abgeschlossen. Es wurde später rückgängig gemacht, weil der Server gestorben ist.
  4. Die Server-App hat die Registrierung ihrer Endpunkte manuell aufgehoben (ähnlich wie bei 3, aber mit Absicht. Unwahrscheinlich, aber der Vollständigkeit halber enthalten).
  5. Der RPC-Client (Ziel-DC) kontaktierte einen anderen RPC-Server als der beabsichtigte. Dies liegt daran, dass ein Name zu IP-Zuordnungsfehler in der DNS-, WINS- oder Host-/lmhosts-Datei vorliegt.

Fehler 1753 wird NICHT durch Folgendes verursacht:

  • Fehlende Netzwerkkonnektivität zwischen dem RPC-Client (Ziel-DC) und dem RPC-Server (Quell-DC) über Port 135.
  • Fehlende Netzwerkkonnektivität zwischen dem RPC-Server (Quell-DC) mit Port 135 und dem RPC-Client (Ziel-DC) über den kurzlebigen Port.
  • ein Kennwortkonflikt oder die Unfähigkeit des Quell-DC zum Entschlüsseln eines verschlüsselten Kerberos-Pakets.

Lösung

Überprüfen, ob der Dienst, der sich bei der Endpunktzuordnung registriert, gestartet wurde

  • Stellen Sie für Windows 2000- und Windows Server 2003-DCs sicher, dass der Quell-DC im normalen Modus gestartet wird.
  • Starten Sie für Windows Server 2008 oder Windows Server 2008 R2: über die Konsole des Quell-DC den Services Manager (services.msc). Stellen Sie sicher, dass der Active Directory-Dienst ausgeführt wird. Active Directory wird als "Active Directory-Domäne Dienste" angezeigt.

Überprüfen Sie, ob der RPC-Client (Ziel-DC) mit dem beabsichtigten RPC-Server (Quell-DC) verbunden ist.

Alle DCs in einer allgemeinen Active Directory-Gesamtstruktur registrieren einen GUIDED DC CNAME-Eintrag im _msdcs.<DNS-Zone der Gesamtstrukturstammdomäne> , unabhängig davon, in welcher Domäne sie sich in der Gesamtstruktur befinden. Der geführte DC CNAME-Eintrag wird von der objectGUID jedes DCs NTDS Settings-Objekts abgeleitet.

Bei replikationsbasierten Vorgängen fragt ein Ziel-DC DNS für den DCs GUIDED CNAME-Eintrag der Quelle ab. Der CNAME-Eintrag enthält den vollqualifizierten Computernamen des Quell-DC. Dieser Name wird verwendet, um die IP-Adresse der Quell-DCs über Folgendes abzuleiten:

  • DNS-Clientcachesuche
  • Host-/LMHost-Dateisuche
  • Host A/AAAA-Eintrag in DNS oder WINS

Veraltete NTDS-Einstellungsobjekte und ungültiger Name zu IP-Zuordnungen in DNS-, WINS-, Host- und LMHOST-Dateien können dazu führen, dass der RPC-Client (Ziel-DC) eine Verbindung mit dem falschen RPC-Server (Quell-DC) herstellt. Darüber hinaus kann der ungültige Name zur IP-Zuordnung dazu führen, dass der RPC-Client (Ziel-DC) eine Verbindung mit einem Computer herstellt, auf dem nicht einmal die RPC-Serveranwendung (in diesem Fall die Active Directory-Rolle) installiert ist. Beispielsweise enthält ein veralteter Hostdatensatz für DC2 die IP-Adresse von DC3 oder einem Mitgliedscomputer.

Stellen Sie sicher, dass die folgenden GUIDs übereinstimmen:

  • die Objekt-GUID für den Quell-DC, der in der Kopie der Ziel-DCs von Active Directory vorhanden ist
  • die GUID des DC-Quellobjekts, die in der Kopie der Quell-DCs von Active Directory gespeichert ist.

Wenn es eine Diskrepanz gibt, verwenden Sie repadmin /showobjmeta das NTDS-Einstellungsobjekt, um zu sehen, welcher der letzten Heraufstufung des Quell-DC entspricht. Vergleichen Sie die folgenden Datumsstempel:

  • Das NTDS Settings-Objekt erstellt datum aus /showobjmeta.
  • Das letzte Promotionsdatum in den Quell-DCs dcpromo.log Datei.

Möglicherweise müssen Sie das datum der letzten Änderung/Erstellung des DCPROMO verwenden. LOG-Datei selbst. Wenn die Objekt-GUIDs nicht identisch sind, verfügt der Ziel-DC möglicherweise über ein veraltetes NTDS Settings-Objekt für den Quell-DC, dessen CNAME-Eintrag auf einen Hostdatensatz mit einem ungültigen Namen für die IP-Zuordnung verweist.

Führen Sie IPCONFIG /ALL auf dem Ziel-DC aus, um zu ermitteln, welche DNS-Server der Ziel-DC für die Namensauflösung verwendet:

c:\>ipconfig /all  

Führen Sie NSLOOKUP auf dem Ziel-DC den vollqualifizierten DCs-CNAME-Eintrag der Quell-DCs aus:

c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs secondary DNS Server IP>

Stellen Sie sicher, dass die ip-Adresse, die von NSLOOKUP "owns" zurückgegeben wird, den Hostnamen/die Sicherheitsidentität der Quell-DC besitzt.

a) C:\\>NBTSTAT -A \\<IP address _returned_ by NSLOOKUP in the step above>

ODER

b) Melden Sie sich bei der Konsole des Quell-DC an, führen Sie IPCONFIG aus der CMD-Eingabeaufforderung aus, und stellen Sie sicher, dass die Quell-DC die IP-Adresse besitzt, die vom obigen Befehl NSLOOKUP zurückgegeben wird.

Überprüfen Sie, ob veralteter /doppelter Host zu IP-Zuordnungen in DNS vorhanden ist.

NSLOOKUP -type=hostname \<single label hostname of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<single label hostname of source DC> \<secondary DNS Server IP on destination DC>

NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<secondary DNS Server IP on dest. DC>

Wenn in Hosteinträgen ungültige IP-Adressen vorhanden sind, untersuchen Sie, ob der DNS-Aufräumvorgang aktiviert und richtig konfiguriert ist.

Wenn bei den obigen Tests oder einer Netzwerkablaufverfolgung keine Namensabfrage angezeigt wird, die eine ungültige IP-Adresse zurückgibt, sollten Sie veraltete Einträge in HOST-Dateien, LMHOSTS-Dateien und WINS-Servern in Betracht ziehen. DNS-Server können auch für die Auflösung von WINS-Fallbacknamen konfiguriert werden.

Überprüfen Sie, ob die Serveranwendung (Active Directory usw.) beim Endpunktzuordnung auf dem RPC-Server (Quell-DC) registriert wurde.

Active Directory verwendet eine Kombination aus bekannten und dynamisch registrierten Ports. Bekannte Ports und Protokolle, die von Active Directory-Domänencontrollern verwendet werden, umfassen:

RPC-Serveranwendung Hafen TCP UDP (User Datagram Protocol) Kommentare
DNS-Server 53
Kerberos 88
LDAP-Server 389
Microsoft-DS 445
LDAP SSL 636
Globaler Katalogserver 3268
Globaler Katalogserver 3269

Bekannte Ports sind NICHT bei der Endpunktzuordnung registriert.

Active Directory und andere Anwendungen registrieren auch Dienste, die dynamisch zugewiesene Ports im kurzlebigen RPC-Portbereich empfangen. Solche RPC-Serveranwendungen werden dynamisch TCP-Ports zwischen 1024 und 5000 auf Windows 2000- und Windows Server 2003-Computern zugewiesen. Sie werden dynamisch TCP-Ports zwischen 49152 und 65535 auf Windows Server 2008- und Windows Server 2008 R2-Computern zugewiesen. Der von der Replikation verwendete RPC-Port kann in der Registrierung hartcodiert werden, indem die in MSKB 224196 dokumentierten Schritte verwendet werden. Active Directory registriert sich weiterhin beim EPM, wenn er für die Verwendung eines hartcodierten Ports konfiguriert ist.

Vergewissern Sie sich, dass die betreffende RPC-Serveranwendung sich bei der RPC-Endpunktzuordnung auf dem RPC-Server (dem Quell-DC im Falle der AD-Replikation) registriert hat.

Es gibt viele Möglichkeiten, diese Aufgabe auszuführen. Eine besteht darin, PORTQRY über eine Administratorberechtigungs-Eingabeaufforderung auf der Konsole des Quell-DC zu installieren und auszuführen:

c:\>portquery -n \<source DC> -e 135 >file.txt

Beachten Sie in der portqry Ausgabe die Portnummern dynamisch, die von der "MS NT Directory DRS Interface" (UUID = 351...) für das ncacn_ip_tcp Protokoll registriert wurden. Der folgende Codeausschnitt zeigt eine Beispielausgabe aus einem Windows Server 2008 R2 DC und dem UUID/Protokollpaar, das von Active Directory fett hervorgehoben wird:

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface ncacn_np:CONTOSO-DC01[\pipe\lsass]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\PIPE\protected_storage]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:CONTOSO-DC01[49156]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT-Verzeichnis DRS-Schnittstelle
ncacn_http:CONTOSO-DC01[49157]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[6004]

Weitere Ursachen

  1. Stellen Sie sicher, dass der Quell-DC im normalen Modus gestartet wird. Überprüfen Sie außerdem, ob die Betriebssystem- und DC-Rolle auf dem Quell-DC vollständig gestartet wurde.

  2. Vergewissern Sie sich, dass Active Directory Domain Services ausgeführt wird. Wenn der Dienst zurzeit beendet oder nicht mit Standardstartwerten konfiguriert wurde, setzen Sie die Standardwerte für den Start zurück. Starten Sie den geänderten DC neu, und wiederholen Sie dann den Vorgang.

  3. Überprüfen Sie, ob der Startwert und der Dienststatus von RPC-Dienst und RPC Locator für die Betriebssystemversion des RPC-Clients (Ziel-DC) und des RPC-Servers (Quell-DC) stimmen. Wenn der Dienst zurzeit beendet oder nicht mit Standardstartwerten konfiguriert wurde, setzen Sie die Standardwerte für den Start zurück. Starten Sie den geänderten DC neu, und wiederholen Sie dann den Vorgang.

    Stellen Sie außerdem sicher, dass der Dienstkontext den Standardeinstellungen entspricht.

    Windows 2000 Startwert Dienststatus
    Remoteprozeduraufruf (RPC) Automatisch Gestartet
    RPC-Locator Automatisch Gestartet
    Windows Server 2003, Server 2008, Server 2008 R2 Startwert Dienststatus
    Remoteprozeduraufruf (RPC) Automatisch Gestartet
    RPC-Locator Manuell NULL oder beendet
  4. Vergewissern Sie sich, dass die Größe des Bereichs dynamischer Ports nicht eingeschränkt wurde. Die NETSH-Syntax unter Windows Server 2008 und Windows Server 2008 R2 für die Enumeration des RPC-Portbereichs ist nachstehend dargestellt:

    >netsh int ipv4 show dynamicport tcp
    >netsh int ipv4 show dynamicport udp
    >netsh int ipv6 show dynamicport tcp
    >netsh int ipv6 show dynamicport udp
    
  5. Überprüfen Sie KB-224196. Stellen Sie sicher, dass der hartcodierte Port innerhalb des kurzlebigen Portbereichs für die Betriebssystemversion des Quell-DC liegt.

  6. Stellen Sie sicher, dass der ClientProtocols-Schlüssel unter HKLM\Software\Microsoft\Rpc und enthält die folgenden fünf Standardwerte:

    ncacn_http REG_SZ rpcrt4.dll
    ncacn_ip_tcp REG_SZ rpcrt4.dll
    ncacn_nb_tcp REG_SZ rpcrt4.dll
    ncacn_np REG_SZ rpcrt4.dll
    ncacn_ip_udp REG_SZ rpcrt4.dll
    

Weitere Informationen

Beispiel einer fehlerhaften Zuordnung von Name zu IP-Adresse, die den RPC-Fehler 1753 im Vergleich zu -2146893022 verursacht: Der Name des Zielprinzipals ist falsch

Die contoso.com Domäne besteht aus \\DC1 und \\DC2 mit IP-Adressen x.x.1.1 und x.x.1.2. Die Hosteinträge "A" / "AAAA" für \\DC2 werden ordnungsgemäß auf allen DNS-Servern registriert, die für \\DC1 konfiguriert sind. Darüber hinaus enthält die HOSTS-Datei unter \\DC1 den vollqualifizierten Hostnamen von DC2 zu IP-Adresse x.x.x.1.2. Später ändert sich die IP-Adresse von DC2 von X.X.1.2 in X.X.1.3, und ein neuer Mitgliedscomputer mit der IP-Adresse x.x.1.2 wird der Domäne hinzugefügt. Ad-Replikationsversuche, die durch den Befehl "Jetzt replizieren" in Active Directory-Sites and Services-Snap-In ausgelöst werden, schlägt mit Fehler 1753 fehl. Die Ablaufverfolgung wird unten angezeigt:

F# SRC DEST-Vorgang
1 x.x.1.1 x.x.1.2 ARP:Request, x.x.1.1 fragt nach x.x.1.2
2 x.x.1.2 x.x.1.1 ARP:Response, x.x.1.2 bei 00-13-72-28-C8-5E
3 x.x.1.1 x.x.1.2 TCP:Flags=...... S., SrcPort=50206, DstPort=DCE-Endpunktauflösung(135)
4 x.x.1.2 x.x.1.1 ARP:Request, x.x.1.2 fragt nach x.x.x.1.1.
5 x.x.1.1 x.x.1.2 ARP:Response, x.x.1.1 bei 00-15-5D-42-2E-00
6 x.x.1.2 x.x.1.1 TCP:Flags=... Ein.. S., SrcPort=DCE-Endpunktauflösung(135)
7 x.x.1.1 x.x.1.2 TCP:Flags=... A...., SrcPort=50206, DstPort=DCE-Endpunktauflösung(135)
8 x.x.1.1 x.x.1.2 MSRPC:c/o Bind: UUID{E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT(EPMP)
9 x.x.1.2 x.x.1.1 MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x5E68 Xmit=0x16D0 Recv=0x16D0
10 x.x.1.1 x.x.1.2 EPM:Request: ept_map: NDR, DRSR(DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [DCE-Endpunktauflösung(135)]
11 x.x.x.1.2 x.x.1.1 EPM:Response: ept_map: 0x16C9A0D6 - EP_S_NOT_REGISTERED

Bei Frame 10 fragt der Ziel-DC die Endpunktzuordnung der Quell-DCs über Port 135 für die Active Directory-Replikationsdienstklasse UUID {E351...} ab.

In Frame 11 hostt der Quell-DC, in diesem Fall ein Mitgliedscomputer, die DC-Rolle noch nicht. Sie hat also {E351...} nicht registriert. UUID für den Replikationsdienst mit seinem lokalen EPM. Die Quell-DC antwortet mit symbolischem Fehler EP_S_NOT_REGISTERED. Dieser Fehler entspricht dem Dezimalfehler 1753, dem Hex-Fehler 0x6d9 und dem anzeigefreundlichen Fehler "es sind keine endpunkten mehr aus dem Endpunkt-Mapper verfügbar".

Später wird der Mitgliedscomputer mit der IP-Adresse x.x.x.1.2 als Replikat "MayberryDC" in der contoso.com Domäne heraufgestuft. Auch hier wird der Befehl "Jetzt replizieren" verwendet, um die Replikation auszulösen. Dieses Mal schlägt jedoch mit dem Fehler "Der Zielprinzipalname ist falsch" fehl. Der Computer, dessen NIC die IP-Adresse x.x.x.1.2 besitzt, ist ein Domänencontroller. Er wird derzeit im normalen Modus gestartet und hat den {E351...}-Replikationsdienst UUID mit seinem lokalen EPM registriert. Sie besitzt jedoch nicht den Namen/die Sicherheitsidentität von DC2 und kann die Kerberos-Anforderung nicht von DC1 entschlüsseln. Daher schlägt die Anforderung mit dem Fehler "Der Zielprinzipalname ist falsch" fehl. Dieser Fehler entspricht dem Dezimalfehler -2146893022, hex-Fehler 0x80090322.

Solche ungültigen Host-zu-IP-Zuordnungen können durch veraltete Einträge in Host-/lmhost-Dateien, Host-A/AAAA-Registrierungen in DNS oder WINS verursacht werden.

Zusammenfassung:

  • Beispiel 1 ist aufgrund eines ungültigen Hosts zur IP-Zuordnung fehlgeschlagen (in der HOST-Datei in diesem Fall). Der Ziel-DC wurde zu einem "Quell-" DC aufgelöst, der nicht über den AD-Dienst verfügt (oder sogar für diese Angelegenheit installiert wurde). Daher wurde der Replikations-SPN noch nicht registriert, und der Quell-DC hat Fehler 1753 zurückgegeben.
  • Im zweiten Fall führte ein ungültiger Host zur IP-Zuordnung (erneut in der HOST-Datei) dazu, dass der Ziel-DC eine Verbindung mit einem DC herstellt, der die {E351...}-Replikations-SPN registriert hatte. Diese Quelle hatte jedoch einen anderen Hostnamen und eine andere Sicherheitsidentität als die beabsichtigte Quell-DC, sodass die Versuche mit fehler -2146893022 fehlgeschlagen sind: Der Zielprinzipalname ist falsch.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.