Compartir a través de

Error de replicación 1753: no hay más puntos de conexión disponibles desde el asignador de puntos de conexión

En este artículo se describen los síntomas, la causa y los pasos de resolución de las operaciones de Active Directory en las que se produce el error 1753 de Win32: "No hay más puntos de conexión disponibles en el asignador de puntos de conexión".

DCDIAG notifica que en la prueba de conectividad, la prueba de replicaciones de Active Directory o la prueba KnowsOfRoleHolders se ha producido el error 1753: "No hay más puntos de conexión disponibles en el asignador de puntos de conexión".

Testing server: <site><DC Name>
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
[<DC Name>] DsBindWithSpnEx() failed with error 1753,
There are no more endpoints available from the endpoint mapper..
Printing RPC Extended Error Info:
Error Record 1, ProcessID is <process ID> (DcDiag)
System Time is: <date> <time>
Generating component is 2 (RPC runtime)
Status is 1753: There are no more endpoints available from the endpoint mapper. Detection location is 500
NumberOfParameters is 4
Unicode string: ncacn_ip_tcp
Unicode string: <source DC object GUID>._msdcs.contoso.com
Long val: -481213899
Long val: 65537
Error Record 2, ProcessID is 700 (DcDiag)
System Time is: <date> <time>
Generating component is 2 (RPC runtime)
Status is 1753: There are no more endpoints available from the endpoint mapper.
NumberOfParameters is 1
Unicode string: 1025
[Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>
Naming Context: <DN path of directory partition>
The replication generated an error (1753):
There are no more endpoints available from the endpoint mapper.
The failure occurred at <date> <time>.
The last success occurred at <date> <time>.
3 failures have occurred since the last success.
The directory on <DC name> is in the process.
of starting up or shutting down, and is not available.
Verify machine is not hung during boot.

REPADMIN.EXE notifica que se ha producido un error en el intento de replicación con el estado 1753. Los comandos REPADMIN que suelen citar el estado 1753 incluyen, entre otros, los siguientes:

  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL

A continuación se muestra la salida de ejemplo de "REPADMIN /SHOWREPS", en la que se describe la replicación entrante de CONTOSO-DC2 a CONTOSO-DC1 con el error "se denegó el acceso de replicación":

Default-First-Site-NameCONTOSO-DC1
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: b6dc8589-7e00-4a5d-b688-045aef63ec01
DSA invocationID: b6dc8589-7e00-4a5d-b688-045aef63ec01
==== INBOUND NEIGHBORS ======================================
DC=contoso,DC=com
Default-First-Site-NameCONTOSO-DC2 via RPC
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2
Last attempt @ <date> <time> failed, result 1753 (0x6d9):
There are no more endpoints available from the endpoint mapper.
<#> consecutive failure(s).
Last success @ <date> <time>.

El comando Comprobar topología de replicación de Sitios y servicios de Active Directory devuelve "No hay más puntos de conexión disponibles en el asignador de puntos de conexión".

Al hacer clic con el botón derecho en el objeto de conexión desde un controlador de dominio de origen y seleccionar Comprobar topología de replicación, se produce el error "No hay más puntos de conexión disponibles en el asignador de puntos de conexión". A continuación se muestra el mensaje de error en pantalla:

Texto del título del cuadro de diálogo: Comprobar topología de replicación Texto del mensaje del cuadro de diálogo: Se ha producido el siguiente error durante el intento de ponerse en contacto con el controlador de dominio: No hay más puntos de conexión disponibles en el asignador de puntos de conexión.

El comando Replicar ahora de Sitios y servicios de Active Directory devuelve "No hay más puntos de conexión disponibles en el asignador de puntos de conexión". Al hacer clic con el botón derecho en el objeto de conexión desde un controlador de dominio de origen y elegir Replicar ahora se produce el error "No hay más puntos de conexión disponibles en el asignador de puntos de conexión". A continuación se muestra el mensaje de error en pantalla:

Texto del título del cuadro de diálogo: Replicar ahora Texto del mensaje del cuadro de diálogo: Se ha producido el siguiente error durante el intento de sincronizar el contexto de nomenclatura <%nombre_de_partición_de_directorio%> de Controlador de dominio <Origen del controlador de dominio>a Controlador de dominio <Destino del controlador de dominio>:

no hay más puntos de conexión disponibles desde el asignador de puntos de conexión. La operación no continuará

Los eventos NTDS KCC, NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con el estado -2146893022 se registran en el registro de Servicios de directorio en Visor de eventos.

Los eventos de Active Directory que suelen citar el estado -2146893022 incluyen, entre otros, los siguientes:

Id. de evento Origen de eventos Cadena de evento
1655 NTDS General Active Directory ha intentado comunicarse con el siguiente catálogo global y los intentos no se han realizado correctamente.
1925 NTDS KCC Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.
1265 NTDS KCC Error del intento del comprobador de coherencia de la información (KCC) para agregar un contrato de replicación para la siguiente partición de directorio y el controlador de dominio de origen.

Causa

En los pasos siguientes se muestra el flujo de trabajo de RPC que comienza con el registro de la aplicación de servidor con el asignador de puntos de conexión RPC (EPM) en el paso 1 hasta el traslado de los datos del cliente RPC a la aplicación cliente en el paso 7.

Flujo de trabajo RPC de ADDS

  1. La aplicación de servidor registra sus puntos de conexión con el asignador de puntos de conexión RPC (EPM)
  2. El cliente realiza una llamada RPC (en nombre de un usuario, un sistema operativo o una operación iniciada por la aplicación)
  3. La RPC del lado cliente se pone en contacto con los equipos EPM de destino y solicita al punto de conexión que complete la llamada de cliente
  4. El EPM de la máquina servidor responde con un punto de conexión
  5. La RPC del lado cliente se pone en contacto con la aplicación de servidor
  6. La aplicación de servidor ejecuta la llamada y devuelve el resultado al RPC del cliente
  7. La RPC del lado cliente devuelve el resultado a la aplicación cliente

El error 1753 lo genera un error entre los pasos 3 y 4. En concreto, el error 1753 significa que el cliente RPC (controlador de dominio de destino) ha podido ponerse en contacto con el servidor RPC (controlador de dominio de origen) desde el puerto 135, pero el EPM en el servidor RPC (controlador de dominio de origen) no ha podido localizar la aplicación RPC de interés y ha devuelto el error 1753 del lado servidor. La presencia del error 1753 indica que el cliente RPC (DC de destino) ha recibido la respuesta de error del lado servidor del servidor RPC (DC de origen de replicación de AD) por la red.

Entre las causas principales específicas del error 1753 se incluyen las siguientes:

  • La aplicación de servidor nunca se ha iniciado (es decir, nunca se ha intentado el Paso 1 del diagrama de "más información" anterior).
  • La aplicación de servidor se ha iniciado pero se ha producido algún error durante la inicialización que ha impedido que se registre con el asignador de puntos de conexión RPC (es decir, se ha intentado el Paso 1 del diagrama "más información" anterior, pero se ha producido un error).
  • La aplicación de servidor se ha iniciado pero posteriormente ha finalizado. (Es decir, se ha completado correctamente el Paso 1 del diagrama "Más información" anterior, pero más tarde se ha deshecho porque el servidor ha finalizado).
  • La aplicación de servidor ha anulado manualmente el registro de sus puntos de conexión (similar a 3 pero intencionado. No es probable, pero se incluye para completar el ejemplo).
  • El cliente RPC (DC de destino) se ha puesto en contacto con un servidor RPC diferente al previsto debido a un error de asignación de IP en el archivo DNS, WINS o host/Lmhosts.

El error 1753 NO se debe a lo siguiente:

  • Falta de conectividad de red entre el cliente RPC (DC de destino) y el servidor RPC (DC de origen) mediante el puerto 135
  • Falta de conectividad de red entre el servidor RPC (DC de origen) mediante el puerto 135 y el cliente RPC (DC de destino) mediante el puerto efímero.
  • Error de coincidencia de contraseñas o la incapacidad del DC de origen para descifrar un paquete cifrado con Kerberos

Soluciones

Compruebe que se haya iniciado el servicio que registra su servicio con el asignador de puntos de conexión

  • Para controladores de dominio de Windows 2000 y Windows Server 2003: asegúrese de que el controlador de dominio de origen se inicia en modo normal.
  • Para Windows Server 2008 o Windows Server 2008 R2: desde la consola del DC de origen, inicie el Administrador de servicios (services.msc) y compruebe que el servicio Servicios de dominio de Active Directory está en ejecución.

Compruebe que el cliente RPC (DC de destino) está conectado al servidor RPC previsto (DC de origen)

Todos los DC de un bosque común de Active Directory registran un registro CNAME de controlador de dominio en _msdcs. Zona DNS del <dominio raíz del bosque>, independientemente del dominio en el que residan dentro del bosque. El registro CNAME del DC se deriva del atributo objectGUID del objeto NTDS Settings para cada controlador de dominio.

Al realizar operaciones basadas en replicación, un DC de destino consulta el DNS para obtener el registro CNAME de los controladores de dominio de origen. El registro CNAME contiene el nombre completo del equipo de DC de origen que se usa para derivar la dirección IP de los controladores de dominio de origen mediante la búsqueda de caché de cliente DNS, la búsqueda de archivos Host o LMHost, el registro A o AAAA de host en DNS o WINS.

Los objetos NTDS Settings obsoletos y las asignaciones de nombres a IP incorrectas en los archivos DNS, WINS, Host y LMHOST pueden hacer que el cliente RPC (DC de destino) se conecte al servidor RPC incorrecto (DC de origen). Además, la asignación de nombre a IP incorrecta puede hacer que el cliente RPC (controlador de dominio de destino) se conecte a un equipo que ni siquiera tenga instalada la aplicación de servidor RPC de interés (en este caso, el rol de Active Directory). (Ejemplo: un registro de host obsoleto para DC2 contiene la dirección IP de DC3 o de un equipo miembro).

Compruebe que la instancia de objectGUID para el DC de origen que existe en la copia de controladores de dominio de destino de Active Directory coincide con la instancia de objectGUID de controlador de dominio de origen almacenada en la copia de controladores de dominio de origen de Active Directory. Si hay una discrepancia, use repadmin /showobjmeta en el objeto de configuración NTDS para ver cuál se corresponde a la última promoción del DC de origen (sugerencia: compare las marcas de fecha para la fecha de creación del objeto NTDS Settings en /showobjmeta con la última fecha de promoción en el archivo dcpromo.log de los controladores de dominio de origen. Es posible que tenga que usar la fecha de última modificación o creación del propio archivo DCPROMO.LOG). Si los GUID de objeto no son idénticos, es probable que el controlador de dominio de destino tenga un objeto NTDS Settings obsoleto para el controlador de dominio de origen cuyo registro CNAME hace referencia a un registro de host con una asignación de nombre a IP incorrecta.

En el DC de destino, ejecute IPCONFIG /ALL para determinar qué servidores DNS usa para la resolución de nombres:

c:>ipconfig /all

En el DC de destino, ejecute NSLOOKUP en el registro CNAME completo del DC de origen:

c:>nslookup -type=cname <fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:>nslookup -type=cname <fully qualified cname of source DC> <destination DCs secondary DNS Server IP>

Compruebe que la dirección IP devuelta por NSLOOKUP "posee" el nombre de host o la identidad de seguridad del DC de origen:

C:>NBTSTAT -A <IP address returned by NSLOOKUP in the step above>

Inicie sesión en la consola del DC de origen, ejecute "IPCONFIG" desde el símbolo del sistema de CMD y compruebe que el DC de origen posee la dirección IP devuelta por el comando NSLOOKUP anterior

Compruebe si hay un asignaciones de host a IP obsoletas o duplicadas en DNS

NSLOOKUP -type=hostname <single label hostname of source DC> <primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname <single label hostname of source DC> <secondary DNS Server IP on destination DC>

NSLOOKUP -type=hostname <fully qualified computer name of source DC> <primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname <fully qualified computer name of source DC> <secondary DNS Server IP on dest. DC>

Si existen direcciones IP no válidas en los registros de host, investigue si la limpieza de DNS está habilitada y configurada correctamente.

Si las pruebas anteriores o un seguimiento de red no muestran una consulta de nombre que devuelve una dirección IP no válida, considere la posibilidad de que haya entradas obsoletas en los archivos HOST, los archivos LMHOSTS y los servidores WINS. Tenga en cuenta que los servidores DNS también se pueden configurar para realizar la resolución de nombres de reserva de WINS.

  • Compruebe que la aplicación de servidor (Active Directory et al.) se ha registrado con el asignador de puntos de conexión en el servidor RPC (DC de origen)
  • Active Directory usa una combinación de puertos conocidos y registrados de manera dinámica. En esta tabla se enumeran los puertos y protocolos conocidos que usan los controladores de dominio de Active Directory.
Aplicación de servidor RPC Puerto TCP UDP
Servidor DNS 53 X X
Kerberos 88 X X
Servidor LDAP 389 X X
Microsoft-DS 445 X X
SSL de LDAP 636 X X
Servidor del catálogo global (GC) 3268 X
Servidor del catálogo global (GC) 3269 X

Los puertos conocidos NO se registran con el asignador de puntos de conexión.

Active Directory y otras aplicaciones también registran servicios que reciben puertos asignados de manera dinámicamente en el intervalo de puertos efímeros de RPC. A estas aplicaciones de servidor RPC se les asigna dinámicamente los puertos TCP entre 1024 y 5000 en equipos con Windows 2000 y Windows Server 2003, y puertos entre 49152 y 65535 en equipos con Windows Server 2008 y Windows Server 2008 R2. El puerto RPC que usa la replicación se puede codificar de forma rígida en el Registro mediante los pasos documentados en el artículo de KB 224196. Active Directory continúa el registro con el EPM cuando se configura para usar un puerto codificado de forma rígida.

Compruebe que la aplicación de servidor RPC de interés se ha registrado con el asignador de puntos de conexión RPC en el servidor RPC (el DC de origen en el caso de la replicación de AD).

Hay varias maneras de realizar esta tarea, pero una consiste en instalar y ejecutar PORTQRY desde un símbolo del sistema de CMD con privilegios de administrador en la consola del DC de origen mediante la sintaxis siguiente:

portquery -n <source DC> -e 135 > file.txt

En la salida de portqry, observe los números de puerto registrados dinámicamente por la "interfaz DRS de directorio MS NT" (UUID = 351...) para el protocolo ncacn_ip_tcp. En el fragmento de código siguiente se muestra la salida de portquery de ejemplo de un controlador de dominio de Windows Server 2008 R2:

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\pipe\lsass]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\PIPE\protected_storage]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:CONTOSO-DC01[49156]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[49157]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[6004]

Otras formas posibles de resolver este error son las siguientes:

  • Compruebe que el DC de origen se inicia en modo normal y que el rol de sistema operativo y de controlador de dominio en el DC de origen se han iniciado por completo.

  • Compruebe que Active Directory Domain Services está en ejecución. Si el servicio está actualmente detenido o no se ha configurado con valores de inicio predeterminados, restablezca los valores de inicio predeterminados, reinicie el controlador de dominio modificado y vuelva a intentar la operación.

  • Compruebe que el valor de inicio y el estado del servicio para el servicio RPC y el localizador RPC son correctos para la versión del sistema operativo del cliente RPC (DC de destino) y del servidor RPC (DC de origen). Si el servicio está actualmente detenido o no se ha configurado con valores de inicio predeterminados, restablezca los valores de inicio predeterminados, reinicie el controlador de dominio modificado y vuelva a intentar la operación.

    • Además, asegúrese de que el contexto de servicio coincide con la configuración predeterminada que se muestra en la tabla siguiente.

      Servicio Estado predeterminado (tipo de inicio) en Windows Server 2003 y versiones posteriores Estado predeterminado (tipo de inicio) en Windows Server 2000
      Llamada a procedimiento remoto Iniciado (automático) Iniciado (automático)
      Localizador de llamada a procedimiento remoto NULL o Detenido (manual) Iniciado (automático)

  • Compruebe que el tamaño del intervalo de puertos dinámicos no se ha restringido. A continuación se muestra la sintaxis NETSH de Windows Server 2008 y Windows Server 2008 R2 para enumerar el intervalo de puertos RPC:

    netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv6 show dynamicport tcp
netsh int ipv6 show dynamicport udp

  • Compruebe que las definiciones de puerto codificadas de forma rígida definidas en KB 224196 se encuentran dentro del intervalo de puertos dinámicos para la versión del sistema operativo de los controladores de dominio de origen. Revise el artículo de KB 224196 y asegúrese de que el puerto codificado de forma rígida se encuentra dentro del intervalo de puertos efímeros para la versión del sistema operativo del controlador de dominio de origen.

  • Compruebe que la clave ClientProtocols existe en HKLM\Software\Microsoft\Rpc y contiene los cinco valores predeterminados siguientes:

    ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_nb_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Más información

Ejemplo de una asignación de nombre a IP incorrecta que provoca el error 1753 de RPC frente a -2146893022: el nombre de entidad de seguridad de destino es incorrecto

El dominio contoso.com consta de DC1 y DC2 con las direcciones IP x.x.1.1 y x.x.1.2. Los registros "A" o "AAAA" del host para DC2 se registran correctamente en todos los servidores DNS configurados para DC1. Además, el archivo HOSTS de DC1 contiene una asignación de entradas DC2 con nombre de host completo a la dirección IP x.x.1.2. Más adelante, la dirección IP de DC2 cambia de X.X.1.2 a X.X.1.3 y un nuevo equipo miembro se une al dominio con la dirección IP x.x.1.2. Los intentos de replicación de AD desencadenados por el comando Replicar ahora en el complemento Sitios y servicios de Active Directory generan el error 1753, como se muestra en el seguimiento siguiente:

F# SRC    DEST    Operation
1 x.x.1.1 x.x.1.2 ARP:Request, x.x.1.1 asks for x.x.1.2
2 x.x.1.2 x.x.1.1 ARP:Response, x.x.1.2 at 00-13-72-28-C8-5E
3 x.x.1.1 x.x.1.2 TCP:Flags=......S., SrcPort=50206, DstPort=DCE endpoint resolution(135)
4 x.x.1.2 x.x.1.1 ARP:Request, x.x.1.2 asks for x.x.1.1
5 x.x.1.1 x.x.1.2 ARP:Response, x.x.1.1 at 00-15-5D-42-2E-00
6 x.x.1.2 x.x.1.1 TCP:Flags=...A..S., SrcPort=DCE endpoint resolution(135)
7 x.x.1.1 x.x.1.2 TCP:Flags=...A...., SrcPort=50206, DstPort=DCE endpoint resolution(135)
8 x.x.1.1 x.x.1.2 MSRPC:c/o Bind: UUID{E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT(EPMP)
9 x.x.1.2 x.x.1.1 MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x5E68 Xmit=0x16D0 Recv=0x16D0
10 x.x.1.1 x.x.1.2 EPM:Request: ept_map: NDR, DRSR(DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [DCE endpoint resolution(135)]
11 x.x.1.2 x.x.1.1 EPM:Response: ept_map: 0x16C9A0D6 - EP_S_NOT_REGISTERED

En el marco 10, el DC de destino consulta al asignador de puntos de conexión de controladores de dominio de origen mediante el puerto 135 para la clase de servicio de replicación de Active Directory UUID E351...

En el marco 11, el controlador de dominio de origen, en este caso un equipo miembro en el que todavía no se hospeda el rol de controlador de dominio y, por tanto, no ha registrado el UUID E351... para el servicio de replicación con su EPM local, responde con un error simbólico EP_S_NOT_REGISTERED, que se asigna al error decimal 1753, al error hexadecimal 0x6d9 y la error descriptivo "No hay más puntos de conexión disponibles en el asignador de puntos de conexión".

Más adelante, el equipo miembro con la dirección IP x.x.1.2 se promueve como una réplica "MayberryDC" en el dominio contoso.com. De nuevo, se usa el comando Replicar ahora para desencadenar la replicación, pero esta vez se produce el error en pantalla "El nombre de entidad de seguridad de destino es incorrecto". El equipo cuyo adaptador de red tiene asignada la dirección IP x.x.1.2 es un controlador de dominio, se inicia actualmente en modo normal y ha registrado el UUID E351... del servicio de replicación con su EPM local, pero no posee el nombre ni la identidad de seguridad de DC2, y no puede descifrar la solicitud Kerberos de DC1, por lo que la solicitud ahora produce el error "El nombre de entidad de seguridad de destino es incorrecto". El error se asigna al error decimal -2146893022 y al error hexadecimal 0x80090322.

Estas asignaciones de host a IP no válidas podrían deberse a entradas obsoletas en archivos de host, o lmhost, registros A o AAAA de host en DNS, o bien WINS.

Resumen: en este ejemplo se ha producido un error porque una asignación de host a IP no válida (en este caso, en el archivo HOST) ha provocado que el controlador de dominio de destino se resolviera en un controlador de dominio de "origen" que no tenía el servicio Active Directory Domain Services en ejecución (o incluso instalado) por lo que el SPN de replicación todavía no se ha registrado y el controlador de dominio de origen ha devuelto el error 1753. En el segundo caso, una asignación de host a IP no válida (de nuevo en el archivo HOST) ha provocado que el DC de destino se conectara a un DC que había registrado el SPN E351... de replicación, pero ese origen tenía un nombre de host y una identidad de seguridad diferentes a los del DC de origen previsto, por lo que se ha producido el error -2146893022 en los intentos: el nombre de entidad de seguridad de destino es incorrecto.