Condividi tramite

Errore di replica di Active Directory 1722: Il server RPC non è disponibile

Questo articolo consente di correggere l'errore 1722 della replica di Active Directory.

Si applica a: tutte le versioni supportate di Windows Server
Numero KB originale: 2102154

Sintomi

Questo articolo descrive i sintomi, la causa e la risoluzione per la risoluzione della replica di Active Directory con errore Win32 1722: "Il server RPC non è disponibile".

  1. L'innalzamento di livello DCPROMO di un controller di dominio di replica non riesce a creare un oggetto Impostazioni NTDS nel controller di dominio helper con errore 1722.

    Testo del titolo della finestra di dialogo: Installazione guidata Dominio di Active Directory Services

    Testo del messaggio di dialogo:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. DCDIAG segnala che il test delle repliche di Active Directory non è riuscito con errore 1722: "Il server RPC non è disponibile".

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<DC name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE segnala che il tentativo di replica non è riuscito con stato 1722 (0x6ba).

    I comandi REPADMIN che in genere citono lo stato -1722 (0x6ba) includono, ma non sono limitati a:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    L'output di esempio di REPADMIN /SHOWREPS e REPADMIN /SYNCALL che illustra l'errore "Il server RPC non è disponibile" è illustrato di seguito:

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    L'output di esempio che REPADMIN /SYNCALL illustra l'errore "Il server RPC non è disponibile" è illustrato di seguito:

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. Il comando replicato ora in Siti e servizi di Active Directory restituisce "Il server RPC non è disponibile".

    Fare clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e scegliere Replica ora ha esito negativo con "Il server RPC non è disponibile". Il messaggio di errore sullo schermo viene visualizzato come segue:

    Testo del titolo della finestra di dialogo: Replica ora

    Testo del messaggio di dialogo:

    Si è verificato l'errore seguente durante il tentativo di sincronizzare il nome DNS del contesto <di denominazione della partizione della directory> dal nome host del controller di dominio di origine del controller di dominio al nome> host> del controller di dominio di destinazione del controller <<di dominio: il server RPC non è disponibile. Questa operazione non continuerà. Questa condizione può essere causata da un problema di ricerca DNS. Per informazioni sulla risoluzione dei problemi di ricerca DNS comuni, vedere il sito Web Microsoft seguente: Problema di ricerca DNS

  5. Gli eventi NTDS Knowledge Consistency Checker (KCC), NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con lo stato 1722 vengono registrati nel registro eventi del servizio directory.

    Gli eventi di Active Directory che in genere citono lo stato 1722 includono, ma non sono limitati a:

    Origine evento ID evento Stringa di evento
    Microsoft-Windows-ActiveDirectory_DomainService 1125 L'installazione guidata Dominio di Active Directory Servizi (Dcpromo) non è riuscita a stabilire una connessione con il controller di dominio seguente.
    NTDS KCC 1311 Il controllo della coerenza delle conoscenze (KCC) ha rilevato problemi con la partizione di directory seguente.
    NTDS KCC 1865 Il controllo di coerenza informazioni (KCC) non è riuscito a formare una topologia di rete completo spanning di struttura ad albero. Di conseguenza, il seguente elenco di siti non è raggiungibile dal sito locale.
    NTDS KCC 1925 Non è riuscito il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile.
    Replica NTDS 1960 Evento interno: il controller di dominio seguente ha ricevuto un'eccezione da una connessione RPC (Remote Procedure Call). L'operazione potrebbe non riuscire.

Causa

RPC è un livello intermedio tra il trasporto di rete e il protocollo dell'applicazione. RPC non ha informazioni dettagliate speciali sugli errori, ma tenta di eseguire il mapping degli errori del protocollo di livello inferiore in un errore a livello RPC.

L'errore RPC 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE viene registrato quando un protocollo di livello inferiore segnala un errore di connettività. Il caso comune è che l'operazione TCP CONNECT astratta non è riuscita. Nel contesto della replica di Active Directory, il client RPC nel controller di dominio di destinazione non è riuscito a connettersi correttamente al server RPC nel controller di dominio di origine. Le cause comuni di questo comportamento sono:

  • Errore locale del collegamento
  • Errore DHCP
  • Errore DNS
  • Errore WINS
  • Errore di routing (incluse le porte bloccate nei firewall)
  • Errori di autenticazione ipSec/rete
  • Limiti delle risorse
  • Protocollo di livello superiore non in esecuzione
  • Protocollo di livello superiore che restituisce questo errore

Risoluzione

Passaggi di base per la risoluzione dei problemi per identificare il problema.

Verificare che la chiave ClientProtocols esista in HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc e che contenga i protocolli predefiniti corretti

Nome protocollo Type Valore dei dati
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Se manca la chiave ClientProtocols o uno dei quattro valori predefiniti, importare la chiave da un server valido noto.

Verificare che il DNS funzioni

Gli errori di ricerca DNS (Domain Name System) sono la causa di un numero elevato di errori RPC 1722 quando si tratta di replica.

Esistono alcuni strumenti da usare per identificare gli errori DNS:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    Il DCDIAG /TEST:DNS comando può convalidare l'integrità DNS dei controller di dominio della famiglia Windows 2000 Server (SP3 o versione successiva), Windows Server 2003 e Windows Server 2008. Questo test è stato introdotto per la prima volta con Windows Server 2003 Service Pack 1.

    Per questo comando sono disponibili sette gruppi di test.

    • Autenticazione (autenticazione)

    • Basic (Basc)

    • Registrazione dei record (RReg)

    • Aggiornamento dinamico (Dyn)

    • Deleghe (Del)

    • Forwarders/Root hints (Forw)

      Output di esempio:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      Riepilogo dei risultati dei test DNS:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      Il riepilogo fornisce i passaggi di correzione per gli errori più comuni di questo test.

      La spiegazione e le opzioni aggiuntive per questo test sono disponibili in Strumento di diagnostica controller di dominio (dcdiag.exe).

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc viene usato per eseguire il processo del localizzatore di controller di dominio. Tenta quindi /dsgetdc:<domain name> di trovare il controller di dominio per il dominio. L'uso del flag force forza la posizione del controller di dominio anziché usare la cache. È anche possibile specificare opzioni come /gc o /pdc per individuare un catalogo globale o un emulatore di controller di dominio primario. Per trovare il Catalogo globale, è necessario specificare un nome di albero, ovvero il nome di dominio DNS del dominio radice.

    Output di esempio:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Può essere usato con Windows 2003 e versioni precedenti per raccogliere informazioni specifiche per la configurazione e l'errore di rete. Questo strumento richiede tempo per l'esecuzione durante l'esecuzione dell'opzione -v .

    Output di esempio per il test DNS:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server IP address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <IP Address>  
Authoritative NS:<IP Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server IP address>  
The Record is correct on DNS server '<DNS Server IP address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server IP address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server IP address>'.

  • ping -a <IP_of_problem_server>

    Si tratta di un semplice test rapido per convalidare il record host per un controller di dominio che sta risolvendo nel computer corretto.

  • dnslint /s IP /ad IP

    DNSLint è un'utilità di Windows che consente di diagnosticare i problemi comuni di risoluzione dei nomi DNS. L'output è un file HTM con molte informazioni, tra cui:

    Server DNS: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    I dati dei record SOA dal server:

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • Record autorevoli aggiuntivi (NS) dal server: DC2.fabrikam.com <IP Address>

    Alias (CNAME) e associa i record (A) per i GUID della foresta dal server:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Alias: DC.fabrikam.com
      • Glue: <indirizzo IP>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Alias: dc2.child.fabrikam.com
      • Glue: <indirizzo IP>

      Per altre informazioni, vedere la descrizione dell'utilità DNSLint.

Verificare che le porte di rete non siano bloccate da un firewall o da un'applicazione di terze parti in ascolto sulle porte necessarie

Il mapper dell'endpoint (in ascolto sulla porta 135) indica al client la porta assegnata in modo casuale su un servizio (FRS, replica DI AD, MAPI e così via) su cui è in ascolto.

Fare riferimento all'elenco delle porte necessarie in Come configurare un firewall per domini e trust di Active Directory.

È possibile usare Portqry per identificare se una porta è bloccata da un controller di dominio quando è destinata a un altro controller di dominio. Può essere scaricato in PortQry Command Line Port Scanner versione 2.0.

Sintassi di esempio:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Una versione grafica di portqry, denominata Portqryui, è disponibile in PortQryUI - Interfaccia utente per lo scanner della porta della riga di comando di PortQry.

Se l'intervallo porte dinamiche è bloccato, usare i collegamenti seguenti per configurare un intervallo di porte gestibile per il cliente.

Collegamenti importanti aggiuntivi per la configurazione e l'uso di firewall e controller di dominio:

Driver NIC non corretti

Per i driver più recenti, vedere fornitori di schede di rete o OEM.

La frammentazione UDP può causare errori di replica che sembrano avere un'origine del server RPC non disponibile

Gli errori con ID evento 40960 e 40961 con un'origine LSASRV sono comuni per questa particolare causa.

Per altre informazioni, vedere Come forzare Kerberos a usare TCP anziché UDP in Windows.

Mancata corrispondenza della firma SMB tra controller di dominio

L'uso dei criteri dei controller di dominio predefiniti per configurare le impostazioni coerenti per la firma SMB nella sezione seguente consente di risolvere questa causa:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft network client: Digitally sign communications (always) Disabled.
  • Microsoft network client: Digitally sign communications (if server agrees) Enabled.
  • Microsoft network server: Digitally sign communications (always) Disabled.
  • Microsoft network server: Digitally sign communications (if client agrees) Enabled.

Le impostazioni sono disponibili nelle chiavi del Registro di sistema seguenti:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters e HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = sempre (0 = disable, 1 = enable).
    • EnableSecuritySignature = se il server accetta (0 = disable, 1 = enable).

Risoluzione dei problemi aggiuntivi:

Se i metodi precedenti non forniscono una soluzione all'errore 1722, usare la registrazione diagnostica seguente per raccogliere altre informazioni:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Raccolta dei dati

Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.

Riferimenti