Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i sintomi, la causa e i passaggi di risoluzione per le operazioni di Active Directory che hanno esito negativo con l'errore Win32 1753: "Non sono disponibili altri endpoint dal mapper di endpoint".
DCDIAG segnala che il test di connettività, il test di replica di Active Directory o il test KnowsOfRoleHolders hanno avuto esito negativo con l'errore 1753: "Non sono disponibili altri endpoint dal mapper dell'endpoint".
Testing server: <site><DC Name>
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
[<DC Name>] DsBindWithSpnEx() failed with error 1753,
There are no more endpoints available from the endpoint mapper..
Printing RPC Extended Error Info:
Error Record 1, ProcessID is <process ID> (DcDiag)
System Time is: <date> <time>
Generating component is 2 (RPC runtime)
Status is 1753: There are no more endpoints available from the endpoint mapper. Detection location is 500
NumberOfParameters is 4
Unicode string: ncacn_ip_tcp
Unicode string: <source DC object GUID>._msdcs.contoso.com
Long val: -481213899
Long val: 65537
Error Record 2, ProcessID is 700 (DcDiag)
System Time is: <date> <time>
Generating component is 2 (RPC runtime)
Status is 1753: There are no more endpoints available from the endpoint mapper.
NumberOfParameters is 1
Unicode string: 1025
[Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>
Naming Context: <DN path of directory partition>
The replication generated an error (1753):
There are no more endpoints available from the endpoint mapper.
The failure occurred at <date> <time>.
The last success occurred at <date> <time>.
3 failures have occurred since the last success.
The directory on <DC name> is in the process.
of starting up or shutting down, and is not available.
Verify machine is not hung during boot.
REPADMIN.EXE segnala che il tentativo di replica ha avuto esito negativo con stato 1753. I comandi REPADMIN che in genere citano lo stato 1753 includono, tra gli altri:
- REPADMIN /REPLSUM
- REPADMIN /SHOWREPL
- REPADMIN /SHOWREPS
- REPADMIN /SYNCALL
L'output di esempio di "REPADMIN /SHOWREPS" che illustra la replica in ingresso da CONTOSO-DC2 a CONTOSO-DC1 e che ha esito negativo con l'errore "Accesso alla replica negato" è illustrato di seguito:
Default-First-Site-NameCONTOSO-DC1
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: b6dc8589-7e00-4a5d-b688-045aef63ec01
DSA invocationID: b6dc8589-7e00-4a5d-b688-045aef63ec01
==== INBOUND NEIGHBORS ======================================
DC=contoso,DC=com
Default-First-Site-NameCONTOSO-DC2 via RPC
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2
Last attempt @ <date> <time> failed, result 1753 (0x6d9):
There are no more endpoints available from the endpoint mapper.
<#> consecutive failure(s).
Last success @ <date> <time>.
Il comando Controlla topologia di replica in Siti e servizi di Active Directory restituisce "Non sono presenti altri endpoint disponibili dal mapper di endpoint".
Facendo clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e scegliere Controlla topologia di replica non dà esito positivo, con messaggio "Non sono presenti altri endpoint disponibili dal mapper di endpoint". Di seguito è riportato il messaggio di errore che appare sullo schermo:
Testo del titolo della finestra di dialogo: controllare il testo del messaggio della finestra di dialogo della topologia di replica: si è verificato l'errore seguente durante il tentativo di contattare il controller di dominio: non sono presenti altri endpoint disponibili dal mapper di endpoint.
Il comando Replica ora in Siti e servizi di Active Directory restituisce "Non sono presenti altri endpoint disponibili dal mapper di endpoint". Fare clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e scegliere Replica ora ha esito negativo con "Non sono presenti altri endpoint disponibili dal mapper di endpoint". Di seguito è riportato il messaggio di errore che appare sullo schermo:
Testo del titolo della finestra di dialogo: Replica ora testo messaggio finestra di dialogo: si è verificato l'errore seguente durante il tentativo di sincronizzare il contesto di denominazione <%directory partition name%> dal controller di dominio <controller di dominio di origine> al controller di dominio <controller di dominio di destinazione>:
Non sono presenti altri endpoint disponibili dal mapper di endpoint. L'operazione non continuerà
Gli eventi NTDS KCC, NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con lo stato -2146893022 vengono registrati nel registro servizi directory nel Visualizzatore eventi.
Gli eventi Active Directory che in genere citano lo stato -2146893022 includono, tra gli altri:
| ID evento | Origine evento | Stringa dell'evento |
|---|---|---|
| 1655 | NTDS generale | Active Directory ha tentato di comunicare con il catalogo globale seguente e i tentativi hanno esito negativo. |
| 1925 | NTDS KCC | Non è riuscito il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile. |
| 1265 | NTDS KCC | Tentativo da parte del Controllo di coerenza informazioni (KCC) di aggiungere un contratto di replica per la partizione di directory seguente e il controller di dominio di origine non riuscito. |
Causa
La procedura seguente illustra il flusso di lavoro RPC dalla registrazione dell'applicazione server con l'agente mapping endpoint RPC (EPM) nel passaggio 1 al passaggio di dati dal client RPC all'applicazione client nel passaggio 7.
AGGIUNGE flusso di lavoro RPC
- L'app server registra gli endpoint con l'agente mapping endpoint RPC (EPM)
- Il client effettua una chiamata RPC (per conto di un utente, un sistema operativo o un'operazione avviata dall'applicazione)
- Rpc lato client contatta i computer di destinazione EPM e chiedere all'endpoint di completare la chiamata client
- EPM del computer server risponde con un endpoint
- RPC sul lato client contatta l'app server
- L'app server esegue la chiamata, restituisce il risultato al client RPC
- RPC sul lato client passa di nuovo il risultato all'app client
L'errore 1753 viene generato da un errore tra i passaggi 3 e 4. In particolare, l'errore 1753 indica che il client RPC (controller di dominio di destinazione) è stato in grado di contattare il server RPC (controller di dominio di origine) sulla porta 135, ma l'EPM nel server RPC (controller di dominio di origine) non è riuscito a individuare l'applicazione RPC di interesse e ha restituito l'errore sul lato server 1753. La presenza dell'errore 1753 indica che il client RPC (controller di dominio di destinazione) ha ricevuto la risposta di errore sul lato server dal server RPC (controller di dominio di origine replica AD) sulla rete.
Cause radice specifiche per l'errore 1753 includono:
- L'app server non è mai stata avviata, ovvero il passaggio 1 nel diagramma "altre informazioni" che si trova sopra non è mai stato tentato.
- L'app server è stata avviata, ma si è verificato un errore durante l'inizializzazione che ha impedito la registrazione con l'agente mapping endpoint RPC, ovvero il passaggio 1 nel diagramma "altre informazioni" precedente è stato tentato ma ha avuto esito negativo.
- L'app server è stata avviata ma successivamente è stata arrestata. Ovvero, il passaggio 1 nel diagramma "altre informazioni" precedente è stato completato correttamente, ma è stato annullato in un secondo momento perché il server è stato arrestato.
- L'app server annulla manualmente la registrazione degli endpoint (simile al numero 3, ma intenzionale. Improbabile, ma incluso per motivi di completezza).
- Il client RPC (controller di dominio di destinazione) ha contattato un server RPC diverso da quello previsto a causa di un errore di mapping del nome all'indirizzo IP nel file DNS, WINS o host/Lmhosts.
L'errore 1753 NON è causato da:
- Mancanza di connettività di rete tra il client RPC (controller di dominio di destinazione) e il server RPC (controller di dominio di origine) sulla porta 135
- Mancanza di connettività di rete tra il server RPC (controller di dominio di origine) usando la porta 135 e il client RPC (controller di dominio di destinazione) sulla porta temporanea.
- Mancata corrispondenza della password o impossibilità da parte del controller di dominio di origine di decrittografare un pacchetto crittografato Kerberos
Risoluzioni
Verificare che il servizio che registra il servizio con l'agent mapping di endpoint sia stato avviato
- Per i controller di dominio di Windows 2000 e Windows Server 2003: assicurarsi che il controller di dominio di origine sia avviato in modalità normale.
- Per Windows Server 2008 o Windows Server 2008 R2: dalla console del controller di dominio di origine avviare Services Manager (services.msc) e verificare che il servizio Servizi di dominio Active Directory sia in esecuzione.
Verificare che il client RPC (controller di dominio di destinazione) sia connesso al server RPC previsto (controller di dominio di origine)
Tutti i controller di dominio in una foresta Active Directory comune registrano un record CNAME del controller di dominio nella _msdcs. Zona DNS del <dominio radice della foresta> indipendentemente dal dominio in cui risiedono all'interno della foresta. Il record DC CNAME deriva dall'attributo objectGUID dell'oggetto Impostazioni NTDS per ogni controller di dominio.
Quando si eseguono operazioni basate sulla replica, un controller di dominio di destinazione esegue una query DNS per il record CNAME dei controller di dominio di origine. Il record CNAME contiene il nome del computer completo del controller di dominio di origine usato per derivare l'indirizzo IP dei controller di dominio di origine tramite la ricerca della cache del client DNS, la ricerca del file Host/LMHost, l'host A/AAAA record in DNS o WINS.
Gli oggetti Impostazioni NTDS non aggiornati e i mapping da nome a IP non validi nei file DNS, WINS, Host e LMHOST possono causare la connessione del client RPC (dc di destinazione) al server RPC errato (controller di dominio di origine). Inoltre, il mapping da nome a IP non valido può causare l'installazione del client RPC (controller di dominio di destinazione) a un computer che non ha nemmeno l'applicazione server RPC di interesse (in questo caso il ruolo Active Directory). Ad esempio, un record host non aggiornato per DC2 contiene l'indirizzo IP di DC3 o un computer membro.
Verificare che objectGUID per il controller di dominio di origine esistente nella copia dei controller di dominio di destinazione di Active Directory corrisponda all'objectGUID del controller di dominio di origine archiviato nella copia dei controller di dominio di origine di Active Directory. Se si verifica una discrepanza, usare repadmin/showobjmeta nell'oggetto Impostazioni ntds per vedere quale corrisponde all'ultima promozione del controller di dominio di origine (suggerimento: confrontare indicatori di data per la data creazione dell'oggetto impostazioni NTDS da /showobjmeta rispetto all'ultima data di promozione nel file dcpromo.log dei controller di dominio di origine. Potrebbe essere necessario usare l'ultima data di modifica/creazione del file DCPROMO.LOG stesso). Se i GUID dell'oggetto non sono identici, il controller di dominio di destinazione ha probabilmente un oggetto Impostazioni NTDS non aggiornato per il controller di dominio di origine il cui record CNAME fa riferimento a un record host con un nome non valido per il mapping IP.
Nel controller di dominio di destinazione eseguire IPCONFIG /ALL per determinare i server DNS usati dal controller di dominio di destinazione per la risoluzione dei nomi:
c:>ipconfig /all
Nel controller di dominio di destinazione eseguire NSLOOKUP sul record CNAME DC completo dei controller di dominio di origine:
c:>nslookup -type=cname <fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:>nslookup -type=cname <fully qualified cname of source DC> <destination DCs secondary DNS Server IP>
Verificare che l'indirizzo IP restituito da NSLOOKUP sia proprietario del nome host/identità di sicurezza del controller di dominio di origine:
C:>NBTSTAT -A <IP address returned by NSLOOKUP in the step above>
Accedere alla console del controller di dominio di origine, eseguire "IPCONFIG" dal prompt CMD e verificare che il controller di dominio di origine sia proprietario dell'indirizzo IP restituito dal comando NSLOOKUP precedente
Verificare la presenza di host non aggiornati/duplicati in DNS nei mapping IP
NSLOOKUP -type=hostname <single label hostname of source DC> <primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname <single label hostname of source DC> <secondary DNS Server IP on destination DC>
NSLOOKUP -type=hostname <fully qualified computer name of source DC> <primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname <fully qualified computer name of source DC> <secondary DNS Server IP on dest. DC>
Se nei record host sono presenti indirizzi IP non validi, verificare se lo scavenging DNS è abilitato e configurato correttamente.
Se i test precedenti o una traccia di rete non visualizzano una query di nome che restituisce un indirizzo IP non valido, prendere in considerazione le voci non aggiornate nei file HOST, nei file LMHOSTS e nei server WINS. Si noti che i server DNS possono anche essere configurati per eseguire la risoluzione dei nomi di fallback WINS.
- Verificare che l'applicazione server (Active Directory et al) sia stata registrata con l'agente mapping di endpoint nel server RPC (controller di dominio di origine)
- Active Directory usa una combinazione di porte note e registrate dinamicamente. Questa tabella elenca porte e protocolli noti usati dai controller di dominio di Active Directory.
| Applicazione server RPC | Porto | TCP | UDP |
|---|---|---|---|
| Server DNS | 53 | X | X |
| Kerberos | 88 | X | X |
| Server LDAP | 389 | X | X |
| Microsoft-DS | 445 | X | X |
| LDAP con SSL | 636 | X | X |
| Server di catalogo globale | 3268 | X | |
| Server di catalogo globale | 3269 | X |
Le porte note NON sono registrate con l'agente mapping di endpoint.
Active Directory e altre applicazioni registrano anche i servizi che ricevono porte assegnate dinamicamente nell'intervallo di porte temporanee RPC. A tali applicazioni server RPC vengono assegnate dinamicamente porte TCP tra 1024 e 5000 nei computer Windows 2000 e Windows Server 2003 e porte dell'intervallo fra 49152 e 65535 su computer Windows Server 2008 e Windows Server 2008 R2. La porta RPC usata dalla replica può essere hardcoded nel registro di sistema usando i passaggi descritti nell'articolo della Knowledge Base 224196. Active Directory continua a registrarsi con EPM quando è configurato per l'uso di una porta hardcoded.
Verificare che l'applicazione server RPC di interesse sia stata registrata con l'agente mapping di endpoint RPC nel server RPC (il controller di dominio di origine nel caso della replica di Active Directory).
Esistono diversi modi per eseguire questa attività, ma uno consiste nell'installare ed eseguire PORTQRY da un prompt CMD con privilegi di amministratore nella console del controller di dominio di origine usando la sintassi:
portquery -n <source DC> -e 135 > file.txt
Nell'output di portqry, prendere nota dei numeri di porta registrati dinamicamente dall'interfaccia "MS NT Directory DRS Interface" (UUID = 351...) per il protocollo ncacn_ip_tcp. Il frammento di codice seguente mostra l'output di portquery di esempio da un controller di dominio Windows Server 2008 R2:
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\pipe\lsass]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\PIPE\protected_storage]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:CONTOSO-DC01[49156]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[49157]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[6004]
Altri modi possibili per risolvere questo errore:
Verificare che il controller di dominio di origine sia avviato in modalità normale e che il ruolo del sistema operativo e del controller di dominio nel controller di dominio di origine siano stati avviati completamente.
Verificare che il servizio Servizi di dominio Active Directory sia in esecuzione. Se il servizio è attualmente arrestato o non è stato configurato con valori di avvio predefiniti, reimpostare i valori di avvio predefiniti, riavviare il controller di dominio modificato e quindi ritentare l'operazione.
Verificare che il valore di avvio e lo stato del servizio per il servizio RPC e il localizzatore RPC siano corretti per la versione del sistema operativo del client RPC (controller di dominio di destinazione) e del server RPC (controller di dominio di origine). Se il servizio è attualmente arrestato o non è stato configurato con valori di avvio predefiniti, reimpostare i valori di avvio predefiniti, riavviare il controller di dominio modificato e quindi ritentare l'operazione.
Assicurarsi inoltre che il contesto del servizio corrisponda alle impostazioni predefinite elencate nella tabella seguente.
Assistenza Stato predefinito (tipo di avvio) in Windows Server 2003 e versioni successive Stato predefinito (tipo di avvio) in Windows Server 2000 Chiamata di procedura remota Avviato (automatico) Avviato (automatico) Localizzatore chiamata di procedura remota Null o Arrestato (manuale) Avviato (automatico)
Verificare che le dimensioni dell'intervallo di porte dinamiche non siano state vincolate. La sintassi NETSH di Windows Server 2008 e Windows Server 2008 R2 per enumerare l'intervallo di porte RPC è illustrata di seguito:
netsh int ipv4 show dynamicport tcp netsh int ipv4 show dynamicport udp netsh int ipv6 show dynamicport tcp netsh int ipv6 show dynamicport udpVerificare che le definizioni di porte hardcoded definite in KB 224196 rientrano nell'intervallo di porte dinamiche per la versione del sistema operativo dei controller di dominio di origine. Vedere l'articolo della Knowledge Base 224196 e assicurarsi che la porta hardcoded rientra nell'intervallo di porte temporanee per la versione del sistema operativo del controller di dominio di origine.
Verificare che la chiave ClientProtocols esista in HKLM\Software\Microsoft\Rpc e contenga i 5 valori predefiniti seguenti:
ncacn_http REG_SZ rpcrt4.dll ncacn_ip_tcp REG_SZ rpcrt4.dll ncacn_nb_tcp REG_SZ rpcrt4.dll ncacn_np REG_SZ rpcrt4.dll ncacn_ip_udp REG_SZ rpcrt4.dll
Altre informazioni
Esempio di un nome non valido per il mapping IP che produce l'errore RPC 1753 e -2146893022: il nome dell'entità di destinazione principale non è corretto
xIl dominio contoso.com è costituito da DC1 e DC2 con indirizzi IP x.x.1.1 e x.x.1.2. I record host "A" / "AAAA" per DC2 vengono registrati correttamente in tutti i server DNS configurati per DC1. Inoltre, il file HOSTS in DC1 contiene un mapping di voci DC2 nome host completo all'indirizzo IP x.x.1.2. Successivamente, l'indirizzo IP di DC2 passa da X.X.1.2 a X.X.1.3 e un nuovo computer membro viene aggiunto al dominio con indirizzo IP x.x.1.2. I tentativi di replica di Active Directory attivati dal comando Replica ora nello snap-in Siti e servizi di Active Directory hanno esito negativo e viene visualizzato l'errore 1753, come illustrato nella traccia seguente:
F# SRC DEST Operation
1 x.x.1.1 x.x.1.2 ARP:Request, x.x.1.1 asks for x.x.1.2
2 x.x.1.2 x.x.1.1 ARP:Response, x.x.1.2 at 00-13-72-28-C8-5E
3 x.x.1.1 x.x.1.2 TCP:Flags=......S., SrcPort=50206, DstPort=DCE endpoint resolution(135)
4 x.x.1.2 x.x.1.1 ARP:Request, x.x.1.2 asks for x.x.1.1
5 x.x.1.1 x.x.1.2 ARP:Response, x.x.1.1 at 00-15-5D-42-2E-00
6 x.x.1.2 x.x.1.1 TCP:Flags=...A..S., SrcPort=DCE endpoint resolution(135)
7 x.x.1.1 x.x.1.2 TCP:Flags=...A...., SrcPort=50206, DstPort=DCE endpoint resolution(135)
8 x.x.1.1 x.x.1.2 MSRPC:c/o Bind: UUID{E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT(EPMP)
9 x.x.1.2 x.x.1.1 MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x5E68 Xmit=0x16D0 Recv=0x16D0
10 x.x.1.1 x.x.1.2 EPM:Request: ept_map: NDR, DRSR(DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [DCE endpoint resolution(135)]
11 x.x.1.2 x.x.1.1 EPM:Response: ept_map: 0x16C9A0D6 - EP_S_NOT_REGISTERED
Al frame 10, il controller di dominio di destinazione esegue una query sull'agente mapping di endpoint dei controller di dominio di origine sulla porta 135 per la classe del servizio di replica di Active Directory UUID E351...
Nel frame 11, il controller di dominio di origine, in questo caso un computer membro che non ospita ancora il ruolo di controller di dominio e quindi non ha registrato l'E351... UUID per il servizio di replica con il relativo EPM locale risponde con errore simbolico EP_S_NOT_REGISTERED che esegue il mapping all'errore decimale 1753, all'errore esadecimale 0x6d9 e all'errore descrittivo "Non sono presenti altri endpoint disponibili dall'agente mapping di endpoint".
Successivamente, il computer membro con indirizzo IP x.x.1.2 viene promosso come replica "MayberryDC" nel dominio contoso.com. Anche in questo caso, il comando Replica ora viene usato per attivare la replica, ma questa volta ha esito negativo e viene visualizzato l'errore "Il nome dell'entità di destinazione principale non è corretto". Il computer alla cui scheda di rete è assegnato l'indirizzo IP x.x.1.2 è un controller di dominio, è attualmente avviato in modalità normale e ha registrato l'E351... UUID del servizio di replica con il relativo EPM locale, ma non è proprietario del nome o dell'identità di sicurezza di DC2 e non può decrittografare la richiesta Kerberos da DC1, quindi la richiesta ha ora esito negativo e viene visualizzato l'errore "Il nome dell'entità di destinazione principale non è corretto". L'errore viene mappato all'errore decimale -2146893022/errore esadecimale 0x80090322.
Tali mapping da host a IP non validi potrebbero essere causati da voci non aggiornate nei file host/lmhost, nelle registrazioni A/AAAA host in DNS o WINS.
Riepilogo: questo esempio ha avuto esito negativo perché un mapping host-IP non valido (in questo caso, nel file HOST) ha causato la risoluzione del controller di dominio di destinazione in un controller di dominio "di origine" che non ha eseguito il servizio Servizi di dominio Active Directory (o neanche installato per tale motivo) in modo che il nome SPN di replica non sia ancora stato registrato e che il controller di dominio di origine abbia restituito l'errore 1753. Nel secondo caso, un mapping da host a IP non valido (di nuovo nel file HOST) ha causato la connessione del controller di dominio di destinazione a un controller di dominio che aveva registrato l'E351... SPN di replica, ma tale origine aveva un nome host e un'identità di sicurezza diversi rispetto al controller di dominio di origine previsto, perciò i tentativi non sono riusciti e hanno prodotto l'errore -2146893022: il nome dell'entità di destinazione non è corretto.
Articoli correlati
- Risoluzione dei problemi relativi alle operazioni di Active Directory con errore 1753: non sono presenti altri endpoint disponibili dal mapper di endpoint.
- Articolo della Knowledge Base 839880 Risoluzione dei problemi negli errori dell'agente mapping endpoint con strumenti di supporto Windows Server 2003 dal CD del prodotto
- Articolo della Knowledge Base 832017 Panoramica del servizio e requisiti delle porte di rete per il sistema Windows Server
- Articolo della Knowledge Base 224196 Limitare il traffico di replica di Active Directory e il traffico RPC client a una porta specifica
- Articolo della Knowledge Base 154596 Configurare l'allocazione di porte dinamiche RPC per l'uso con i firewall
- Funzionamento di RPC
- Preparazione del server per una connessione
- Informazioni su come il client stabilisce una connessione
- Registrazione dell'interfaccia
- Rendere disponibile il server in rete
- Registrazione di endpoint
- Ascolto delle chiamate client
- Informazioni su come il client stabilisce una connessione
- Limitazione del traffico di replica di Active Directory e del traffico RPC client a una porta specifica
- SPN per un controller di dominio di destinazione in Active Directory Domain Services