Active Directory レプリケーション エラー 1722: RPC サーバーが使用できません

  • [アーティクル]

この記事は、Active Directory レプリケーションのエラー 1722 を修正するのに役立ちます。

適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 2102154

現象

この記事では、Win32 エラー 1722: RPC サーバーが使用できないというエラーで Active Directory レプリケーションが失敗する問題を解決するための症状、原因、解決策について説明します。

  1. DCPROMO レプリカ DC の昇格がエラー 1722 でヘルパー DC に NTDS Settings オブジェクトを作成できない。

    ダイアログ タイトル テキスト: インストール ウィザードActive Directory Domain Services

    ダイアログ メッセージ テキスト:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. DCDIAG は、Active Directory レプリケーション テストがエラー 1722 で失敗したことを報告します。RPC サーバーは使用できません。

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<dc name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXEは、レプリケーション試行が状態 1722 (0x6ba) で失敗したことを報告します。

    一般的に -1722 (0x6ba) 状態を引用する REPADMIN コマンドには、次のものが含まれますが、これらに限定されません。

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    RPC サーバーの REPADMIN /SHOWREPS 出力例と REPADMIN /SYNCALLRPC サーバーが使用不可であることを 示すエラーを次に示します。

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    RPC サーバーがREPADMIN /SYNCALL使用できないエラーを示すサンプル出力を次に示します。

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. Active Directory サイトとサービスで [レプリケート] コマンドを実行すると、 RPC サーバーが使用できなくなります

    ソース DC から接続オブジェクトを右クリックし、[レプリケート] を選択すると、RPC サーバーが使用できない状態で失敗するようになりました。 画面に表示されるエラー メッセージを次に示します。

    ダイアログ タイトル テキスト: [今すぐレプリケート]

    ダイアログ メッセージ テキスト:

    ドメイン コントローラーのソース Dc ホスト名からドメイン コントローラー<の宛先 DC ホスト>名にディレクトリ パーティション>の名前付けコンテキスト <DNS 名>を<同期しようとしたときに、次のエラーが発生しました:RPC サーバーは使用できません。 この操作は続行されません。 この状態は、DNS 参照の問題が原因である可能性があります。 一般的な DNS 参照の問題のトラブルシューティングについては、次の Microsoft Web サイト「DNS 参照の問題」を参照してください。

  5. NTDS Knowledge Consistency Checker (KCC)、NTDS General、または 1722 状態の Microsoft-Windows-ActiveDirectory_DomainService イベントは、ディレクトリ サービス イベント ログに記録されます。

    一般的に 1722 状態を引用する Active Directory イベントには、次のものが含まれますが、これらに限定されません。

    ソース イベント ID イベント文字列
    Microsoft-Windows-ActiveDirectory_DomainService 1125 Active Directory Domain Services インストール ウィザード (Dcpromo) は、次のドメイン コントローラーとの接続を確立できませんでした。
    NTDS KCC 1311 ナレッジ整合性チェッカー (KCC) によって、次のディレクトリ パーティションに関する問題が検出されました。
    NTDS KCC 1865 ナレッジ整合性チェッカー (KCC) は、完全なスパニング ツリー ネットワーク トポロジを形成できませんでした。 その結果、ローカル サイトから次のサイトの一覧にアクセスできません。
    NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。
    NTDS レプリケーション 1960 内部イベント: 次のドメイン コントローラーは、リモート プロシージャ コール (RPC) 接続から例外を受信しました。 操作が失敗した可能性があります。

原因

RPC は、ネットワーク トランスポートとアプリケーション プロトコルの間の中間層です。 RPC 自体にはエラーに関する特別な分析情報はありませんが、下位レイヤー プロトコルのエラーを RPC レイヤーのエラーにマップしようとします。

RPC エラー 1722/0x6ba/RPC_S_SERVER_UNAVAILABLEは、下位層プロトコルが接続エラーを報告するとログに記録されます。 一般的なケースは、抽象 TCP CONNECT 操作が失敗した場合です。 AD レプリケーションのコンテキストでは、宛先 DC 上の RPC クライアントがソース DC 上の RPC サーバーに正常に接続できませんでした。 この一般的な原因は次のとおりです。

  1. ローカルエラーをリンクする
  2. DHCP エラー
  3. DNS エラー
  4. WINS エラー
  5. ルーティング エラー (ファイアウォールでのブロックされたポートを含む)
  6. IPSec/ネットワーク認証エラー
  7. リソースの制限事項
  8. より高い層プロトコルが実行されていない
  9. より高い層プロトコルがこのエラーを返しています

解決方法

問題を特定するための基本的なトラブルシューティング手順。

RPC、RPC Locator、Kerberos Key Distribution Center のスタートアップ値とサービスの状態が正しいことを確認する

リモート プロシージャ コール (RPC)、リモート プロシージャ コール (RPC) ロケーター、Kerberos キー配布センターのスタートアップ値とサービスの状態が正しいことを確認します。

OS バージョンは、レプリケーション エラーをログに記録しているソースシステムと移行先システムの正しい値を決定します。 次の表を使用して、設定の検証に役立ちます。

サービス名 Windows 2000 Windows 2003 /R2 Windows 2008 Windows 2008 R2
リモート プロシージャ コール (RPC) 開始/自動 開始/自動 開始/自動 開始/自動
Remote Procedure Call (RPC) Locator 開始/自動 (ドメイン コントローラー)

未起動/手動(メンバー サーバー)		 [未開始] /[手動] [未開始] /[手動] [未開始] /[手動]
Kerberos キー配布センター (KDC) 開始/自動 (ドメイン コントローラー)

未起動/無効(メンバー サーバー)		 開始/自動 (ドメイン コントローラー)

未起動/無効(メンバー サーバー)		 開始/自動 (ドメイン コントローラー)

未起動/無効(メンバー サーバー)		 開始/自動 (ドメイン コントローラー)

未起動/無効(メンバー サーバー)

上記の設定に合わせて変更を加えた場合は、マシンを再起動します。 スタートアップ値とサービスの状態の両方が、上の表に記載されている値と一致していることを確認します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpcの下に ClientProtocols キーが存在し、正しい既定のプロトコルが含まれていることを確認します

プロトコル名 データ値
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

ClientProtocols キーまたは 4 つの既定値のいずれかが見つからない場合は、既知の適切なサーバーからキーをインポートします。

DNS が動作していることを確認する

DNS 参照エラーは、レプリケーションに関して 1722 個の RPC エラーが多数発生する原因です。

DNS エラーの特定に役立つツールがいくつかあります。

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    このコマンドは DCDIAG /TEST:DNS 、Windows 2000 Server (SP3 以降)、Windows Server 2003、および Windows Server 2008 ファミリ ドメイン コントローラーの DNS 正常性を検証できます。 このテストは、Windows Server 2003 Service Pack 1 で初めて導入されました。

    このコマンドには 7 つのテスト グループがあります。

    • 認証 (認証)

    • Basic (Basc)

    • レコード登録 (RReg)

    • 動的更新 (Dyn)

    • 委任 (Del)

    • フォワーダー/ルート ヒント (Forw)

      出力例:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      DNS テスト結果の概要:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      この概要では、このテストの一般的なエラーに対する修復手順について説明します。

      このテストの説明と追加オプションについては、「 ドメイン コントローラー診断ツール (dcdiag.exe)」を参照してください。

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc は、DC ロケーター プロセスを実行するために使用されます。 したがって、 /dsgetdc:<domain name> ドメインのドメイン コントローラーを検索しようとします。 force フラグを使用すると、キャッシュを使用するのではなく、ドメイン コントローラーの場所が強制されます。 /gc/pdc などのオプションを指定して、グローバル カタログまたはプライマリ ドメイン コントローラー エミュレーターを見つけることもできます。 グローバル カタログを検索するには、ルート ドメインの DNS ドメイン 名であるツリー名を指定する必要があります。

    出力例:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Windows 2003 以前のバージョンで使用して、ネットワークの構成とエラーに関する特定の情報を収集できます。 このツールは、スイッチの実行時 -v に実行に時間がかかります。

    DNS テストの出力例:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server Ip address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <Ip Address>  
Authoritative NS:<Ip Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
The Record is correct on DNS server '<DNS Server Ip address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server Ip address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.

  • ping -a <IP_of_problem_server>

    ドメイン コントローラーのホスト レコードが正しいマシンに解決されていることを検証するための簡単なクイック テストです。

  • dnslint /s IP /ad IP

    DNSLint は、一般的な DNS 名前解決の問題を診断するのに役立つ Windows ユーティリティです。 出力は、次のような多くの情報を含む htm ファイルです。

    DNS サーバー: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    SOA は、サーバーからのデータを記録します。

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • サーバーからの追加の権限のある (NS) レコード: DC2.fabrikam.com <IP Address>

    サーバーからのフォレスト GUID のエイリアス (CNAME) レコードとグルー (A) レコード:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • エイリアス: DC.fabrikam.com
      • 接着剤: <IP Adress>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • エイリアス: dc2.child.fabrikam.com
      • Glue: <IP アドレス>

      詳細については、「 DNSLint ユーティリティの説明」を参照してください。

必要なポートでリッスンしているファイアウォールまたはサード パーティ製アプリケーションによってネットワーク ポートがブロックされていないことを確認する

エンドポイント マッパー (ポート 135 でリッスン中) は、サービス (FRS、AD レプリケーション、MAPI など) がリッスンしているポートをランダムに割り当てたクライアントに通知します。

アプリケーション プロトコル プロトコル ポート
グローバル カタログ サーバー TCP 3269
グローバル カタログ サーバー TCP 3268
LDAP サーバー TCP 389
LDAP サーバー UDP 389
LDAP SSL TCP 636
LDAP SSL UDP 636
IPSec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
RPC によってランダムに割り当てられた非特権 TCP ポート ¹ TCP 1024 ~ 5000
49152 - 65535*

* これは、Windows Server 2008、Windows Vista、Windows 7、および Windows 2008 R2 の範囲です。

Portqry を使用すると、別の DC をターゲットにするときに、ポートが DC からブロックされているかどうかを識別できます。 PortQry コマンド ライン ポート スキャナー バージョン 2.0 でダウンロードできます。

構文の例:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Portqryui と呼ばれる portqry のグラフィカル バージョンは、 PortQryUI - PortQry コマンド ライン ポート スキャナーのユーザー インターフェイスにあります。

ダイナミック ポート範囲にポートがブロックされている場合は、次のリンクを使用して、お客様が管理できるポート範囲を構成します。

ファイアウォールとドメイン コントローラーの構成と操作に関するその他の重要なリンク:

NIC ドライバーが正しくありません

最新のドライバーについては、「ネットワーク カード ベンダーまたは OEM」を参照してください。

UDP の断片化により、RPC サーバーのソースが使用できないと思われるレプリケーション エラーが発生する可能性があります

この特定の原因には、LSASRV のソースを含むイベント ID 40960 & 40961 エラーが一般的です。

詳細については、「 Windows で UDP ではなく TCP を使用するように Kerberos に強制する方法」を参照してください。

DC 間の SMB 署名の不一致

次のセクションで、既定のドメイン コントローラー ポリシーを使用して SMB 署名の一貫性のある設定を構成すると、この原因に対処するのに役立ちます。

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft ネットワーク クライアント: デジタル署名通信 (常に) 無効。
  • Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意した場合) 有効。
  • Microsoft ネットワーク サーバー: デジタル署名通信 (常に) 無効。
  • Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) 有効。

設定は、次のレジストリ キーの下にあります。

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\ParametersHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always (0,disable, 1 enable)。
    • EnableSecuritySignature = is server agrees (0,disable, 1 enable)。

その他のトラブルシューティング:

上記で 1722 の解決策が提供されない場合は、次の診断ログを使用して詳細情報を収集します。

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。

関連情報