次の方法で共有

Active Directory レプリケーション エラー 1722: RPC サーバーが使用できません

  • [アーティクル]

この記事は、Active Directory レプリケーションのエラー 1722 を修正するのに役立ちます。

適用対象: サポートされているすべてのバージョンの Windows Server
元の KB 番号: 2102154

現象

この記事では、Win32 エラー 1722 で失敗した Active Directory レプリケーションを解決するための症状、原因、解決策について説明します。"RPC サーバーは使用できません"。

  1. DCPROMO レプリカ ドメイン コントローラー (DC) の昇格が、エラー 1722 でヘルパー DC に NTDS Settings オブジェクトを作成できない。

    ダイアログ タイトル テキスト: Active Directory Domain Services インストール ウィザード

    ダイアログ メッセージ テキスト:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. DCDIAG は、Active Directory レプリケーション テストがエラー 1722 で失敗したことを報告します。"RPC サーバーは使用できません"。

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<DC name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE は、レプリケーションの試行が状態 1722 (0x6ba) で失敗したことを報告します。

    一般的に -1722 (0x6ba) 状態を引用する REPADMIN コマンドには、次のものが含まれますが、これらに限定されません。

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    "RPC サーバーは使用できません" というエラーの REPADMIN /SHOWREPS 出力例と REPADMIN /SYNCALL 、エラーを示す例を次に示します。

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    "RPC サーバーは使用できません" というエラーを示すサンプル出力 REPADMIN /SYNCALL を次に示します。

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. Active Directory サイトとサービスの レプリケート コマンドは、"RPC サーバーが使用できません" を返します。

    ソース DC から接続オブジェクトを右クリックし、[レプリケート] を選択 すると "RPC サーバーが使用できません" で失敗するようになりました。画面に表示されるエラー メッセージは次のとおりです。

    ダイアログ タイトル テキスト: [今すぐレプリケート]

    ダイアログ メッセージ テキスト:

    ドメイン コントローラーのソース DC ホスト名からドメイン コントローラー<の宛先 DC ホスト>名にディレクトリ パーティション>の名前付けコンテキスト <DNS 名>を<同期しようとしたときに、次のエラーが発生しました:RPC サーバーは使用できません。 この操作は続行されません。 この状態は、DNS 参照の問題が原因である可能性があります。 一般的な DNS 参照の問題のトラブルシューティングについては、次の Microsoft Web サイト「DNS 参照の問題」を参照してください。

  5. NTDS Knowledge Consistency Checker (KCC)、NTDS General、または 1722 状態の Microsoft-Windows-ActiveDirectory_DomainService イベントは、ディレクトリ サービス イベント ログに記録されます。

    一般的に 1722 状態を引用する Active Directory イベントには、次のものが含まれますが、これらに限定されません。

    イベント ソース イベント ID イベント文字列
    Microsoft-Windows-ActiveDirectory_DomainService 1125 Active Directory Domain Services インストール ウィザード (Dcpromo) は、次のドメイン コントローラーとの接続を確立できませんでした。
    NTDS KCC 1311 ナレッジ整合性チェッカー (KCC) によって、次のディレクトリ パーティションに関する問題が検出されました。
    NTDS KCC 1865 ナレッジ整合性チェッカー (KCC) は、完全なスパニング ツリー ネットワーク トポロジを形成できませんでした。 その結果、ローカル サイトから次のサイトの一覧にアクセスできません。
    NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。
    NTDS レプリケーション 1960 内部イベント: 次のドメイン コントローラーは、リモート プロシージャ コール (RPC) 接続から例外を受信しました。 操作が失敗した可能性があります。

原因

RPC は、ネットワーク トランスポートとアプリケーション プロトコルの間の中間層です。 RPC 自体には、エラーに関する特別な分析情報はありませんが、下位層のプロトコルエラーを RPC レイヤーのエラーにマップしようとします。

RPC エラー 1722/0x6ba/RPC_S_SERVER_UNAVAILABLEは、下位層プロトコルで接続エラーが報告されるとログに記録されます。 一般的なケースは、抽象 TCP CONNECT 操作が失敗した場合です。 AD レプリケーションのコンテキストでは、宛先 DC 上の RPC クライアントがソース DC 上の RPC サーバーに正常に接続できませんでした。 この一般的な原因は次のとおりです。

  • ローカルエラーをリンクする
  • DHCP エラー
  • DNS エラー
  • WINS エラー
  • ルーティング エラー (ファイアウォールでのブロックされたポートを含む)
  • IPSec/ネットワーク認証エラー
  • リソースの制限事項
  • 上位層プロトコルが実行されていない
  • このエラーを返す上位層プロトコル

解決方法

問題を特定するための基本的なトラブルシューティング手順。

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc の下に ClientProtocols キーが存在し、正しい既定のプロトコルが含まれていることを確認します

プロトコル名 種類 データ値
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

ClientProtocols キーまたは 4 つの既定値のいずれかが見つからない場合は、既知の適切なサーバーからキーをインポートします。

DNS が動作していることを確認する

ドメイン ネーム システム (DNS) 参照エラーは、レプリケーションに関して 1722 個の RPC エラーが多数発生する原因です。

DNS エラーの特定に役立つツールがいくつかあります。

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    このコマンドは DCDIAG /TEST:DNS 、Windows 2000 Server (SP3 以降)、Windows Server 2003、および Windows Server 2008 ファミリ ドメイン コントローラーの DNS 正常性を検証できます。 このテストは、Windows Server 2003 Service Pack 1 で初めて導入されました。

    このコマンドには 7 つのテスト グループがあります。

    • 認証 (認証)

    • Basic (Basc)

    • レコード登録 (RReg)

    • 動的更新 (Dyn)

    • 委任 (Del)

    • フォワーダー/ルート ヒント (Forw)

      出力例:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      DNS テスト結果の概要:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      この概要では、このテストの一般的なエラーに対する修復手順について説明します。

      このテストの説明と追加オプションについては、「 ドメイン コントローラー診断ツール (dcdiag.exe)」を参照してください。

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc は、DC ロケーター プロセスを実行するために使用されます。 したがって、 /dsgetdc:<domain name> ドメインのドメイン コントローラーを検索しようとします。 force フラグを使用すると、キャッシュを使用するのではなく、ドメイン コントローラーの場所が強制されます。 /gc/pdc などのオプションを指定して、グローバル カタログまたはプライマリ ドメイン コントローラー エミュレーターを見つけることもできます。 グローバル カタログを検索するには、ルート ドメインの DNS ドメイン 名であるツリー名を指定する必要があります。

    出力例:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Windows 2003 以前のバージョンで使用して、ネットワークの構成とエラーに関する特定の情報を収集できます。 このツールは、スイッチの実行時 -v に実行に時間がかかります。

    DNS テストの出力例:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server IP address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <IP Address>  
Authoritative NS:<IP Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server IP address>  
The Record is correct on DNS server '<DNS Server IP address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server IP address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server IP address>'.

  • ping -a <IP_of_problem_server>

    ドメイン コントローラーのホスト レコードが正しいマシンに解決されていることを検証するための簡単で簡単なテストです。

  • dnslint /s IP /ad IP

    DNSLint は、一般的な DNS 名前解決の問題を診断するのに役立つ Windows ユーティリティです。 出力は、次のような多くの情報を含む HTM ファイルです。

    DNS サーバー: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    SOA は、サーバーからのデータを記録します。

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • サーバーからの追加の権限のある (NS) レコード: DC2.fabrikam.com <IP Address>

    サーバーからのフォレスト GUID のエイリアス (CNAME) レコードとグルー (A) レコード:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • エイリアス: DC.fabrikam.com
      • Glue: <IP アドレス>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • エイリアス: dc2.child.fabrikam.com
      • Glue: <IP アドレス>

      詳細については、 DNSLint ユーティリティの説明に関するページを参照してください。

必要なポートでリッスンしているファイアウォールまたはサード パーティ製アプリケーションによってネットワーク ポートがブロックされていないことを確認する

エンドポイント マッパー (ポート 135 でリッスン中) は、サービス (FRS、AD レプリケーション、MAPI など) がリッスンしているポートをランダムに割り当てたクライアントに通知します。

「Active Directory ドメインと信頼のファイアウォールを構成する方法」の必須ポートの一覧を参照してください。

Portqry を使用すると、別の DC をターゲットにするときに、ポートが DC からブロックされているかどうかを識別できます。 PortQry コマンド ライン ポート スキャナー バージョン 2.0 でダウンロードできます。

構文の例:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Portqryui と呼ばれる portqry のグラフィカル バージョンは、 PortQry コマンド ライン ポート スキャナーの PortQryUI - ユーザー インターフェイスにあります。

ダイナミック ポート範囲にポートがブロックされている場合は、次のリンクを使用して、お客様が管理できるポート範囲を構成します。

ファイアウォールとドメイン コントローラーの構成と操作に関するその他の重要なリンク:

NIC ドライバーが正しくありません

最新のドライバーについては、「ネットワーク カード ベンダーまたは OEM」を参照してください。

UDP の断片化により、RPC サーバーのソースが使用できないと思われるレプリケーション エラーが発生する可能性があります

LSASRV のソースに関するイベント ID 40960 エラーと 40961 エラーは、この特定の原因で一般的です。

詳細については、「 Windows で UDP ではなく TCP を使用するように Kerberos に強制する方法」を参照してください。

DC 間の SMB 署名の不一致

次のセクションで 、既定のドメイン コントローラー ポリシー を使用して SMB 署名の一貫性のある設定を構成すると、この原因に対処するのに役立ちます。

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft network client: Digitally sign communications (always) Disabled.
  • Microsoft network client: Digitally sign communications (if server agrees) Enabled.
  • Microsoft network server: Digitally sign communications (always) Disabled.
  • Microsoft network server: Digitally sign communications (if client agrees) Enabled.

設定は、次のレジストリ キーの下にあります。

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\ParametersHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = always (0 = disable、1 = enable)。
    • EnableSecuritySignature = サーバーが同意した場合 (0 = 無効、1 = 有効)。

その他のトラブルシューティング:

上記の方法で 1722 エラーの解決策が提供されない場合は、次の診断ログを使用して詳細情報を収集します。

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。

関連情報