Udostępnij za pośrednictwem

Błąd replikacji usługi Active Directory 1753: Nie ma więcej punktów końcowych dostępnych z mapowania punktu końcowego

W tym artykule opisano problem polegający na tym, że replikacje usługi Active Directory kończą się niepowodzeniem z powodu błędu Win32 1753: "Nie ma więcej punktów końcowych dostępnych z mapatora punktu końcowego".

Oryginalny numer KB: 2089874
Dotyczy: wszystkie obsługiwane wersje systemu Windows Server

Użytkownicy domowi: ten artykuł jest przeznaczony tylko dla agentów pomocy technicznej i specjalistów IT. Jeśli szukasz pomocy dotyczącej problemu, poproś społeczność firmy Microsoft.

Symptomy

W tym artykule opisano objawy, przyczynę i kroki rozwiązywania problemów dla operacji usługi AD, które kończą się niepowodzeniem z powodu błędu Win32 1753: "Nie ma więcej punktów końcowych dostępnych z mapera punktu końcowego".

  1. DCDIAG zgłasza, że test łączności, test replikacji usługi Active Directory lub test KnowsOfRoleHolders zakończył się niepowodzeniem z powodu błędu 1753: "Nie ma więcej punktów końcowych dostępnych z mapera punktu końcowego".

    Serwer testowy: <nazwa kontrolera domeny lokacji><>
    Test początkowy: łączność
    *Sprawdzanie usług Active Directory LDAP Services * Sprawdzanie usług RPC w usłudze Active Directory
    [<Nazwa> kontrolera domeny] Błąd DsBindWithSpnEx() z błędem 1753,
    Nie ma więcej punktów końcowych dostępnych w maperze punktu końcowego.
    Drukowanie informacji o rozszerzonym błędzie RPC:
    Rekord błędu 1, Identyfikator procesu jest <identyfikatorem> procesu (DcDiag)
    Godzina systemowa to: <data/><godzina>
    Generowanie składnika to 2 (środowisko uruchomieniowe RPC) Stan to 1753: Nie ma więcej punktów końcowych dostępnych z mapowania punktu końcowego. Lokalizacja wykrywania to 500 NumberOfParameters to 4
    Ciąg Unicode: ncacn_ip_tcp
    Ciąg Unicode: <źródłowy identyfikator GUID> obiektu kontrolera domeny._msdcs.contoso.com
    Długa wartość: -481213899
    Długa wartość: 65537
    Rekord błędu 2, Identyfikator procesu to 700 (DcDiag)
    Godzina systemowa to: <data/><godzina>
    Generowanie składnika to 2 (środowisko uruchomieniowe RPC)
    Stan to 1753: Nie ma więcej punktów końcowych dostępnych z mapowania punktu końcowego.
    Parametry NumberOfParameters to 1
    Ciąg Unicode: 1025

    [Sprawdzanie replikacji,<Nazwa> kontrolera domeny] Ostatnia próba replikacji nie powiodła się:
    Z <źródłowego kontrolera domeny> do <docelowego kontrolera domeny>
    Kontekst nazewnictwa: <ścieżka DN partycji katalogu>
    Replikacja wygenerowała błąd (1753):
    Nie ma więcej dostępnych punktów końcowych z usługi mapowania punktów końcowych.
    Wystąpił błąd w <godzinie> daty<>.
    Ostatni sukces wystąpił w <dacie.><>
    3 niepowodzenia wystąpiły od ostatniego powodzenia.
    Katalog w <nazwie> kontrolera domeny jest w procesie.
    uruchamianie lub zamykanie i nie jest dostępne.
    Sprawdź, czy maszyna nie zawiesza się podczas rozruchu.

  2. REPADMIN.EXE zgłasza, że próba replikacji nie powiodła się ze stanem 1753.

    Polecenia REPADMIN, które często przytaczają stan 1753, obejmują, ale nie są ograniczone do:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    Następujące przykładowe dane wyjściowe z REPADMIN /SHOWREPS programu pokazują, że replikacja przychodząca z DOMENY CONTOSO-DC2 do CONTOSO-DC1 kończy się niepowodzeniem z powodu błędu "Odmowa dostępu do replikacji":

    Default-First-Site-Name\CONTOSO-DC1
    Opcje DSA: IS_GC
    Opcje witryny: (brak)
    Identyfikator GUID obiektu DSA:
    Identyfikator wywołania DSA:

    DC=contoso,DC=com
    Default-First-Site-Name\CONTOSO-DC2 przez RPC
    Identyfikator GUID obiektu DSA:
    Ostatnia próba @ <data/godzina><> nie powiodła się, wynik 1753 (0x6d9):
    Nie ma więcej dostępnych punktów końcowych z usługi mapowania punktów końcowych.
    <Liczba> kolejnych niepowodzeń.
    Ostatni sukces @ <data/><godzina>.

  3. Polecenie "Sprawdź topologię replikacji" w lokacjach i usługach w usłudze Active Directory zwraca wartość "nie ma więcej punktów końcowych dostępnych z mapatora punktu końcowego".

    Kliknięcie prawym przyciskiem myszy obiektu połączenia ze źródłowego kontrolera domeny i wybranie pozycji "Sprawdź topologię replikacji" kończy się niepowodzeniem z komunikatem "Nie ma więcej punktów końcowych dostępnych z mapera punktu końcowego. Poniżej przedstawiono komunikat o błędzie wyświetlany na ekranie:

    Tekst tytułu okna dialogowego: Sprawdź topologię replikacji
    Tekst komunikatu okna dialogowego:

    Podczas próby skontaktowania się z kontrolerem domeny wystąpił następujący błąd: nie ma więcej punktów końcowych dostępnych z mapatora punktu końcowego.

    OK

  4. Polecenie "replikuj teraz" w lokacjach i usługach Active Directory zwraca wartość "nie ma więcej punktów końcowych dostępnych z mapatora punktu końcowego".

    Kliknięcie prawym przyciskiem myszy obiektu połączenia ze źródłowego kontrolera domeny i wybranie opcji "Replikuj teraz" kończy się niepowodzeniem z komunikatem "Nie ma więcej punktów końcowych dostępnych z mapera punktu końcowego. Poniżej przedstawiono komunikat o błędzie wyświetlany na ekranie:

    Tekst tytułu okna dialogowego: Replikuj teraz

    Tekst komunikatu okna dialogowego: Podczas próby zsynchronizowania nazwy< partycji katalogu kontekstu >nazewnictwa z kontrolera domeny źródłowego kontrolera< domeny do docelowego> kontrolera <domeny >kontroler domeny nie ma więcej punktów końcowych dostępnych z mapera punktu końcowego

    Operacja nie będzie kontynuowana

    Przyciski w oknie dialogowym: OK

  5. NtDS Knowledge Consistency Checker (KCC), NTDS General lub Microsoft-Windows-ActiveDirectory_DomainService zdarzenia ze stanem 1753 są rejestrowane w dzienniku zdarzeń usługi katalogowej.

    Zdarzenia usługi Active Directory, które często przytaczają stan 1753, obejmują, ale nie są ograniczone do następujących:

    Źródło zdarzenia Identyfikator zdarzenia Ciąg zdarzenia
    NTDS ogólne 1655 Usługi Active Directory próbowała skomunikować się z następujących wykazu globalnego i próby zakończyły się niepowodzeniem.
    NTDS KCC 1925 Nie można ustanowić łącze replikacji dla następujących partycji katalogów zapisu.
    NTDS KCC 1265 Próba dodania umowy replikacji przez narzędzie sprawdzania spójności wiedzy (KCC) dla następującej partycji katalogu i źródłowego kontrolera domeny nie powiodła się.

Przyczyna

Na poniższym diagramie przedstawiono przepływ pracy zdalnego wywołania procedury (RPC). Przepływ pracy rozpoczyna się od rejestracji aplikacji serwera z maperem punktu końcowego RPC (EPM) w kroku 1. Kończy się przekazywaniem danych z klienta RPC do aplikacji klienckiej w kroku 7.

Zrzut ekranu przedstawiający diagram przepływu pracy RPC przedstawiający szczegóły z kroku 1 do kroku 7.

Kroki od 1 do 7 mapowania na następujące operacje:

  1. Aplikacja serwera rejestruje swoje punkty końcowe za pomocą narzędzia RPC Endpoint Mapper (EPM).
  2. Klient wykonuje wywołanie RPC w imieniu użytkownika, systemu operacyjnego lub operacji inicjowanej przez aplikację.
  3. RPC po stronie klienta kontaktuje się z docelowymi komputerami EPM i prosi punkt końcowy o ukończenie wywołania klienta.
  4. Narzędzie EPM maszyny serwera odpowiada za pomocą punktu końcowego.
  5. RPC po stronie klienta kontaktuje się z aplikacją serwera.
  6. Aplikacja serwera wykonuje wywołanie, zwraca wynik do klienta RPC.
  7. RPC po stronie klienta przekazuje wynik z powrotem do aplikacji klienckiej.

Błąd 1753 jest generowany przez błąd między krokami 3 i 4. W szczególności błąd 1753 oznacza, że klient RPC (docelowy kontroler domeny) może skontaktować się z serwerem RPC (źródłowym kontrolerem domeny) przez port 135, ale EPM na serwerze RPC (źródłowy kontroler domeny) nie mógł zlokalizować aplikacji RPC zainteresowań i zwrócony błąd po stronie serwera 1753. Błąd wskazuje, że klient RPC (docelowy kontroler domeny) otrzymał odpowiedź błędu po stronie serwera z serwera RPC (źródłowy kontroler domeny replikacji usługi AD) za pośrednictwem sieci.

Konkretne główne przyczyny błędu 1753 obejmują:

  1. Aplikacja serwera nigdy nie została uruchomiona. Oznacza to, że krok 1 na diagramie "więcej informacji" nigdy nie podjęto próby.
  2. Uruchomiono aplikację serwera, ale podczas inicjowania wystąpił błąd. Błąd uniemożliwił zarejestrowanie się przy użyciu mapowania punktu końcowego RPC. Oznacza to, że krok 1 na diagramie "więcej informacji" został podjęty, ale zakończył się niepowodzeniem.
  3. Aplikacja serwera została uruchomiona, ale później zmarła. Oznacza to, że krok 1 na diagramie "więcej informacji" został ukończony pomyślnie. Zostało ono cofnięte później, ponieważ serwer zmarł.
  4. Aplikacja serwera ręcznie wyrejestrowała swoje punkty końcowe (podobne do 3, ale zamierzone. Prawdopodobnie nie jest to możliwe, ale uwzględnione w przypadku kompletności).
  5. Klient RPC (docelowy kontroler domeny) skontaktował się z innym serwerem RPC niż zamierzony. Jest to spowodowane błędem mapowania nazw na adres IP w systemie DNS, WINS lub pliku host/lmhosts.

Błąd 1753 NIE jest spowodowany przez:

  • brak łączności sieciowej między klientem RPC (docelowym kontrolerem domeny) a serwerem RPC (źródłowym kontrolerem domeny) przez port 135.
  • brak łączności sieciowej między serwerem RPC (źródłowym kontrolerem domeny) przy użyciu portu 135 i klienta RPC (docelowego kontrolera domeny) za pośrednictwem portu efemerycznego.
  • niezgodność hasła lub brak możliwości odszyfrowywania zaszyfrowanego pakietu Kerberos przez źródłowy kontroler domeny.

Rozwiązanie

Sprawdź, czy usługa rejestrując swoją usługę za pomocą mapowania punktu końcowego została uruchomiona

  • W przypadku kontrolerów domeny systemu Windows 2000 i Windows Server 2003: upewnij się, że źródłowy kontroler domeny jest uruchomiony w trybie normalnym.
  • W przypadku systemu Windows Server 2008 lub Windows Server 2008 R2: z konsoli źródłowego kontrolera domeny uruchom Menedżera usług (services.msc). Sprawdź, czy usługa Active Directory jest uruchomiona. Usługa Active Directory jest wyświetlana jako "domena usługi Active Directory Services"

Sprawdź, czy klient RPC (docelowy kontroler domeny) jest połączony z zamierzonym serwerem RPC (źródłowy kontroler domeny)

Wszystkie kontrolery domeny w typowym lesie usługi Active Directory rejestrują rekord CNAME kontrolera domeny z przewodnikiem w _msdcs.<strefa DNS domeny> głównej lasu, niezależnie od domeny, w której znajdują się w lesie. Z przewodnikiem rekord CNAME kontrolera domeny pochodzi z objectGUID każdego obiektu DCs NTDS Settings.

Podczas wykonywania operacji opartych na replikacji docelowy kontroler domeny wysyła zapytanie DNS do źródłowego rekordu CNAME z przewodnikiem kontrolerów domeny. Rekord CNAME zawiera w pełni kwalifikowaną nazwę komputera źródłowego kontrolera domeny. Ta nazwa służy do uzyskiwania źródłowego adresu IP kontrolerów domeny za pośrednictwem:

  • Wyszukiwanie pamięci podręcznej klienta DNS
  • Wyszukiwanie pliku host/LMHost
  • host A/ rekord AAAA w systemie DNS lub WINS

Nieaktywne obiekty ustawień NTDS i nieprawidłowa nazwa mapowania adresów IP w plikach DNS, WINS, Host i LMHOST mogą spowodować, że klient RPC (docelowy kontroler domeny) nawiąże połączenie z niewłaściwym serwerem RPC (źródłowy kontroler domeny). Ponadto mapowanie nieprawidłowej nazwy na adres IP może spowodować, że klient RPC (docelowy kontroler domeny) nawiąż połączenie z komputerem, który nawet nie ma interesującej aplikacji serwera RPC (w tym przypadku roli usługi Active Directory). Na przykład nieaktualny rekord hosta dc2 zawiera adres IP DC3 lub komputera członkowskiego.

Sprawdź, czy są zgodne następujące identyfikatory GUID:

  • identyfikator GUID obiektu źródłowego kontrolera domeny, który istnieje w docelowej kopii kontrolerów domeny usługi Active Directory
  • źródłowy identyfikator GUID obiektu kontrolera domeny przechowywany w źródłowej kopii kontrolerów domeny usługi Active Directory.

Jeśli występuje rozbieżność, użyj repadmin /showobjmeta obiektu ustawień NTDS, aby zobaczyć, który z nich odpowiada ostatniemu podwyższeniu poziomu źródłowego kontrolera domeny. Porównaj następujące sygnatury dat:

  • Obiekt NTDS Settings tworzy datę na podstawie /showobjmeta.
  • Ostatnia data podwyższenia poziomu w źródłowym pliku dcpromo.log kontrolerów domeny.

Być może trzeba będzie użyć ostatniej modyfikacji/utworzenia daty DCPROMO. Sam plik DZIENNIKA. Jeśli identyfikatory GUID obiektu nie są identyczne, docelowy kontroler domeny może mieć nieaktualny obiekt ustawień NTDS dla źródłowego kontrolera domeny, którego rekord CNAME odwołuje się do rekordu hosta z nieprawidłową nazwą mapowania adresów IP.

Na docelowym kontrolerze domeny uruchom polecenie IPCONFIG /ALL , aby określić, które serwery DNS docelowy kontroler domeny używa do rozpoznawania nazw:

c:\>ipconfig /all

Na docelowym kontrolerze domeny uruchom NSLOOKUP względem źródłowego w pełni kwalifikowanego rekordu CNAME kontrolera domeny:

c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs secondary DNS Server IP>

Sprawdź, czy adres IP zwrócony przez NSLOOKUP "jest właścicielem" nazwy hosta/tożsamości zabezpieczeń źródłowego kontrolera domeny.

a) C:\\>NBTSTAT -A \\<IP address _returned_ by NSLOOKUP in the step above>

LUB

b) Zaloguj się do konsoli źródłowego kontrolera domeny, uruchom polecenie IPCONFIG z wiersza polecenia cmd i sprawdź, czy źródłowy kontroler domeny jest właścicielem adresu IP zwróconego przez polecenie NSLOOKUP powyżej.

Sprawdź, czy nieaktywny/zduplikowany host ma mapowania adresów IP w systemie DNS.

NSLOOKUP -type=hostname \<single label hostname of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<single label hostname of source DC> \<secondary DNS Server IP on destination DC>

NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<secondary DNS Server IP on dest. DC>

Jeśli w rekordach hosta istnieją nieprawidłowe adresy IP, sprawdź, czy oczyszczanie DNS jest włączone i prawidłowo skonfigurowane.

Jeśli powyższe testy lub ślad sieciowy nie wyświetla kwerendy nazwy zwracającej nieprawidłowy adres IP, rozważ nieaktualne wpisy w plikach HOST, plikach LMHOSTS i serwerach WINS. Serwery DNS można również skonfigurować do wykonywania rozpoznawania nazw rezerwowych WINS.

Sprawdź, czy aplikacja serwera (Active Directory itd.) została zarejestrowana w mapatorze punktu końcowego na serwerze RPC (źródłowy kontroler domeny)

Usługa Active Directory używa kombinacji dobrze znanych i dynamicznie zarejestrowanych portów. Dobrze znane porty i protokoły używane przez kontrolery domeny usługi Active Directory obejmują:

Aplikacja serwera RPC Port TCP protokół UDP Komentarze
Serwer DNS 53
Kerberos 88
Serwer LDAP 389
Microsoft-DS 445
LDAP SSL (Protokół LDAP z SSL) 636
Serwer wykazu globalnego 3268
Serwer wykazu globalnego 3269

Dobrze znane porty nie są zarejestrowane w maperze punktu końcowego.

Usługa Active Directory i inne aplikacje rejestrują również usługi, które odbierają dynamicznie przypisane porty w zakresie portów efemerycznych RPC. Takie aplikacje serwera RPC są dynamicznie przypisywane porty TCP między 1024 i 5000 na komputerach z systemem Windows 2000 i Windows Server 2003. Są one dynamicznie przypisywane porty TCP między 49152 i 65535 w systemach Windows Server 2008 i Windows Server 2008 R2. Port RPC używany przez replikację może być zakodowany w rejestrze, wykonując kroki opisane w 224196 MSKB. Usługa Active Directory nadal rejestruje się w programie EPM, gdy jest skonfigurowany do używania zakodowanego portu.

Sprawdź, czy aplikacja serwera RPC Server jest zarejestrowana w maperze punktu końcowego RPC na serwerze RPC (źródłowy kontroler domeny w przypadku replikacji usługi AD).

Istnieje wiele sposobów wykonania tego zadania. Jednym z nich jest zainstalowanie i uruchomienie portQRY z poziomu wiersza polecenia uprzywilejowanego administratora w konsoli źródłowego kontrolera domeny:

c:\>portquery -n \<source DC> -e 135 >file.txt

portqry W danych wyjściowych zanotuj numery portów dynamicznie zarejestrowane przez "MS NT Directory DRS Interface" (UUID = 351...) dla protokołu ncacn_ip_tcp. Poniższy fragment kodu przedstawia przykładowe dane wyjściowe z kontrolera domeny systemu Windows Server 2008 R2 i pary UUID/protokołu używanej przez usługę Active Directory wyróżnioną pogrubioną czcionką :

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface ncacn_np:CONTOSO-DC01[\pipe\lsasss]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\PIPE\protected_storage]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interfejs
ncacn_ip_tcp:CONTOSO-DC01[49156]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[49157]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[6004]

Inne przyczyny

  1. Sprawdź, czy źródłowy kontroler domeny jest uruchomiony w trybie normalnym. Sprawdź, czy rola systemu operacyjnego i kontrolera domeny na źródłowym kontrolerze domeny została w pełni uruchomiona.

  2. Sprawdź, czy usługa domena usługi Active Directory jest uruchomiona. Jeśli usługa jest obecnie zatrzymana lub nie została skonfigurowana z domyślnymi wartościami uruchamiania, zresetuj domyślne wartości uruchamiania. Uruchom ponownie zmodyfikowany kontroler domeny, a następnie ponów próbę wykonania operacji.

  3. Sprawdź, czy wartość uruchamiania i stan usługi dla usługi RPC i lokalizatorA RPC są poprawne dla wersji systemu operacyjnego klienta RPC (docelowego kontrolera domeny) i serwera RPC (źródłowego kontrolera domeny). Jeśli usługa jest obecnie zatrzymana lub nie została skonfigurowana z domyślnymi wartościami uruchamiania, zresetuj domyślne wartości uruchamiania. Uruchom ponownie zmodyfikowany kontroler domeny, a następnie ponów próbę wykonania operacji.

    Upewnij się również, że kontekst usługi jest zgodny z ustawieniami domyślnymi.

    Windows 2000 Wartość uruchamiania Stan usługi
    Zdalne wywołanie procedury (RPC) Automatyczne Rozpoczęto
    Lokalizator zdalnego wywołania procedury (RPC) Automatyczne Rozpoczęto
    Windows Server 2003, Server 2008, Server 2008 R2 Wartość uruchamiania Stan usługi
    Zdalne wywołanie procedury (RPC) Automatyczne Rozpoczęto
    Lokalizator zdalnego wywołania procedury (RPC) Ręcznie Wartość null lub zatrzymana

  4. Sprawdź, czy rozmiar zakresu portów dynamicznych nie został ograniczony. Poniżej przedstawiono składnię windows Server 2008 i Windows Server 2008 R2 NETSH w celu wyliczenia zakresu portów RPC:

    >netsh int ipv4 show dynamicport tcp
>netsh int ipv4 show dynamicport udp
>netsh int ipv6 show dynamicport tcp
>netsh int ipv6 show dynamicport udp

  5. Przejrzyj 224196 KB. Upewnij się, że port zakodowany na stałe mieści się w zakresie portów efemerycznych dla źródłowej wersji systemu operacyjnego kontrolera domeny.

  6. Sprawdź, czy klucz ClientProtocols istnieje w obszarze HKLM\Software\Microsoft\Rpc i zawiera następujące pięć wartości domyślnych:

    ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_nb_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Więcej informacji

Przykład nieprawidłowej nazwy mapowania adresów IP powodujący błąd RPC 1753 a -2146893022: nazwa główna elementu docelowego jest niepoprawna

Domena contoso.com składa się z \\DC1 i \\DC2 z adresami IP x.x.1.1 i x.x.1.2. Rekordy hosta "A" / "AAAA" dla \\DC2 są poprawnie zarejestrowane na wszystkich serwerach DNS skonfigurowanych dla \\DC1. Ponadto plik HOSTS na \\DC1 zawiera w pełni kwalifikowaną nazwę hosta DC2 mapowania wpisu na adres IP x.x.1.2. Później adres IP DC2 zmienia się z X.X.1.2 na X.X.1.3, a nowy komputer członkowski jest przyłączony do domeny z adresem IP x.x.1.2. Próby replikacji usługi AD wyzwalane przez polecenie "replikuj teraz" w przystawki Lokacje i usługi Active Directory kończą się niepowodzeniem z powodu błędu 1753. Ślad jest pokazany poniżej:

F# SRC DEST , operacja
1 x.x.1.1 x.x.1.2 ARP:Request, x.x.1.1 prosi o x.x.1.2
2 x.x.1.2 x.x.1.1 ARP:Response, x.x.1.2 at 00-13-72-28-C8-5E
3 x.x.1.1 x.x.1.2 TCP:Flags=...... S., SrcPort=50206, DstPort=DCE endpoint resolution(135)
4 x.x.1.2 x.x.1.1 ARP:Request, x.x.1.2 prosi o x.x.1.1
5 x.x.1.1 x.x.1.2 ARP:Response, x.x.1.1 at 00-15-5D-42-2E-00
6 x.x.1.2 x.x.1.1 TCP:Flags=... A.. S., SrcPort=DCE endpoint resolution(135)
7 x.x.1.1 x.x.1.2 TCP:Flags=... A...., SrcPort=50206, DstPort=DCE endpoint resolution(135)
8 x.x.1.1 x.x.1.2 MSRPC:c/o Bind: UUID{E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT(EPMP)
9 x.x.1.2 x.x.1.1 MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x5E68 Xmit=0x16D0 Recv=0x16D0
10 x.x.1.1 x.x.1.2 EPM:Request: ept_map: NDR, DRSR(DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [rozdzielczość punktu końcowego DCE(135)]
11 x.x.1.2 x.x.1.1 EPM:Response: ept_map: 0x16C9A0D6 - EP_S_NOT_REGISTERED

W ramce 10 docelowy kontroler domeny wysyła zapytanie do źródłowego mapera punktu końcowego przez port 135 dla klasy usługi replikacji usługi Active Directory UUID {E351...}

W ramce 11 źródłowy kontroler domeny, w tym przypadku komputer członkowski, nie hostuje jeszcze roli kontrolera domeny. Nie zarejestrowano więc elementu {E351...} UUID dla usługi replikacji z lokalnym EPM. Źródłowy kontroler domeny odpowiada z błędem symbolicznym EP_S_NOT_REGISTERED. Ten błąd jest mapowane na błąd dziesiętny 1753, błąd szesnastkowy 0x6d9 i przyjazny błąd "nie ma więcej punktów końcowych dostępnych z mapatora punktu końcowego".

Później komputer członkowski o adresie IP x.x.1.2 jest promowany jako replika "MayberryDC" w domenie contoso.com . Ponownie polecenie "replikuj teraz" jest używane do wyzwalania replikacji, ale tym razem kończy się niepowodzeniem z powodu błędu na ekranie "nazwa główna docelowa jest nieprawidłowa". Komputer, którego karta sieciowa jest właścicielem adresu IP x.x.1.2, jest kontrolerem domeny. Jest on obecnie uruchamiany w trybie normalnym i zarejestrował identyfikator UUID usługi replikacji {E351...} z lokalnym EPM. Ale nie jest właścicielem nazwy / tożsamości zabezpieczeń DC2 i nie może odszyfrować żądania Kerberos z DC1. W związku z tym żądanie kończy się niepowodzeniem z powodu błędu "Główna nazwa docelowa jest nieprawidłowa". Ten błąd mapuje na błąd dziesiętny —2146893022, błąd szesnastkowy 0x80090322.

Takie nieprawidłowe mapowania adresów IP na host mogą być spowodowane nieaktualnymi wpisami w plikach hosta/lmhost, rejestracjami A/AAAA w systemie DNS lub WINS.

Podsumowanie:

  • Przykład 1 nie powiódł się z powodu nieprawidłowego mapowania hosta na adres IP (w pliku HOST w tym przypadku). Spowodowało to, że docelowy kontroler domeny został rozpoznany jako "źródłowy" kontroler domeny, który nie miał uruchomionej usługi AD (a nawet zainstalowanej w tym przypadku). Dlatego nazwa SPN replikacji nie została jeszcze zarejestrowana, a źródłowy kontroler domeny zwrócił błąd 1753.
  • W drugim przypadku nieprawidłowe mapowanie hosta na adres IP (ponownie w pliku HOSTA) spowodowało, że docelowy kontroler domeny nawiązał połączenie z kontrolerem domeny, który zarejestrował nazwę SPN replikacji {E351...}. Jednak to źródło miało inną nazwę hosta i tożsamość zabezpieczeń niż zamierzony źródłowy kontroler domeny, więc próby nie powiodły się z powodu błędu -2146893022: Główna nazwa docelowa jest niepoprawna.

Zbieranie danych

Jeśli potrzebujesz pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki opisane w temacie Zbieranie informacji przy użyciu przewodnika rozwiązywania problemów z replikacją usługi Active Directory.

Powiązana zawartość