Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda a corrigir o erro 1722 da replicação do Active Directory.
Aplica-se a: Todas as versões com suporte do Windows Server
Número original do KB: 2102154
Sintomas
Este artigo descreve os sintomas, a causa e a resolução para resolver a falha de replicação do Active Directory com o erro 1722 do Win32: "O servidor RPC não está disponível".
DCPROMO A promoção de um controlador de domínio (DC) de réplica falha ao criar um objeto NTDS Settings no DC auxiliar com o erro 1722.
Texto do título da caixa de diálogo: Assistente de Instalação dos Serviços de Domínio Active Directory
Texto da mensagem de diálogo:
The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."
O DCDIAG relata que o teste de Replicações do Active Directory falhou com o erro 1722: "O Servidor RPC não está disponível".
[Replications Check,<DC Name>] A recent replication attempt failed: From <source DC> to <destination DC> Naming Context: <DN path of directory partition> The replication generated an error (1722): The RPC server is unavailable. The failure occurred at <date> <time>. The last success occurred at <date> <time>. <X> failures have occurred since the last success. [<DC name>] DsBindWithSpnEx() failed with error 1722, The RPC server is unavailable.. Printing RPC Extended Error Info: <snip>
REPADMIN.EXE relata que a tentativa de replicação falhou com o status 1722 (0x6ba).
Os comandos REPADMIN que normalmente citam o status -1722 (0x6ba) incluem, mas não estão limitados a:
REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS
REPADMIN /SYNCALL
A saída de exemplo e que descreve o erro "O servidor RPC não está disponível" é mostrada
REPADMIN /SHOWREPS
REPADMIN /SYNCALL
da seguinte maneira:c:\> repadmin /showreps <site name><destination DC> DC Options: <list of flags> Site Options: (none) DC object GUID: <NTDS settings object object GUID> DC invocationID: <invocation ID string> ==== INBOUND NEIGHBORS ====================================== DC=<DN path for directory partition> <site name><source DC via RPC DC object GUID: <source DCs ntds settings object object guid> Last attempt @ <date> <time> failed, result **1722 (0x6ba): The RPC server is unavailable. <X #> consecutive failure(s). Last success @ <date> <time>
A saída de exemplo da descrição do erro "O servidor RPC não está disponível" é mostrada
REPADMIN /SYNCALL
da seguinte maneira:C:\>repadmin /syncall CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba): The RPC server is unavailable.
O comando replicar agora em Sites e Serviços do Active Directory retorna "O servidor RPC não está disponível".
Clicar com o botão direito do mouse no objeto de conexão de um DC de origem e escolher replicar agora falha com "O servidor RPC não está disponível". A mensagem de erro na tela é mostrada da seguinte forma:
Texto do título da caixa de diálogo: Replicar agora
Texto da mensagem de diálogo:
O seguinte erro ocorreu durante a tentativa de sincronizar o nome DNS do contexto <de nomenclatura da partição> de diretório do nome> do host do DC de origem do controlador <de domínio para o nome> do host do DC de destino do controlador <de domínio:O servidor RPC não está disponível. Esta operação não continuará. Essa condição pode ser causada por um problema de pesquisa de DNS. Para obter informações sobre como solucionar problemas comuns de pesquisa de DNS, consulte o seguinte site da Microsoft: Problema de pesquisa de DNS
Os eventos KCC (Verificador de Consistência de Conhecimento) NTDS, NTDS Geral ou Microsoft-Windows-ActiveDirectory_DomainService com o status 1722 são registrados no log de eventos do serviço de diretório.
Os eventos do Active Directory que normalmente citam o status 1722 incluem, mas não estão limitados a:
Origem do Evento ID do evento Cadeia de caracteres de evento Microsoft-Windows-ActiveDirectory_DomainService 1125 O Assistente de Instalação dos Serviços de Domínio Active Directory (Dcpromo) não pôde estabelecer conexão com o controlador de domínio a seguir. NTDS KCC 1,311 O KCC (Verificador de Consistência de Conhecimento) detectou problemas com a seguinte partição de diretório. NTDS KCC 1,865 O KCC (Verificador de Consistência de Conhecimento) não conseguiu formar uma topologia de rede de árvore de abrangência completa. Como resultado, a lista de sites a seguir não pode ser acessada a partir do site local. NTDS KCC 1925 Falha na tentativa de estabelecer um link de replicação para a partição de diretório gravável a seguir. Replicação NTDS 1960 Evento interno: o controlador de domínio a seguir recebeu uma exceção de uma conexão RPC (chamada de procedimento remoto). A operação pode ter falhado.
Motivo
RPC é uma camada intermediária entre o transporte de rede e o protocolo de aplicativo. O próprio RPC não tem informações especiais sobre falhas, mas tenta mapear falhas de protocolo de camada inferior em um erro na camada RPC.
O erro RPC 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE é registrado quando um protocolo de camada inferior relata uma falha de conectividade. O caso comum é que a operação TCP CONNECT abstrata falhou. No contexto da replicação do AD, o cliente RPC no controlador de domínio de destino não conseguiu se conectar com êxito ao servidor RPC no controlador de domínio de origem. As causas comuns disso são:
- Falha local do link
- Falha de DHCP
- Falha de DNS
- Falha no WINS
- Falha de roteamento (incluindo portas bloqueadas em firewalls)
- Falhas de autenticação IPSec/Rede
- Limitações de recursos
- O protocolo de camada superior não está em execução
- Protocolo de camada superior retornando esse erro
Resolução
Etapas básicas de solução de problemas para identificar o problema.
Verifique se a chave ClientProtocols existe em HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc e se ela contém os protocolos padrão corretos
Nome do protocolo | Tipo | Valor de dados |
---|---|---|
ncacn_http | REG_SZ | rpcrt4.dll |
ncacn_ip_tcp | REG_SZ | rpcrt4.dll |
ncacn_np | REG_SZ | rpcrt4.dll |
ncacn_ip_udp | REG_SZ | rpcrt4.dll |
Se a chave ClientProtocols ou qualquer um dos quatro valores padrão estiver ausente, importe a chave de um servidor em boas condições.
Verifique se o DNS está funcionando
As falhas de pesquisa do Sistema de Nomes de Domínio (DNS) são a causa de um grande número de erros 1722 RPC quando se trata de replicação.
Existem algumas ferramentas a serem usadas para ajudar a identificar erros de DNS:
DCDIAG /TEST:DNS /V /E /F:<filename.log>
O
DCDIAG /TEST:DNS
comando pode validar a integridade do DNS dos controladores de domínio da família Windows 2000 Server (SP3 ou posterior), Windows Server 2003 e Windows Server 2008. Esse teste foi introduzido pela primeira vez com o Windows Server 2003 Service Pack 1.Há sete grupos de teste para esse comando.
Autenticação (Autenticação)
Básico (
Basc
)Registro de registros (RReg)
Atualização dinâmica (
Dyn
)Delegações (Del)
Encaminhadores/dicas de raiz (Forw)
Saída de exemplo:
TEST: Authentication (Auth) Authentication test: Successfully completed TEST: Basic (Basc) Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported NETLOGON service is running kdc service is running DNSCACHE service is running DNS service is running DC is a DNS server Network adapters information: Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter: MAC address is 00:15:5D:40:CF:92 IP address is static IP address: <IP Address> DNS servers: <DNS IP Address> (DC.domain.com.) [Valid] The A record for this DC was found The SOA record for the Active Directory zone was found The Active Directory zone on this DC/DNS server was found (primary) Root zone on this DC/DNS server was not found <omitted other tests for readability>
Resumo dos resultados do teste de DNS:
Auth Basc Forw Del Dyn RReg Ext Domain: fragale.contoso.com DC1 PASS PASS FAIL PASS PASS PASS n/a Domain: child.fragale.contoso.com DC2 PASS PASS n/a n/a n/a PASS n/a Enterprise DNS infrastructure test results: For parent domain domain.com and subordinate domain child: Forwarders or root hints are not misconfigured from parent domain to subordinate domain Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests (See DNS servers section for error details) Delegation is configured properly from parent to subordinate domain ......................... domain.com failed test DNS
O resumo fornece etapas de correção para as falhas mais comuns desse teste.
A explicação e as opções adicionais para esse teste podem ser encontradas na Ferramenta de Diagnóstico do Controlador de Domínio (dcdiag.exe).
NLTEST /DSGETDC:<netbios or DNS domain name>
Nltest /dsgetdc
é usado para exercitar o processo de localização DC. Assim,/dsgetdc:<domain name>
tenta encontrar o controlador de domínio para o domínio. Usar o sinalizador force força a localização do controlador de domínio em vez de usar o cache. Você também pode especificar opções como /gc ou /pdc para localizar um Catálogo Global ou um emulador de controlador de domínio primário. Para localizar o Catálogo Global, você deve especificar um nome de árvore, que é o nome de domínio DNS do domínio raiz.Saída de exemplo:
DC: [\DC.fabrikam.com] Address: \\<IP Address> Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b Dom Name: fabrikam.com Forest Name: fabrikam.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully
Netdiag -v
Ele pode ser usado com Windows 2003 e versões anteriores para coletar informações específicas para configuração e erro de rede. Essa ferramenta leva algum tempo para ser executada ao executar a
-v
opção.Exemplo de saída para o teste DNS:
DNS test . . . . . . . . . . . . . : Passed Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A} DNS Domain: DNS Servers: <DNS Server IP address> IP Address: Expected registration with PDN (primary DNS domain name): Hostname: DC.fabrikam.com. Authoritative zone: fabrikam.com. Primary DNS server: DC.fabrikam.com <IP Address> Authoritative NS:<IP Address> Check the DNS registration for DCs entries on DNS server <DNS Server IP address> The Record is correct on DNS server '<DNS Server IP address>'. (You will see this line repeated several times for every entry for this DC. Including srv records.) The Record is correct on DNS server '<DNS Server IP address>'. PASS - All the DNS entries for DC are registered on DNS server '<DNS Server IP address>'.
ping -a <IP_of_problem_server>
É um teste simples e rápido para validar se o registro de host de um controlador de domínio está sendo resolvido para o computador correto.
dnslint /s IP /ad IP
DNSLint é um utilitário do Windows que ajuda você a diagnosticar problemas comuns de resolução de nomes DNS. A saída é um arquivo HTM com muitas informações, incluindo:
Servidor DNS: localhost
IP Address: 127.0.0.1 UDP port 53 responding to queries: YES TCP port 53 responding to queries: Not tested Answering authoritatively for domain: NO
Dados de registro SOA do servidor:
Authoritative name server: DC.domain.com Hostmaster: hostmaster Zone serial number: 14 Zone expires in: 1.00 day(s) Refresh period: 900 seconds Retry delay: 600 seconds Default (minimum) TTL: 3600 seconds
Registros NS (autoritativos) adicionais do servidor:
DC2.fabrikam.com <IP Address>
Registros de alias (CNAME) e cola (A) para GUIDs de floresta do servidor:
CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com
- Alias:
DC.fabrikam.com
- Cola: <Endereço IP>
- Alias:
CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com
- Alias:
dc2.child.fabrikam.com
- Cola: <Endereço IP>
Para obter mais informações, consulte a Descrição do utilitário DNSLint.
- Alias:
Verifique se as portas de rede não estão bloqueadas por um firewall ou aplicativo de terceiros escutando nas portas necessárias
O mapeador de ponto de extremidade (escutando na porta 135) informa ao cliente qual porta atribuída aleatoriamente um serviço (FRS, replicação do AD, MAPI e assim por diante) está escutando.
Consulte a lista de portas necessárias em Como configurar um firewall para domínios e relações de confiança do Active Directory.
Portqry pode ser usado para identificar se uma porta está bloqueada de um DC ao direcionar outro DC. Ele pode ser baixado no PortQry Command Line Port Scanner versão 2.0.
Exemplo de sintaxe:
portqry -n <problem_server> -e 135
portqry -n <problem_server> -r 1024-5000
Uma versão gráfica do portqry, chamada Portqryui, pode ser encontrada em PortQryUI - Interface do usuário para o scanner de porta de linha de comando do PortQry.
Se o intervalo de portas dinâmicas tiver portas bloqueadas, use os links a seguir para configurar um intervalo de portas que seja gerenciável para o cliente.
Links adicionais importantes para configuração e trabalho com firewalls e controladores de domínio:
- Como configurar a alocação de porta dinâmica da RPC para funcionar com os firewalls
- Restringindo o tráfego RPC do Active Directory a uma porta específica
- Como configurar um firewall para domínios e relações de confiança do Active Directory
- Uma lista das portas padrão do controlador de domínio do Windows Server
- Requisitos de porta para o sistema Microsoft Windows Server
Drivers de NIC inválidos
Consulte fornecedores de placas de rede ou OEMs para obter os drivers mais recentes.
A fragmentação UDP pode causar erros de replicação que parecem ter uma fonte de servidor RPC indisponível
Os erros de ID de evento 40960 e 40961 com uma origem de LSASRV são comuns para essa causa específica.
Para obter mais informações, consulte Como forçar o Kerberos a usar TCP em vez de UDP no Windows.
Incompatibilidades de assinatura SMB entre DCs
Usar a Política de Controladores de Domínio Padrão para definir configurações consistentes para Assinatura SMB na seção a seguir ajudará a resolver essa causa:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Microsoft network client: Digitally sign communications (always) Disabled
.Microsoft network client: Digitally sign communications (if server agrees) Enabled
.Microsoft network server: Digitally sign communications (always) Disabled
.Microsoft network server: Digitally sign communications (if client agrees) Enabled
.
As configurações podem ser encontradas nas seguintes chaves de registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
eHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
- RequireSecuritySignature = sempre (0 = desabilitar, 1 = habilitar).
- EnableSecuritySignature = se o servidor concordar (0 = desabilitar, 1 = habilitar).
Solução de problemas adicional:
Se os métodos anteriores não fornecerem uma solução para o erro 1722, use o seguinte log de diagnóstico para coletar mais informações:
Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.
Crank up NTDS Diagnostic logging
1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.
Coleta de dados
Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de replicação do Active Directory.