Compartilhar via

Erro de replicação do Active Directory 1722: o servidor RPC não está disponível

Este artigo ajuda a corrigir o erro 1722 da replicação do Active Directory.

Aplica-se a: Todas as versões com suporte do Windows Server
Número original do KB: 2102154

Sintomas

Este artigo descreve os sintomas, a causa e a resolução para resolver a falha de replicação do Active Directory com o erro 1722 do Win32: "O servidor RPC não está disponível".

  1. DCPROMO A promoção de um controlador de domínio (DC) de réplica falha ao criar um objeto NTDS Settings no DC auxiliar com o erro 1722.

    Texto do título da caixa de diálogo: Assistente de Instalação dos Serviços de Domínio Active Directory

    Texto da mensagem de diálogo:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. O DCDIAG relata que o teste de Replicações do Active Directory falhou com o erro 1722: "O Servidor RPC não está disponível".

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<DC name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE relata que a tentativa de replicação falhou com o status 1722 (0x6ba).

    Os comandos REPADMIN que normalmente citam o status -1722 (0x6ba) incluem, mas não estão limitados a:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    A saída de exemplo e que descreve o erro "O servidor RPC não está disponível" é mostrada REPADMIN /SHOWREPS REPADMIN /SYNCALL da seguinte maneira:

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    A saída de exemplo da descrição do erro "O servidor RPC não está disponível" é mostrada REPADMIN /SYNCALL da seguinte maneira:

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. O comando replicar agora em Sites e Serviços do Active Directory retorna "O servidor RPC não está disponível".

    Clicar com o botão direito do mouse no objeto de conexão de um DC de origem e escolher replicar agora falha com "O servidor RPC não está disponível". A mensagem de erro na tela é mostrada da seguinte forma:

    Texto do título da caixa de diálogo: Replicar agora

    Texto da mensagem de diálogo:

    O seguinte erro ocorreu durante a tentativa de sincronizar o nome DNS do contexto <de nomenclatura da partição> de diretório do nome> do host do DC de origem do controlador <de domínio para o nome> do host do DC de destino do controlador <de domínio:O servidor RPC não está disponível. Esta operação não continuará. Essa condição pode ser causada por um problema de pesquisa de DNS. Para obter informações sobre como solucionar problemas comuns de pesquisa de DNS, consulte o seguinte site da Microsoft: Problema de pesquisa de DNS

  5. Os eventos KCC (Verificador de Consistência de Conhecimento) NTDS, NTDS Geral ou Microsoft-Windows-ActiveDirectory_DomainService com o status 1722 são registrados no log de eventos do serviço de diretório.

    Os eventos do Active Directory que normalmente citam o status 1722 incluem, mas não estão limitados a:

    Origem do Evento ID do evento Cadeia de caracteres de evento
    Microsoft-Windows-ActiveDirectory_DomainService 1125 O Assistente de Instalação dos Serviços de Domínio Active Directory (Dcpromo) não pôde estabelecer conexão com o controlador de domínio a seguir.
    NTDS KCC 1,311 O KCC (Verificador de Consistência de Conhecimento) detectou problemas com a seguinte partição de diretório.
    NTDS KCC 1,865 O KCC (Verificador de Consistência de Conhecimento) não conseguiu formar uma topologia de rede de árvore de abrangência completa. Como resultado, a lista de sites a seguir não pode ser acessada a partir do site local.
    NTDS KCC 1925 Falha na tentativa de estabelecer um link de replicação para a partição de diretório gravável a seguir.
    Replicação NTDS 1960 Evento interno: o controlador de domínio a seguir recebeu uma exceção de uma conexão RPC (chamada de procedimento remoto). A operação pode ter falhado.

Motivo

RPC é uma camada intermediária entre o transporte de rede e o protocolo de aplicativo. O próprio RPC não tem informações especiais sobre falhas, mas tenta mapear falhas de protocolo de camada inferior em um erro na camada RPC.

O erro RPC 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE é registrado quando um protocolo de camada inferior relata uma falha de conectividade. O caso comum é que a operação TCP CONNECT abstrata falhou. No contexto da replicação do AD, o cliente RPC no controlador de domínio de destino não conseguiu se conectar com êxito ao servidor RPC no controlador de domínio de origem. As causas comuns disso são:

  • Falha local do link
  • Falha de DHCP
  • Falha de DNS
  • Falha no WINS
  • Falha de roteamento (incluindo portas bloqueadas em firewalls)
  • Falhas de autenticação IPSec/Rede
  • Limitações de recursos
  • O protocolo de camada superior não está em execução
  • Protocolo de camada superior retornando esse erro

Resolução

Etapas básicas de solução de problemas para identificar o problema.

Verifique se a chave ClientProtocols existe em HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc e se ela contém os protocolos padrão corretos

Nome do protocolo Tipo Valor de dados
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Se a chave ClientProtocols ou qualquer um dos quatro valores padrão estiver ausente, importe a chave de um servidor em boas condições.

Verifique se o DNS está funcionando

As falhas de pesquisa do Sistema de Nomes de Domínio (DNS) são a causa de um grande número de erros 1722 RPC quando se trata de replicação.

Existem algumas ferramentas a serem usadas para ajudar a identificar erros de DNS:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    O DCDIAG /TEST:DNS comando pode validar a integridade do DNS dos controladores de domínio da família Windows 2000 Server (SP3 ou posterior), Windows Server 2003 e Windows Server 2008. Esse teste foi introduzido pela primeira vez com o Windows Server 2003 Service Pack 1.

    Há sete grupos de teste para esse comando.

    • Autenticação (Autenticação)

    • Básico (Basc)

    • Registro de registros (RReg)

    • Atualização dinâmica (Dyn)

    • Delegações (Del)

    • Encaminhadores/dicas de raiz (Forw)

      Saída de exemplo:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      Resumo dos resultados do teste de DNS:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      O resumo fornece etapas de correção para as falhas mais comuns desse teste.

      A explicação e as opções adicionais para esse teste podem ser encontradas na Ferramenta de Diagnóstico do Controlador de Domínio (dcdiag.exe).

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc é usado para exercitar o processo de localização DC. Assim, /dsgetdc:<domain name> tenta encontrar o controlador de domínio para o domínio. Usar o sinalizador force força a localização do controlador de domínio em vez de usar o cache. Você também pode especificar opções como /gc ou /pdc para localizar um Catálogo Global ou um emulador de controlador de domínio primário. Para localizar o Catálogo Global, você deve especificar um nome de árvore, que é o nome de domínio DNS do domínio raiz.

    Saída de exemplo:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Ele pode ser usado com Windows 2003 e versões anteriores para coletar informações específicas para configuração e erro de rede. Essa ferramenta leva algum tempo para ser executada ao executar a -v opção.

    Exemplo de saída para o teste DNS:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server IP address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <IP Address>  
Authoritative NS:<IP Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server IP address>  
The Record is correct on DNS server '<DNS Server IP address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server IP address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server IP address>'.

  • ping -a <IP_of_problem_server>

    É um teste simples e rápido para validar se o registro de host de um controlador de domínio está sendo resolvido para o computador correto.

  • dnslint /s IP /ad IP

    DNSLint é um utilitário do Windows que ajuda você a diagnosticar problemas comuns de resolução de nomes DNS. A saída é um arquivo HTM com muitas informações, incluindo:

    Servidor DNS: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    Dados de registro SOA do servidor:

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • Registros NS (autoritativos) adicionais do servidor: DC2.fabrikam.com <IP Address>

    Registros de alias (CNAME) e cola (A) para GUIDs de floresta do servidor:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Alias: DC.fabrikam.com
      • Cola: <Endereço IP>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Alias: dc2.child.fabrikam.com
      • Cola: <Endereço IP>

      Para obter mais informações, consulte a Descrição do utilitário DNSLint.

Verifique se as portas de rede não estão bloqueadas por um firewall ou aplicativo de terceiros escutando nas portas necessárias

O mapeador de ponto de extremidade (escutando na porta 135) informa ao cliente qual porta atribuída aleatoriamente um serviço (FRS, replicação do AD, MAPI e assim por diante) está escutando.

Consulte a lista de portas necessárias em Como configurar um firewall para domínios e relações de confiança do Active Directory.

Portqry pode ser usado para identificar se uma porta está bloqueada de um DC ao direcionar outro DC. Ele pode ser baixado no PortQry Command Line Port Scanner versão 2.0.

Exemplo de sintaxe:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Uma versão gráfica do portqry, chamada Portqryui, pode ser encontrada em PortQryUI - Interface do usuário para o scanner de porta de linha de comando do PortQry.

Se o intervalo de portas dinâmicas tiver portas bloqueadas, use os links a seguir para configurar um intervalo de portas que seja gerenciável para o cliente.

Links adicionais importantes para configuração e trabalho com firewalls e controladores de domínio:

Drivers de NIC inválidos

Consulte fornecedores de placas de rede ou OEMs para obter os drivers mais recentes.

A fragmentação UDP pode causar erros de replicação que parecem ter uma fonte de servidor RPC indisponível

Os erros de ID de evento 40960 e 40961 com uma origem de LSASRV são comuns para essa causa específica.

Para obter mais informações, consulte Como forçar o Kerberos a usar TCP em vez de UDP no Windows.

Incompatibilidades de assinatura SMB entre DCs

Usar a Política de Controladores de Domínio Padrão para definir configurações consistentes para Assinatura SMB na seção a seguir ajudará a resolver essa causa:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft network client: Digitally sign communications (always) Disabled.
  • Microsoft network client: Digitally sign communications (if server agrees) Enabled.
  • Microsoft network server: Digitally sign communications (always) Disabled.
  • Microsoft network server: Digitally sign communications (if client agrees) Enabled.

As configurações podem ser encontradas nas seguintes chaves de registro:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters e HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

    • RequireSecuritySignature = sempre (0 = desabilitar, 1 = habilitar).
    • EnableSecuritySignature = se o servidor concordar (0 = desabilitar, 1 = habilitar).

Solução de problemas adicional:

Se os métodos anteriores não fornecerem uma solução para o erro 1722, use o seguinte log de diagnóstico para coletar mais informações:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de replicação do Active Directory.

Referências