Поделиться через

Ошибка репликации Active Directory 1722: сервер RPC недоступен

Эта статья помогает исправить ошибку 1722 репликации Active Directory.

Область применения: все поддерживаемые версии Windows Server
Исходный номер базы знаний: 2102154

Симптомы

В этой статье описываются симптомы, причина и разрешение для устранения сбоя репликации Active Directory с ошибкой Win32 1722: "Сервер RPC недоступен".

  1. Повышение уровня домена DCPROMO контроллера домена реплики не может создать объект параметров NTDS на вспомогательном контроллере домена с ошибкой 1722.

    Текст заголовка диалогового окна: мастер установки служб домен Active Directory

    Текст сообщения диалогового окна:

    The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."

  2. DCDIAG сообщает, что тест репликации Active Directory завершился ошибкой 1722: "Сервер RPC недоступен".

    [Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>  
Naming Context: <DN path of directory partition>  
The replication generated an error (1722):  
The RPC server is unavailable.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
<X> failures have occurred since the last success.  
[<DC name>] DsBindWithSpnEx() failed with error 1722,  
The RPC server is unavailable..  
Printing RPC Extended Error Info:  
<snip>

  3. REPADMIN.EXE сообщает, что попытка репликации завершилась ошибкой с состоянием 1722 (0x6ba).

    Команды REPADMIN, которые обычно ссылаются на состояние -1722 (0x6ba), но не ограничиваются:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    Пример выходных данных из REPADMIN /SHOWREPS и REPADMIN /SYNCALL изображение ошибки "Сервер RPC недоступен" показан следующим образом:

    c:\> repadmin /showreps  
<site name><destination DC>  
DC Options: <list of flags>  
Site Options: (none)  
DC object GUID: <NTDS settings object object GUID>  
DC invocationID: <invocation ID string>  
==== INBOUND NEIGHBORS ======================================  
DC=<DN path for directory partition>  
    <site name><source DC via RPC  
        DC object GUID: <source DCs ntds settings object object guid>  
        Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
The RPC server is unavailable.  
        <X #> consecutive failure(s).  
        Last success @ <date> <time>

    Пример выходных REPADMIN /SYNCALL данных, демонстрирующих ошибку "Сервер RPC недоступен", показан следующим образом:

     C:\>repadmin /syncall  
 CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
 The RPC server is unavailable.

  4. Команда репликации теперь в сайтах и службах Active Directory возвращает значение "Сервер RPC недоступен".

    Щелкнув правой кнопкой мыши объект подключения из исходного контроллера домена, и при выборе репликации теперь происходит сбой с сообщением "Сервер RPC недоступен". Отображается следующее сообщение об ошибке на экране:

    Текст заголовка диалогового окна: репликация

    Текст сообщения диалогового окна:

    Следующая ошибка произошла во время попытки синхронизации dns-имени контекста <именования доменного имени секции из> исходного имени узла контроллера домена домена с именем> <узла> контроллера домена <домена: сервер RPC недоступен. Эта операция не продолжится. Это условие может быть вызвано проблемой подстановки DNS. Сведения об устранении распространенных проблем поиска DNS см. на следующем веб-сайте Майкрософт: проблема поиска DNS

  5. Средство проверки согласованности знаний NTDS (KCC), общие данные NTDS или события Microsoft-Windows-ActiveDirectory_DomainService с состоянием 1722 регистрируются в журнале событий службы каталогов.

    События Active Directory, которые обычно ссылаются на состояние 1722, но не ограничиваются:

    Источник событий ИД события Строка события
    Microsoft-Windows-ActiveDirectory_DomainService 1125 Мастер установки служб домен Active Directory (Dcpromo) не удалось установить подключение к следующему контроллеру домена.
    NTDS KCC 1311 Средство проверки согласованности знаний (KCC) обнаружило проблемы со следующим разделом каталога.
    NTDS KCC 1865 Средство проверки согласованности знаний (KCC) не удалось сформировать полную топологию сетевой топологии дерева. В результате из локального сайта невозможно получить следующий список сайтов.
    NTDS KCC 1925 Сбой попытки установить ссылку репликации для следующего раздела каталога, допускаемого для записи.
    Репликация NTDS 1960 Внутреннее событие: следующий контроллер домена получил исключение из удаленного вызова процедуры (RPC). Операция может завершиться ошибкой.

Причина

RPC — это промежуточный уровень между сетевым транспортом и протоколом приложения. Сам RPC не имеет специальных сведений о сбоях, но пытается сопоставить сбои протокола нижнего уровня в ошибке на уровне RPC.

Ошибка RPC 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE регистрируется, когда протокол нижнего уровня сообщает о сбое подключения. Распространенным случаем является сбой абстрактной операции TCP CONNECT. В контексте репликации AD клиент RPC на целевом контроллере домена не смог успешно подключиться к серверу RPC на исходном контроллере домена. Распространенные причины этого:

  • Связывание локального сбоя
  • Сбой DHCP
  • Сбой DNS
  • Сбой WINS
  • Сбой маршрутизации (включая заблокированные порты на брандмауэрах)
  • Сбои проверки подлинности IPSec/Network
  • Ограничения ресурсов
  • Протокол более высокого уровня не запущен
  • Протокол более высокого уровня, возвращающий эту ошибку

Решение

Основные действия по устранению неполадок для выявления проблемы.

Убедитесь, что ключ ClientProtocols существует в разделе HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc и содержит правильные протоколы по умолчанию

Имя протокола Тип Значение
ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Если ключ ClientProtocols или любое из четырех значений по умолчанию отсутствуют, импортируйте ключ из известного хорошего сервера.

Проверка работы DNS

Сбои подстановки системы доменных имен (DNS) являются причиной большого количества ошибок RPC 1722, когда дело доходит до репликации.

Существует несколько средств, используемых для выявления ошибок DNS:

  • DCDIAG /TEST:DNS /V /E /F:<filename.log>

    Команда DCDIAG /TEST:DNS может проверить работоспособность DNS для контроллеров домена Windows 2000 Server (SP3 или более поздней версии), Windows Server 2003 и Windows Server 2008. Этот тест был впервые представлен в Windows Server 2003 с пакетом обновления 1 (SP1).

    Для этой команды существует семь тестовых групп.

    • Проверка подлинности (проверка подлинности)

    • Базовый (Basc)

    • Регистрация записей (RReg)

    • Динамическое обновление (Dyn)

    • Делегирования (Del)

    • Перенаправление и корневые подсказки (Forw)

      Образец вывода:

      TEST: Authentication (Auth)  
Authentication test: Successfully completed

TEST: Basic (Basc)  
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
NETLOGON service is running  
kdc service is running  
DNSCACHE service is running  
DNS service is running  
DC is a DNS server  
Network adapters information:  
Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
MAC address is 00:15:5D:40:CF:92  
IP address is static  
IP address: <IP Address>  
DNS servers:  
<DNS IP Address> (DC.domain.com.) [Valid]  
The A record for this DC was found  
The SOA record for the Active Directory zone was found  
The Active Directory zone on this DC/DNS server was found (primary)  
Root zone on this DC/DNS server was not found  
<omitted other tests for readability>

      Сводка результатов теста DNS:

      Auth Basc Forw Del  Dyn  RReg Ext

Domain: fragale.contoso.com
DC1 PASS PASS FAIL PASS PASS PASS n/a  
Domain: child.fragale.contoso.com  
DC2 PASS PASS n/a  n/a  n/a  PASS n/a  

Enterprise DNS infrastructure test results:  
For parent domain domain.com and subordinate domain child:  
Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  

(See DNS servers section for error details)  
Delegation is configured properly from parent to subordinate domain  
......................... domain.com failed test DNS

      Сводка содержит шаги по исправлению для более распространенных сбоев из этого теста.

      Описание и дополнительные параметры этого теста можно найти в средстве диагностики контроллера домена (dcdiag.exe).

  • NLTEST /DSGETDC:<netbios or DNS domain name>

    Nltest /dsgetdc используется для выполнения процесса указателя контроллера домена. Таким образом /dsgetdc:<domain name> пытается найти контроллер домена для домена. Использование флага принудительной силы заставляет расположение контроллера домена, а не использование кэша. Можно также указать такие параметры, как /gc или /pdc, чтобы найти глобальный каталог или эмулятор основного контроллера домена. Чтобы найти глобальный каталог, необходимо указать имя дерева, которое является DNS-доменным именем корневого домена.

    Образец вывода:

    DC: [\DC.fabrikam.com]  
Address: \\<IP Address>  
Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
Dom Name: fabrikam.com  
Forest Name: fabrikam.com  
Dc Site Name: Default-First-Site-Name  
Our Site Name: Default-First-Site-Name  
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
The command completed successfully

  • Netdiag -v

    Его можно использовать с Windows 2003 и более ранними версиями для сбора конкретных сведений о конфигурации сети и ошибке. Это средство занимает некоторое время при выполнении -v переключателя.

    Пример выходных данных для теста DNS:

    DNS test . . . . . . . . . . . . . : Passed  
Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
DNS Domain:  
DNS Servers: <DNS Server IP address>  
IP Address:         Expected registration with PDN (primary DNS domain name):  
Hostname: DC.fabrikam.com.  
Authoritative zone: fabrikam.com.  
Primary DNS server: DC.fabrikam.com <IP Address>  
Authoritative NS:<IP Address>  
Check the DNS registration for DCs entries on DNS server <DNS Server IP address>  
The Record is correct on DNS server '<DNS Server IP address>'.  
(You will see this line repeated several times for every entry for this DC.  Including srv records.)  
The Record is correct on DNS server '<DNS Server IP address>'.  
PASS - All the DNS entries for DC are registered on DNS server '<DNS Server IP address>'.

  • ping -a <IP_of_problem_server>

    Это простой быстрый тест для проверки записи узла для контроллера домена, разрешающей правильному компьютеру.

  • dnslint /s IP /ad IP

    DNSLint — это служебная программа Windows, которая помогает диагностировать распространенные проблемы с разрешением ИМЕН DNS. Выходные данные — это HTM-файл с большим количеством сведений, в том числе:

    DNS-сервер: localhost

    IP Address: 127.0.0.1  
UDP port 53 responding to queries: YES  
TCP port 53 responding to queries: Not tested  
Answering authoritatively for domain: NO

    SoA записывает данные с сервера:

    Authoritative name server: DC.domain.com  
Hostmaster: hostmaster  
Zone serial number: 14  
Zone expires in: 1.00 day(s)  
Refresh period: 900 seconds  
Retry delay: 600 seconds  
Default (minimum) TTL: 3600 seconds

  • Дополнительные достоверные записи (NS) с сервера: DC2.fabrikam.com <IP Address>

    Псевдонимы (CNAME) и записи клея (A) для графических идентификаторов леса с сервера:

    • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

      • Псевдоним: DC.fabrikam.com
      • Клей: <IP-адрес>

    • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

      • Псевдоним: dc2.child.fabrikam.com
      • Клей: <IP-адрес>

      Дополнительные сведения см. в описании служебной программы DNSLint.

Убедитесь, что сетевые порты не блокируются брандмауэром или сторонним приложением, прослушивающим необходимые порты

Схема конечных точек (прослушивание порта 135) сообщает клиенту, в котором случайно назначен порт службы (FRS, репликация AD, MAPI и т. д.) прослушивается.

Ознакомьтесь со списком необходимых портов в статье "Настройка брандмауэра для доменов и доверия Active Directory".

Portqry можно использовать для идентификации, заблокирован ли порт от контроллера домена при нацеливание на другой контроллер домена. Его можно скачать в средство проверки портов PortQry версии 2.0.

Пример синтаксиса:

  • portqry -n <problem_server> -e 135
  • portqry -n <problem_server> -r 1024-5000

Графической версии portqry, называемой Portqryui, можно найти в PortQryUI — пользовательский интерфейс для средства проверки портов командной строки PortQry.

Если в диапазоне динамических портов заблокированы порты, используйте следующие ссылки, чтобы настроить диапазон портов, управляемый для клиента.

Дополнительные важные ссылки для настройки и работы с брандмауэрами и контроллерами домена:

Драйверы плохой сетевой карты

Ознакомьтесь с поставщиками сетевых карт или изготовителями оборудования для последних драйверов.

Фрагментация UDP может привести к ошибкам репликации, которые, как представляется, имеют источник RPC-сервера недоступны

Ошибки идентификатора событий 40960 и 40961 с источником LSASRV являются распространенными для этой конкретной причины.

Дополнительные сведения см. в статье "Как принудительно использовать ПРОТОКОЛ TCP вместо UDP в Windows".

Несоответствия подписывания SMB между контроллерами домена

Использование политики контроллеров домена по умолчанию для настройки согласованных параметров для подписывания SMB в следующем разделе поможет устранить эту причину:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

  • Microsoft network client: Digitally sign communications (always) Disabled.
  • Microsoft network client: Digitally sign communications (if server agrees) Enabled.
  • Microsoft network server: Digitally sign communications (always) Disabled.
  • Microsoft network server: Digitally sign communications (if client agrees) Enabled.

Параметры можно найти в следующих разделах реестра:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters и HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters.

    • RequireSecuritySignature = always (0 = disable, 1 = enable).
    • EnableSecuritySignature = если сервер согласен (0 = отключить, 1 = включить).

Дополнительные сведения об устранении неполадок:

Если предыдущие методы не предоставляют решение для ошибки 1722, используйте следующее ведение журнала диагностики для сбора дополнительных сведений:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.

Ссылки