Поделиться через


Ошибка репликации Active Directory 1753: нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек

В этой статье описывается проблема, из-за которой репликация Active Directory завершается ошибкой Win32 1753: "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек".

Исходный номер базы знаний: 2089874
Область применения: все поддерживаемые версии Windows Server

Домашние пользователи: эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь с проблемой, обратитесь к сообществу Майкрософт.

Симптомы

В этой статье описываются симптомы, причины и шаги разрешения для операций AD, которые завершаются сбоем с ошибкой Win32 1753: "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек".

  1. DCDIAG сообщает, что тест подключения, проверка репликации Active Directory или тест "ЗнаютOfRoleHolders" завершился ошибкой 1753: "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек".

    Сервер тестирования: <имя контроллера домена сайта><>
    Запуск теста: подключение
    *Проверка служб LDAP Active Directory * Проверка служб RPC Active Directory
    [<Имя> контроллера домена] DsBindWithSpnEx() не удалось с ошибкой 1753,
    Нет дополнительных конечных точек, доступных в mapper..
    Печать расширенных сведений об ошибке RPC:
    Запись ошибки 1, ProcessID — идентификатор <> процесса (DcDiag)
    Системное время: <дата><>
    Создание компонента — 2 (среда выполнения RPC) — 1753: из средства сопоставления конечных точек нет дополнительных конечных точек. Расположение обнаружения — 500 NumberOfParameters— 4
    Строка Юникода: ncacn_ip_tcp
    Строка Юникода: <исходный объект DC GUID>._msdcs.contoso.com
    Long val: -481213899
    Long val: 65537
    Запись ошибки 2, ProcessID — 700 (DcDiag)
    Системное время: <дата><>
    Компонент создания — 2 (среда выполнения RPC)
    Состояние равно 1753: больше конечных точек нет, доступных в средстве сопоставления конечных точек.
    ЧислоOfParameters равно 1
    Строка Юникода: 1025

    [Проверка репликаций,<Имя> контроллера домена] Сбой последней попытки репликации:
    Из <исходного контроллера домена> в <целевой контроллер домена>
    Контекст именования: <путь DN к секции каталога>
    Репликация вызвала ошибку (1753):
    Нет доступных конечных точек из сопоставителя конечных точек.
    Сбой произошел во <время> даты<>.
    Последний успех произошел во <время> даты<>.
    С момента последнего успеха произошло 3 сбоя.
    Каталог по <имени> контроллера домена находится в процессе.
    при запуске или завершении работы и недоступности.
    Убедитесь, что компьютер не завис во время загрузки.

  2. REPADMIN.EXE сообщает о сбое попытки репликации с состоянием 1753.

    Команды REPADMIN, которые обычно ссылаются на состояние 1753, но не ограничиваются:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    В следующем примере выходных данных REPADMIN /SHOWREPS показано, что входящий репликация из CONTOSO-DC2 в CONTOSO-DC1 завершается ошибкой "Доступ к репликации был отклонен".

    Default-First-Site-Name\CONTOSO-DC1
    Параметры DSA: IS_GC
    Параметры сайта: (нет)
    GUID объекта DSA:
    DSA invocationID:

    DC=contoso,DC=com
    Default-First-Site-Name\CONTOSO-DC2 с помощью RPC
    GUID объекта DSA:
    Последняя попытка @ <время> даты<>неудачно, результат 1753 (0x6d9):
    Нет доступных конечных точек из сопоставителя конечных точек.
    <#> последовательные сбои.
    Последний успех @ <время> даты<>.

  3. Команда "Проверить топологию репликации" в сайтах и службах Active Directory возвращает значение "Больше конечных точек, доступных в средстве сопоставления конечных точек".

    Щелкните правой кнопкой мыши объект подключения из исходного контроллера домена и выберите "Проверка топологии репликации" завершается ошибкой "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек. Ниже показано сообщение об ошибке на экране:

    Текст заголовка диалогового окна: проверка топологии репликации
    Текст сообщения диалогового окна:

    При попытке связаться с контроллером домена произошла следующая ошибка: в средстве сопоставления конечных точек больше нет конечных точек.

    ОК

  4. Команда "реплицировать сейчас" в сайтах и службах Active Directory возвращает "больше конечных точек, доступных в средстве сопоставления конечных точек".

    Щелкнув правой кнопкой мыши объект подключения из исходного контроллера домена и выбрав "реплицировать сейчас" завершается ошибкой "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек. Ниже показано сообщение об ошибке на экране:

    Текст заголовка диалогового окна: репликация

    Текст сообщения диалогового окна: во время попытки синхронизации имени< секции каталога контекста >с контроллера <домена с контроллером> домена<>: больше конечных точек, доступных в средстве сопоставления конечных точек, отсутствуют

    Операция не продолжится

    Кнопки в диалоговом окне: ОК

  5. Проверка согласованности знаний NTDS (KCC), общие сведения о NTDS или событиях Microsoft-Windows-ActiveDirectory_DomainService с состоянием 1753 регистрируются в журнале событий службы каталогов.

    События Active Directory, которые обычно ссылаются на состояние 1753, но не ограничиваются:

    Источник событий ИД события Строка события
    Общие сведения о NTDS 1655 Active Directory попыталась связаться со следующим глобальным каталогом, и попытки были неудачными.

    NTDS KCC 1925 Сбой попытки установить ссылку репликации для следующего раздела каталога, допускаемого для записи.

    NTDS KCC 1265 Попытка проверки согласованности знаний (KCC) добавить соглашение репликации для следующего раздела каталога и исходного контроллера домена завершилось ошибкой.

Причина

На схеме ниже показан рабочий процесс удаленного вызова процедур (RPC). Рабочий процесс начинается с регистрации серверного приложения с помощью RPC Endpoint Mapper (EPM) на шаге 1. Он заканчивается передачей данных из клиента RPC в клиентское приложение на шаге 7.

Снимок экрана: схема рабочего процесса RPC, в которой показаны сведения от шага 1 до шага 7.

Шаги 1–7 сопоставляют следующие операции:

  1. Серверные приложения регистрируют свои конечные точки в приложении RPC Endpoint Mapper (EPM).
  2. Клиент выполняет вызов RPC от имени операции, инициированной пользователем, ОС или приложением.
  3. Клиентская служба RPC связывается с целевыми компьютерами EPM и просит конечную точку завершить вызов клиента.
  4. EPM сервера отвечает на конечную точку.
  5. Клиентская RPC связывается с серверным приложением.
  6. Серверный приложение выполняет вызов, возвращает результат клиенту RPC.
  7. Клиентская RPC передает результат обратно клиентскому приложению.

Сбой 1753 создается сбоем между шагами 3 и 4. В частности, ошибка 1753 означает, что клиент RPC (целевой контроллер домена) может связаться с сервером RPC (исходным контроллером домена) через порт 135, но EPM на сервере RPC (исходном контроллере домена) не удалось найти интересующее приложение RPC и возвращенную серверную ошибку 1753. Ошибка указывает, что клиент RPC (целевой контроллер домена) получил ответ об ошибке на стороне сервера от сервера RPC Server (контроллер домена репликации AD) по сети.

К конкретным первопричинам ошибки 1753 относятся:

  1. Серверные приложения никогда не запускались. То есть шаг 1 в схеме "дополнительные сведения" никогда не пытались.
  2. Серверное приложение запущено, но во время инициализации произошла некоторая ошибка. Сбой не позволил зарегистрировать его в приложении RPC Endpoint Mapper. То есть шаг 1 в схеме "дополнительные сведения" была предпринята, но не удалось.
  3. Серверное приложение началось, но позже умерло. То есть шаг 1 на схеме "дополнительные сведения" выполнен успешно. Это было отменено позже, потому что сервер умер.
  4. Серверное приложение вручную отменяет регистрацию своих конечных точек (аналогично 3, но намеренно. Скорее всего, но включен для полноты.)
  5. Клиент RPC (целевой контроллер домена) связался с другим сервером RPC, отличным от предполагаемого. Это связано с ошибкой сопоставления IP-адресов в DNS, WINS или файле узла или lmhosts.

Ошибка 1753 не вызвана следующими причинами:

  • Отсутствие сетевого подключения между клиентом RPC (конечным контроллером домена) и сервером RPC (исходным контроллером домена) через порт 135.
  • Отсутствие сетевого подключения между сервером RPC (исходным контроллером домена) с помощью порта 135 и клиента RPC (целевого контроллера домена) через временный порт.
  • Несоответствие пароля или неспособность исходного контроллера домена расшифровать зашифрованный пакет Kerberos.

Решение

Убедитесь, что служба, регистрируемая в службе с помощью программы сопоставления конечных точек, запущена

  • Для компьютеров Windows 2000 и Windows Server 2003 убедитесь, что исходный контроллер домена загружается в обычный режим.
  • Для Windows Server 2008 или Windows Server 2008 R2: из консоли исходного контроллера домена запустите диспетчер служб (services.msc). Убедитесь, что служба Active Directory запущена. Active Directory отображается как "службы домен Active Directory"

Убедитесь, что клиент RPC (целевой контроллер домена) подключен к предполагаемому серверу RPC (исходному контроллеру домена)

Все контроллеры домена в общем лесу Active Directory регистрируют запись GUIDED DC CNAME в _msdcs.<Зона DNS корневого домена> леса независимо от того, какой домен они находятся в лесу. Интерактивная запись DC CNAME является производным от объекта objectGUID каждого объекта NTDS NTDS.

При выполнении операций на основе репликации целевой контроллер домена запрашивает DNS для исходной записи DCS GUIDED CNAME. Запись CNAME содержит полное имя компьютера исходного контроллера домена. Это имя используется для наследоваемого IP-адреса исходных контроллеров домена с помощью:

  • Поиск кэша клиента DNS
  • Поиск файла Узла или LMHost
  • запись узла A/ AAAA в DNS или WINS

Устаревшие объекты параметров NTDS и плохое имя для сопоставлений IP-адресов в DNS, WINS, Host и LMHOST-файлах могут привести к подключению клиента RPC (целевого контроллера домена) к неправильному серверу RPC (исходному контроллеру домена). Кроме того, плохое имя для сопоставления IP-адресов может привести к подключению клиента RPC (целевого контроллера домена) к компьютеру, который даже не имеет интересующего сервера RPC (роль Active Directory в данном случае). Например, устаревшая запись узла для DC2 содержит IP-адрес DC3 или компьютера-члена.

Убедитесь, что совпадают следующие идентификаторы GUID:

  • GUID объекта для исходного контроллера домена, существующего в копии целевых контроллеров домена Active Directory
  • исходный GUID объекта DC, хранящийся в копии исходных контроллеров домена Active Directory.

Если есть несоответствие, используйте repadmin /showobjmeta объект параметров NTDS, чтобы увидеть, какой соответствует последнему повышению исходного контроллера домена. Сравните следующие метки дат:

  • Объект NTDS Settings create date from /showobjmeta.
  • Последняя дата продвижения в исходном dcpromo.log файле DCs.

Возможно, вам придется использовать последнее изменение или создать дату DCPROMO. Сам файл LOG. Если идентификаторы guid объекта не идентичны, целевой контроллер домена может иметь устаревший объект NTDS Settings для исходного контроллера домена, запись CNAME которого ссылается на запись узла с неправильным именем для сопоставления IP-адресов.

На целевом контроллере домена выполните команду IPCONFIG /ALL , чтобы определить, какие DNS-серверы используется для разрешения имен:

c:\>ipconfig /all  

В целевом контроллере домена выполните NSLOOKUP полные записи DCNAME исходного контроллера домена:

c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs secondary DNS Server IP>

Убедитесь, что IP-адрес, возвращенный NSLOOKUP именем узла или удостоверением безопасности исходного контроллера домена.

a) C:\\>NBTSTAT -A \\<IP address _returned_ by NSLOOKUP in the step above>

ИЛИ

b) Войдите в консоль исходного контроллера домена, запустите IPCONFIG из командной строки CMD и убедитесь, что исходный контроллер домена владеет IP-адресом, возвращенным командой NSLOOKUP выше.

Проверьте наличие устаревших и повторяющихся сопоставлений IP-адресов в DNS.

NSLOOKUP -type=hostname \<single label hostname of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<single label hostname of source DC> \<secondary DNS Server IP on destination DC>

NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<secondary DNS Server IP on dest. DC>

Если недопустимые IP-адреса существуют в записях узлов, проверьте, включена ли очистка DNS и правильно настроена.

Если приведенные выше тесты или трассировка сети не отображают запрос имени, возвращающий недопустимый IP-адрес, рассмотрите устаревшие записи в файлах HOST, файлах LMHOSTS и СЕРВЕРАх WINS. DNS-серверы также можно настроить для разрешения резервных имен WINS.

Убедитесь, что серверное приложение (Active Directory и т. д.) зарегистрировано в диспетчере сопоставления конечных точек на сервере RPC (исходном контроллере домена)

Active Directory использует сочетание известных и динамически зарегистрированных портов. Известные порты и протоколы, используемые контроллерами домена Active Directory, включают:

Приложение RPC Server Порт Протокол tcp UDP Комментарии
DNS-сервер 53
Kerberos 88
Сервер LDAP 389
Microsoft-DS 445
LDAP (SSL) 636
Сервер глобального каталога 3268
Сервер глобального каталога 3269

Известные порты НЕ регистрируются в схеме конечных точек.

Active Directory и другие приложения также регистрируют службы, получающие динамически назначенные порты в диапазоне временных портов RPC. Такие серверные приложения RPC динамически назначаются TCP-портам от 1024 до 5000 на компьютерах Windows 2000 и Windows Server 2003. Они динамически назначаются TCP-портам между 49152 и 65535 диапазоном на компьютерах Windows Server 2008 и Windows Server 2008 R2. Порт RPC, используемый репликацией, можно жестко закодировать в реестре, выполнив действия, описанные в msKB 224196. Active Directory продолжает регистрироваться в EPM при настройке использования жестко закодированного порта.

Убедитесь, что приложение RPC Server, интересующее вас, зарегистрировано в средстве сопоставления конечных точек RPC на сервере RPC (исходном контроллере домена в случае репликации AD).

Существует множество способов выполнения этой задачи. Один из них — установить и запустить PORTQRY из командной строки с правами администратора в консоли исходного контроллера домена:

c:\>portquery -n \<source DC> -e 135 >file.txt

portqry В выходных данных запишите номера портов, динамически зарегистрированные интерфейсом MS NT Directory DRS (UUID = 351...) для протокола ncacn_ip_tcp. В приведенном ниже фрагменте показан пример выходных данных из контроллера домена Windows Server 2008 R2 и пары протоколов UUID/ протоколов, используемых Active Directory полужирным шрифтом:

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface ncacn_np:CONTOSO-DC01[\pipe\lsass]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 Интерфейс DRS каталога MS NT
ncacn_np:CONTOSO-DC01[\PIPE\protected_storage]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 Интерфейс DRS каталога MS NT
ncacn_ip_tcp:CONTOSO-DC01[49156]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 Интерфейс DRS каталога MS NT
ncacn_http:CONTOSO-DC01[49157]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[6004]

Другие причины

  1. Убедитесь, что исходный контроллер домена загружается в обычном режиме. Убедитесь, что роль ОС и контроллера домена в исходном контроллере домена полностью запущены.

  2. Убедитесь, что служба домен Active Directory запущена. Если служба остановлена или не настроена со значениями запуска по умолчанию, сбросьте значения запуска по умолчанию. Перезагрузите измененный контроллер домена, а затем повторите операцию.

  3. Убедитесь, что значение запуска и состояние службы для службы RPC и указателя RPC правильно подходит для версии ос клиента RPC (целевого контроллера домена) и сервера RPC (исходного контроллера домена). Если служба остановлена или не настроена со значениями запуска по умолчанию, сбросьте значения запуска по умолчанию. Перезагрузите измененный контроллер домена, а затем повторите операцию.

    Кроме того, убедитесь, что контекст службы соответствует параметрам по умолчанию.

    Windows 2000 Значение запуска Состояние службы
    Удаленный вызов процедур (RPC) Автоматически Запуск
    Локатор удаленного вызова процедур (RPC) Автоматически Запуск
    Windows Server 2003, Server 2008, Server 2008 R2 Значение запуска Состояние службы
    Удаленный вызов процедур (RPC) Автоматически Запуск
    Локатор удаленного вызова процедур (RPC) Руководство Значение NULL или остановлено
  4. Убедитесь, что размер динамического диапазона портов не ограничен. Синтаксис Windows Server 2008 и Windows Server 2008 R2 NETSH для перечисления диапазона портов RPC показан ниже:

    >netsh int ipv4 show dynamicport tcp
    >netsh int ipv4 show dynamicport udp
    >netsh int ipv6 show dynamicport tcp
    >netsh int ipv6 show dynamicport udp
    
  5. Просмотрите 224196 базы знаний. Убедитесь, что жестко закодированный порт попадает в диапазон временных портов для версии ОС исходного контроллера домена.

  6. Убедитесь, что ключ ClientProtocols существует и HKLM\Software\Microsoft\Rpc содержит следующие пять значений по умолчанию:

    ncacn_http REG_SZ rpcrt4.dll
    ncacn_ip_tcp REG_SZ rpcrt4.dll
    ncacn_nb_tcp REG_SZ rpcrt4.dll
    ncacn_np REG_SZ rpcrt4.dll
    ncacn_ip_udp REG_SZ rpcrt4.dll
    

Дополнительная информация

Пример плохого имени для сопоставления IP-адресов, вызывающего ошибку RPC 1753 и -2146893022: имя целевого субъекта неверно

Домен contoso.com состоит из \\DC1 и \\DC2 с IP-адресами x.x.1.1 и x.x.1.2. Записи узла "A" / "AAAA" для \\DC2 правильно зарегистрированы на всех DNS-серверах, настроенных для \\DC1. Кроме того, файл HOSTS в \\DC1 содержит полное имя узла DC2 для сопоставления записи с IP-адресом x.x.1.2. Позже IP-адрес DC2 изменяется с X.X.1.2 на X.X.1.3, а новый компьютер-член присоединен к домену с IP-адресом x.x.1.2. При попытке репликации AD, активируемой командой "реплицировать сейчас" в оснастке "Сайты и службы Active Directory", происходит сбой с ошибкой 1753. Трассировка показана ниже:

Операция DEST F#
1 x.x.1.1 x.x.1.2 ARP:Request, x.x.1.1 запрашивает x.x.1.1.2
2 x.x.1.2 x.x.1.1 ARP:Response, x.x.1.2 в 00-13-72-28-C8-5E
3 x.x.1.1 x.x.1.2 TCP:Flags=...... S., SrcPort=50206, DstPort=DCE endpoint resolution(135)
4 x.x.1.2 x.x.1.1 ARP:Request, x.x.1.2 запрашивает x.x.1.1.1
5 x.x.1.1 x.x.1.2 ARP:Response, x.x.1.1 в 00-15-5D-42-2E-00
6 x.x.1.2 x.x.1.1 TCP:Flags=... A.. S., SrcPort=DCE endpoint resolution(135)
7 x.x.1.1 x.x.1.2 TCP:Flags=... A...., SrcPort=50206, DstPort=DCE endpoint resolution(135)
8 x.x.1.1 x.x.1.2 MSRPC:c/o Bind: UUID{E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT(EPMP)
9 x.x.1.2 x.x.1.1 MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x5E68 Xmit=0x16D0 Recv=0x16D0
10 x.x.1.1 x.1.1.2 EPM:Request: ept_map: NDR, DRSR(DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [разрешение конечной точки DCE(135)]
11 x.x.1.2 x.x.1.1 EPM: Response: ept_map: 0x16C9A0D6 - EP_S_NOT_REGISTERED

В кадре 10 целевой контроллер домена запрашивает сервер конечной точки контроллера домена источника через порт 135 для класса UUID службы репликации Active Directory {E351...}

В кадре 11 исходный контроллер домена, в данном случае компьютер-член, пока не размещает роль контроллера домена. Так что он не зарегистрировал {E351...} UUID для службы репликации с локальным EPM. Исходный контроллер домена отвечает с символьной ошибкой EP_S_NOT_REGISTERED. Эта ошибка сопоставляется с десятичной ошибкой 1753, шестнадцатеричной ошибкой 0x6d9 и понятной ошибкой "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек".

Позже компьютер-член с IP-адресом x.x.1.2 получает повышение в качестве реплики MayberryDC в домене contoso.com . Опять же, команда "реплицировать сейчас" используется для активации репликации, но на этот раз завершается сбоем с ошибкой на экране "неправильное имя целевого субъекта". Компьютер, сетевой адаптер которого владеет IP-адресом x.x.1.2, является контроллером домена. В настоящее время она загружается в обычный режим и зарегистрировала службу репликации {E351...} с помощью локального EPM. Но он не владеет именем или удостоверением безопасности DC2 и не может расшифровать запрос Kerberos из DC1. Поэтому запрос завершается ошибкой "Неправильное имя целевого субъекта". Эта ошибка сопоставляется с десятичной ошибкой -2146893022, шестнадцатеричной ошибкой 0x80090322.

Такие недопустимые сопоставления IP-адресов могут быть вызваны устаревшими записями в файлах узла или lmhost, регистрации A/ AAAA в DNS или WINS.

Сводка:

  • Пример 1 произошел сбоем из-за недопустимого сопоставления узла с IP-адресом (в этом случае в файле HOST). Это привело к разрешению целевого контроллера домена в контроллер домена источника, который не работал со службой AD (или даже установлен для этого вопроса). Таким образом, имя субъекта-службы репликации еще не зарегистрировано, и исходный контроллер домена вернул ошибку 1753.
  • Во втором случае недопустимый узел с СОПОСТАВЛЕНИЕм IP-адресов (снова в ФАЙЛЕ HOST) вызвал подключение целевого контроллера домена к контроллеру домена, который зарегистрировал имя субъекта-службы репликации {E351...} . Но этот источник имел другое имя узла и удостоверение безопасности, отличное от предполагаемого исходного контроллера домена, поэтому попытки завершились ошибкой -2146893022: имя целевого субъекта неверно.

Сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.