Error de replicación de Active Directory 1722: El servidor RPC no está disponible

Este artículo ayuda a corregir el error 1722 de la replicación de Active Directory.

Se aplica a: Windows Server (todas las versiones admitidas)
Número de KB original: 2102154

Síntomas

En este artículo se describen los síntomas, la causa y la resolución para resolver un error de replicación de Active Directory con el error 1722 de Win32: El servidor RPC no está disponible.

1. La promoción DCPROMO de un controlador de dominio de réplica no puede crear un objeto de configuración de NTDS en el controlador de dominio auxiliar con el error 1722。

   Texto del título del cuadro de diálogo: Asistente para instalación de Servicios de dominio de Active Directory

   Texto del mensaje del cuadro de diálogo:

   The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."
   

2. DCDIAG informa de que la prueba de replicación de Active Directory ha producido un error 1722: El servidor RPC no está disponible.

   [Replications Check,<DC Name>] A recent replication attempt failed:
   From <source DC> to <destination DC>  
   Naming Context: <DN path of directory partition>  
   The replication generated an error (1722):  
   The RPC server is unavailable.  
   The failure occurred at <date> <time>.  
   The last success occurred at <date> <time>.  
   <X> failures have occurred since the last success.  
   [<dc name>] DsBindWithSpnEx() failed with error 1722,  
   The RPC server is unavailable..  
   Printing RPC Extended Error Info:  
   <snip>
   

3. REPADMIN.EXE informa de que se ha producido un error en el intento de replicación con el estado 1722 (0x6ba).

   Los comandos REPADMIN que suelen citar el estado -1722 (0x6ba) incluyen, entre otros:

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   A continuación se muestra la salida de ejemplo de REPADMIN /SHOWREPS y REPADMIN /SYNCALL la representación del error El servidor RPC no está disponible :

   c:\> repadmin /showreps  
   <site name><destination DC>  
   DC Options: <list of flags>  
   Site Options: (none)  
   DC object GUID: <NTDS settings object object GUID>  
   DC invocationID: <invocation ID string>  
   ==== INBOUND NEIGHBORS ======================================  
   DC=<DN path for directory partition>  
       <site name><source DC via RPC  
           DC object GUID: <source DCs ntds settings object object guid>  
           Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
   The RPC server is unavailable.  
           <X #> consecutive failure(s).  
           Last success @ <date> <time>
   

   A continuación se muestra la salida de ejemplo de REPADMIN /SYNCALL la representación del error El servidor RPC no está disponible :

    C:\>repadmin /syncall  
    CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
    The RPC server is unavailable.
   

4. El comando replica now en Sitios y servicios de Active Directory devuelve El servidor RPC no está disponible.

   Al hacer clic con el botón derecho en el objeto de conexión de un controlador de dominio de origen y elegir replicar ahora se produce un error con el servidor RPC no está disponible. A continuación se muestra el mensaje de error en pantalla:

   Texto del título del cuadro de diálogo: Replicar ahora

   Texto del mensaje de diálogo:

   El siguiente error se produjo durante el intento de sincronizar el nombre DNS del contexto <de nomenclatura de la partición> de directorio del nombre de host dc de origen del controlador <de dominio con el nombre> de host> del controlador <de dominio de destino: el servidor RPC no está disponible. Esta operación no continuará. Esta condición puede deberse a un problema de búsqueda de DNS. Para obtener información sobre cómo solucionar problemas comunes de búsqueda de DNS, consulte el siguiente sitio web de Microsoft: Problema de búsqueda dns

5. Los eventos NTDS Knowledge Consistency Checker (KCC), NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con el estado 1722 se registran en el registro de eventos del servicio de directorio.

   Los eventos de Active Directory que suelen citar el estado 1722 incluyen, entre otros:

   Origen del evento	Id. de evento	Cadena de evento
   Microsoft-Windows-ActiveDirectory_DomainService	1125	El Asistente para instalación de Servicios de dominio de Active Directory (Dcpromo) no pudo establecer la conexión con el siguiente controlador de dominio.
   NTDS KCC	1311	Knowledge Consistency Checker (KCC) ha detectado problemas con la siguiente partición de directorio.
   NTDS KCC	1865	El comprobador de coherencia de conocimiento (KCC) no pudo formar una topología de red de árbol de expansión completa. Como resultado, no se puede acceder a la siguiente lista de sitios desde el sitio local.
   NTDS KCC	1925	Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.
   Replicación NTDS	1960	Evento interno: el siguiente controlador de dominio recibió una excepción de una conexión de llamada a procedimiento remoto (RPC). Es posible que se haya producido un error en la operación.

Causa

RPC es una capa intermedia entre el transporte de red y el protocolo de aplicación. Rpc en sí no tiene información especial sobre los errores, pero intenta asignar errores de protocolo de capa inferior a un error en la capa RPC.

El error RPC 1722/0x6ba/RPC_S_SERVER_UNAVAILABLE se registra cuando un protocolo de capa inferior notifica un error de conectividad. El caso común es que se produjo un error en la operación de TCP CONNECT abstracta. En el contexto de la replicación de AD, el cliente RPC del controlador de dominio de destino no pudo conectarse correctamente al servidor RPC en el controlador de dominio de origen. Las causas comunes de esto son:

1. Error local de vinculación
2. Error de DHCP
3. Error de DNS
4. Error de WINS
5. Error de enrutamiento (incluidos los puertos bloqueados en los firewalls)
6. Errores de autenticación ipsec/red
7. Limitaciones de recursos
8. Protocolo de capa superior que no se ejecuta
9. El protocolo de capa superior devuelve este error.

Solución

Pasos básicos de solución de problemas para identificar el problema.

Compruebe que el valor de inicio y el estado del servicio son correctos para RPC, Localizador RPC y Centro de distribución de claves Kerberos

Compruebe que el valor de inicio y el estado del servicio son correctos para la llamada a procedimiento remoto (RPC), el localizador de llamada a procedimiento remoto (RPC) y el Centro de distribución de claves Kerberos.

La versión del sistema operativo determinará los valores correctos para el sistema de origen y de destino que registra el error de replicación. Use la tabla siguiente para ayudar a validar la configuración.

Nombre del servicio	Windows 2000	Windows 2003 /R2	Windows 2008	Windows 2008 R2
Llamada a procedimiento remoto (RPC)	Iniciado/Automático	Iniciado/Automático	Iniciado/Automático	Iniciado/Automático
Ubicador de llamadas a procedimiento remoto (RPC)	Iniciado o automático (controladores de dominio) No iniciado/ Manual(Servidores miembros)	No iniciado/ Manual	No iniciado/ Manual	No iniciado/ Manual
Centro de distribución de claves kerberos (KDC)	Iniciado o automático (controladores de dominio) No iniciado/ Deshabilitado(Servidores miembro)	Iniciado o automático (controladores de dominio) No iniciado/ Deshabilitado(Servidores miembro)	Iniciado o automático (controladores de dominio) No iniciado/ Deshabilitado(Servidores miembro)	Iniciado o automático (controladores de dominio) No iniciado/ Deshabilitado(Servidores miembro)

Si realiza algún cambio para que coincida con la configuración anterior, reinicie la máquina. Compruebe que el valor de inicio y el estado del servicio coinciden con los valores documentados en la tabla anterior.

Compruebe que la clave ClientProtocols existe en HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc y que contiene los protocolos predeterminados correctos.

Nombre del protocolo	Tipo	Valor de datos
ncacn_http	REG_SZ	rpcrt4.dll
ncacn_ip_tcp	REG_SZ	rpcrt4.dll
ncacn_np	REG_SZ	rpcrt4.dll
ncacn_ip_udp	REG_SZ	rpcrt4.dll

Si falta la clave ClientProtocols o alguno de los cuatro valores predeterminados, importe la clave desde un servidor correcto conocido.

Comprobación de que DNS funciona

Los errores de búsqueda de DNS son la causa de un gran número de errores RPC 1722 cuando se trata de replicación.

Hay algunas herramientas que se pueden usar para ayudar a identificar errores de DNS:

• DCDIAG /TEST:DNS /V /E /F:<filename.log>

  El DCDIAG /TEST:DNS comando puede validar el estado dns de los controladores de dominio de la familia Windows 2000 Server (SP3 o posterior), Windows Server 2003 y Windows Server 2008. Esta prueba se introdujo por primera vez con Windows Server 2003 Service Pack 1.

  Hay siete grupos de prueba para este comando.

  • Autenticación (autenticación)

  • Básico (Basc)

  • Registro de registros (RReg)

  • Actualización dinámica (Dyn)

  • Delegaciones (Del)

  • Sugerencias de reenvío/raíz (Forw)

    Salida de ejemplo:

    TEST: Authentication (Auth)  
    Authentication test: Successfully completed
    
    TEST: Basic (Basc)  
    Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
    NETLOGON service is running  
    kdc service is running  
    DNSCACHE service is running  
    DNS service is running  
    DC is a DNS server  
    Network adapters information:  
    Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
    MAC address is 00:15:5D:40:CF:92  
    IP address is static  
    IP address: <IP Address>  
    DNS servers:  
    <DNS IP Address> (DC.domain.com.) [Valid]  
    The A record for this DC was found  
    The SOA record for the Active Directory zone was found  
    The Active Directory zone on this DC/DNS server was found (primary)  
    Root zone on this DC/DNS server was not found  
    <omitted other tests for readability>
    

    Resumen de los resultados de las pruebas dns:

    Auth Basc Forw Del  Dyn  RReg Ext
    
    Domain: fragale.contoso.com
    DC1 PASS PASS FAIL PASS PASS PASS n/a  
    Domain: child.fragale.contoso.com  
    DC2 PASS PASS n/a  n/a  n/a  PASS n/a  
    
    Enterprise DNS infrastructure test results:  
    For parent domain domain.com and subordinate domain child:  
    Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
    Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  
    
    (See DNS servers section for error details)  
    Delegation is configured properly from parent to subordinate domain  
    ......................... domain.com failed test DNS
    

    El resumen proporciona pasos de corrección para los errores más comunes de esta prueba.

    Puede encontrar explicaciones y opciones adicionales para esta prueba en La herramienta de diagnóstico del controlador de dominio (dcdiag.exe).

• NLTEST /DSGETDC:<netbios or DNS domain name>

  Nltest /dsgetdc se usa para ejercer el proceso de localizador de controlador de dominio. Por lo tanto, /dsgetdc:<domain name> intenta buscar el controlador de dominio para el dominio. El uso de la marca de fuerza fuerza la ubicación del controlador de dominio en lugar de usar la memoria caché. También puede especificar opciones como /gc o /pdc para buscar un catálogo global o un emulador de controlador de dominio principal. Para buscar el catálogo global, debe especificar un nombre de árbol, que es el nombre de dominio DNS del dominio raíz.

  Salida de ejemplo:

  DC: [\DC.fabrikam.com]  
  Address: \\<IP Address>  
  Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
  Dom Name: fabrikam.com  
  Forest Name: fabrikam.com  
  Dc Site Name: Default-First-Site-Name  
  Our Site Name: Default-First-Site-Name  
  Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
  The command completed successfully
  

• Netdiag -v

  Se puede usar con Windows 2003 y versiones anteriores para recopilar información específica sobre la configuración y el error de red. Esta herramienta tarda algún tiempo en ejecutarse al ejecutar el -v modificador.

  Salida de ejemplo para la prueba de DNS:

  DNS test . . . . . . . . . . . . . : Passed  
  Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
  DNS Domain:  
  DNS Servers: <DNS Server Ip address>  
  IP Address:         Expected registration with PDN (primary DNS domain name):  
  Hostname: DC.fabrikam.com.  
  Authoritative zone: fabrikam.com.  
  Primary DNS server: DC.fabrikam.com <Ip Address>  
  Authoritative NS:<Ip Address>  
  Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
  The Record is correct on DNS server '<DNS Server Ip address>'.  
  (You will see this line repeated several times for every entry for this DC.  Including srv records.)  
  The Record is correct on DNS server '<DNS Server Ip address>'.  
  PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.
  

• ping -a <IP_of_problem_server>

  Se trata de una prueba rápida sencilla para validar que el registro de host de un controlador de dominio se resuelve en la máquina correcta.

• dnslint /s IP /ad IP

  DNSLint es una utilidad de Windows que le ayuda a diagnosticar problemas comunes de resolución de nombres DNS. La salida es un archivo htm con mucha información, como:

  Servidor DNS: localhost

  IP Address: 127.0.0.1  
  UDP port 53 responding to queries: YES  
  TCP port 53 responding to queries: Not tested  
  Answering authoritatively for domain: NO
  

  Datos de registro de SOA desde el servidor:

  Authoritative name server: DC.domain.com  
  Hostmaster: hostmaster  
  Zone serial number: 14  
  Zone expires in: 1.00 day(s)  
  Refresh period: 900 seconds  
  Retry delay: 600 seconds  
  Default (minimum) TTL: 3600 seconds
  

• Registros autoritativos (NS) adicionales del servidor: DC2.fabrikam.com <IP Address>

  Registros de alias (CNAME) y pegado (A) para GUID de bosque del servidor:

  • CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

    • Alias: DC.fabrikam.com
    • Glue: <Dirección IP>

  • CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

    • Alias: dc2.child.fabrikam.com
    • Glue: <Dirección IP>

    Para obtener más información, consulte Descripción de la utilidad DNSLint.

Compruebe que los puertos de red no están bloqueados por un firewall o una aplicación de terceros que escucha en los puertos necesarios.

El asignador de puntos de conexión (que escucha en el puerto 135) indica al cliente qué puerto asignado aleatoriamente un servicio (FRS, replicación de AD, MAPI, etc.) está escuchando.

Protocolo de aplicación	Protocolo	Puertos
Servidor de catálogo global	TCP	3269
Servidor de catálogo global	TCP	3268
Servidor LDAP	TCP	389
Servidor LDAP	UDP	389
LDAP SSL	TCP	636
LDAP SSL	UDP	636
IPsec ISAKMP	UDP	500
NAT-T	UDP	4500
RPC	TCP	135
RPC a puertos TCP altos asignados aleatoriamente¹	TCP	1024 - 5000 49152 - 65535*

* Este es el intervalo de Windows Server 2008, Windows Vista, Windows 7 y Windows 2008 R2.

Portqry se puede usar para identificar si un puerto está bloqueado desde un controlador de dominio al dirigirse a otro controlador de dominio. Se puede descargar en PortQry Command Line Port Scanner versión 2.0.

Sintaxis de ejemplo:

• portqry -n <problem_server> -e 135
• portqry -n <problem_server> -r 1024-5000

Una versión gráfica de portqry, denominada Portqryui, se puede encontrar en PortQryUI - User Interface for the PortQry Command Line Port Scanner.

Si el intervalo de puertos dinámicos tiene puertos bloqueados, use los vínculos siguientes para configurar un intervalo de puertos que sea manejable para el cliente.

Vínculos importantes adicionales para la configuración y el trabajo con firewalls y controladores de dominio:

• HOWTO: Configuración de la asignación dinámica de puertos RPC para trabajar con firewall
• Restricción del tráfico de replicación de Active Directory a un puerto específico
• Configuración de un firewall para dominios y confianzas
• Una lista de los puertos predeterminados del controlador de dominio de Windows Server
• Requisitos de puerto para el sistema de Microsoft Windows Server

Controladores de NIC incorrectos

Consulte proveedores de tarjetas de red o OEM para obtener los controladores más recientes.

La fragmentación udp puede provocar errores de replicación que parecen tener un origen de servidor RPC no disponible

Los errores del identificador de evento 40960 & 40961 con un origen de LSASRV son comunes para esta causa en particular.

Para obtener más información, vea Cómo forzar a Kerberos a usar TCP en lugar de UDP en Windows.

Coincidencias de firma smb entre controladores de dominio

El uso de la directiva predeterminada de controladores de dominio para configurar valores coherentes para la firma SMB en la sección siguiente le ayudará a solucionar esta causa:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

• Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre) Deshabilitadas.
• Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de acuerdo) Habilitado.
• Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre) Deshabilitadas.
• Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente acepta) Habilitado.

La configuración se puede encontrar en las siguientes claves del Registro:

• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters y HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

  • RequireSecuritySignature = always (0,disable, 1 enable).
  • EnableSecuritySignature = is server agrees (0,disable, 1 enable).

Solución de problemas adicional:

Si el anterior no proporciona una solución al 1722, use el siguiente registro de diagnóstico para recopilar más información:

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.

Referencias

• Valores devueltos de RPC
• Descripción de la información de error extendida
• Ubicaciones extendidas de detección de información de errores
• Habilitación de la información de error extendida
• Conectividad de red