Erreur de réplication Active Directory 1722 : le serveur RPC n’est pas disponible

Cet article vous aide à corriger l’erreur 1722 de la réplication Active Directory.

S’applique à : Windows Server (toutes les versions prises en charge)
Numéro de la base de connaissances d’origine : 2102154

Symptômes

Cet article décrit les symptômes, la cause et la résolution de l’échec de la réplication Active Directory avec l’erreur Win32 1722 : Le serveur RPC n’est pas disponible.

1. DCPROMO La promotion d’un contrôleur de domaine réplica ne parvient pas à créer un objet NTDS Settings sur le contrôleur de domaine d’assistance avec l’erreur 1722。

   Texte du titre de la boîte de dialogue : Assistant Installation services de domaine Active Directory

   Texte du message de boîte de dialogue :

   The operation failed because: Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=<Name of DC being promoted),CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> on the remote AD DC <helper DC>.<domain name>.<top level domain>. Ensure the provided network credentials have sufficient permissions. "The RPC server is unavailable."
   

2. DCDIAG signale que le test des réplications Active Directory a échoué avec l’erreur 1722 : Le serveur RPC n’est pas disponible.

   [Replications Check,<DC Name>] A recent replication attempt failed:
   From <source DC> to <destination DC>  
   Naming Context: <DN path of directory partition>  
   The replication generated an error (1722):  
   The RPC server is unavailable.  
   The failure occurred at <date> <time>.  
   The last success occurred at <date> <time>.  
   <X> failures have occurred since the last success.  
   [<dc name>] DsBindWithSpnEx() failed with error 1722,  
   The RPC server is unavailable..  
   Printing RPC Extended Error Info:  
   <snip>
   

3. REPADMIN.EXE signale que la tentative de réplication a échoué avec status 1722 (0x6ba).

   Les commandes REPADMIN qui citent couramment -1722 (0x6ba) status incluent, sans s’y limiter :

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   Voici un exemple de sortie de REPADMIN /SHOWREPS et REPADMIN /SYNCALL illustrant l’erreur Le serveur RPC n’est pas disponible :

   c:\> repadmin /showreps  
   <site name><destination DC>  
   DC Options: <list of flags>  
   Site Options: (none)  
   DC object GUID: <NTDS settings object object GUID>  
   DC invocationID: <invocation ID string>  
   ==== INBOUND NEIGHBORS ======================================  
   DC=<DN path for directory partition>  
       <site name><source DC via RPC  
           DC object GUID: <source DCs ntds settings object object guid>  
           Last attempt @ <date> <time> failed, result **1722 (0x6ba):  
   The RPC server is unavailable.  
           <X #> consecutive failure(s).  
           Last success @ <date> <time>
   

   Voici un exemple de sortie illustrant REPADMIN /SYNCALLl’erreur Le serveur RPC n’est pas disponible :

    C:\>repadmin /syncall  
    CALLBACK MESSAGE: Error contacting server \<object guid of NTDS Settings object>._msdcs.\<forest root domain>.\<top level domain> (network error): 1722 (0x6ba):  
    The RPC server is unavailable.
   

4. La commande répliquer maintenant dans sites et services Active Directory retourne Le serveur RPC n’est pas disponible.

   Le fait de cliquer avec le bouton droit sur l’objet de connexion à partir d’un contrôleur de domaine source et de choisir répliquer échoue maintenant avec le serveur RPC n’est pas disponible. Le message d’erreur à l’écran s’affiche ci-dessous :

   Texte du titre de la boîte de dialogue : Répliquer maintenant

   Texte du message de boîte de dialogue :

   L’erreur suivante s’est produite lors de la tentative de synchronisation du nommage dns du contexte <de la partition> de répertoire à partir du nom d’hôte dc source du contrôleur de domaine du contrôleur <de domaine avec le nom> d’hôte> dc de destination du contrôleur <de domaine : Le serveur RPC n’est pas disponible. Cette opération ne se poursuit pas. Cette condition peut être due à un problème de recherche DNS. Pour plus d’informations sur la résolution des problèmes courants de recherche DNS, consultez le site web Microsoft suivant : Problème de recherche DNS

5. Les événements KCC (NTDS Knowledge Consistency Checker), NTDS General ou Microsoft-Windows-ActiveDirectory_DomainService avec le status 1722 sont enregistrés dans le journal des événements du service d’annuaire.

   Les événements Active Directory qui citent couramment le status 1722 incluent, sans s’y limiter , les suivants :

   Source de l'événement	ID d’événement	Chaîne d’événement
   Microsoft-Windows-ActiveDirectory_DomainService	1125	L’Assistant Installation services de domaine Active Directory (Dcpromo) n’a pas pu établir la connexion avec le contrôleur de domaine suivant.
   NTDS KCC	1311	Le vérificateur de cohérence des connaissances (KCC) a détecté des problèmes avec la partition de répertoire suivante.
   NTDS KCC	1865	Le vérificateur de cohérence des connaissances (KCC) n’a pas pu former une topologie réseau complète de l’arborescence couvrante. Par conséquent, la liste suivante de sites n’est pas accessible à partir du site local.
   NTDS KCC	1925	La tentative d’établissement d’un lien de réplication pour la partition de répertoire accessible en écriture suivante a échoué.
   Réplication NTDS	1960	Événement interne : le contrôleur de domaine suivant a reçu une exception à partir d’une connexion d’appel de procédure distante (RPC). L’opération a peut-être échoué.

Cause

RPC est une couche intermédiaire entre le transport réseau et le protocole d’application. RPC lui-même n’a pas d’insights spéciaux sur les échecs, mais tente de mapper les échecs de protocole de couche inférieure à une erreur au niveau de la couche RPC.

L’erreur RPC 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE est journalisée lorsqu’un protocole de couche inférieure signale un échec de connectivité. Le cas courant est que l’opération TCP CONNECT abstraite a échoué. Dans le contexte de la réplication AD, le client RPC sur le contrôleur de domaine de destination n’a pas pu se connecter correctement au serveur RPC sur le contrôleur de domaine source. Les causes courantes sont les suivantes :

1. Échec local de liaison
2. Échec DHCP
3. Échec DNS
4. Échec WINS
5. Échec de routage (y compris les ports bloqués sur les pare-feu)
6. Échecs d’authentification IPSec/Réseau
7. Limitations des ressources
8. Le protocole de couche supérieure n’est pas en cours d’exécution
9. Le protocole de couche supérieure retourne cette erreur

Résolution

Étapes de dépannage de base pour identifier le problème.

Vérifiez que la valeur de démarrage et les status de service sont corrects pour RPC, le localisateur RPC et le Centre de distribution de clés Kerberos

Vérifiez que la valeur de démarrage et les status de service sont corrects pour l’appel de procédure distante (RPC), le localisateur d’appel de procédure distante (RPC) et le centre de distribution de clés Kerberos.

La version du système d’exploitation détermine les valeurs correctes pour le système source et de destination qui journalne l’erreur de réplication. Utilisez le tableau suivant pour valider les paramètres.

Nom du service	Windows 2000	Windows 2003 /R2	Windows 2008	Windows 2008 R2
Appel de procédure distante (RPC)	Démarré / Automatique	Démarré / Automatique	Démarré / Automatique	Démarré / Automatique
Localisateur d’appels de procédure distante (RPC)	Démarré / Automatique (contrôleurs de domaine) Non démarré / Manuel(Serveurs membres)	Non démarré / Manuel	Non démarré / Manuel	Non démarré / Manuel
Centre de distribution de clés Kerberos (KDC)	Démarré / Automatique (contrôleurs de domaine) Non démarré / Désactivé(Serveurs membres)	Démarré / Automatique (contrôleurs de domaine) Non démarré / Désactivé(Serveurs membres)	Démarré / Automatique (contrôleurs de domaine) Non démarré / Désactivé(Serveurs membres)	Démarré / Automatique (contrôleurs de domaine) Non démarré / Désactivé(Serveurs membres)

Si vous apportez des modifications pour correspondre aux paramètres ci-dessus, redémarrez l’ordinateur. Vérifiez que la valeur de démarrage et la status de service correspondent aux valeurs documentées dans le tableau ci-dessus.

Vérifiez que la clé ClientProtocols existe sous HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc et qu’elle contient les protocoles par défaut corrects

Nom du protocole	Type	Valeur des données
ncacn_http	REG_SZ	rpcrt4.dll
Ncacn_ip_tcp	REG_SZ	rpcrt4.dll
ncacn_np	REG_SZ	rpcrt4.dll
ncacn_ip_udp	REG_SZ	rpcrt4.dll

Si la clé ClientProtocols ou l’une des quatre valeurs par défaut sont manquantes, importez la clé à partir d’un serveur correct connu.

Vérifier que LE DNS fonctionne

Les échecs de recherche DNS sont la cause d’un grand nombre d’erreurs RPC 1722 en matière de réplication.

Il existe quelques outils à utiliser pour aider à identifier les erreurs DNS :

• DCDIAG /TEST:DNS /V /E /F:<filename.log>

  La DCDIAG /TEST:DNS commande peut valider l’intégrité DNS des contrôleurs de domaine de la famille Windows 2000 Server (SP3 ou version ultérieure), Windows Server 2003 et Windows Server 2008. Ce test a été introduit pour la première fois avec Windows Server 2003 Service Pack 1.

  Il existe sept groupes de test pour cette commande.

  • Authentification (Authentification)

  • De base (Basc)

  • Enregistrement des enregistrements (RReg)

  • Mise à jour dynamique (Dyn)

  • Délégations (del)

  • Redirecteurs/Indicateurs de racine (Forw)

    Exemple de sortie :

    TEST: Authentication (Auth)  
    Authentication test: Successfully completed
    
    TEST: Basic (Basc)  
    Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported  
    NETLOGON service is running  
    kdc service is running  
    DNSCACHE service is running  
    DNS service is running  
    DC is a DNS server  
    Network adapters information:  
    Adapter [00000009] Microsoft Virtual Machine Bus Network Adapter:  
    MAC address is 00:15:5D:40:CF:92  
    IP address is static  
    IP address: <IP Address>  
    DNS servers:  
    <DNS IP Address> (DC.domain.com.) [Valid]  
    The A record for this DC was found  
    The SOA record for the Active Directory zone was found  
    The Active Directory zone on this DC/DNS server was found (primary)  
    Root zone on this DC/DNS server was not found  
    <omitted other tests for readability>
    

    Résumé des résultats des tests DNS :

    Auth Basc Forw Del  Dyn  RReg Ext
    
    Domain: fragale.contoso.com
    DC1 PASS PASS FAIL PASS PASS PASS n/a  
    Domain: child.fragale.contoso.com  
    DC2 PASS PASS n/a  n/a  n/a  PASS n/a  
    
    Enterprise DNS infrastructure test results:  
    For parent domain domain.com and subordinate domain child:  
    Forwarders or root hints are not misconfigured from parent domain to subordinate domain  
    Error: Forwarders are configured from subordinate to parent domain but some of them failed DNS server tests  
    
    (See DNS servers section for error details)  
    Delegation is configured properly from parent to subordinate domain  
    ......................... domain.com failed test DNS
    

    Le résumé fournit des étapes de correction pour les échecs les plus courants de ce test.

    Vous trouverez des explications et des options supplémentaires pour ce test dans l’outil de diagnostic du contrôleur de domaine (dcdiag.exe).

• NLTEST /DSGETDC:<netbios or DNS domain name>

  Nltest /dsgetdc est utilisé pour exercer le processus de localisateur de contrôleurs de domaine. Par conséquent, /dsgetdc:<domain name> tente de trouver le contrôleur de domaine pour le domaine. L’utilisation de l’indicateur de force force l’emplacement du contrôleur de domaine au lieu d’utiliser le cache. Vous pouvez également spécifier des options telles que /gc ou /pdc pour localiser un catalogue global ou un émulateur de contrôleur de domaine principal. Pour rechercher le catalogue global, vous devez spécifier un nom d’arborescence, qui est le nom de domaine DNS du domaine racine.

  Exemple de sortie :

  DC: [\DC.fabrikam.com]  
  Address: \\<IP Address>  
  Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b  
  Dom Name: fabrikam.com  
  Forest Name: fabrikam.com  
  Dc Site Name: Default-First-Site-Name  
  Our Site Name: Default-First-Site-Name  
  Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE  
  The command completed successfully
  

• Netdiag -v

  Peut être utilisé avec Windows 2003 et les versions antérieures pour collecter des informations spécifiques sur la configuration réseau et les erreurs. L’exécution de cet outil prend un certain temps lors de l’exécution du -v commutateur.

  Exemple de sortie pour le test DNS :

  DNS test . . . . . . . . . . . . . : Passed  
  Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}  
  DNS Domain:  
  DNS Servers: <DNS Server Ip address>  
  IP Address:         Expected registration with PDN (primary DNS domain name):  
  Hostname: DC.fabrikam.com.  
  Authoritative zone: fabrikam.com.  
  Primary DNS server: DC.fabrikam.com <Ip Address>  
  Authoritative NS:<Ip Address>  
  Check the DNS registration for DCs entries on DNS server <DNS Server Ip address>  
  The Record is correct on DNS server '<DNS Server Ip address>'.  
  (You will see this line repeated several times for every entry for this DC.  Including srv records.)  
  The Record is correct on DNS server '<DNS Server Ip address>'.  
  PASS - All the DNS entries for DC are registered on DNS server '<DNS Server Ip address>'.
  

• ping -a <IP_of_problem_server>

  Il s’agit d’un test rapide simple pour vérifier que l’enregistrement d’hôte d’un contrôleur de domaine est en cours de résolution sur la machine correcte.

• dnslint /s IP /ad IP

  DNSLint est un utilitaire Windows qui vous aide à diagnostiquer les problèmes courants de résolution de noms DNS. La sortie est un fichier htm contenant de nombreuses informations, notamment :

  Serveur DNS : localhost

  IP Address: 127.0.0.1  
  UDP port 53 responding to queries: YES  
  TCP port 53 responding to queries: Not tested  
  Answering authoritatively for domain: NO
  

  Données d’enregistrement SOA à partir du serveur :

  Authoritative name server: DC.domain.com  
  Hostmaster: hostmaster  
  Zone serial number: 14  
  Zone expires in: 1.00 day(s)  
  Refresh period: 900 seconds  
  Retry delay: 600 seconds  
  Default (minimum) TTL: 3600 seconds
  

• Enregistrements faisant autorité (NS) supplémentaires du serveur : DC2.fabrikam.com <IP Address>

  Enregistrements d’alias (CNAME) et de collage (A) pour les GUID de forêt à partir du serveur :

  • CNAME : 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.fabrikam.com

    • Alias: DC.fabrikam.com
    • Collage : <Adresse IP>

  • CNAME : a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.fabrikam.com

    • Alias: dc2.child.fabrikam.com
    • Glue : <Adresse IP>

    Pour plus d’informations, consultez Description de l’utilitaire DNSLint.

Vérifiez que les ports réseau ne sont pas bloqués par un pare-feu ou une application tierce à l’écoute des ports requis

Le mappeur de point de terminaison (à l’écoute sur le port 135) indique au client quel port attribué de manière aléatoire un service (FRS, réplication AD, MAPI, etc.) écoute.

Protocole d’application	Protocole	Ports
Serveur de catalogue global	TCP	3269
Serveur de catalogue global	TCP	3268
Serveur LDAP	TCP	389
Serveur LDAP	UDP	389
LDAP SSL	TCP	636
LDAP SSL	UDP	636
ISAKMP IPSec	UDP	500
NAT-T	UDP	4500
RPC	TCP	135
Ports TCP aléatoires élevés RPC¹	TCP	1024 - 5000 49152 - 65535*

* Il s’agit de la plage dans Windows Server 2008, Windows Vista, Windows 7 et Windows 2008 R2.

Portqry peut être utilisé pour identifier si un port est bloqué à partir d’un contrôleur de domaine lors du ciblage d’un autre contrôleur de domaine. Il peut être téléchargé à l’adresse PortQry Command Line Port Scanner version 2.0.

Exemple de syntaxe :

• portqry -n <problem_server> -e 135
• portqry -n <problem_server> -r 1024-5000

Une version graphique de portqry, appelée Portqryui, est disponible dans PortQryUI - Interface utilisateur pour le scanneur de port en ligne de commande PortQry.

Si la plage de ports dynamiques a des ports bloqués, utilisez les liens ci-dessous pour configurer une plage de ports gérable pour le client.

Liens importants supplémentaires pour la configuration et l’utilisation des pare-feu et des contrôleurs de domaine :

• PROCÉDURE : Configurer l’allocation de ports dynamiques RPC pour utiliser le pare-feu
• Restriction du trafic de réplication Active Directory vers un port spécifique
• Guide pratique pour configurer un pare-feu pour les domaines et les approbations
• Liste des ports par défaut du contrôleur de domaine Windows Server
• Port requis pour le système Microsoft Windows Server

Pilotes de carte réseau incorrects

Pour obtenir les pilotes les plus récents, consultez fournisseurs de carte réseau ou oem.

La fragmentation UDP peut provoquer des erreurs de réplication qui semblent avoir une source de serveur RPC non disponible

Les erreurs 40960 & 40961 avec une source de LSASRV sont courantes pour cette cause particulière.

Pour plus d’informations, consultez Guide pratique pour forcer Kerberos à utiliser TCP au lieu d’UDP dans Windows.

Incompatibilités de signature SMB entre les contrôleurs de domaine

L’utilisation de la stratégie contrôleurs de domaine par défaut pour configurer des paramètres cohérents pour la signature SMB dans la section suivante permet de résoudre ce problème :

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

• Client réseau Microsoft : communications de signature numérique (toujours) désactivées.
• Client réseau Microsoft : communications de signature numérique (si le serveur est d’accord) Activée.
• Serveur réseau Microsoft : communications de signature numérique (toujours) désactivées.
• Serveur réseau Microsoft : communications de signature numérique (si le client l’accepte) Activée.

Les paramètres se trouvent sous les clés de Registre suivantes :

• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters et HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

  • RequireSecuritySignature = always (0,disable, 1 enable).
  • EnableSecuritySignature = est d’accord du serveur (0,disable, 1 enable).

Résolution des problèmes supplémentaires :

Si les éléments ci-dessus ne fournissent pas de solution à la version 1722, utilisez la journalisation des diagnostics suivante pour collecter plus d’informations :

Windows Server 2003 SP2 computers logs extended RPC Server info in NTDS Replication events 1960, 1961, 1962 and 1963.  
Crank up NTDS Diagnostic logging

1 = basic, 2 and 3 add continually verbose info and 5 logs extended info.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.

References

• Valeurs de retour RPC
• Présentation des informations d’erreur étendues
• Emplacements de détection d’informations d’erreur étendus
• Activation des informations d’erreur étendues
• Connectivité réseau