Ошибка репликации 1753: "В системе отображения конечных точек не осталось доступных конечных точек"

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server

В этой статье описываются симптомы, действия по устранению причин и разрешения операций Active Directory, которые завершаются сбоем с ошибкой Win32 1753: "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек".

DCDIAG сообщает, что тест Подключение тивности, тест репликации Active Directory или Тест KnowsOfRoleHolders завершился ошибкой 1753: "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек".

Testing server: <site><DC Name>
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
[<DC Name>] DsBindWithSpnEx() failed with error 1753,
There are no more endpoints available from the endpoint mapper..
Printing RPC Extended Error Info:
Error Record 1, ProcessID is <process ID> (DcDiag)
System Time is: <date> <time>
Generating component is 2 (RPC runtime)
Status is 1753: There are no more endpoints available from the endpoint mapper. Detection location is 500
NumberOfParameters is 4
Unicode string: ncacn_ip_tcp
Unicode string: <source DC object GUID>._msdcs.contoso.com
Long val: -481213899
Long val: 65537
Error Record 2, ProcessID is 700 (DcDiag)
System Time is: <date> <time>
Generating component is 2 (RPC runtime)
Status is 1753: There are no more endpoints available from the endpoint mapper.
NumberOfParameters is 1
Unicode string: 1025
[Replications Check,<DC Name>] A recent replication attempt failed:
From <source DC> to <destination DC>
Naming Context: <DN path of directory partition>
The replication generated an error (1753):
There are no more endpoints available from the endpoint mapper.
The failure occurred at <date> <time>.
The last success occurred at <date> <time>.
3 failures have occurred since the last success.
The directory on <DC name> is in the process.
of starting up or shutting down, and is not available.
Verify machine is not hung during boot.

REPADMIN.EXE сообщает о сбое попытки реплика tion с состоянием 1753. Команды REPADMIN, которые обычно ссылаются на состояние 1753, но не ограничиваются:

  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL

Пример выходных данных из "REPADMIN /SHOWREPS", показывающий входящий реплика tion из CONTOSO-DC2 в CONTOSO-DC1 с ошибкой "доступ к реплика отключен" показан ниже:

Default-First-Site-NameCONTOSO-DC1
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: b6dc8589-7e00-4a5d-b688-045aef63ec01
DSA invocationID: b6dc8589-7e00-4a5d-b688-045aef63ec01
==== INBOUND NEIGHBORS ======================================
DC=contoso,DC=com
Default-First-Site-NameCONTOSO-DC2 via RPC
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2
Last attempt @ <date> <time> failed, result 1753 (0x6d9):
There are no more endpoints available from the endpoint mapper.
<#> consecutive failure(s).
Last success @ <date> <time>.

Команда проверки топологии репликации в сайтах и службах Active Directory возвращает значение "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек".

Щелкнув правой кнопкой мыши объект подключения из исходного контроллера домена и выбрав проверку топологии репликации, завершается ошибкой "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек". Ниже показано сообщение об ошибке на экране:

Текст заголовка диалогового окна. Проверьте текст сообщения диалогового окна "Топология репликации": во время попытки связаться с контроллером домена произошла следующая ошибка: нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек.

Команда "Реплицировать сейчас " на сайтах и службах Active Directory возвращает значение "Больше конечных точек, доступных в средстве сопоставления конечных точек". Щелкнув правой кнопкой мыши объект подключения из исходного контроллера домена и выбрав "Репликация теперь завершается ошибкой", "Нет дополнительных конечных точек, доступных в средстве сопоставления конечных точек". Ниже показано сообщение об ошибке на экране:

Текст заголовка диалогового окна: Реплицируйте текст сообщения диалогового окна: во время попытки синхронизации контекста <именования %directory имя секции%> от исходного> контроллера <домена контроллера домена на целевой контроллер> домена<:

Нет доступных конечных точек из сопоставителя конечных точек. Операция не продолжится

События NTDS KCC, NTDS General или Microsoft-Windows-ActiveDirectory_DomainService с состоянием -2146893022 регистрируются в журнале служб каталогов Просмотр событий.

События Active Directory, которые обычно ссылаются на состояние -2146893022, но не ограничиваются:

ИД события Источник событий Строка события
1655 Общие сведения о NTDS Active Directory попыталась связаться со следующим глобальным каталогом, и попытки были неудачными.
1925 NTDS KCC Попытка установить ссылку реплика tion для следующей записи секции каталога завершилась ошибкой.
1265 NTDS KCC Попытка средства проверки согласованности знаний (KCC) добавить соглашение реплика tion для следующего раздела каталога и исходного контроллера домена завершилось сбоем.

Причина

Ниже показан рабочий процесс RPC, начиная с регистрации серверного приложения с помощью RPC Endpoint Mapper (EPM) на шаге 1 до передачи данных из клиента RPC в клиентское приложение на шаге 7.

ДОБАВЛЕНИЕ рабочего процесса RPC

  1. Серверные приложения регистрируют свои конечные точки в диспетчере сопоставления конечных точек RPC (EPM)
  2. Клиент выполняет вызов RPC (от имени инициированной пользователем, ОС или приложением операции)
  3. Клиентская сторона RPC связывается с целевыми компьютерами EPM и попросите конечную точку завершить вызов клиента
  4. EPM сервера отвечает на конечную точку
  5. Клиентская сторона RPC связывается с серверным приложением
  6. Серверный приложение выполняет вызов, возвращает результат клиенту RPC
  7. RPC на стороне клиента передает результат обратно клиентскому приложению.

Сбой 1753 создается сбоем между шагами 3 и #4. В частности, ошибка 1753 означает, что клиент RPC (целевой контроллер домена) смог связаться с сервером RPC (исходным контроллером домена) через порт 135, но EPM на сервере RPC (исходном контроллере домена) не удалось найти интересующее приложение RPC и возвращенную ошибку на стороне сервера 1753. Наличие ошибки 1753 указывает, что клиент RPC (целевой контроллер домена) получил ответ на ошибку на стороне сервера от сервера RPC Server (AD реплика tion source DC) по сети.

К конкретным первопричинам ошибки 1753 относятся:

  • Серверное приложение никогда не запущено (т. е. шаг 1 в схеме "дополнительные сведения", расположенной выше, никогда не пытались).
  • Серверное приложение началось, но во время инициализации произошла ошибка, которая не позволила зарегистрировать приложение конечной точки RPC (т. е. шаг 1 в приведенной выше схеме "дополнительные сведения" была предпринята, но не удалось).
  • Серверное приложение началось, но впоследствии умерло. (то есть шаг 1 в приведенной выше схеме "дополнительные сведения" выполнен успешно, но позже был отменен, так как сервер умер).
  • Серверное приложение вручную отменяет регистрацию своих конечных точек (аналогично 3, но намеренно. Скорее всего, но включен для полноты.)
  • Клиент RPC (целевой контроллер домена) связался с другим сервером RPC, отличным от предполагаемого из-за ошибки сопоставления IP-адресов в DNS, WINS или host/Lmhosts-файле.

Ошибка 1753 не вызвана следующими причинами:

  • Отсутствие сетевого подключения между клиентом RPC (конечным контроллером домена) и сервером RPC (исходным контроллером домена) через порт 135
  • Отсутствие сетевого подключения между сервером RPC (исходным контроллером домена) с помощью порта 135 и клиента RPC (целевого контроллера домена) через временный порт.
  • Несоответствие пароля или неспособность исходного контроллера домена расшифровать зашифрованный пакет Kerberos

Разрешения

Убедитесь, что служба, регистрируемая в службе с помощью программы сопоставления конечных точек, запущена

  • Для компьютеров Windows 2000 и Windows Server 2003: убедитесь, что исходный контроллер домена загружается в обычный режим.
  • Для Windows Server 2008 или Windows Server 2008 R2: с консоли исходного контроллера домена запустите Диспетчер служб (services.msc) и убедитесь, что служба служб домен Active Directory запущена.

Убедитесь, что клиент RPC (целевой контроллер домена) подключен к предполагаемому серверу RPC (исходному контроллеру домена)

Все контроллеры домена в общем лесу Active Directory регистрируют запись CNAME контроллера домена в _msdcs. <зона DNS корневого домена> леса независимо от того, какой домен они находятся в лесу. Запись DC CNAME является производным от атрибута objectGUID объекта NTDS Параметры для каждого контроллера домена.

При выполнении операций на основе реплика конечный контроллер домена запрашивает DNS для исходной записи CNAME DCs. Запись CNAME содержит полное имя компьютера контроллера домена, которое используется для получения IP-адреса исходного контроллера домена с помощью поиска кэша клиента DNS, поиска файла узла или LMHost, записи узла A/AAAA в DNS или WINS.

Устаревшие объекты NTDS Параметры и ненадежные сопоставления имен с IP-адресами в DNS, WINS, Host и LMHOST-файлах могут привести к подключению клиента RPC (целевого контроллера домена) к неправильному серверу RPC (исходному контроллеру домена). Кроме того, сопоставление плохих имен с IP-адресом может привести к подключению клиента RPC (целевого контроллера домена) к компьютеру, который даже не имеет интересующего сервера RPC (роль Active Directory в данном случае). (Например, устаревшая запись узла для DC2 содержит IP-адрес DC3 или компьютера-члена).

Убедитесь, что объектGUID для исходного контроллера домена, существующего в целевой копии контроллеров домена Active Directory, соответствует исходному объекту DC OBJECTGUID, хранящимся в исходной копии контроллеров домена Active Directory. Если есть несоответствие, используйте repadmin /showobjmeta в объекте параметров ntds, чтобы увидеть, какой из них соответствует последнему повышению исходного контроллера домена (указание: сравнение меток дат для объекта NTDS Параметры дата создания с /showobjmeta по дате последнего повышения в исходном файле DCs dcpromo.log. Возможно, вам придется использовать последнее изменение или создать дату DCPROMO. Сам файл LOG). Если идентификаторы guid объекта не идентичны, целевой контроллер домена, скорее всего, имеет устаревший объект NTDS Параметры для исходного контроллера домена, запись CNAME которого ссылается на запись узла с неправильным именем для сопоставления IP-адресов.

В целевом контроллере домена запустите IPCONFIG /ALL, чтобы определить, какие DNS-серверы используется для разрешения имен:

c:>ipconfig /all

В целевом контроллере домена запустите NSLOOKUP к полной записи dc CNAME исходного контроллера домена:

c:>nslookup -type=cname <fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:>nslookup -type=cname <fully qualified cname of source DC> <destination DCs secondary DNS Server IP>

Убедитесь, что IP-адрес, возвращенный NSLOOKUP "владеет" именем узла или удостоверением безопасности исходного контроллера домена:

C:>NBTSTAT -A <IP address returned by NSLOOKUP in the step above>

Войдите в консоль исходного контроллера домена, выполните команду IPCONFIG из командной строки CMD и убедитесь, что исходный контроллер домена владеет IP-адресом, возвращенным командой NSLOOKUP выше.

Проверка устаревших и повторяющихся сопоставлений IP-адресов в DNS

NSLOOKUP -type=hostname <single label hostname of source DC> <primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname <single label hostname of source DC> <secondary DNS Server IP on destination DC>

NSLOOKUP -type=hostname <fully qualified computer name of source DC> <primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname <fully qualified computer name of source DC> <secondary DNS Server IP on dest. DC>

Если недопустимые IP-адреса существуют в записях узлов, проверьте, включена ли очистка DNS и правильно настроена.

Если приведенные выше тесты или трассировка сети не отображают запрос имени, возвращающий недопустимый IP-адрес, рассмотрите устаревшие записи в файлах HOST, файлах LMHOSTS и серверах WINS. Обратите внимание, что DNS-серверы также можно настроить для разрешения резервных имен WINS.

  • Убедитесь, что серверное приложение (Active Directory et al) зарегистрировано в средстве сопоставления конечных точек на сервере RPC (исходном контроллере домена)
  • Active Directory использует сочетание известных и динамически зарегистрированных портов. В этой таблице перечислены известные порты и протоколы, используемые контроллерами домена Active Directory.
Приложение RPC Server Порт TCP UDP
Сервер DNS 53 X X
Kerberos 88 X X
Сервер LDAP 389 X X
Microsoft-DS 445 X X
LDAP SSL 636 X X
Сервер глобального каталога 3268 X
Сервер глобального каталога 3269 X

Известные порты НЕ регистрируются в схеме конечных точек.

Active Directory и другие приложения также регистрируют службы, получающие динамически назначенные порты в диапазоне временных портов RPC. Такие серверные приложения RPC динамически назначаются TCP-портам между 1024 и 5000 на компьютерах Windows 2000 и Windows Server 2003 и портами между 49152 и 65535 на компьютерах Windows Server 2008 и Windows Server 2008 R2. Порт RPC, используемый реплика tion, можно жестко закодировать в реестре, выполнив действия, описанные в КБ статье 224196. Active Directory продолжает регистрироваться в EPM при настройке использования жестко закодированного порта.

Убедитесь, что приложение RPC Server, интересующее вас, зарегистрировано в средстве сопоставления конечных точек RPC на сервере RPC (исходном контроллере домена в случае реплика ad).

Существует несколько способов выполнения этой задачи, но один — установить и запустить PORTQRY из командной строки с правами администратора на консоли исходного контроллера домена с помощью синтаксиса:

portquery -n <source DC> -e 135 > file.txt

В выходных данных portqry запишите номера портов динамически зарегистрированные интерфейсом MS NT Directory DRS (UUID = 351...) для протокола ncacn_ip_tcp. В приведенном ниже фрагменте показан пример выходных данных порта из контроллера домена Windows Server 2008 R2:

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\pipe\lsass]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_np:CONTOSO-DC01[\PIPE\protected_storage]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:CONTOSO-DC01[49156]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[49157]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_http:CONTOSO-DC01[6004]

Другие возможные способы устранения этой ошибки:

  • Убедитесь, что исходный контроллер домена загружается в обычном режиме, а роль ОПЕРАЦИОННОй системы и контроллера домена в исходном контроллере домена полностью запущена.

  • Убедитесь, что служба домен Active Directory запущена. Если служба остановлена или не настроена со значениями запуска по умолчанию, сбросьте значения запуска по умолчанию, перезагрузите измененный контроллер домена, а затем повторите операцию.

  • Убедитесь, что значение запуска и состояние службы для службы RPC и указателя RPC правильно подходит для версии ос клиента RPC (целевого контроллера домена) и сервера RPC (исходного контроллера домена). Если служба остановлена или не настроена со значениями запуска по умолчанию, сбросьте значения запуска по умолчанию, перезагрузите измененный контроллер домена, а затем повторите операцию.

    • Кроме того, убедитесь, что контекст службы соответствует параметрам по умолчанию, перечисленным в следующей таблице.

      Service Состояние по умолчанию (тип запуска) в Windows Server 2003 и более поздних версиях Состояние по умолчанию (тип запуска) в Windows Server 2000
      Удаленный вызов процедур Запущен (автоматически) Запущен (автоматически)
      Указатель вызова удаленной процедуры Null или остановлен (вручную) Запущен (автоматически)

  • Убедитесь, что размер динамического диапазона портов не ограничен. Синтаксис Windows Server 2008 и Windows Server 2008 R2 NETSH для перечисления диапазона портов RPC показан ниже:

    netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
netsh int ipv6 show dynamicport tcp
netsh int ipv6 show dynamicport udp

  • Убедитесь, что определения жестко закодированных портов, определенные в КБ 224196, относятся к динамическому диапазону портов для исходной версии ОС DCs. Просмотрите КБ статью 224196 и убедитесь, что жесткий закодированный порт попадает в диапазон временных портов для версии операционной системы исходного контроллера домена.

  • Убедитесь, что ключ ClientProtocols существует в HKLM\Software\Microsoft\Rpc и содержит следующие 5 значений по умолчанию:

    ncacn_http REG_SZ rpcrt4.dll
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_nb_tcp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll

Дополнительные сведения

Пример плохого имени для сопоставления IP-адресов, вызывающего ошибку RPC 1753 и -2146893022: имя целевого субъекта неверно

Домен contoso.com состоит из DC1 и DC2 с IP-адресами x.x.1.1 и x.x.1.2. Записи узла "A" / "AAAA" для DC2 правильно регистрируются на всех DNS-серверах, настроенных для DC1. Кроме того, файл HOSTS в DC1 содержит полное имя узла DC2s с IP-адресом x.x.1.2. Позже IP-адрес DC2 изменяется с X.X.1.2 на X.X.1.3, а новый компьютер-член присоединен к домену с IP-адресом x.x.1.2. При попытке репликации AD, запущенной командой "Репликация" в оснастке "Сайты и службы Active Directory", происходит сбой ошибки 1753, как показано в следующей трассировке:

F# SRC    DEST    Operation
1 x.x.1.1 x.x.1.2 ARP:Request, x.x.1.1 asks for x.x.1.2
2 x.x.1.2 x.x.1.1 ARP:Response, x.x.1.2 at 00-13-72-28-C8-5E
3 x.x.1.1 x.x.1.2 TCP:Flags=......S., SrcPort=50206, DstPort=DCE endpoint resolution(135)
4 x.x.1.2 x.x.1.1 ARP:Request, x.x.1.2 asks for x.x.1.1
5 x.x.1.1 x.x.1.2 ARP:Response, x.x.1.1 at 00-15-5D-42-2E-00
6 x.x.1.2 x.x.1.1 TCP:Flags=...A..S., SrcPort=DCE endpoint resolution(135)
7 x.x.1.1 x.x.1.2 TCP:Flags=...A...., SrcPort=50206, DstPort=DCE endpoint resolution(135)
8 x.x.1.1 x.x.1.2 MSRPC:c/o Bind: UUID{E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT(EPMP)
9 x.x.1.2 x.x.1.1 MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x5E68 Xmit=0x16D0 Recv=0x16D0
10 x.x.1.1 x.x.1.2 EPM:Request: ept_map: NDR, DRSR(DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [DCE endpoint resolution(135)]
11 x.x.1.2 x.x.1.1 EPM:Response: ept_map: 0x16C9A0D6 - EP_S_NOT_REGISTERED

В кадре 10 конечный контроллер домена запрашивает источник конечных точек контроллера домена через порт 135 для класса службы UUID E351 active Directory реплика tion...

В кадре 11 исходный контроллер домена, в данном случае компьютер-член, на котором еще не размещена роль контроллера домена и поэтому не зарегистрирован E351... UUID для службы репликации со своим локальным EPM отвечает с символьной ошибкой EP_S_NOT_REGISTERED который сопоставляется с десятичной ошибкой 1753, шестнадцатеричной ошибкой 0x6d9 и понятной ошибкой "больше конечных точек нет доступных конечных точек в средстве сопоставления конечных точек".

Позже компьютер-член с IP-адресом x.x.1.2 получает повышение в качестве реплика "MayberryDC" в домене contoso.com. Опять же, команда "Репликация" используется для активации реплика tion, но на этот раз завершается сбоем с ошибкой на экране "Неправильное имя целевого субъекта". Компьютер, сетевой адаптер которого назначен IP-адрес x.x.1.2 является контроллером домена, в настоящее время загружается в обычный режим и регистрирует E351... реплика service UUID с локальным EPM, но он не владеет именем или удостоверением безопасности DC2 и не может расшифровать запрос Kerberos из DC1, поэтому запрос теперь завершается ошибкой "Целевое имя субъекта неправильно". Ошибка сопоставляется с десятичной ошибкой -2146893022 /шестнадцатеричной ошибкой 0x80090322.

Такие недопустимые сопоставления узлов с IP-адресами могут быть вызваны устаревшими записями в файлах узла или lmhost, регистрации A/ AAAA в DNS или WINS.

Сводка. В этом примере произошел сбой, так как недопустимое сопоставление между узлами (в файле HOST в данном случае) привело к разрешению целевого контроллера домена в "источник", который не был запущен служб домен Active Directory служб (или даже установлен для этого), чтобы реплика tion SPN еще не зарегистрировано, а исходный контроллер домена вернул ошибку 1753. Во втором случае недопустимое сопоставление узла с IP-адресом (снова в файле HOST) привело к подключению целевого контроллера домена к контроллеру домена, который зарегистрировал E351... реплика имя субъекта-службы, но этот источник имел другое имя узла и удостоверение безопасности, отличное от предполагаемого исходного контроллера домена, чтобы попытки завершились ошибкой -2146893022: имя целевого субъекта неверно.