Active Directory 複寫錯誤1753:端點映射器沒有其他可用的端點

本文說明使用 Win32 錯誤1753的 Active Directory 複製失敗的問題:「端點映射器沒有其他可用的端點。」

原始產品版本:  Windows Server 2012 R2
原始 KB 編號:  2089874

家庭使用者: 本文僅適用于技術支援代理商和 IT 專業人員。 如果您正在尋找有關問題的說明,請 諮詢 Microsoft 社區

徵狀

本文說明因 Win32 錯誤1753失敗的 AD 作業的徵兆、原因及解決步驟:「端點對應器沒有其他可用的端點。」

  1. DCDIAG 報告:連線測試、Active Directory 複製測試或 KnowsOfRoleHolders 測試失敗,錯誤1753:「端點映射器沒有其他可用的端點。」

    測試伺服器: <site><DC Name>
    開始測試:連線
    * Active Directory LDAP 服務檢查
    * Active Directory RPC 服務檢查
    [ ] DsBindWithSpnEx ( # A1 失敗,錯誤1753,
    端點映射器沒有其他可用的端點。
    列印 RPC 擴充錯誤資訊:
    錯誤記錄1,ProcessID 是 (DcDiag)
    系統時間: <date><time>
    產生的元件為 2 (RPC 執行時間) 狀態為1753:端點映射器沒有其他可用的端點。 偵測位置是 500 NumberOfParameters 為4
    Unicode 字串: ncacn_ip_tcp
    Unicode 字串: <source DC object GUID> ._msdcs .com
    Long val:-481213899
    Long val:65537
    錯誤記錄2,ProcessID 為 700 (DcDiag)
    系統時間: <date><time>
    產生的元件是 2 (RPC 執行時間)
    狀態為1753:端點映射器沒有其他可用的端點。
    NumberOfParameters 為1
    Unicode 字串:1025

    [複製檢查 <DC Name> ]最近的複寫嘗試失敗:
    從 <source DC> to <destination DC>
    命名內容: <DN path of directory partition>
    複寫產生錯誤 (1753) :
    端點映射器沒有其他可用的端點。
    發生失敗 <date> <time> 。
    上次成功發生于 <date> <time> 。
    3失敗自上次成功之後發生。
    上的目錄 <DC name> 在處理常式中。
    啟動或關機,但無法使用。
    在啟動期間確認電腦未掛起。

  2. REPADMIN.EXE 報告:複寫嘗試失敗,狀態1753。

    通常表示1753狀態的 REPADMIN 命令包括但不限於:

    • REPADMIN/REPLSUM
    • REPADMIN/SHOWREPL
    • REPADMIN/SHOWREPS
    • REPADMIN/SYNCALL

    從 CONTOSO/SHOWREPS,描述從 CONTOSO-DC2 到 CONTOSO-DC1 的輸入複寫的範例輸出如下所示:

    Default-First-Site-Name\CONTOSO-DC1
    DSA 選項: IS_GC
    網站選項: (無)
    DSA 物件 GUID:
    DSA invocationID:

    DC=contoso,DC=com
    透過 RPC Default-First-Site-Name\CONTOSO-DC2
    DSA 物件 GUID:
    上次嘗試 @

  3. 在 Active Directory 網站和服務中的「檢查複寫拓撲」命令會傳回「端點映射器沒有其他可用的端點。」

    以滑鼠右鍵按一下源 DC 中的 connection 物件,然後選擇 [檢查複寫拓撲] 失敗,因為「端點映射器沒有其他可用的端點。 螢幕上的錯誤訊息如下:

    對話方塊標題文字:檢查複寫拓撲
    對話方塊訊息文字:

    嘗試與網域控制站聯繫時發生下列錯誤:端點映射器沒有其他可用的端點。

    確定

  4. 在 Active Directory 網站和服務中的「立即複寫」命令會傳回「端點映射器沒有其他可用的端點。」

    以滑鼠右鍵按一下源 DC 中的 connection 物件,然後選擇「立即複寫」失敗,因為端點映射器沒有其他可用的端點。 螢幕上的錯誤訊息如下:

    對話方塊標題文字:立即複製

    對話方塊訊息文字:嘗試將命名內容 <directory partition name> 從網域控制站同步處理 <Source DC> 至網域控制站時發生下列錯誤 <Destination DC> :端點映射器沒有其他可用的端點。

    作業不會繼續

    對話方塊中的按鈕:確定

  5. 使用1753狀態的 NTDS KCC、NTDS 一般或 Microsoft-Windows ActiveDirectory_DomainService 事件記錄在目錄服務事件記錄檔中。

    通常指出1753狀態的 Active Directory 事件包括但不限於下列專案:

    Event Source 事件識別碼 事件字串
    NTDS 一般 1655 Active Directory 嘗試與下列通用類別目錄進行通訊,但嘗試失敗。

    NTDS KCC 1925 嘗試為下列可寫入的目錄分割區建立複寫連結失敗。

    NTDS KCC 1265 知識一致性檢查程式嘗試 (KCC) 新增下列目錄磁碟分割和來源網域控制站的複寫合約失敗。

原因

下圖顯示從伺服器應用程式註冊的 RPC 工作流程,它會使用步驟1中的 RPC 端點映射表 (EPM) ,將來自 RPC 用戶端的資料傳遞至步驟7中的用戶端應用程式。

RPC 工作流程

步驟1到7對應至下列作業:

  1. 伺服器應用程式會使用 RPC 端點對應器( (EPM) )註冊其端點。
  2. 用戶端 (代表使用者、作業系統或應用程式啟動作業) 進行 RPC 呼叫。
  3. 用戶端 RPC 連絡人目的電腦 EPM 和要求端點完成用戶端呼叫。
  4. 伺服器電腦的 EPM 會以端點回應。
  5. 用戶端 RPC 會聯繫伺服器應用程式。
  6. 伺服器應用程式執行呼叫時,會將結果傳回用戶端 RPC。
  7. 用戶端 RPC 將結果傳回到用戶端應用程式。

在步驟3和4之間的失敗產生失敗1753。 具體而言,錯誤1753表示 RPC 用戶端 (目的地 DC) 可以聯繫 RPC 伺服器 (來源 DC) over 埠135,但 RPC 伺服器上的 EPM (源 DC) 無法找到感興趣的 RPC 應用程式,並傳回伺服器端錯誤1753。 [!注意] 如果存在1753錯誤,表示 RPC 用戶端 (目的地 DC) 接收到網路上的 RPC 伺服器 (AD 複寫來源 DC) 伺服器端的錯誤回應。

1753錯誤的特定根本原因包括:

  1. 伺服器應用程式從未開始 (也就是說,在上述 "more information" 圖表中的步驟1永遠不會嘗試) 。
  2. 伺服器應用程式已啟動,但在初始化期間發生某些失敗,使其無法使用 RPC 端點重新映射表進行註冊 (也就是說,已嘗試,但) 中的「詳細資訊」圖表中的步驟1。
  3. 伺服器應用程式已啟動,但後來 died。 ((也就是上的「詳細資訊」圖表中的步驟1)已成功完成,但稍後已撤銷,因為伺服器 died) 。
  4. 伺服器應用程式已手動登出其端點 (類似于3但故意。 不可能包含完整的。 )
  5. RPC 用戶端 (目的地 DC) 因 DNS、WINS 或主機/lmhosts 檔案中的名稱對 IP 對應錯誤,與預定的 RPC 伺服器取得聯繫。

錯誤1753不是由下列原因所造成:

  • RPC 用戶端 (目的地 DC) 和 RPC 伺服器 (來源 DC) over 埠135之間缺少網路連線。
  • RPC 伺服器 (來源 DC) 使用埠135和 RPC 用戶端 (目的地 DC) 超過短暫埠的網路連線。
  • 密碼不符或來源 DC 無法解密 Kerberos 加密的封包。

解決方案

確認服務使用端點對應器登錄其服務已啟動

若為 Windows 2000 和 Windows Server 2003 Dc:確認來源 DC 已引導至一般模式。 若為 Windows Server 2008 或 Windows Server 2008 R2:從來源 DC 的主控台中,啟動服務管理員 (services.msc) 並確認 Active Directory 服務正在執行中。 Active Directory 顯示為「Active Directory 網域服務」

確認 RPC 用戶端 (目的地 DC) 連線至預定的 RPC 伺服器 (來源 DC)

通用 Active Directory 樹系中的所有 Dc 都會在 _msdcs 中登錄一個引導的 DC CNAME 記錄。<forest root domain> DNS 區域,不論其位於樹系中的網域為何。 導向的 DC CNAME 記錄衍生自每個 DCs NTDS Settings 物件的 objectGUID。

在執行複製型作業時,目的地 DC 會為來源 Dc 導向 CNAME 記錄查詢 DNS。 CNAME 記錄包含來源 DC 完整電腦名稱稱,該名稱是用來透過 DNS 用戶端快取查閱、主機/LMHost 檔案查閱、主控 A/AAAA 記錄在 DNS 或 WINS 中派生來源 Dc 的 IP 位址。

在 DNS、WINS、主機和 LMHOST 檔案中,陳舊的 NTDS 設定物件和不良名稱到 IP 對應可能會導致 RPC 用戶端 (目的地 DC) 連接至錯誤的 RPC 伺服器 (來源 DC) 。 此外,對 IP 對應的「不良名稱」可能會導致 RPC 用戶端 (目的地 DC) 連線到) 安裝的 Active Directory 角色中未有意義之 RPC 伺服器應用程式的電腦 (。 (範例: DC2 的陳舊主機記錄包含 DC3 的 IP 位址,或) 的成員電腦。

確認 Active Directory 複本中存在之來源 DC 的物件 GUID 符合 Active Directory 之來源 dc 中儲存的來源 DC 物件 GUID。 如果有任何差異,請在 ntds 設定物件上使用 repadmin/showobjmeta,以查看哪一個專案對應到來源 DC 的最後一次提升 (提示:比較「NTDS 設定」物件的日期戳記,會根據來源 Dc dcpromo .log 檔案中的上一個提升日期,從/showobjmeta 建立日期。 您可能需要使用 DCPROMO 的最後一個修改/建立日期。記錄檔本身) 。 如果物件的 Guid 不完全相同,則目的地 DC 可能會有來源 DC 的陳舊 NTDS 設定物件,而其 CNAME 記錄會參照至 IP 對應的具有錯誤名稱的主機記錄。

在目的地 DC 上,執行 IPCONFIG/ALL,以判斷目的地 DC 用來進行名稱解析的 DNS 伺服器

c:\>ipconfig /all  

在目的地 DC 上,對來源 DCs 完全限定的 DC CNAME 記錄執行 NSLOOKUP。

c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs secondary DNS Server IP>

確認 NSLOOKUP 所傳回的 IP 位址 "擁有" 來源 DC 的主機名稱/安全性身分識別。

) C: \>NBTSTAT- \ 以上步驟中的 NSLOOKUP 傳回<IP 位址>

OR

b) 登入來源 DC 的主控台,請從 CMD 命令提示字元中執行「IPCONFIG」,並確認來源 DC 擁有上述 NSLOOKUP 命令傳回的 IP 位址。

在 DNS 中檢查是否有陳舊/重複的主機到 IP 對應。

NSLOOKUP -type=hostname \<single label hostname of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<single label hostname of source DC> \<secondary DNS Server IP on destination DC>

NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<secondary DNS Server IP on dest. DC>

如果主機記錄中有不正確 IP 位址,請調查是否已啟用並正確設定 DNS 清理。

如果上方的測試或網路追蹤未顯示名稱查詢傳回不正確 IP 位址,請考慮使用主機檔案、LMHOSTS 檔案及 WINS 伺服器中的陳舊專案。 請注意,DNS 伺服器也可以設定為執行 WINS 的回退名稱解析。

請確認伺服器應用程式 (Active Directory 等) 是否已在 RPC 伺服器 (來源 DC 上的端點映射器註冊)

Active Directory 混合使用知名和動態註冊的埠。 Active Directory 網域控制站所使用的眾所周知埠和通訊協定包括:

RPC 伺服器應用程式 連接埠 TCP Udp 註解
DNS 伺服器 53
Kerberos 88
LDAP 伺服器 389
Microsoft-DS 445
LDAP SSL 636
通用類別目錄伺服器 3268
通用類別目錄伺服器 3269

已知的埠未向端點映射器註冊。

Active Directory 和其他應用程式也會註冊服務,以在 RPC 短暫埠範圍內接收動態指派的埠。 在 windows Server 49152 和 Windows Server 65535 R2 電腦上,這類 RPC 伺服器應用程式會在 Windows 2000 和 Windows Server 2003 電腦上,動態為 windows 與 Windows Server 電腦及埠間的埠指派 TCP 5000 1024 埠。 複寫所使用的 RPC 埠,可使用 MSKB 224196中所述的步驟,在登錄中硬編碼。 將 Active Directory 設定為使用硬式編碼埠時,會繼續向 EPM 註冊。

在 AD 複寫) 的情況下,確認感興趣的 RPC 伺服器應用程式已登錄 RPC 伺服器上的 RPC 端點映射器 (來源 DC。

完成此工作的方法有許多,但其中一個是使用下列語法,從來源 DC 的主控台上的系統管理員許可權 CMD 提示字元安裝及執行 PORTQRY

c:\>portquery -n \<source DC> -e 135 >file.txt

在 portqry 輸出中,記下由 "MS NT Directory DRS 介面" 動態註冊的埠號碼 (UUID = 351 ... ) ncacn_ip_tcp 通訊協定。 下列程式碼片段顯示 Windows Server 2008 R2 DC 的範例 portquery 輸出,以及 Active Directory 所使用的 UUID/通訊協定對(粗體 顯示):

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 介面 ncacn_np: CONTOSO-DC01 [ \ 管道 \ lsass]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 介面
ncacn_np: CONTOSO-DC01 [ \ 管道 \ protected_storage]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 介面
ncacn_ip_tcp: CONTOSO-DC01 [49156]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 介面
ncacn_HTTP: CONTOSO-DC01 [49157]
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 介面
ncacn_HTTP: CONTOSO-DC01 [6004]

其他原因

  1. 確認來源 DC 已以正常模式啟動,且來源系上的 OS 和 DC 角色已完全啟動

  2. 確認 Active Directory 網域服務正在執行中。 如果服務目前已停止或未設定預設啟動值,請重設預設的啟動值,重新開機已修改的 DC,然後重試此作業。

  3. 請確認 rpc 服務和 RPC 定位器的 [啟動值] 和 [服務] 狀態是正確的 RPC 用戶端 (目的地 DC) 和 RPC 伺服器 (來源 DC) 。 如果服務目前已停止或未設定預設啟動值,請重設預設的啟動值,重新開機已修改的 DC,然後重試此作業。

    此外,請確定服務內容符合預設設定。

    Windows 2000 啟動值 服務狀態
    遠端過程呼叫 (RPC) 自動 開始
    遠端過程呼叫 (RPC) 定位器 自動 開始
    Windows Server 2003,伺服器2008,Server 2008 R2 啟動值 服務狀態
    遠端過程呼叫 (RPC) 自動 開始
    遠端過程呼叫 (RPC) 定位器 手動 Null 或已停止
  4. 確認動態埠範圍的大小未受到限制。 用於列舉 RPC 埠範圍的 Windows Server 2008 和 Windows Server 2008 R2 NETSH 語法如下所示:

    >netsh int ipv4 show dynamicport tcp
    >netsh int ipv4 show dynamicport udp
    >netsh int ipv6 show dynamicport tcp
    >netsh int ipv6 show dynamicport udp
    
  5. 確認每個 MSKB 224196 定義的硬編碼埠定義位於來源 Dc 作業系統版本的動態埠範圍內

    請複查 MSKB 224196 ,並確定硬式編碼埠位於來源 DC 之作業系統版本的暫時埠範圍內。

  6. 確認 ClientProtocols 機碼存在於 HKLM\Software\Microsoft\Rpc 且包含下列五個預設值:

    ncacn_http REG_SZ rpcrt4.dll
    ncacn_ip_tcp REG_SZ rpcrt4.dll
    ncacn_nb_tcp REG_SZ rpcrt4.dll
    ncacn_np REG_SZ rpcrt4.dll
    ncacn_ip_udp REG_SZ rpcrt4.dll
    

詳細資訊

錯誤名稱為 IP 對應的範例,導致 RPC 錯誤1753與-2146893022:目標主體名稱不正確

contoso.com網域是由 \ \DC1 和 \DC2 所組成,其中包含 \ IP 位址 x.x.x.x 和 x.x.x.x。 \DC2 的主機 "A"/"AAAA" 記錄已 \ 在所有設定為 \DC1. 的 DNS 伺服器上正確登錄 \ 此外,\DC1 上的 HOSTS 檔案 \ 包含對應至 IP 位址 a.x 的專案對應 DC2s 完全限定主機名稱。 稍後,DC2's IP 位址會從 X.x.x.x 對 a.x 進行的變更,並將新的成員電腦加入到 IP 位址為 a.x 1.2 的網域。 Active Directory 網站和服務嵌入式管理單元中的「立即複寫」命令所觸發的 AD 複寫嘗試會失敗,錯誤1753如下:

F # SRC DEST 運算
1 x. 1.1 x .. 1.2 ARP: Request,x.x.x.x 要求 x.x.x.x (x.x.x.x)。
2 C8-5E: Response,x.x.x.x,00-13-72-28-5E-5E-5E-5E
3個 x.x.x.x TCP: Flags = ... ... ... ...]。SrcPort = 50206,DstPort = DCE 端點解析度 (135)
4 x.x.x.x ARP: Request,x.x.x.x 要求 x.x.x.x (a.x)。-x.x.x.x (即 x.x.x.x)
5 x. 1.1 x .. 1.2 ARP: Response,x.x.x.x at 00-15-5D-42-2E
6個 x.x.x.x TCP: Flags = ...]。A.。SrcPort = DCE 端點解析度 (135)
7: x.x.x.x TCP: Flags = ...]。A ...,SrcPort = 50206,DstPort = DCE 端點解析度 (135)
8 x.x.x.x MSRPC: c/o Bind: UUID {E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT (EPMP)
MSRPC: c/o 系結 Ack: Call = 0x2 Assoc Grp = 0x5E68 Xmit = 0x16D0 接收 = 0x16D0
10 x a.x 的 a.x EPM: Request: ept_map: NDR,DRSR (DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [DCE 端點解析度 (135) ]
11 x .. x.x.x.x a.x: Response: ept_map: 0x16C9A0D6-EP_S_NOT_REGISTERED

在第 10 個畫面上,目的地 dc 會針對 Active Directory 複寫服務類別 UUID E351,在埠135上查詢來源 dc 的終結點對應器。

在第 11 個框架中,源 DC (在此例中為尚未主控 DC 角色,因此尚未註冊 E351 的成員電腦)。具有本機 EPM 回應的複寫服務的 UUID 會以符號錯誤 EP_S_NOT_REGISTERED 進行回應,該符號會對應至十進位錯誤1753、十六進位錯誤0x6d9 及易記錯誤。端點對應器沒有其他可用的端點。

稍後,使用 IP 位址 x.x.x.x 的成員電腦會在網域中升級為複本 "MayberryDC" contoso.com 。 再說一次,「立即複寫」命令是用來觸發複寫,但這次會失敗,出現螢幕錯誤 ' 目標主體名稱不正確」。 其 NIC 擁有 IP 位址 x.x.x.x 的電腦是網域控制站,目前已引導至一般模式並已註冊 E351 .。。複寫服務 UUID 與其本機 EPM,但不擁有 DC2 的名稱/安全性身分識別,而且無法從 DC1 解密 Kerberos 要求,因此要求現在會失敗,錯誤為「目標主體名稱不正確」。 哪一種對應至十進位錯誤-2146893022/十六進位錯誤0x80090322。

這類不正確主機對 IP 對應可能是由於主機/lmhost 檔案中的陳舊專案,在 DNS 或 WINS 中主控 A/AAAA 註冊。

摘要:範例1因在此情況) 下主機檔中的 IP 對應 (無法使用,而導致目的地 DC 無法解析至未) 安裝 AD (服務的「來源」 DC,所以複寫 SPN 尚未註冊,而且來源 DC 傳回錯誤1753。 在第二個案例中,主應用程式中不正確 IP 對應 (重新對應) 造成目的地 DC 連接至已註冊 E351 的 DC .。。複寫 SPN,但是該來源與預定來源 DC 具有不同的主機名稱和安全性身分識別,因此嘗試失敗,錯誤為-2146893022:目標主體名稱不正確。

MSKB 832017: Windows Server 系統的服務概述和網路埠需求

MSKB 224196:將 Active Directory 複寫流量和用戶端 RPC 流量限制在特定埠

MSKB 154596:如何設定 RPC 動態埠分配以搭配防火牆使用

MSDN: RPC 的運作方式

MSDN:如何伺服器準備連線

MSDN: 用戶端如何建立連接

MSDN: 註冊介面

MSDN: 讓伺服器在網路上可用

MSDN: 註冊端點

MSDN: 接聽用戶端通話

MSDN: 用戶端如何建立連接

MSKB 224196 將 Active Directory 複寫流量和用戶端 RPC 流量限制在特定埠

Technet: AD DS 中的目標 DC 的 SPN