Active Directory 複寫錯誤 1753：端點對應程式不再提供任何端點

本文說明 Active Directory 複寫失敗並出現 Win32 錯誤 1753 的問題：「端點對應程式已沒有可用的端點。」

適用：Windows Server 2012 R2
原始 KB 編號： 2089874

首頁使用者： 本文僅適用於技術支持專員和IT專業人員。 如果您要尋找問題的協助， 請詢問 Microsoft 社群。

徵狀

本文說明因 Win32 錯誤 1753 而失敗之 AD 作業的徵兆、原因和解決步驟：「端點對應程式不再提供任何端點」。

1. DCDIAG 報告連線能力測試、Active Directory 複寫測試或 KnowsOfRoleHolders 測試失敗，錯誤為 1753：「端點對應程式已沒有可用的端點。」

   測試伺服器： <月臺><DC 名稱>
   開始測試：連線能力
   *Active Directory LDAP 服務檢查 * Active Directory RPC Services 檢查
   [<DC 名稱>] DsBindWithSpnEx () 失敗，錯誤為 1753，
   端點對應程序中沒有其他可用的端點。
   列印 RPC 擴充錯誤資訊：
   錯誤記錄 1，ProcessID 是 <dcDiag (進程> 識別子)
   系統時間為： <日期><時間>
   產生元件為 2 (RPC 運行時間) 狀態為 1753：端點對應程式不再提供任何端點。 偵測位置為 500 NumberOfParameters 為 4
   Unicode 字串：ncacn_ip_tcp
   Unicode 字串： <來源 DC 物件 GUID>._msdcs.contoso.com
   Long val： -481213899
   Long val：65537
   錯誤記錄 2，ProcessID 為 700 (DcDiag)
   系統時間為： <日期><時間>
   產生元件為 2 (RPC 執行時間)
   狀態為 1753：端點對應程式不再提供任何端點。
   NumberOfParameters 為 1
   Unicode 字串：1025

   [複寫檢查，<DC 名稱>] 最近的複寫嘗試失敗：
   從 <來源 DC> 到 <目的地 DC>
   命名內容： <目錄分割區的 DN 路徑>
   複寫 (1753) 產生錯誤：
   端點對應程式中不再提供任何端點。
   失敗發生在 <日期><時間>。
   上次成功發生在 <日期><時間>。
   自上次成功之後，已發生 3 次失敗。
   DC 名稱>上的<目錄正在處理中。
   啟動或關機，且無法使用。
   確認機器在開機期間未停止回應。

2. REPADMIN.EXE 報告復寫嘗試失敗，狀態為 1753。

   通常會指出 1753 狀態的 REPADMIN 命令包含但不限於：

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   下列的 REPADMIN /SHOWREPS 範例輸出顯示從 CONTOSO-DC2 到 CONTOSO-DC1 的輸入複寫失敗，並出現「復寫存取遭拒」錯誤：

   Default-First-Site-Name\CONTOSO-DC1
   DSA 選項：IS_GC
   網站選項： (無)
   DSA 物件 GUID：
   DSA invocationID：

   DC=contoso，DC=com
   Default-First-Site-Name\CONTOSO-DC2 via RPC
   DSA 物件 GUID：
   上次嘗試 @ <日期><時間> 失敗，結果 1753 (0x6d9) ：
   端點對應程式中不再提供任何端點。
   <#> 連續失敗 () 。
   上次成功 @ <日期><時間>。

3. Active Directory 月臺和服務中的 [檢查複寫拓撲] 命令會傳回「端點對應程式不再提供任何端點」。

   以滑鼠右鍵按兩下來源 DC 的連線物件，然後選擇 [檢查複寫拓撲] 會失敗，並出現「端點對應程式沒有其他可用的端點。」 畫面上的錯誤訊息如下所示：

   對話框標題文字：檢查複寫拓撲
   對話框訊息正文：

   嘗試連絡域控制器時發生下列錯誤：端點對應程式不再提供任何端點。

   確定

4. Active Directory 月臺和服務中的 「立即復寫」命令會傳回「端點對應程式不再提供任何端點」。

   以滑鼠右鍵按兩下來源 DC 的連線物件，然後選擇 [立即複寫] 會失敗，並出現「端點對應程式沒有其他可用的端點。」 畫面上的錯誤訊息如下所示：

   對話框標題文字：立即複寫

   對話框消息正文：嘗試將命名內容<目錄分割區名稱>從域控制器來源 DC> 同步處理至域控制<器<目的地 DC> 時發生下列錯誤：端點對應程式沒有其他可用的端點

   作業將不會繼續

   對話框中的按鈕：確定

5. 具有 1753 狀態的 NTDS 知識一致性檢查程式 (KCC) 、NTDS 一般或 Microsoft-Windows-ActiveDirectory_DomainService 事件會記錄在目錄服務事件記錄檔中。

   通常會指出 1753 狀態的 Active Directory 事件包括但不限於：

   Event Source	事件識別碼	事件字串
   NTDS 一般	1655	Active Directory 嘗試與下列全域編錄通訊，但嘗試失敗。
   NTDS KCC	1925	嘗試建立下列可寫入目錄分割區的復寫連結失敗。
   NTDS KCC	1265	知識一致性檢查程式 (KCC) 為下列目錄分割區和來源域控制器新增複寫合約的嘗試失敗。

原因

下圖顯示 RPC) 工作流程 (遠端過程調用。 工作流程會從在步驟 1 中向 RPC 端點對應程式註冊伺服器應用程式開始 (EPM) 。 其結尾是將數據從 RPC 用戶端傳遞至步驟 7 中的用戶端應用程式。

步驟 1 到 7 對應至下列作業：

1. 伺服器應用程式會向 RPC 端點對應程式註冊其端點 (EPM) 。
2. 用戶端會代表使用者、OS 或應用程式起始的作業進行 RPC 呼叫。
3. 用戶端 RPC 會連絡目標電腦 EPM，並要求端點完成用戶端呼叫。
4. 伺服器電腦的 EPM 會以端點回應。
5. 用戶端 RPC 會連絡伺服器應用程式。
6. 伺服器應用程式會執行呼叫，並將結果傳回給用戶端 RPC。
7. 用戶端 RPC 會將結果傳回用戶端應用程式。

失敗 1753 是由步驟 3 與 4 之間的失敗所產生。 具體而言，錯誤 1753 表示 RPC 用戶端 (目的地 DC) 可以透過埠 135 連絡 RPC Server (來源 DC) ，但 RPC Server 上的 EPM (來源 DC) 找不到感興趣的 RPC 應用程式，並傳回伺服器端錯誤 1753。 此錯誤表示 RPC 用戶端 (目的地 DC) 已透過網路收到來自 RPC Server (AD 複寫來源 DC) 的伺服器端錯誤回應。

1753 錯誤的特定根本原因包括：

1. 伺服器應用程式從未啟動。 也就是說，從未嘗試過「詳細資訊」圖表中的步驟 1。
2. 伺服器應用程式已啟動，但在初始化期間發生一些失敗。 失敗使得它無法向 RPC 端點對應程式註冊。 也就是說，「詳細資訊」圖表中的步驟 1 已嘗試但失敗。
3. 伺服器應用程式已啟動，但稍後會終止。 也就是說，「詳細資訊」圖表中的步驟 1 已順利完成。 稍後會復原，因為伺服器已停機。
4. 伺服器應用程式會手動取消註冊其端點 (類似於 3，但刻意。不一可能，但包含在完整性中。)
5. RPC 用戶端 (目的地DC) 連絡與預期伺服器不同的 RPC 伺服器。 這是因為 DNS、WINS 或主機/lmhosts 檔案中的名稱與 IP 對應錯誤所導致。

錯誤 1753 不是由下列原因所造成：

• RPC 用戶端 (目的地DC) 與 RPC Server (來源 DC) 埠 135 之間的網路連線不足。
• 使用埠 135 的 RPC 伺服器 (來源 DC) 與透過暫時埠) 的 RPC 用戶端 (目的地 DC 之間缺乏網路連線。
• 密碼不相符或來源 DC 無法解密 Kerberos 加密封包。

解決方案

確認向端點對應程式註冊其服務的服務已啟動

• 針對 Windows 2000 和 Windows Server 2003 DC：確定來源 DC 已開機進入正常模式。
• 針對 Windows Server 2008 或 Windows Server 2008 R2：從來源 DC 的 控制台，啟動 Services Manager (services.msc) 。 確認 Active Directory 服務正在執行。 Active Directory 顯示為「Active Directory 網域服務」

確認 RPC 用戶端 (目的地 DC) 連線到預定的 RPC Server (來源 DC)

一般 Active Directory 樹系中的所有 DC 都會在_msdcs中註冊引導式 DC CNAME 記錄。<樹系根域> DNS 區域，不論它們位於樹系內的網域為何。 引導式 DC CNAME 記錄衍生自每個 DC NTDS Settings 物件的 objectGUID。

執行復寫型作業時，目的地 DC 會查詢來源 DC 的 DNS 引導式 CNAME 記錄。 CNAME 記錄包含來源 DC 的完整電腦名稱。 此名稱用來透過下列方式衍生來源DC IP 位址：

• DNS 用戶端快取查閱
• 主機/LMHost 檔案查閱
• DNS 或 WINS 中的主機 A/ AAAA 記錄

DNS、WINS、主機和 LMHOST 檔案中 IP 對應的過時 NTDS 設定物件和不正確的名稱，可能會導致 RPC 用戶端 (目的地 DC) 連線到錯誤的 RPC Server (來源 DC) 。 此外，不正確的IP對應名稱可能會導致 RPC 用戶端 (目的地 DC) 連線到電腦，而此電腦甚至不會安裝感興趣的 RPC Server 應用程式， (安裝 Active Directory 角色) 。 例如，DC2 的過時主機記錄包含 DC3 或成員電腦的 IP 位址。

確認下列 GUID 相符：

• 來源 DC 的物件 GUID，該來源 DC 存在於目的地 DC 的 Active Directory 複本中
• 儲存在來源 DC 的 Active Directory 複本中的來源 DC 物件 GUID。

如果有差異，請在NTDS設定物件上使用 repadmin /showobjmeta ，以查看哪一個對應至來源DC的上次升級。 比較下列日期戳記：

• NTDS Settings 物件會從 /showobjmeta建立日期。
• 來源 DC dcpromo.log檔案中的最後一個升級日期。

您可能必須使用 DCPROMO 的最後一個修改/建立日期。LOG 檔案本身。 如果物件 GUID 不相同，目的地 DC 可能會有來源 DC 的過時 NTDS Settings 物件，其 CNAME 記錄是指名稱不正確的主機記錄與 IP 對應。

在目的地DC上，執行 IPCONFIG /ALL 以判斷目的地DC用於名稱解析的 DNS 伺服器：

c:\>ipconfig /all  

在目的地DC上， NSLOOKUP 針對來源DC完整DC CNAME記錄執行：

c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname \<fully qualified cname of source DC> <destination DCs secondary DNS Server IP>

確認傳 NSLOOKUP 回的IP位址「擁有」來源DC的主機名/安全性身分識別。

) C:\\>NBTSTAT -A \\<IP address _returned_ by NSLOOKUP in the step above>

OR

b) 登入來源 DC 的控制台， IPCONFIG 從 CMD 提示字元執行 ，並確認來源 DC 擁有上述 NSLOOKUP 命令所傳回的 IP 位址。

檢查 DNS 中是否有過時/重複的主機與IP對應。

NSLOOKUP -type=hostname \<single label hostname of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<single label hostname of source DC> \<secondary DNS Server IP on destination DC>

NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<primary DNS Server IP on destination DC>
NSLOOKUP -type=hostname \<fully qualified computer name of source DC> \<secondary DNS Server IP on dest. DC>

如果主機記錄中有無效的IP位址，請調查是否已啟用並正確設定 DNS 清除。

如果上述測試或網路追蹤未顯示傳回無效 IP 位址的名稱查詢，請考慮 HOST 檔案、LMHOSTS 檔案和 WINS 伺服器中的過時專案。 DNS 伺服器也可以設定為執行 WINS 後援名稱解析。

確認伺服器應用程式 (Active Directory 等) 已向 RPC 伺服器上的端點對應程式註冊 (來源 DC)

Active Directory 會混合使用已知且動態註冊的埠。 Active Directory 域控制器所使用的已知埠和通訊協定包括：

RPC Server 應用程式	連接埠	TCP	UDP	Comments
DNS 伺服器	53	√	√
Kerberos	88	√	√
LDAP 伺服器	389	√	√
Microsoft-DS	445	√	√
LDAP SSL	636	√	√
全域編錄伺服器	3268	√
全域編錄伺服器	3269	√

已知的埠未向端點對應程序註冊。

Active Directory 和其他應用程式也會註冊在 RPC 暫時埠範圍中接收動態指派埠的服務。 這類 RPC 伺服器應用程式會在 Windows 2000 和 Windows Server 2003 計算機上動態指派介於 1024 到 5000 之間的 TCP 連接埠。 Windows Server 2008 和 Windows Server 2008 R2 計算機上的 TCP 連接埠會動態指派 49152 到 65535 之間的 TCP 連接埠。 複寫所使用的 RPC 埠可以使用 MSKB 224196中所述的步驟，在登錄中硬式編碼。 當設定為使用硬式編碼的埠時，Active Directory 會繼續向 EPM 註冊。

確認感興趣的 RPC Server 應用程式已在 AD 複寫) 的情況下，向 RPC Server 上的 RPC 端點對應程式註冊 (來源 DC。

有許多方法可以完成這項工作。 其中一個是從來源DC控制臺上的系統管理員特殊許可權命令提示字元安裝和執行 PORTQRY ：

c:\>portquery -n \<source DC> -e 135 >file.txt

在輸出中 portqry ，記下“MS NT Directory DRS 介面” (UUID = 351...) 針對 ncacn_ip_tcp通訊協定動態註冊的埠號碼。 下列代碼段顯示 Windows Server 2008 R2 DC 的範例輸出，以及以粗體醒目提示的 Active Directory 所使用的 UUID / 通訊協定組：

UUID：e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface ncacn_np：CONTOSO-DC01[\pipe\lsass]
UUID：e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 介面
ncacn_np：CONTOSO-DC01[\PIPE\protected_storage]
UUID：e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 介面
ncacn_ip_tcp：CONTOSO-DC01[49156]
UUID：e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 介面
ncacn_http：CONTOSO-DC01[49157]
UUID：e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 介面
ncacn_http：CONTOSO-DC01[6004]

其他原因

1. 確認來源DC已在正常模式下開機。 並確認來源DC上的OS和DC角色已完全啟動。

2. 確認 Active Directory 網域 服務正在執行。 如果服務目前已停止或未設定預設啟動值，請重設預設啟動值。 重新啟動修改過的DC，然後重試作業。

3. 確認 RPC 服務和 RPC 定位器的啟動值和服務狀態是否正確，適用於 RPC Client (目的地 DC) 的 OS 版本，以及來源 DC) 的 RPC Server (。 如果服務目前已停止或未設定預設啟動值，請重設預設啟動值。 重新啟動修改過的DC，然後重試作業。

   也請確定服務內容符合預設設定。

   Windows 2000	啟動值	服務狀態
   遠端程序呼叫 (RPC)	自動	開始
   遠端程序呼叫 (RPC) 定位器	自動	開始
   Windows Server 2003、Server 2008、Server 2008 R2	啟動值	服務狀態
   遠端程序呼叫 (RPC)	自動	開始
   遠端程序呼叫 (RPC) 定位器	手動	Null 或 Stopped

4. 確認動態埠範圍的大小未受到限制。 列舉 RPC 埠範圍的 Windows Server 2008 和 Windows Server 2008 R2 NETSH 語法如下所示：

   >netsh int ipv4 show dynamicport tcp
   >netsh int ipv4 show dynamicport udp
   >netsh int ipv6 show dynamicport tcp
   >netsh int ipv6 show dynamicport udp
   

5. 檢閱 KB 224196。 請確定硬式編碼埠落在來源 DC OS 版本的暫時埠範圍內。

6. 確認 ClientProtocols 索引鍵存在於 下 HKLM\Software\Microsoft\Rpc 方，且包含下列五個預設值：

   ncacn_http REG_SZ rpcrt4.dll
   ncacn_ip_tcp REG_SZ rpcrt4.dll
   ncacn_nb_tcp REG_SZ rpcrt4.dll
   ncacn_np REG_SZ rpcrt4.dll
   ncacn_ip_udp REG_SZ rpcrt4.dll
   

其他相關資訊

造成 RPC 錯誤 1753 與 -2146893022 的 IP 對應名稱錯誤範例：目標主體名稱不正確

網 contoso.com 域包含IP位址為 x.x.1.1 和 x.x.1.2 的\\DC1 和 \\DC2。 \\DC2 的主機 “A” / “AAAA” 記錄已正確登錄在針對 \\DC1 設定的所有 DNS 伺服器上。 此外，\\DC1 上的 HOSTS 檔案包含項目對應 DC2 的完整主機名與 IP 位址 x.x.1.2。 稍後，DC2 的IP位址會從 X.X.1.2 變更為 X.X.1.3，而新的成員電腦會加入具有IP位址 x.x.1.2 的網域。 Active Directory 月臺和服務嵌入式管理單元中的 「立即複寫」命令所觸發的 AD 複寫嘗試失敗，並出現錯誤 1753。 追蹤如下所示：

F# SRC DEST 作業
1 x.x.1.1 x.x.1.2 ARP：Request，x.x.1.1 要求 x.x.1.2
2 x.x.1.2 x.x.1.1 ARP：Response， x.x.1.2 at 00-13-72-28-C8-5E
3 x.x.1.1 x.x.1.2 TCP：Flags=......S.、SrcPort=50206、DstPort=DCE 端點解析 (135)
4 x.x.1.2 x.x.1.1 ARP：Request，x.x.1.2 要求 x.x.1.1
5 x.x.1.1 x.x.1.2 ARP：Response， x.x.1.1 at 00-15-5D-42-2E-00
6 x.x.1.2 x.x.1.1 TCP：Flags=...A..S.、SrcPort=DCE 端點解析 (135)
7 x.x.1.1 x.x.1.2 TCP：Flags=...A....， SrcPort=50206， DstPort=DCE 端點解析 (135)
8 x.x.1.1 x.x.1.2 MSRPC：c/o Bind： UUID{E1AF8308-5D1F-11C9-91A4-08002B14A0FA} EPT (EPMP)
9 x.x.1.2 x.x.1.1 MSRPC：c/o Bind Ack： Call=0x2 Assoc Grp=0x5E68 Xmit=0x16D0 Recv=0x16D0
10 x.x.1.1 x.x.1.2 EPM：要求：ept_map：NDR、DRSR (DRSR) {E3514235-4B06-11D1-AB04-00C04FC2DCD2} [DCE 端點解析 (135) ]
11 x.x.1.2 x.x.1.1 EPM：Response：ept_map：0x16C9A0D6 - EP_S_NOT_REGISTERED

在畫面 10，目的地 DC 會透過埠 135 查詢來源 DC 的端點對應程式，以取得 Active Directory 復寫服務類別 UUID {E351...}

在畫面 11 中，來源 DC 在此案例中為成員電腦，尚未裝載 DC 角色。 因此，它尚未註冊 {E351...}復寫服務的 UUID 及其本機 EPM。 來源 DC 會以符號錯誤EP_S_NOT_REGISTERED回應。 此錯誤對應至十進位錯誤 1753、十六進位錯誤0x6d9，以及易記錯誤「端點對應程式中沒有可用的端點」。

稍後，IP 位址為 x.x.1.2 的成員計算機會升級為網域中的 contoso.com 複本 “MayberryDC”。 同樣地，「立即復寫」命令是用來觸發復寫，但這次會失敗，並出現螢幕錯誤「目標主體名稱不正確」。 NIC 擁有IP位址 x.x.1.2的電腦是域控制器。 目前已開機進入正常模式，並已向本機 EPM 註冊 {E351...} 複寫服務 UUID。 但它不擁有 DC2 的名稱/安全性身分識別，而且無法解密 DC1 的 Kerberos 要求。 因此要求失敗，並出現錯誤「目標主體名稱不正確」。 此錯誤對應至十進位錯誤 -2146893022、十六進位錯誤0x80090322。

這類無效的主機對IP對應可能是因為主機/lmhost 檔案中的過時專案、DNS 或 WINS 中的主機 A / AAAA 註冊所造成。

摘要：

• 範例 1 失敗，因為在此案例中，主機檔案中的 IP 對應 (無效，) 。 這會導致目的地DC解析為「來源」DC，而該DC並未執行 (AD服務，或甚至) 安裝。 因此，復寫SPN尚未註冊，且來源DC傳回錯誤1753。
• 在第二個案例中，無效的主機對IP對應 (在HOST檔案中再次) 導致目的地DC連線到已註冊 {E351...} 複寫 SPN 的 DC。 但該來源的主機名和安全性身分識別與預期的來源DC不同，因此嘗試失敗並出現錯誤 -2146893022：目標主體名稱不正確。

資料收集

如果您需要 Microsoft 支援的協助，建議您依照 使用 TSS 針對 Active Directory 複寫問題收集資訊中所述的步驟來收集資訊。

相關內容

• Windows Server 系統的服務概觀和網路埠需求
• 限制 Active Directory 複寫流量和特定埠的用戶端 RPC 流量
• 如何設定 RPC 動態埠配置以使用防火牆
• RPC 的運作方式
• 如何伺服器準備連線
• 用戶端如何建立連線
• 註冊介面
• 讓伺服器可在網路上使用
• 註冊端點
• 接聽客戶端通話
• 用戶端如何建立連線
• 224196 將 Active Directory 複寫流量和用戶端 RPC 流量限製為特定埠
• AD DS 中目標DC的SPN