Добрый день, коллеги!
При подготовке к переходу с FRS на DRS-R, обнаружил на одном из DC проблемы с репликацией, а именно с доступностью RPC.
Время запуска сводки по репликации: 2017-05-29 12:07:24
Начат сбор данных для сводки по репликации, подождите:
……
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC0 19m:02s 0 / 10 0
DC1 19m:02s 0 / 10 0
MDC120 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC0 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
DC1 13m:48s 0 / 10 0
MDC120 19m:03s 0 / 10 0
Если запустить принудительную синхронизации на всех DC ругается на RPC:
PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
The RPC server is unavailable.
На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = dc0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: MoscowDC0
Starting test: Connectivity
……………………. DC0 passed test Connectivity
Doing primary tests
Testing server: MoscowDC0
Starting test: Advertising
……………………. DC0 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC0 passed test FrsEvent
Starting test: DFSREvent
……………………. DC0 passed test DFSREvent
Starting test: SysVolCheck
……………………. DC0 passed test SysVolCheck
Starting test: KccEvent
……………………. DC0 passed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC0 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC0 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC0 passed test NCSecDesc
Starting test: NetLogons
……………………. DC0 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC0 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:28:11.
5133 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=DomainDnsZones,DC=xx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:51:53.
21279 failures have occurred since the last success.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:45.
The last success occurred at 2016-11-04 04:26:33.
5025 failures have occurred since the last success.
The source MDC120 is responding now.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:03.
The last success occurred at 2016-11-04 04:26:33.
5719 failures have occurred since the last success.
The source MDC120 is responding now.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 13:04:06.
The last success occurred at 2016-11-04 04:51:35.
190198 failures have occurred since the last success.
The source MDC120 is responding now.
……………………. DC0 failed test Replications
Starting test: RidManager
……………………. DC0 passed test RidManager
Starting test: Services
……………………. DC0 passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x00001796
Time Generated: 05/29/2017 12:24:42
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
……………………. DC0 passed test SystemLog
Starting test: VerifyReferences
……………………. DC0 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : xxx
Starting test: CheckSDRefDom
……………………. xxx passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. xxx passed test CrossRefValidation
Running enterprise tests on : xxx.local
Starting test: LocatorCheck
……………………. xxx.local passed test LocatorCheck
Starting test: Intersite
……………………. xxx.local passed test Intersite
Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.
Я делаю по этой статье. Вроде все повысилось без проблем, роли FSMO передал. Но теперь как то надо все проверить
Обновление контроллеров домена до Windows Server 2016
1. Проверяем, что каталоги AD синхронизируются без проблем. Запускаем
repadmin /replsum
Убеждаемся, что в столбце «Fails» нет ошибок, а дельта синхронизации не превышает той, которая настроена между сайтами.
2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».
3. Разворачиваем новый сервер Windows Server 2016. Добавляем его в домен. Задаем статичный IP-адрес и имя хоста.
4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.
5. Получим текущее глобальное состояние миграции DFSR через команду
dfsrmig /getglobalstate
Начинаем процесс миграции. Выполняем команду
dfsrmig /setglobalstate 1
С помощью команды dfsrmig /getmigrationstate проверяем, когда 1 этап миграции завершится на всех контроллерах.
Чтобы ускорить процесс репликации между контроллерами, выполним команды
Repadmin /syncall /AeS
на каждом контроллере
Переходим к следующему этапу:
dfsrmig /setglobalstate 2
И опять ускоряем процесс синхронизации командой
Repadmin /syncall /AeS
Как только команда dfsrmig /getmigrationstate выдаст положительный результат, запускаем заключительный этап
dfsrmig /setglobalstate 3
и повторяем те же действия, чтобы завершить процесс перехода на DFS-R.
6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.
7. Запускаем службу KCC для создания новых связей с новыми контроллерами домена.
repadmin /kcc
и проверяем, что синхронизация проходит без ошибок на каждом из контроллеров
Код:
Repadmin /syncall /AeS
repadmin /replsum8. Перераспределяем роли FSMO:
Код:
[B]Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster[/B]где dc-01 и dc-02 новые сервера на WS2016
Еще раз запускаем репликацию на всех контроллерах:
repadmin /syncall /AeS
Командой netdom query fsmo убеждаемся, что все роли переехали на нужные сервера.
9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.
10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить
Код:
repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.
Добрый день, коллеги!
При подготовке к переходу с FRS на DRS-R, обнаружил на одном из DC проблемы с репликацией, а именно с доступностью RPC.
Время запуска сводки по репликации: 2017-05-29 12:07:24
Начат сбор данных для сводки по репликации, подождите:
……
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC0 19m:02s 0 / 10 0
DC1 19m:02s 0 / 10 0
MDC120 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC0 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
DC1 13m:48s 0 / 10 0
MDC120 19m:03s 0 / 10 0
Если запустить принудительную синхронизации на всех DC ругается на RPC:
PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
The RPC server is unavailable.
На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = dc0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: MoscowDC0
Starting test: Connectivity
……………………. DC0 passed test Connectivity
Doing primary tests
Testing server: MoscowDC0
Starting test: Advertising
……………………. DC0 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC0 passed test FrsEvent
Starting test: DFSREvent
……………………. DC0 passed test DFSREvent
Starting test: SysVolCheck
……………………. DC0 passed test SysVolCheck
Starting test: KccEvent
……………………. DC0 passed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC0 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC0 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC0 passed test NCSecDesc
Starting test: NetLogons
……………………. DC0 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC0 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:28:11.
5133 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=DomainDnsZones,DC=xx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:51:53.
21279 failures have occurred since the last success.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:45.
The last success occurred at 2016-11-04 04:26:33.
5025 failures have occurred since the last success.
The source MDC120 is responding now.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:03.
The last success occurred at 2016-11-04 04:26:33.
5719 failures have occurred since the last success.
The source MDC120 is responding now.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 13:04:06.
The last success occurred at 2016-11-04 04:51:35.
190198 failures have occurred since the last success.
The source MDC120 is responding now.
……………………. DC0 failed test Replications
Starting test: RidManager
……………………. DC0 passed test RidManager
Starting test: Services
……………………. DC0 passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x00001796
Time Generated: 05/29/2017 12:24:42
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
……………………. DC0 passed test SystemLog
Starting test: VerifyReferences
……………………. DC0 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : xxx
Starting test: CheckSDRefDom
……………………. xxx passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. xxx passed test CrossRefValidation
Running enterprise tests on : xxx.local
Starting test: LocatorCheck
……………………. xxx.local passed test LocatorCheck
Starting test: Intersite
……………………. xxx.local passed test Intersite
Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.
Добрый день, коллеги!
При подготовке к переходу с FRS на DRS-R, обнаружил на одном из DC проблемы с репликацией, а именно с доступностью RPC.
Время запуска сводки по репликации: 2017-05-29 12:07:24
Начат сбор данных для сводки по репликации, подождите:
……
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC0 19m:02s 0 / 10 0
DC1 19m:02s 0 / 10 0
MDC120 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC0 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
DC1 13m:48s 0 / 10 0
MDC120 19m:03s 0 / 10 0
Если запустить принудительную синхронизации на всех DC ругается на RPC:
PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
The RPC server is unavailable.
На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = dc0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: MoscowDC0
Starting test: Connectivity
……………………. DC0 passed test Connectivity
Doing primary tests
Testing server: MoscowDC0
Starting test: Advertising
……………………. DC0 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC0 passed test FrsEvent
Starting test: DFSREvent
……………………. DC0 passed test DFSREvent
Starting test: SysVolCheck
……………………. DC0 passed test SysVolCheck
Starting test: KccEvent
……………………. DC0 passed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC0 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC0 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC0 passed test NCSecDesc
Starting test: NetLogons
……………………. DC0 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC0 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:28:11.
5133 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=DomainDnsZones,DC=xx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:51:53.
21279 failures have occurred since the last success.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:45.
The last success occurred at 2016-11-04 04:26:33.
5025 failures have occurred since the last success.
The source MDC120 is responding now.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:03.
The last success occurred at 2016-11-04 04:26:33.
5719 failures have occurred since the last success.
The source MDC120 is responding now.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 13:04:06.
The last success occurred at 2016-11-04 04:51:35.
190198 failures have occurred since the last success.
The source MDC120 is responding now.
……………………. DC0 failed test Replications
Starting test: RidManager
……………………. DC0 passed test RidManager
Starting test: Services
……………………. DC0 passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x00001796
Time Generated: 05/29/2017 12:24:42
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
……………………. DC0 passed test SystemLog
Starting test: VerifyReferences
……………………. DC0 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : xxx
Starting test: CheckSDRefDom
……………………. xxx passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. xxx passed test CrossRefValidation
Running enterprise tests on : xxx.local
Starting test: LocatorCheck
……………………. xxx.local passed test LocatorCheck
Starting test: Intersite
……………………. xxx.local passed test Intersite
Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.
Добрый день, коллеги!
При подготовке к переходу с FRS на DRS-R, обнаружил на одном из DC проблемы с репликацией, а именно с доступностью RPC.
Время запуска сводки по репликации: 2017-05-29 12:07:24
Начат сбор данных для сводки по репликации, подождите:
……
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC0 19m:02s 0 / 10 0
DC1 19m:02s 0 / 10 0
MDC120 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC0 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
DC1 13m:48s 0 / 10 0
MDC120 19m:03s 0 / 10 0
Если запустить принудительную синхронизации на всех DC ругается на RPC:
PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
The RPC server is unavailable.
На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = dc0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: MoscowDC0
Starting test: Connectivity
……………………. DC0 passed test Connectivity
Doing primary tests
Testing server: MoscowDC0
Starting test: Advertising
……………………. DC0 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC0 passed test FrsEvent
Starting test: DFSREvent
……………………. DC0 passed test DFSREvent
Starting test: SysVolCheck
……………………. DC0 passed test SysVolCheck
Starting test: KccEvent
……………………. DC0 passed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC0 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC0 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC0 passed test NCSecDesc
Starting test: NetLogons
……………………. DC0 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC0 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:28:11.
5133 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=DomainDnsZones,DC=xx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:51:53.
21279 failures have occurred since the last success.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:45.
The last success occurred at 2016-11-04 04:26:33.
5025 failures have occurred since the last success.
The source MDC120 is responding now.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:03.
The last success occurred at 2016-11-04 04:26:33.
5719 failures have occurred since the last success.
The source MDC120 is responding now.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 13:04:06.
The last success occurred at 2016-11-04 04:51:35.
190198 failures have occurred since the last success.
The source MDC120 is responding now.
……………………. DC0 failed test Replications
Starting test: RidManager
……………………. DC0 passed test RidManager
Starting test: Services
……………………. DC0 passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x00001796
Time Generated: 05/29/2017 12:24:42
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
……………………. DC0 passed test SystemLog
Starting test: VerifyReferences
……………………. DC0 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : xxx
Starting test: CheckSDRefDom
……………………. xxx passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. xxx passed test CrossRefValidation
Running enterprise tests on : xxx.local
Starting test: LocatorCheck
……………………. xxx.local passed test LocatorCheck
Starting test: Intersite
……………………. xxx.local passed test Intersite
Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.
Содержание
- Dsbindwithcred to aed failed with status 1722 0x6ba the rpc server is unavailable
- Устраняем ошибку 1722 сервер rpc недоступен
- Обновление 07.08.2022
- Популярные Похожие записи:
- 6 Responses to Ошибка 1722 сервер RPC не доступен на контроллере домена
- Active Directory replication error 1722: The RPC server is unavailable
- Symptoms
- Cause
- Resolution
- Verify the startup value and service status are correct for RPC, RPC Locator, and Kerberos Key Distribution Center
- Verify the ClientProtocols key exists under HKEY_LOCAL_MACHINESoftwareMicrosoftRpc, and that it contains the correct default protocols
- Verify DNS is working
- Verify network ports are not blocked by a firewall or third-party application listening on the required ports
- Bad NIC drivers
- UDP fragmentation can cause replication errors that appear to have a source of RPC server is unavailable
- SMB signing mismatches between DCs
Dsbindwithcred to aed failed with status 1722 0x6ba the rpc server is unavailable
Добрый день уважаемые читатели и подписчики, в прошлый раз мы с вами устраняли проблему в Active Directory, а именно ошибку 14550 DfsSvc и netlogon 5781 на контроллере домена, сегодня же продолжается эпопея с продолжением этих ошибок, а именно от них мы избавились, но прилетели новые: Ошибка 1722. Сервер RPC и за последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. Давайте разбираться в чем дело.
Сетевые проблемы с репликацией и их решение, читайте по ссылке выше, про 14550. И так напомню, у меня есть два домена, родительский и дочерний. В дочернем 3 контроллера домена Active Directory. После переноса одного контроллера домена из одного сайта, ко всем остальным стали появляться ошибки 1722. Сервер RPC не доступен и сервер RPC и за последние 24 часа после предоставления SYSVOL.
Выявил я их при диагностике репликации между контроллерами домена, с помощью команды:
Данная команда показывает все ошибки репликации на предприятии. Вот как выглядит ошибка:
Первым делом, чтобы проверить, что с репликацией все хорошо, нужно удостовериться, что по UNC пути ваш домен доступна на чтение папка SYSVOL и NETLOGON.
Если они не доступны, то нужно проверить права на папки и проверьте доступность портов службы RPC TCP/UDP 135, возможно у вас они закрыты на брандмауэре, лучше на время тестирования его вообще отключить.
PS C:Users> Test-NetConnection dc07 -Port 135
ComputerName : dc07
RemoteAddress : 10.91.101.17
RemotePort : 135
InterfaceAlias : Ethernet0
SourceAddress : 10.91.101.7
TcpTestSucceeded : True
Если все нормально, то двигаемся дальше. Давайте теперь проверим, когда в последний раз реплицировались контроллеры домена, делается это командой:
В итоге я обнаружил, что у меня dc7 и dc13 имеют ошибку 1722 Сервер RPC недоступен. Порты 135 я проверил, они слушались. Кто не знает как проверить, то вот вам команда telnet в помощь.
Далее посмотрите в логах Windows 📃журналы «Active Directory Web Services«, «ActiveDirectory_DomainService» и «DFS Replication«, возможно вы там найдете дополнительные детали. Например, у меня была ошибка:
Partner DNS Address: DC1.pyatilistnik.org
Optional data if available:
Partner WINS Address: DC1
Partner IP Address: 192.168.1.26
The service will retry the connection periodically.
Additional Information:
Error: 1722 (The RPC server is unavailable.)
Connection ID: 9BBE21A2-46E3-4444-9D40-2967F4BA3400
Replication Group ID: E9198376-3944-4218-89BE-D4EC89CA73E8
В результате данный контроллер разрешался под старым IP-адресом, чтобы это поправить вам нужно почистить локальный кэш на контроллере, где появилась данная ошибка.
Когда с разрешением имени станет все нормально, у вас появится событие:
Additional Information:
Connection Address Used: DC1
Connection ID: 9BBE21A2-46E3-4C74-4444-2967F4BA3400
Replication Group ID: E9198376-39FD-4444-89BE-D4EC89CA73E8
Следующим шагом, идет 🛠проверка DNS серверов, в настройках стека TCP/IP. Если у вас более одного контроллера домена, то у вас первым dns сервером в настройках сетевого интерфейса должен идти dns другого контроллера домена, затем либо адрес текущего или петлевой Ip, а уже затем любые, что вам нужны.
Теперь снова выполнив команду repadmin /replsummary, я увидел, что все репликации прошли успешно. Так же советую запустить вручную репликацию AD, и проверить нет ли ошибок, убедитесь, так же, что команда dcdiag /a /q не дает ошибок. Так же если у вас развитая система сайтов AD, дождитесь времени репликации между ними.
Еще бывает, что на событие 1722 наслаивается ошибка:
Обновление 07.08.2022
Еще заметил интересную вещь, если в логах ошибки перестали появляться, но repadmin показывает ошибку, то нужно смотреть на количество неудачных попыток, если все хорошо, то счетчик начнет уменьшаться, но опять же совместно с ошибкой. Как только ошибок станет меньше двух, ошибка уйдет.
И вот там уже нужно больше телодвижений. Вот так вот просто решается ошибка 1722 сервер RPC не доступен на контроллере домена по Windows Server 2012 R2. Если у вас есть чем дополнить статью, то просьба написать это в комментариях.
Популярные Похожие записи:
6 Responses to Ошибка 1722 сервер RPC не доступен на контроллере домена
Привет, Иван! Я так не понял, что Вы сделали, чтобы все заработало. Как я понял, вы провели проверку, и все заработало?
Скринов случайно не осталось для написания статейки по переносу контроллера домена?)
Убедитесь, что все реплики ходят, и во вторых, чтобы в dns не было 127.0.0.1
Добрый день!
Спасибо за статью!
Подскажите, а как бороться с этим недугом?
The File Replication Service is having trouble enabling replication from DC1 to DC2 for c:windowssysvoldomain using the DNS name DC1.netwell.local. FRS will keep retrying.
Following are some of the reasons you would see this warning.
[1] FRS can not correctly resolve the DNS name DC1.netwell.local from this computer.
[2] FRS is not running on DC1.netwell.local.
[3] The topology information in the Active Directory Domain Services for this replica has not yet replicated to all the Domain Controllers.
This event log message will appear once per connection, After the problem is fixed you will see another event log message indicating that the connection has been established.
Вы не можете составить програмку для решения этого вопроса и поэтому выделываетесь в сети.
Этого 1722 и RPC не было на ХР и семёрке, у меня проявилось на десятке и не даёт возможности форматировать и создавать новые диски в программе от SEAGATE «Диск визард». Короче, моё мнение — это неумышленная, а может быть умышленная ошибка программистов, т.е. вирус. Придётся связываться с SEAGATE.
Как мне всё это надоело!
Источник
Active Directory replication error 1722: The RPC server is unavailable
This article helps fix the error 1722 of Active Directory replication.
Applies to: В Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Original KB number: В 2102154
Symptoms
This article describes the symptoms, cause, and resolution for resolving Active Directory replication failing with Win32 error 1722: The RPC server is unavailable.
DCPROMO Promotion of a replica DC fails to create an NTDS Settings object on the helper DC with error 1722гЂ‚
Dialog Title text: Active Directory Domain Services Installation Wizard
Dialog Message text:
DCDIAG reports that the Active Directory Replications test has failed with error 1722: The RPC Server is unavailable.
REPADMIN.EXE reports that replication attempt has failed with status 1722 (0x6ba).
REPADMIN commands that commonly cite the -1722 (0x6ba) status include but are not limited to:
- REPADMIN /REPLSUM
- REPADMIN /SHOWREPL
- REPADMIN /SHOWREPS
- REPADMIN /SYNCALL
Sample output from REPADMIN /SHOWREPS and REPADMIN /SYNCALL depicting The RPC server is unavailable error is shown below:
Sample output of REPADMIN /SYNCALL depicting The RPC server is unavailable error is shown below:
The replicate now command in Active Directory Sites and Services returns The RPC server is unavailable.
Right-clicking on the connection object from a source DC and choosing replicate now fails with The RPC server is unavailable. The on-screen error message is shown below:
Dialog title text: Replicate Now
Dialog message text:
The following error occurred during the attempt to synchronize naming context from domain controller to domain controller :The RPC server is unavailable. This operation will not continue. This condition may be caused by a DNS lookup problem. For information about troubleshooting common DNS lookup problems, see the following Microsoft Web site: DNS Lookup Problem
NTDS Knowledge Consistency Checker (KCC), NTDS General, or Microsoft-Windows-ActiveDirectory_DomainService events with the 1722 status are logged in the directory service event log.
Active Directory events that commonly cite the 1722 status include but are not limited to:
| Event Source | Event ID | Event String |
|---|---|---|
| Microsoft-Windows-ActiveDirectory_DomainService | 1125 | The Active Directory Domain Services Installation Wizard (Dcpromo) was unable to establish connection with the following domain controller. |
| NTDS KCC | 1311 | The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition. |
| NTDS KCC | 1865 | The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site. |
| NTDS KCC | 1925 | The attempt to establish a replication link for the following writable directory partition failed. |
| NTDS Replication | 1960 | Internal event: The following domain controller received an exception from a remote procedure call (RPC) connection. The operation may have failed. |
Cause
RPC is an intermediate layer between the network transport and the application protocol. RPC itself has no special insight into failures but attempts to map lower layer protocol failures into an error at the RPC layer.
RPC error 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE is logged when a lower layer protocol reports a connectivity failure. The common case is that the abstract TCP CONNECT operation failed. In the context of AD replication, the RPC client on the destination DC was not able to successfully connect to the RPC server on the source DC. Common causes for this are:
- Link local failure
- DHCP failure
- DNS failure
- WINS failure
- Routing failure (including blocked ports on firewalls)
- IPSec / Network authentication failures
- Resource limitations
- Higher layer protocol not running
- Higher layer protocol is returning this error
Resolution
Basic troubleshooting steps to identify the problem.
Verify the startup value and service status are correct for RPC, RPC Locator, and Kerberos Key Distribution Center
Verify the startup value and service status are correct for the Remote Procedure Call (RPC), Remote Procedure Call (RPC) Locator and Kerberos Key Distribution Center.
The OS version will determine the correct values for the source and destination system that is logging the replication error. Use the following table to help validate the settings.
| Service Name | Windows 2000 | Windows 2003 /R2 | Windows 2008 | Windows 2008 R2 |
|---|---|---|---|---|
| Remote Procedure Call (RPC) | Started / Automatic | Started / Automatic | Started / Automatic | Started / Automatic |
| Remote Procedure Call (RPC) Locator | Started / Automatic (Domain Controllers)
Not started / Manual(Member Servers) |
Not started / Manual | Not started / Manual | Not started / Manual |
| Kerberos Key Distribution Center (KDC) | Started / Automatic (Domain Controllers)
Not started / Disabled(Member Servers) |
Started / Automatic (Domain Controllers)
Not started / Disabled(Member Servers) |
Started / Automatic (Domain Controllers)
Not started / Disabled(Member Servers) |
Started / Automatic (Domain Controllers)
Not started / Disabled(Member Servers) |
If you make any changes to match the settings above, restart the machine. Verify both the startup value and service status match the values documented in the table above.
Verify the ClientProtocols key exists under HKEY_LOCAL_MACHINESoftwareMicrosoftRpc, and that it contains the correct default protocols
| Protocol Name | Type | Data Value |
|---|---|---|
| ncacn_http | REG_SZ | rpcrt4.dll |
| ncacn_ip_tcp | REG_SZ | rpcrt4.dll |
| ncacn_np | REG_SZ | rpcrt4.dll |
| ncacn_ip_udp | REG_SZ | rpcrt4.dll |
If the ClientProtocols key or any of the four default values are missing, import the key from a known good server.
Verify DNS is working
DNS lookup failures are the cause of a large number of 1722 RPC errors when it comes to replication.
There are a few tools to use to help identify DNS errors:
DCDIAG /TEST:DNS /V /E /F:
The DCDIAG /TEST:DNS command can validate DNS health of Windows 2000 Server (SP3 or later), Windows Server 2003, and Windows Server 2008 family domain controllers. This test was first introduced with Windows Server 2003 Service Pack 1.
There are seven test groups for this command.
Records registration (RReg)
Dynamic update ( Dyn )
Forwarders/Root hints (Forw)
Summary of DNS test results:
The summary provides remediation steps for the more common failures from this test.
Explanation and additional options for this test can be found at Domain Controller Diagnostics Tool (dcdiag.exe).
Nltest /dsgetdc is used to exercise the dc locator process. Thus /dsgetdc: tries to find the domain controller for the domain. Using the force flag forces domain controller location rather than using the cache. You can also specify options such as /gc or /pdc to locate a Global Catalog or a primary domain controller emulator. For finding the Global Catalog, you must specify a tree name, which is the DNS domain name of the root domain.
Can be used with Windows 2003 and earlier versions to gather specific information for networking configuration and error. This tool takes some time to run when executing the -v switch.
Sample output for the DNS test:
It’s a simple quick test to validate the host record for a domain controller is resolving to the correct machine.
dnslint /s IP /ad IP
DNSLint is a Windows utility that helps you to diagnose common DNS name resolution issues. The output is an htm file with much information including:
DNS server: localhost
SOA record data from server:
Additional authoritative (NS) records from server: DC2.fabrikam.com
Alias (CNAME) and glue (A) records for forest GUIDs from server:
Verify network ports are not blocked by a firewall or third-party application listening on the required ports
The endpoint mapper (listening on port 135) tells the client which randomly assigned port a service (FRS, AD replication, MAPI, and so on) is listening on.
| Application protocol | Protocol | Ports |
|---|---|---|
| Global Catalog Server | TCP | 3269 |
| Global Catalog Server | TCP | 3268 |
| LDAP Server | TCP | 389 |
| LDAP Server | UDP | 389 |
| LDAP SSL | TCP | 636 |
| LDAP SSL | UDP | 636 |
| IPsec ISAKMP | UDP | 500 |
| NAT-T | UDP | 4500 |
| RPC | TCP | 135 |
| RPC randomly allocated high TCP portsВ№ | TCP | 1024 — 5000 49152 — 65535* |
* This is the range in Windows Server 2008, Windows Vista, Windows 7, and Windows 2008 R2.
Portqry can be used to identify if a port is blocked from a Dc when targeting another DC. It can be downloaded at PortQry Command Line Port Scanner Version 2.0.
-e 135
portqry -n
A graphical version of portqry, called Portqryui can be found at PortQryUI — User Interface for the PortQry Command Line Port Scanner.
If the Dynamic Port range has ports being blocked, use the below links to configure a port range that is manageable for the customer.
Additional important links for configuration and working with Firewalls and Domain Controllers:
Bad NIC drivers
See network card vendors or OEMs for the latest drivers.
UDP fragmentation can cause replication errors that appear to have a source of RPC server is unavailable
Event ID 40960 & 40961 errors with a source of LSASRV are common for this particular cause.
SMB signing mismatches between DCs
Using Default Domain Controllers Policy to configure consistent settings for SMB Signing under the following section will help address this cause:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
- Microsoft network client: Digitally sign communications (always) Disabled.
- Microsoft network client: Digitally sign communications (if server agrees) Enabled.
- Microsoft network server: Digitally sign communications (always) Disabled.
- Microsoft network server: Digitally sign communications (if client agrees) Enabled.
The settings can be found under the following registry keys:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManWorkstationParameters and HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters
- RequireSecuritySignature = always (0,disable, 1 enable).
- EnableSecuritySignature = is server agrees (0,disable, 1 enable).
If the above don’t provide a solution to the 1722, use the following Diagnostic logging to gather more information:
Источник
Обновлено 04.01.2023
Добрый день уважаемые читатели и подписчики, в прошлый раз мы с вами устраняли проблему в Active Directory, а именно ошибку 14550 DfsSvc и netlogon 5781 на контроллере домена, сегодня же продолжается эпопея с продолжением этих ошибок, а именно от них мы избавились, но прилетели новые: Ошибка 1722. Сервер RPC и за последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. Давайте разбираться в чем дело.
Устраняем ошибку 1722 сервер rpc недоступен
Сетевые проблемы с репликацией и их решение, читайте по ссылке выше, про 14550. И так напомню, у меня есть два домена, родительский и дочерний. В дочернем 3 контроллера домена Active Directory. После переноса одного контроллера домена из одного сайта, ко всем остальным стали появляться ошибки 1722. Сервер RPC не доступен и сервер RPC и за последние 24 часа после предоставления SYSVOL.
Выявил я их при диагностике репликации между контроллерами домена, с помощью команды:
Данная команда показывает все ошибки репликации на предприятии. Вот как выглядит ошибка:
Сервер RPC и за последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
Первым делом, чтобы проверить, что с репликацией все хорошо, нужно удостовериться, что по UNC пути ваш домен доступна на чтение папка SYSVOL и NETLOGON.
Если они не доступны, то нужно проверить права на папки и проверьте доступность портов службы RPC TCP/UDP 135, возможно у вас они закрыты на брандмауэре, лучше на время тестирования его вообще отключить.
PS C:Users> Test-NetConnection dc07 -Port 135
ComputerName : dc07
RemoteAddress : 10.91.101.17
RemotePort : 135
InterfaceAlias : Ethernet0
SourceAddress : 10.91.101.7
TcpTestSucceeded : True
Если все нормально, то двигаемся дальше. Давайте теперь проверим, когда в последний раз реплицировались контроллеры домена, делается это командой:
В итоге я обнаружил, что у меня dc7 и dc13 имеют ошибку 1722 Сервер RPC недоступен. Порты 135 я проверил, они слушались. Кто не знает как проверить, то вот вам команда telnet в помощь.
Далее посмотрите в логах Windows 📃журналы «Active Directory Web Services«, «ActiveDirectory_DomainService» и «DFS Replication«, возможно вы там найдете дополнительные детали. Например, у меня была ошибка:
ID 5008: The DFS Replication service failed to communicate with partner DC1 for replication group Domain System Volume. This error can occur if the host is unreachable, or if the DFS Replication service is not running on the server.
Partner DNS Address: DC1.pyatilistnik.org
Optional data if available:
Partner WINS Address: DC1
Partner IP Address: 192.168.1.26
The service will retry the connection periodically.
Additional Information:
Error: 1722 (The RPC server is unavailable.)
Connection ID: 9BBE21A2-46E3-4444-9D40-2967F4BA3400
Replication Group ID: E9198376-3944-4218-89BE-D4EC89CA73E8
В результате данный контроллер разрешался под старым IP-адресом, чтобы это поправить вам нужно почистить локальный кэш на контроллере, где появилась данная ошибка.
Когда с разрешением имени станет все нормально, у вас появится событие:
ID 5004: The DFS Replication service successfully established an inbound connection with partner DC1 for replication group Domain System Volume.
Additional Information:
Connection Address Used: DC1
Connection ID: 9BBE21A2-46E3-4C74-4444-2967F4BA3400
Replication Group ID: E9198376-39FD-4444-89BE-D4EC89CA73E8
Следующим шагом, идет 🛠проверка DNS серверов, в настройках стека TCP/IP. Если у вас более одного контроллера домена, то у вас первым dns сервером в настройках сетевого интерфейса должен идти dns другого контроллера домена, затем либо адрес текущего или петлевой Ip, а уже затем любые, что вам нужны.
Так, что правильный порядок DNS серверов, это 90 процентов случаев
Теперь снова выполнив команду repadmin /replsummary, я увидел, что все репликации прошли успешно. Так же советую запустить вручную репликацию AD, и проверить нет ли ошибок, убедитесь, так же, что команда dcdiag /a /q не дает ошибок. Так же если у вас развитая система сайтов AD, дождитесь времени репликации между ними.
Еще бывает, что на событие 1722 наслаивается ошибка:
Обновление 07.08.2022
Еще заметил интересную вещь, если в логах ошибки перестали появляться, но repadmin показывает ошибку, то нужно смотреть на количество неудачных попыток, если все хорошо, то счетчик начнет уменьшаться, но опять совместно с ошибкой. Как только ошибок станет меньше двух, ошибка уйдет.
Проверка DNS в лесу с несколькими доменами
На, что еще вы можете обратить внимание, если у вас, как и у меня лес состоит из главного корневого домена и нескольких дочерних, то обязательно убедитесь, что у вас правильно все прописано в DNS. Приведу пример, при попытке выполнить команду принудительной репликации:
Я периодически получал ошибку:
SyncAll reported the following errors:
Error contacting server CN=NTDS Settings,CN=DC1,CN=Servers,CN=Holding,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=org (network error): 1722 (0x6ba):
The RPC server is unavailable.
Хотя реплики все ходили без проблем, судя по repadmin /replsummary, но dcdiag /a /q показывает ошибки, что данный контроллер домена у меня определяется со старым IP-адресом, который я менял при миграции виртуальной машины в новое адресное пространство.
……………………. DC1 failed test Connectivity
Although the Guid DNS name
(d06896a3-be4b-4b8a-b75f-e52e07526a0f._msdcs.Pyatilistnik.org) resolved to
the IP address (192.168.11.1), which could not be pinged, the server
name (DC2.Pyatilistnik.org) resolved to the IP address
(10.97.11.10) and could be pinged. Check that the IP address is
registered correctly with the DNS server.
Got error while checking LDAP and RPC connectivity. Please check your
firewall settings.
Обязательно через команду nslookup проверьте, что ваши контроллеры домена разрешаются в правильный IP и, что IP разрешается в правильное DNS имя. Далее открываем «Управление DNS» оснастку и находим основную зону. Разверните ее, чтобы отобразить все контейнеры. Мультидоменной среде, вы увидите, что корневая основная зона, содержит в себе еще контейнеры с дочерними доменами, в которых вы увидите список ваших DNS серверов и контроллеров домена. Тут у вас может быть:
- ⛔️Не весь список актуальных DNS серверов
- ⛔️Список DNS серверов, но с неправильными IP-адресами в которые они разрешаются
У меня dc6 уже точно не было, что уже нужно удалить.
Далее щелкните по любому DNS серверу из списка. У вас откроется окно свойств, где видно в какие IP-адреса разрешаются имена, у меня тут и фигурировали dc1 и dc2 со старыми именами. Тут и получалось, что ошибка «(network error): 1722 (0x6ba)» была плавающая. Когда обращение по разрешению IP-адреса контроллера шло к правильному серверу с валидным IP, все было хорошо, но как только доходило до неправильной записи, была ошибка.
Теперь перейдите к редактированию неправильной записи, и попробуйте ее разрезолвить, если с этим проблем нет, то получите актуальный IP-адрес, если не получается, то смотрите обратную зону или задайте значение вручную.
И вот там уже нужно больше телодвижений. Вот так вот просто решается ошибка 1722 сервер RPC не доступен на контроллере домена по Windows Server 2012 R2. Если у вас есть чем дополнить статью, то просьба написать это в комментариях.
Добрый день, коллеги!
При подготовке к переходу с FRS на DRS-R, обнаружил на одном из DC проблемы с репликацией, а именно с доступностью RPC.
Время запуска сводки по репликации: 2017-05-29 12:07:24
Начат сбор данных для сводки по репликации, подождите:
……
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC0 19m:02s 0 / 10 0
DC1 19m:02s 0 / 10 0
MDC120 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC0 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
DC1 13m:48s 0 / 10 0
MDC120 19m:03s 0 / 10 0
Если запустить принудительную синхронизации на всех DC ругается на RPC:
PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
The RPC server is unavailable.
На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = dc0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: MoscowDC0
Starting test: Connectivity
……………………. DC0 passed test Connectivity
Doing primary tests
Testing server: MoscowDC0
Starting test: Advertising
……………………. DC0 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC0 passed test FrsEvent
Starting test: DFSREvent
……………………. DC0 passed test DFSREvent
Starting test: SysVolCheck
……………………. DC0 passed test SysVolCheck
Starting test: KccEvent
……………………. DC0 passed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC0 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC0 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC0 passed test NCSecDesc
Starting test: NetLogons
……………………. DC0 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC0 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:28:11.
5133 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=DomainDnsZones,DC=xx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:51:53.
21279 failures have occurred since the last success.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:45.
The last success occurred at 2016-11-04 04:26:33.
5025 failures have occurred since the last success.
The source MDC120 is responding now.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:03.
The last success occurred at 2016-11-04 04:26:33.
5719 failures have occurred since the last success.
The source MDC120 is responding now.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 13:04:06.
The last success occurred at 2016-11-04 04:51:35.
190198 failures have occurred since the last success.
The source MDC120 is responding now.
……………………. DC0 failed test Replications
Starting test: RidManager
……………………. DC0 passed test RidManager
Starting test: Services
……………………. DC0 passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x00001796
Time Generated: 05/29/2017 12:24:42
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
……………………. DC0 passed test SystemLog
Starting test: VerifyReferences
……………………. DC0 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : xxx
Starting test: CheckSDRefDom
……………………. xxx passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. xxx passed test CrossRefValidation
Running enterprise tests on : xxx.local
Starting test: LocatorCheck
……………………. xxx.local passed test LocatorCheck
Starting test: Intersite
……………………. xxx.local passed test Intersite
Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.
Добрый день, коллеги!
При подготовке к переходу с FRS на DRS-R, обнаружил на одном из DC проблемы с репликацией, а именно с доступностью RPC.
Время запуска сводки по репликации: 2017-05-29 12:07:24
Начат сбор данных для сводки по репликации, подождите:
……
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC0 19m:02s 0 / 10 0
DC1 19m:02s 0 / 10 0
MDC120 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC0 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
DC1 13m:48s 0 / 10 0
MDC120 19m:03s 0 / 10 0
Если запустить принудительную синхронизации на всех DC ругается на RPC:
PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
The RPC server is unavailable.
На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = dc0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: MoscowDC0
Starting test: Connectivity
……………………. DC0 passed test Connectivity
Doing primary tests
Testing server: MoscowDC0
Starting test: Advertising
……………………. DC0 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC0 passed test FrsEvent
Starting test: DFSREvent
……………………. DC0 passed test DFSREvent
Starting test: SysVolCheck
……………………. DC0 passed test SysVolCheck
Starting test: KccEvent
……………………. DC0 passed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC0 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC0 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC0 passed test NCSecDesc
Starting test: NetLogons
……………………. DC0 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC0 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:28:11.
5133 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=DomainDnsZones,DC=xx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:51:53.
21279 failures have occurred since the last success.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:45.
The last success occurred at 2016-11-04 04:26:33.
5025 failures have occurred since the last success.
The source MDC120 is responding now.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:03.
The last success occurred at 2016-11-04 04:26:33.
5719 failures have occurred since the last success.
The source MDC120 is responding now.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 13:04:06.
The last success occurred at 2016-11-04 04:51:35.
190198 failures have occurred since the last success.
The source MDC120 is responding now.
……………………. DC0 failed test Replications
Starting test: RidManager
……………………. DC0 passed test RidManager
Starting test: Services
……………………. DC0 passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x00001796
Time Generated: 05/29/2017 12:24:42
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
……………………. DC0 passed test SystemLog
Starting test: VerifyReferences
……………………. DC0 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : xxx
Starting test: CheckSDRefDom
……………………. xxx passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. xxx passed test CrossRefValidation
Running enterprise tests on : xxx.local
Starting test: LocatorCheck
……………………. xxx.local passed test LocatorCheck
Starting test: Intersite
……………………. xxx.local passed test Intersite
Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.
Обновлено 04.05.2022
Добрый день! Уважаемые читатели и гости одного из лучших IT блогов Pyatilistnik.org. Не так давно я вам подробно рассказывал из каких компонентов и служб состоит Active Directory. Сегодня я хочу дополнить данную публикацию и подробно рассказать про утилиту командной строки Repadmin, благодаря ей я вас научу диагностировать репликацию между контроллерами домена, покажу как находить и решать проблемы в вашей доменной инфраструктуре. Каждый системный администратор, просто обязан ее знать и уметь ей пользоваться, если вы еще не из их числа, то давайте это исправлять.
Что такое Repadmin?
Если вы работаете с несколькими доменами Active Directory или сайтами AD, то вы обязательно столкнетесь с проблемами в какой-то момент, особенно в процессе репликации. Репликация, это самый важный жизненный цикл в доменных службах. Эта репликация важна, так как ее отсутствие может вызвать проблемы с аутентификацией. В свою очередь, это может создать проблемы с доступом к ресурсам в сети. Компания Microsoft это понимает, как никто другой и создала для этих задач отдельную утилиту Repadmin.
Repadmin — это инструмент командной строки, для диагностики и устранения проблем репликации Active Directory. Repadmin можно использовать для просмотра топологии репликации с точки зрения каждого контроллера домена. Кроме того, вы можете использовать Repadmin, чтобы вручную создать топологию репликации, инициировать события репликации между контроллерами домена и просматривать метаданные репликации и векторы актуальности (UTDVEC). Вы также можете использовать Repadmin.exe для мониторинга относительной работоспособности леса доменных служб Active Directory (AD DS).
Как установить Repadmin?
Repadmin.exe встроен в Windows Server 2008 и выше, вы легко найдете его и на Windows Server 2019. Он доступен, если у вас установлена роль AD DS или сервера AD LDS. Он также доступен в клиентских ОС, таких как Windows 10, если вы устанавливаете инструменты доменных служб Active Directory, которые являются частью средств удаленного администрирования сервера (RSAT).
Требования для использования Repadmin
использование Repadmin требует учетных данных администратора на каждом контроллере домена, на который нацелена команда. Члены группы «Администраторы домена» имеют достаточные разрешения для запуска repadmin на контроллерах домена в этом домене. Члены группы «Администраторы предприятия» по умолчанию имеют права в каждом домене леса. Если вы запустите утилиту без необходимых прав, то вы получите сообщение:
Ошибка функции DsBindWithCred для компьютера, состояние ошибки 1753 (0x6d9):
В системе отображения конечных точек не осталось доступных конечных точек.
Вы также можете делегировать конкретные разрешения, необходимые для просмотра и управления состоянием репликации.
Основные ключи Repadmin
Запустите командную строку от имени администратора или откройте PowerShell в режиме администратора и выполните команду:
В результате вы получите справку по утилите.
Теперь опишу вам за что отвечает каждый ключ:
- /kcc — Принудительно проверяет согласованность (Knowledge Consistency Checker (KCC)) на целевых контроллерах домена, чтобы немедленно пересчитать топологию входящей репликации.
- /prp — Можно просматривать и изменять политику репликации паролей (PRP) для контроллеров домена только для чтения (RODC).
- /queue — Отображает запросы входящей репликации, которые необходимо обработать контроллеру домена, чтобы получить последние данные от партнеров по репликации, у которых более свежие данные.
- /replicate — Запускает немедленную репликацию указанного раздела каталога на целевой контроллер домена с исходного контроллера домена.
- /replsingleobj — Реплицирует один (отдельный) объект между любыми двумя контроллерами домена, которые имеют общие разделы каталога.
- /replsummary — Операция replsummary быстро и кратко обобщает состояние репликации и относительную работоспособность леса. Определяет контроллеры домена, которые не выполняют входящую или исходящую репликацию, и суммирует результаты в отчете.
- /rodcpwdrepl — Запускает репликацию паролей для заданных пользователей с источника (контроллера домена концентратора) на один или более доступных только для чтения контроллер домена.
- /showattr — Отображает атрибуты объекта.
- /showobjmeta — Отображает метаданные репликации для указанного объекта, хранящиеся в Active Directory, например, идентификатор атрибута, номер версии, исходящий и локальный USN, а также глобальный уникальный идентификатор GUID исходящего сервера (сервера-отправителя) и метку даты и времени.
- /showrepl — Отображает состояние репликации, когда указанный контроллер домена последний раз пытался выполнить входящую репликацию разделов Active Directory.
- /showutdvec — Отображает наибольший поддерживаемый последовательный номер обновления (USN), который в указанной копии контроллера домена Active Directory показан как поддерживаемый для этой копии и транзитивных партнеров.
- /syncall Синхронизирует указанный контроллер домена со всеми партнерами репликации.
Дополнительные параметры
- /u: — Указание домена и имени пользователя с обратной косой чертой в качестве разделителя {доменпользователь}, у которого имеются разрешения на выполнение операций Active Directory. UPN-вход не поддерживается.
- /pw:— Задание пароля для пользователя, указанного в параметре /u.
- /retry — Этот параметр вызывает повтор попытки создать привязку к конечному контроллеру домена, когда при первой попытке произошел сбой с одним из следующих состояний ошибки ( 1722 0x6ba : «Сервер RPC недоступен» или 1753 / 0x6d9 : «Отсутствуют конечные точки, доступные из сопоставителя конечных точек»)
- /csv — Применяется с параметром /showrepl для вывода результатов в формате значений, разделенных запятыми (CSV).
Просмотр общего состояния репликации
Эта команда быстро покажет вам общее состояние репликации.
В результате вы увидите присутствуют ли у вас сбои при репликации. временные дельты, количество ошибок. Вы можете заметите, что отчет разделен на два основных раздела — DSA-источник и DSA-адресат.
Обратите внимание, что одни и те же серверы перечислены в обоих разделах. Причина этого заключается в том, что Active Directory использует модель с несколькими основными доменами. Другими словами, обновления Active Directory могут быть записаны на любой контроллер домена (с заметными исключениями контроллеры домена только для чтения). Эти обновления затем реплицируются на другие контроллеры домена в домене. По этой причине вы видите одинаковые контроллеры домена в списке как DSA-источника, так и получателя. Если бы мой домен содержал какие-либо контроллеры домена только для чтения, они были бы перечислены только в разделе DSA назначения.
Сводный отчет о репликации не просто перечисляет контроллеры домена, в нем также перечислены самые большие дельты репликации. Вы также можете просмотреть общее количество попыток репликации, которые были недавно предприняты, а также количество неудачных попыток и увидеть процент попыток, которые привели к ошибке.
repadmin /replsummary /bysrc
Ключ /bysrc — Суммирует состояние репликации для всех контроллеров домена, на которые реплицирует данный исходный контроллер домена. В отчете вы получите данные только по исходному DSA.
repadmin /replsummary /bydest
Ключ /bydest — Суммирует состояние репликации для всех контроллеров домена, с которых реплицирует данный целевой контроллер домена. Отображает только конечный DSA.
Ключ /sort — Сортирует выходные данные по столбцам.
- delta: сортирует результаты в соответствии с наименьшим значением дельта для каждого контроллера домена источника или назначения.
- partners: сортирует список результатов по количеству партнеров по репликации для каждого контроллера домена.
- failures: сортирует список результатов по количеству сбоев репликации партнеров для каждого контроллера домена.
- error: сортирует список результатов по последнему результату репликации (коду ошибки), который блокирует репликацию для каждого контроллера домена. Это поможет вам устранить причину сбоя для контроллеров домена, которые выходят из строя с общими ошибками.
- percent: сортирует список результатов по проценту ошибок репликации партнера для каждого контроллера домена. (Это рассчитывается путем деления количества отказов на общее количество попыток, а затем умножения на 100; то есть отказы/общее число попыток *100.) Это поможет вам расставить приоритеты в работе по устранению неполадок путем определения контроллеров домена, которые испытывают самую высокую частота ошибок репликации.
- unresponsive: сортирует список результатов по именам партнеров, которые не отвечают на запросы репликации для каждого контроллера домена.
Пример применения дополнительных ключей
repadmin /replsummary /bysrc /bydest /sort:delta
Вы можете указать параметры /bysrc и /bydest одновременно. В этом случае Repadmin сначала отображает таблицу параметров /bysrc, а затем таблицу параметров /bydest. Если оба параметра / bysrc и /bydest отсутствуют, то Repadmin отображает параметр с наименьшим количеством ошибок партнеров.
Вот пример ошибки «1722: The RPC server is unavailable», которую может показать repadmin с ключом replsummary.
Просмотр топологии репликации и ошибки
Команда repadmin /showrepl помогает понять топологию и ошибки репликации. Он сообщает, о состоянии каждого исходного контроллера домена, с которого у получателя есть объект входящего соединения. Отчет о состоянии делится на разделы каталога.
Административная рабочая станция, на которой вы запускаете Repadmin, должна иметь сетевое подключение удаленного вызова процедур (RPC) ко всем контроллерам домена, на которые нацелен параметр DSA_LIST. Ошибки репликации могут быть вызваны исходным контроллером домена, контроллером домена назначения или любым компонентом процесса репликации, включая базовую сеть.
Команда отображает GUID каждого объекта, который был первоначально реплицирован, а также результат репликации. Это полезно, чтобы обнаружить возможные проблемы. Как видите в моем примере, все репликации успешно пройдены. Если хотите получить максимально подробную информацию, о топологии репликации, то добавьте ключ «*».
В моем примере вы можете увидеть ошибку:
Repadmin: выполнение команды /Showrepl контроллере домена dc03.child.root.pyatilistnik.org с полным доступом
Ошибка LDAP: 82 (Локальная ошибка) ошибка Win32: 8341. (The target principal name is incorrect)
В приведенном выше примере решение проблемы заключается в остановке службы «Центр распространения ключей Kerberos (Kerberos key distribution center)«. Запустите ее. В редких случаях может потребоваться перезапустить службу «Доменные службы Active Directory«. Затем перезапустите процесс репликации через сайты и службы Active Directory. Проверьте свои журналы, и репликация должна быть успешной. Так же вы можете использовать и дополнительные ключи:
- DSA_LIST — Задает имя хоста контроллера домена или списка контроллеров домена, разделенных в списке одним пробелом.
- Source DSA object GUID — GUID исходного объекта DSA. Указывает уникальное шестнадцатеричное число, которое идентифицирует объект, чьи события репликации перечислены.
- Naming Context (Контекст именования) — Определяет отличительное имя раздела каталога для репликации.
- /verbose — Отображает дополнительную информацию об исходных партнерах, от которых контроллер домена назначения выполняет входящую репликацию. Информация включает в себя полностью уточненное CNAME, идентификатор вызова, флаги репликации и значения порядкового номера обновления (USN) для исходных обновлений и реплицированных обновлений.
- /NoCache — Указывает, что глобально уникальные идентификаторы (GUID) остаются в шестнадцатеричной форме. По умолчанию GUID переводятся в строки.
- /repsto — Перечисляет контроллеры домена-партнера, с которыми целевые контроллеры домена используют уведомление об изменении для выполнения исходящей репликации. (Контроллеры домена-партнера в этом случае являются контроллерами домена на том же сайте Active Directory, что и исходный контроллер домена, и контроллеры домена, которые находятся на удаленных сайтах, на которых включено уведомление об изменениях.) Этот список добавляется в разделе СОБСТВЕННЫЕ СОСЕДИ ДЛЯ УВЕДОМЛЕНИЙ ОБ ИЗМЕНЕНИЯХ (OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ).
- /conn — Добавляет раздел KCC CONNECTION OBJECTS в Repadmin, в котором перечислены все соединения и причины их создания.
- /all — Запускается как /repsto и Conn параметры.
- /errorsonly — Отображает состояние репликации только для исходных контроллеров домена, с которыми конечный контроллер домена сталкивается с ошибками репликации.
- /intersite — Отображает состояние репликации для подключений от контроллеров домена на удаленных сайтах, с которых контроллер домена, указан в параметре DSA_LIST, выполняет входящую репликацию.
- /CSV — Экспорт или вывод результатов в формате с разделителями-запятыми (CSV).
Просмотр очереди репликации
Бывают ситуации при которых у вас может возникать очередь на входящие запросы репликации. Основными причинами могут выступать:
- Слишком много одновременных партнеров по репликации
- Высокая скорость изменения объектов в доменных службах Active Directory (AD DS), предположим что у вас одновременно с помощью скрипта было сформировано 1000 новых групп или создано 1000 пользователей.
- Недостаточная пропускная способность CPU или сети, которые реплицирует контроллер домена
Чтобы посмотреть очередь репликации на контроллере домена, вам нужно воспользоваться ключом /Queue:
Чаще всего у вас количество объектов в очереди будет нулевым, но если сайтов много, то могут быть небольшие очереди. Если вы заметили элементы, стоящие в очереди, и они никак не очищаются, у вас есть проблема. Вот пример сообщения, где очередь репликации не равна нулю.
Repadmin: выполнение команды /queue контроллере домена localhost с полным доступом
Очередь содержит 1 элементов.
Текущая задача начала выполняться в 2020-02-18 11:41:07.
Задача выполняется 0 мин 0 сек.
[[412] Поставлено в очередь 2020-02-18 11:41:07 с приоритетом 250
SYNC FROM SOURCE
NC DC=root,DC=pyatilistnik,DC=org
DSA Default-First-Site-NameDC01
GUID объекта DSA 92925497-671b-44f0-8d13-420fc4d5bbd1
адр. транспорта DSA 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
ASYNCHRONOUS_OPERATION WRITEABLE NOTIFICATION
Принудительная проверка топологии репликации
Repadmin умеет принудительно проверять топологию репликации на каждом целевом контроллере домена, чтобы немедленно пересчитать топологию входящей репликации.
По умолчанию каждый контроллер домена выполняет этот пересчет каждые 15 минут и если есть проблемы вы можете видеть в логах Windows событие с кодом 1311.
Выполните эту команду для устранения ошибок KCC или для повторной оценки необходимости создания новых объектов подключения от имени целевых контроллеров домена.
так же можно запустить для определенного сайта для этого используется параметр site:
Repadmin: выполнение команды /kcc контроллере домена dc01.root.pyatilistnik.org с полным доступом
Root
Текущий Параметры сайта: (none)
Проверка согласованности на dc01.root.pyatilistnik.org выполнена успешно.
Repadmin: выполнение команды /kcc контроллере домена dc03.child.root.pyatilistnik.org с полным доступом
Default-First-Site-Name
Текущий Параметры сайта: (none)
Проверка согласованности на dc03.child.root.pyatilistnik.org выполнена успешно.
Repadmin: выполнение команды /kcc контроллере домена dc02.root.pyatilistnik.org с полным доступом
Root
Текущий Параметры сайта: (none)
Проверка согласованности на dc02.root.pyatilistnik.org выполнена успешно.
Repadmin: выполнение команды /kcc контроллере домена dc04.child.root.pyatilistnik.org с полным доступом
Default-First-Site-Name
Текущий Параметры сайта: (none)
Проверка согласованности на dc04.child.root.pyatilistnik.org выполнена успешно.
У /kcc есть дополнительный ключ /async — Указывает, что репликация является асинхронной. То есть Repadmin запускает событие репликации, но не ожидает немедленного ответа от контроллера домена назначения. Используйте этот параметр для запуска KCC, если вы не хотите ждать окончания работы KCC. Repadmin /kcc обычно запускается без параметра /async.
Как принудительно запустить репликацию Active Directory
Бывают ситуации, когда вам необходимо произвести форсированное обновление на контроллере домена. Для этого есть специальный ключ /syncall. Для того, чтобы выполнить синхронизацию нужного контроллера домена со всеми его партнерами по репликации, вам необходимо на нем выполнить команду:
На выходе вы получите статус репликации и количество ошибок, выглядит это вот так:
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: 007a5ee4-a454-4029-bc9b-0c4a8b4efbd1._msdcs.root.pyatilistnik.org
Кому: 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: 007a5ee4-a454-4029-bc9b-0c4a8b4efbd1._msdcs.root.pyatilistnik.org
Кому: 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: a76336ac-2fe6-4dc8-b9d3-23a5b0d22b77._msdcs.root.pyatilistnik.org
Кому: 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: a76336ac-2fe6-4dc8-b9d3-23a5b0d22b77._msdcs.root.pyatilistnik.org
Кому: 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org
Кому: 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org
Кому: 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.
Если имеются какие-то проблемы, то вы можете увидеть подобного рода ошибки:
Функция SyncAll сообщает о следующих ошибках:
Ошибка обращения к серверу 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org (сетевая ошибка): 17
ba):
Сервер RPC недоступен.
так же repadmin /syncall имеет ряд флагов:
- /a — прерывается, если какой-либо сервер недоступен.
- /A — Синхронизирует все контексты именования, хранящиеся на домашнем сервере
- /d — Идентифицирует серверы по отличительным именам в сообщениях.
- /e — Синхронизирует контроллеры домена на всех сайтах предприятия. По умолчанию эта команда не синхронизирует контроллеры домена на других сайтах.
- /h — Отображение справки.
- /i — запускает бесконечный цикл синхронизации
- /I — Запускает команду repadmin /showrepl на каждой паре серверов вместо синхронизации.
- /j — Синхронизирует только соседние серверы.
- /p — Пауза после каждого сообщения, чтобы пользователь мог прервать выполнение команды.
- /P — Выдвигает изменения наружу от указанного контроллера домена.
- /q — Работает в тихом режиме, который подавляет сообщения обратного вызова.
- /Q — Работает в очень тихом режиме, который сообщает только о фатальных ошибках.
- /s — не синхронизируется.
- /S — Пропускает начальную проверку ответа сервера.
Предположим, что вы внесли важное изменение в AD и хотите его максимально быстро распространить. для этого запустите на актуальном контроллере:
Экспорт результатов в текстовый файл
Иногда Repadmin отображает много информации. Вы можете экспортировать любой из приведенных выше примеров в текстовый файл, это немного упрощает последующее рассмотрение или сохранение для документации. Для этого используется инструкция «> путь до файла». Вот пример команд:
@echo off
chcp 855
repadmin /replsummary > c:tempreplsummary.log
repadmin /syncall > c:tempsyncall.txt
repadmin /Queue > c:tempQueue.txt
repadmin /istg * /verbose > c:tempistg.txt
repadmin /bridgeheads * /verbose > c:tempbridgeheads.txt
chcp 855 используется, чтобы у вас не было кракозябр вместо русского текста.
Как посмотреть количество изменений атрибутов
Хотя команда repadmin /showobjmeta отображает количество изменений атрибутов объекта и контроллер домена, которые вносили эти изменения, команда repadmin /showattr отображает фактические значения для объекта. Команда repadmin /showattr также может отображать значения для объектов, которые возвращаются запросом LDAP-протокола.
На объект может ссылаться его distinguished name или глобальный уникальный идентификатор объекта (GUID).
По умолчанию repadmin /showattr использует порт 389 LDAP для запроса доступных для записи разделов каталога. Однако repadmin /showattr может дополнительно использовать порт 3268 LDAP для запроса разделов, доступных только для чтения, на сервере глобального каталога. (Советую освежить в памяти какие порты использует Active Directory).
Основные параметры команды:
- <DSA_LIST> — Задает имя хоста контроллера домена или списка контроллеров домена, разделенных в списке одним пробелом.
- <OBJ_LIST> — Определяет различающееся имя или GUID объекта для объекта, атрибуты которого вы хотите перечислить. Когда вы выполняете запрос LDAP из командной строки, этот параметр формирует базовый путь различаемого имени для поиска. Заключите в кавычки отличительные имена, содержащие пробелы.
- /atts — Возвращает значения только для указанных атрибутов. Вы можете отображать значения для нескольких атрибутов, разделяя их запятыми.
- /allvalues — Отображает все значения атрибутов. По умолчанию этот параметр отображает только 20 значений атрибута для атрибута.
- /gc — Указывает использование TCP-порта 3268 для запроса разделов глобального каталога только для чтения.
- /long — Отображает одну строку для каждого значения атрибута.
- /dumpallblob — Отображает все двоичные значения атрибута. Эта команда похожа на /allvalues, но отображает двоичные значения атрибутов.
В следующем примере выполняется запрос к конкретному контроллеру домена.
repadmin /showattr dc01 «dc=root,dc=pyatilistnik,dc=org»
В следующем примере запрашиваются все контроллеры домена, имена компьютеров которых начинаются с dc, и показывает значение для определенного атрибута msDS-Behavior-Version, который обозначает функциональный уровень домена.
Repadmin /showattr dc* «dc=root,dc=pyatilistnik,dc=org» /atts:msDS-Behavior-Version
В следующем примере запрашивается один контроллер домена с именем dc01 и возвращается версия операционной системы и версия пакета обновления для всех компьютеров с целевым идентификатором основной группы = 516.
repadmin /showattr dc01 ncobj:domain: /filter:»(&(objectCategory=computer)(primaryGroupID=516))» /subtree /atts:
operatingSystem,operatingSystemVersion,operatingSystemServicePack
Как посмотреть время последней резервной копирования Active Directory
Как посмотреть RPC-вызовы, на которые еще не ответили
Как посмотреть топологию репликации
repadmin /bridgeheads * /verbose
Если есть проблемы с репликацией, то можете получать ошибку «The remote system is not available. For information about network troubleshooting, see Windows Help.»
Как сгенерировать топологию сайтов Active Directory
repadmin /istg * /verbose
Если есть проблемы с репликацией, то тут вы можете видеть ошибки: LDAP error 81 (Server Down) Win32 Err 58.
На этом у меня все, мы с вами разобрали очень полезную утилиту, которая позволит вам быть в курсе статуса репликации вашей Active Directory. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Содержание
- Dsbindwithcred to aed failed with status 1722 0x6ba the rpc server is unavailable
- Устраняем ошибку 1722 сервер rpc недоступен
- Обновление 07.08.2022
- Популярные Похожие записи:
- 6 Responses to Ошибка 1722 сервер RPC не доступен на контроллере домена
- Active Directory replication error 1722: The RPC server is unavailable
- Symptoms
- Cause
- Resolution
- Verify the startup value and service status are correct for RPC, RPC Locator, and Kerberos Key Distribution Center
- Verify the ClientProtocols key exists under HKEY_LOCAL_MACHINESoftwareMicrosoftRpc, and that it contains the correct default protocols
- Verify DNS is working
- Verify network ports are not blocked by a firewall or third-party application listening on the required ports
- Bad NIC drivers
- UDP fragmentation can cause replication errors that appear to have a source of RPC server is unavailable
- SMB signing mismatches between DCs
Dsbindwithcred to aed failed with status 1722 0x6ba the rpc server is unavailable
Добрый день уважаемые читатели и подписчики, в прошлый раз мы с вами устраняли проблему в Active Directory, а именно ошибку 14550 DfsSvc и netlogon 5781 на контроллере домена, сегодня же продолжается эпопея с продолжением этих ошибок, а именно от них мы избавились, но прилетели новые: Ошибка 1722. Сервер RPC и за последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. Давайте разбираться в чем дело.
Устраняем ошибку 1722 сервер rpc недоступен
Сетевые проблемы с репликацией и их решение, читайте по ссылке выше, про 14550. И так напомню, у меня есть два домена, родительский и дочерний. В дочернем 3 контроллера домена Active Directory. После переноса одного контроллера домена из одного сайта, ко всем остальным стали появляться ошибки 1722. Сервер RPC не доступен и сервер RPC и за последние 24 часа после предоставления SYSVOL.
Выявил я их при диагностике репликации между контроллерами домена, с помощью команды:
Данная команда показывает все ошибки репликации на предприятии. Вот как выглядит ошибка:
Первым делом, чтобы проверить, что с репликацией все хорошо, нужно удостовериться, что по UNC пути \ваш домен доступна на чтение папка SYSVOL и NETLOGON.
Если они не доступны, то нужно проверить права на папки и проверьте доступность портов службы RPC TCP/UDP 135, возможно у вас они закрыты на брандмауэре, лучше на время тестирования его вообще отключить.
PS C:Users> Test-NetConnection dc07 -Port 135
ComputerName : dc07
RemoteAddress : 10.91.101.17
RemotePort : 135
InterfaceAlias : Ethernet0
SourceAddress : 10.91.101.7
TcpTestSucceeded : True
Если все нормально, то двигаемся дальше. Давайте теперь проверим, когда в последний раз реплицировались контроллеры домена, делается это командой:
В итоге я обнаружил, что у меня dc7 и dc13 имеют ошибку 1722 Сервер RPC недоступен. Порты 135 я проверил, они слушались. Кто не знает как проверить, то вот вам команда telnet в помощь.
Далее посмотрите в логах Windows 📃журналы «Active Directory Web Services«, «ActiveDirectory_DomainService» и «DFS Replication«, возможно вы там найдете дополнительные детали. Например, у меня была ошибка:
Partner DNS Address: DC1.pyatilistnik.org
Optional data if available:
Partner WINS Address: DC1
Partner IP Address: 192.168.1.26
The service will retry the connection periodically.
Additional Information:
Error: 1722 (The RPC server is unavailable.)
Connection ID: 9BBE21A2-46E3-4444-9D40-2967F4BA3400
Replication Group ID: E9198376-3944-4218-89BE-D4EC89CA73E8
В результате данный контроллер разрешался под старым IP-адресом, чтобы это поправить вам нужно почистить локальный кэш на контроллере, где появилась данная ошибка.
Когда с разрешением имени станет все нормально, у вас появится событие:
Additional Information:
Connection Address Used: DC1
Connection ID: 9BBE21A2-46E3-4C74-4444-2967F4BA3400
Replication Group ID: E9198376-39FD-4444-89BE-D4EC89CA73E8
Следующим шагом, идет 🛠проверка DNS серверов, в настройках стека TCP/IP. Если у вас более одного контроллера домена, то у вас первым dns сервером в настройках сетевого интерфейса должен идти dns другого контроллера домена, затем либо адрес текущего или петлевой Ip, а уже затем любые, что вам нужны.
Теперь снова выполнив команду repadmin /replsummary, я увидел, что все репликации прошли успешно. Так же советую запустить вручную репликацию AD, и проверить нет ли ошибок, убедитесь, так же, что команда dcdiag /a /q не дает ошибок. Так же если у вас развитая система сайтов AD, дождитесь времени репликации между ними.
Еще бывает, что на событие 1722 наслаивается ошибка:
Обновление 07.08.2022
Еще заметил интересную вещь, если в логах ошибки перестали появляться, но repadmin показывает ошибку, то нужно смотреть на количество неудачных попыток, если все хорошо, то счетчик начнет уменьшаться, но опять же совместно с ошибкой. Как только ошибок станет меньше двух, ошибка уйдет.
И вот там уже нужно больше телодвижений. Вот так вот просто решается ошибка 1722 сервер RPC не доступен на контроллере домена по Windows Server 2012 R2. Если у вас есть чем дополнить статью, то просьба написать это в комментариях.
Популярные Похожие записи:
6 Responses to Ошибка 1722 сервер RPC не доступен на контроллере домена
Привет, Иван! Я так не понял, что Вы сделали, чтобы все заработало. Как я понял, вы провели проверку, и все заработало?
Скринов случайно не осталось для написания статейки по переносу контроллера домена?)
Убедитесь, что все реплики ходят, и во вторых, чтобы в dns не было 127.0.0.1
Добрый день!
Спасибо за статью!
Подскажите, а как бороться с этим недугом?
The File Replication Service is having trouble enabling replication from DC1 to DC2 for c:windowssysvoldomain using the DNS name DC1.netwell.local. FRS will keep retrying.
Following are some of the reasons you would see this warning.
[1] FRS can not correctly resolve the DNS name DC1.netwell.local from this computer.
[2] FRS is not running on DC1.netwell.local.
[3] The topology information in the Active Directory Domain Services for this replica has not yet replicated to all the Domain Controllers.
This event log message will appear once per connection, After the problem is fixed you will see another event log message indicating that the connection has been established.
Вы не можете составить програмку для решения этого вопроса и поэтому выделываетесь в сети.
Этого 1722 и RPC не было на ХР и семёрке, у меня проявилось на десятке и не даёт возможности форматировать и создавать новые диски в программе от SEAGATE «Диск визард». Короче, моё мнение — это неумышленная, а может быть умышленная ошибка программистов, т.е. вирус. Придётся связываться с SEAGATE.
Как мне всё это надоело!
Источник
Active Directory replication error 1722: The RPC server is unavailable
This article helps fix the error 1722 of Active Directory replication.
Applies to: В Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Original KB number: В 2102154
Symptoms
This article describes the symptoms, cause, and resolution for resolving Active Directory replication failing with Win32 error 1722: The RPC server is unavailable.
DCPROMO Promotion of a replica DC fails to create an NTDS Settings object on the helper DC with error 1722гЂ‚
Dialog Title text: Active Directory Domain Services Installation Wizard
Dialog Message text:
DCDIAG reports that the Active Directory Replications test has failed with error 1722: The RPC Server is unavailable.
REPADMIN.EXE reports that replication attempt has failed with status 1722 (0x6ba).
REPADMIN commands that commonly cite the -1722 (0x6ba) status include but are not limited to:
- REPADMIN /REPLSUM
- REPADMIN /SHOWREPL
- REPADMIN /SHOWREPS
- REPADMIN /SYNCALL
Sample output from REPADMIN /SHOWREPS and REPADMIN /SYNCALL depicting The RPC server is unavailable error is shown below:
Sample output of REPADMIN /SYNCALL depicting The RPC server is unavailable error is shown below:
The replicate now command in Active Directory Sites and Services returns The RPC server is unavailable.
Right-clicking on the connection object from a source DC and choosing replicate now fails with The RPC server is unavailable. The on-screen error message is shown below:
Dialog title text: Replicate Now
Dialog message text:
The following error occurred during the attempt to synchronize naming context from domain controller to domain controller :The RPC server is unavailable. This operation will not continue. This condition may be caused by a DNS lookup problem. For information about troubleshooting common DNS lookup problems, see the following Microsoft Web site: DNS Lookup Problem
NTDS Knowledge Consistency Checker (KCC), NTDS General, or Microsoft-Windows-ActiveDirectory_DomainService events with the 1722 status are logged in the directory service event log.
Active Directory events that commonly cite the 1722 status include but are not limited to:
| Event Source | Event ID | Event String |
|---|---|---|
| Microsoft-Windows-ActiveDirectory_DomainService | 1125 | The Active Directory Domain Services Installation Wizard (Dcpromo) was unable to establish connection with the following domain controller. |
| NTDS KCC | 1311 | The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition. |
| NTDS KCC | 1865 | The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site. |
| NTDS KCC | 1925 | The attempt to establish a replication link for the following writable directory partition failed. |
| NTDS Replication | 1960 | Internal event: The following domain controller received an exception from a remote procedure call (RPC) connection. The operation may have failed. |
Cause
RPC is an intermediate layer between the network transport and the application protocol. RPC itself has no special insight into failures but attempts to map lower layer protocol failures into an error at the RPC layer.
RPC error 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE is logged when a lower layer protocol reports a connectivity failure. The common case is that the abstract TCP CONNECT operation failed. In the context of AD replication, the RPC client on the destination DC was not able to successfully connect to the RPC server on the source DC. Common causes for this are:
- Link local failure
- DHCP failure
- DNS failure
- WINS failure
- Routing failure (including blocked ports on firewalls)
- IPSec / Network authentication failures
- Resource limitations
- Higher layer protocol not running
- Higher layer protocol is returning this error
Resolution
Basic troubleshooting steps to identify the problem.
Verify the startup value and service status are correct for RPC, RPC Locator, and Kerberos Key Distribution Center
Verify the startup value and service status are correct for the Remote Procedure Call (RPC), Remote Procedure Call (RPC) Locator and Kerberos Key Distribution Center.
The OS version will determine the correct values for the source and destination system that is logging the replication error. Use the following table to help validate the settings.
| Service Name | Windows 2000 | Windows 2003 /R2 | Windows 2008 | Windows 2008 R2 |
|---|---|---|---|---|
| Remote Procedure Call (RPC) | Started / Automatic | Started / Automatic | Started / Automatic | Started / Automatic |
| Remote Procedure Call (RPC) Locator | Started / Automatic (Domain Controllers)
Not started / Manual(Member Servers) |
Not started / Manual | Not started / Manual | Not started / Manual |
| Kerberos Key Distribution Center (KDC) | Started / Automatic (Domain Controllers)
Not started / Disabled(Member Servers) |
Started / Automatic (Domain Controllers)
Not started / Disabled(Member Servers) |
Started / Automatic (Domain Controllers)
Not started / Disabled(Member Servers) |
Started / Automatic (Domain Controllers)
Not started / Disabled(Member Servers) |
If you make any changes to match the settings above, restart the machine. Verify both the startup value and service status match the values documented in the table above.
Verify the ClientProtocols key exists under HKEY_LOCAL_MACHINESoftwareMicrosoftRpc, and that it contains the correct default protocols
| Protocol Name | Type | Data Value |
|---|---|---|
| ncacn_http | REG_SZ | rpcrt4.dll |
| ncacn_ip_tcp | REG_SZ | rpcrt4.dll |
| ncacn_np | REG_SZ | rpcrt4.dll |
| ncacn_ip_udp | REG_SZ | rpcrt4.dll |
If the ClientProtocols key or any of the four default values are missing, import the key from a known good server.
Verify DNS is working
DNS lookup failures are the cause of a large number of 1722 RPC errors when it comes to replication.
There are a few tools to use to help identify DNS errors:
DCDIAG /TEST:DNS /V /E /F:
The DCDIAG /TEST:DNS command can validate DNS health of Windows 2000 Server (SP3 or later), Windows Server 2003, and Windows Server 2008 family domain controllers. This test was first introduced with Windows Server 2003 Service Pack 1.
There are seven test groups for this command.
Records registration (RReg)
Dynamic update ( Dyn )
Forwarders/Root hints (Forw)
Summary of DNS test results:
The summary provides remediation steps for the more common failures from this test.
Explanation and additional options for this test can be found at Domain Controller Diagnostics Tool (dcdiag.exe).
Nltest /dsgetdc is used to exercise the dc locator process. Thus /dsgetdc: tries to find the domain controller for the domain. Using the force flag forces domain controller location rather than using the cache. You can also specify options such as /gc or /pdc to locate a Global Catalog or a primary domain controller emulator. For finding the Global Catalog, you must specify a tree name, which is the DNS domain name of the root domain.
Can be used with Windows 2003 and earlier versions to gather specific information for networking configuration and error. This tool takes some time to run when executing the -v switch.
Sample output for the DNS test:
It’s a simple quick test to validate the host record for a domain controller is resolving to the correct machine.
dnslint /s IP /ad IP
DNSLint is a Windows utility that helps you to diagnose common DNS name resolution issues. The output is an htm file with much information including:
DNS server: localhost
SOA record data from server:
Additional authoritative (NS) records from server: DC2.fabrikam.com
Alias (CNAME) and glue (A) records for forest GUIDs from server:
Verify network ports are not blocked by a firewall or third-party application listening on the required ports
The endpoint mapper (listening on port 135) tells the client which randomly assigned port a service (FRS, AD replication, MAPI, and so on) is listening on.
| Application protocol | Protocol | Ports |
|---|---|---|
| Global Catalog Server | TCP | 3269 |
| Global Catalog Server | TCP | 3268 |
| LDAP Server | TCP | 389 |
| LDAP Server | UDP | 389 |
| LDAP SSL | TCP | 636 |
| LDAP SSL | UDP | 636 |
| IPsec ISAKMP | UDP | 500 |
| NAT-T | UDP | 4500 |
| RPC | TCP | 135 |
| RPC randomly allocated high TCP portsВ№ | TCP | 1024 — 5000 49152 — 65535* |
* This is the range in Windows Server 2008, Windows Vista, Windows 7, and Windows 2008 R2.
Portqry can be used to identify if a port is blocked from a Dc when targeting another DC. It can be downloaded at PortQry Command Line Port Scanner Version 2.0.
-e 135
portqry -n
A graphical version of portqry, called Portqryui can be found at PortQryUI — User Interface for the PortQry Command Line Port Scanner.
If the Dynamic Port range has ports being blocked, use the below links to configure a port range that is manageable for the customer.
Additional important links for configuration and working with Firewalls and Domain Controllers:
Bad NIC drivers
See network card vendors or OEMs for the latest drivers.
UDP fragmentation can cause replication errors that appear to have a source of RPC server is unavailable
Event ID 40960 & 40961 errors with a source of LSASRV are common for this particular cause.
SMB signing mismatches between DCs
Using Default Domain Controllers Policy to configure consistent settings for SMB Signing under the following section will help address this cause:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
- Microsoft network client: Digitally sign communications (always) Disabled.
- Microsoft network client: Digitally sign communications (if server agrees) Enabled.
- Microsoft network server: Digitally sign communications (always) Disabled.
- Microsoft network server: Digitally sign communications (if client agrees) Enabled.
The settings can be found under the following registry keys:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManWorkstationParameters and HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters
- RequireSecuritySignature = always (0,disable, 1 enable).
- EnableSecuritySignature = is server agrees (0,disable, 1 enable).
If the above don’t provide a solution to the 1722, use the following Diagnostic logging to gather more information:
Источник