The following error occurred during the attempt to synchronize naming context

При попытке ручной репликации данных между контроллерами домена Active Directory в остатке Active Directory Sites and Services (dssite.msc) появилась ошибка:

The following error occurred during the attempt to synchronize naming context from Domain Controller X to Domain Controller Y.
The target principal name is incorrect.
This operation will not continue.

При проверке репликации с помощью repadmin, у одного из DC появляется ошибка:

(2148074274) The target principal name is incorrect.

В журнале событий DC есть такие ошибки:

Source: Security-Kerberos
Event ID: 4

The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server DC2. The target name used was cifs/DC2.winitpro.ru. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (winitpro.ru) is different from the client domain (winiptro.ru), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.

Event ID 3210:

Failed to authenticate with \DC, a Windows NT domain controller for domain WINITPRO.

Event ID 5722:

The session setup from the computer 1 failed to authenticate. The name of the account referenced in the security database is 2. The following error occurred:

В первую очередь проверьте:

1. Доступность проблемного контроллера домена с помощью простого ICMP ping
2. Проверьте, что на нем доступен порт TCP 445 и опубликованы сетевые папки SysVol и NetLogon;

Если все ОК, значит проблема в том, между контроллерами домена нарушен безопасный канал передачи данных. Проверьте его с помощью PowerShell команды:

Test-ComputerSecureChannel -Verbose

Служба KDC на целевом контроллере домена не может расшифровать тикет Kerberos из-за того, что в ней хранится старый пароль этого контроллера домена.

Чтобы исправить проблему, нужно сбросить этот пароль. Сначала нужно найти текущий контроллер домена с FSMO ролью PDC.

netdom query fsmo |find "PDC"

В нашем примере PDC находится на MSK-DC02. Мы будем исопользовать это имя в команде
netdom resetpwd
далее.

Остановите службу Kerberos Key Distribution Center (KDC) на контроллере домена, на котором появляется ошибка “The target principal name is incorrect” и измените тип запуска на Disabled. Можно изменить настройки службы из консоли services.msc или с помощью PowerShell:

Get-Service kdc -ComputerName msk-dc03 | Set-Service –startuptype disabled –passthru

Перезагрузите этот контроллер домена.

Теперь нужно сбросить безопасный канал связи с контроллером домена с ролью PDC:

netdom resetpwd /server:msk-dc02 /userd:winitproadministrator /passwordd:*

Укажите пароль администратора домена.

Перезагрузите проблемный DC и запустите службу KDC. Попробуйте запустить репликацию и проверить ошибки.

repadmin /syncall
repadmin /replsum
repadmin /showrepl

Если репликация успешно выполнена, в журнале Directory Service Event Viewerа должно появится событие Event ID 1394:

All Problems preventing updates to the Active Directory Domain Services database have been cleared. New Updates to the Active Directory Domain Services database are succeeding. The Net Logon service has restarted

Проверьте состояние вашего домена и контроллеров домена Active Directory согласно этого гайда.

I had an Active Directory replication problem at a customer site with a multi domain environment.  Two domain controllers exists in a child domain called DC1 and DC2.  DC1 resided in a remote branch location and DC2 exists in a datacentre.

• DC2 was able to replicate changes to DC1 without issues.
• DC1 was not able to replicate changes to DC2.

Please note the name of the domain and domain controllers involved have been renamed to protect customer privacy.

Symptoms

When attempting a manual replication attempt the following error was experienced:

The following error occurred during the attempt to synchronize naming context «ROOT DOMAIN» for domain controller DC1 to domain controller DC2:

The naming context is in the process of being removed or is not replicated from the specified server.

The operation will not continue.

When doing repadmin /showrepl all inbound replication partners came back successful under the last replication attempt however all outbound replication partners such as the replication attempt from DC1 to DC2 came back as failed with the following errors:

 Source: RemoteSiteNameDC1
******* 216 CONSECUTIVE FAILURES since 2013-04-21 07:32:26
Last error: 8524 (0x214c):
            Can’t retrieve message string 8524 (0x214c), error 1815.

Naming Context: CN=Configuration,DC=ROOTDOMAIN,DC=LOCAL
Source: RemoteSiteNameDC1
******* WARNING: KCC could not add this REPLICA LINK due to error.

Naming Context: DC=CHILDDOMAIN,DC=ROOTDOMAIN,DC=LOCAL
Source: RemoteSiteNameDC1
******* WARNING: KCC could not add this REPLICA LINK due to error.

Running a DCDiag on DC1 came back with the following errors:

Starting test: Connectivity

The host 9b2163cf-b8e7-4ad4-bd54-2342e6cfc1db._msdcs.rootdomain.local could not be resolved to an IP address.  Check the DNS server, DHCP, server name etc.

Although the GUID DNS name 9b2163cf-b8e7-4ad4-bd54-2342e6cfc1db._msdcs.rootdomain.local couldn’t be resolved, the server name (DC1.child.rootdomain.local) resolved to the IP address xx.xx.xx.xx and was pingable.  Check that the IP address is registered correctly with the DNS server.

Resolution

The following error message is the one which lead me to the resolution of this replication issue.

The host 9b2163cf-b8e7-4ad4-bd54-2342e6cfc1db._msdcs.rootdomain.local could not be resolved to an IP address.  Check the DNS server, DHCP, server name etc.

Although the GUID DNS name 9b2163cf-b8e7-4ad4-bd54-2342e6cfc1db._msdcs.rootdomain.local couldn’t be resolved, the server name (DC1.child.rootdomain.local) resolved to the IP address xx.xx.xx.xx and was pingable.  Check that the IP address is registered correctly with the DNS server.

The first domain you promote in a new Active Directory forest is the forest root domain (this can never be changed without building a new forest).  The forest root domain contains a MSDCS container in DNS and contains a bunch of CNAME records for all domain controllers in the root domain as well as any child domains/new tree domains.  These CNAME records are what Active Directory uses to lookup domain controllers when attempting to perform replication.

This is shown in the following screenshot.

The reason DC1 was unable to replicate to any other DC in the domain was because someone deleted the GUID mapping the CNAME record for DC1 from the msdcs container in Active Directory.  From the DCDIAG error message we manually recreated the 9b2163cf-b8e7-4ad4-bd54-2342e6cfc1db._msdcs.rootdomain.local record mapping to DC1 as a CNAME record. 

After 45 minutes replication began working again for DC1.

Hope this post helps someone with the same problem.

The following error occurred during the attempt to synchronize naming context

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами разобрали методы оплаты телефона Билайн, я привел вам варианты использования самых известных банков, мы сэкономили время, самый ценный ресурс в мире. Двигаемся дальше и сегодня разберем серьезную ошибку, которая может вам доставить уйму проблем при ее диагностике и в работе пользователей. Речь пойдет, о проблемах репликации между контроллерами домена, где на сбойном контроллере вы будите получать тьму ошибок, одной из которых будет «The target principal name is incorrect. SyncAll exited with fatal Win32 error: 8440 (0x20f8)«. Давайте восстанавливать правильную работу нашего AD.

Описание проблемы репликации между контроллерами

И так стали поступать заявки в систему технической поддержки, о том, что пользователь при попытке доступа по RDP получает ошибку:

Хотя пользователь уверял, что все верно вводил. Давайте разбираться в чем дело.

Диагностика Active Directory

Первым делом, я конечно же проверил не заблокирован ли пользователь, с ним было все прекрасно и он спокойно мог авторизовываться на других серверах компании. Параллельно другие сотрудники, из соседнего сайта Active Directory, получали такую же ошибку, поэтому я стал проверять репликации между контроллерами, таких ошибок я уже видел уйму:

Напоминаю, что существует два инструмента, которые вам помогут произвести проверку репликации в лесу Active Directory, это repadmin и dcdiag, я не беру графические Active Directory Replication Status Tool. Моя AD состоит из 4 доменов, один корневой и три дочерних. Проблема была в одном из дочерних. Он состоял из четырех контроллеров домена, 3 из которых были в одном сайте, а оставшийся в другом. Первым делом я выполнил команду на контроллере из первого сайта:

Ошибок он мне не показал, но меня привлекло, то что среди списка входящей и исходящей репликации, отсутствовал контроллер домена из другого сайта, тут я понял что проблема кроется явно уже в связи с ним. Контроллера DC6, просто не было

Естественно я начал подключаться к нему, прикол в том, что при попытке войти из под учетной записи пользователя корневого домена, я получил ту же ошибку «Неверное имя пользователя или пароль. Попробуйте снова (The user name or password is incorrect. Try again)», а вот под админом дочернего домена, все же пустило. Там я так же запустил в командной строке проверку репликации.

Тут уже сразу начались новые ошибки, с которыми я ранее не встречался:

Получается так, что с частью контроллеров домена, данный DC6 общался, а вот часть не видел.

Посмотрев как происходит реплика между сайтами, я понял, что входящая реплика идет от одного нового контроллера, а исходящая идет уже на другой. Открыв оснастку ADUC на DC6 я увидел, что нового контроллера домена DC2 просто нет в списке контейнера D0main Controllers, но зато присутствовал старый умерший контроллер.

Далее я естественно заглянул и в оснастку DNS, где мне нужно было удостовериться, в наличии или отсутствии сервисных записей нового контроллера и старого. Я оказался прав, присутствовали записи старого контроллера. Записи SOA, так же сильно отличались.

В логах Windows, через просмотр событий или Windows Admin Center, можно было наблюдать такие ошибки:

Destination directory server:
d06896a3-be4b-4b8a-b75f-e3453457526a0f._msdcs.pyatilistnik.org
SPN:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/d06896a3-be4b-4b8a-b3453453526a0f/pyatilistnik.org

User Action
Verify that the names of the destination directory server and domain are correct. Also, verify that the SPN is registered on the KDC domain controller. If the destination directory server has been recently promoted, it will be necessary for the local directory server’s account data to replicate to the KDC before this directory server can be authenticated.

Устранение проблем

Первое на , что я наткнулся в качестве решений, это простая перезагрузка и правда, зачастую с Windows системами это один из действенных методов.

После перезагрузки я первым делом попытался выполнить принудительную синхронизацию, через команду:

В результате у меня она не прошла и я получил ошибку:

CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=DC6,CN=Servers,CN=root, CN=Sites,CN=Configuration,DC=pyatilistnik,DC=org (network error): -2146893022 (0x80090322):
The target principal name is incorrect.

SyncAll exited with fatal Win32 error: 8440 (0x20f8):
The naming context specified for this replication operation is invalid.

Так же показывались старые ошибки. Еще я попробовал команду, которая должна показать все ошибки при диагностике Active Directory:

В результате ошибок было еще больше 🙂

Я попытался вручную запустить входящую реплику через оснастку Active Directory Сайты и службы, но так же получил порцию новых ошибок.

Новые ошибки уже начали выводить меня на приблизительное решение данной проблемы. Ошибка «-2146893022 (0x80090322):The target principal name is incorrect. SyncAll exited with fatal Win32 error: 8440 (0x20f8)», говорит на, о том, что между мастером PDC и текущим контроллером домена не работает безопасный канал. Там мы производили его сброс через утилиту Netdom. Самое интересное, что команда проверяющая безопасный канал показывала, что с ним все в порядке.

Безопасный канал между локальным компьютером и доменом находится в хорошем состоянии, но ошибкам репликации на это безразницы.

На сбойном контроллере домена нужно выполнить:

• В командной строке или оболочке PowerShell вам необходимо остановить службу Key Distribution Center (Центр распространения ключей Kerberos) (KDC) на СБОЙНОМ контроллере домена.

Далее вам необходимо выставить у нее тип запуска «Отключено», для этого выполните команду:

После чего перезагрузите контроллер домена

• На сбойном контроллере выполните команду, для того чтобы очистить билеты (Purge Tickets)

Далее на любом из контроллеров домена, который не является держателем роли FSMO DPC, вам нужно произвести сброс безопасного канала, я делаю эту команду на сбойном контроллере домена. Так же об этом советует Microsoft:

После перезагрузки компьютера используйте служебную программу Netdom для сброса безопасных каналов между этими контроллерами домена и держателем роли хозяина операций эмулятора PDC. Для этого выполните следующую команду с контроллеров домена, отличных от владельца роли хозяина операций эмулятора PDC:

Где server_name — это имя сервера, который является владельцем роли хозяина операций эмулятора PDC.

У меня это получилось вот так:

В результате вы должны получить «Пароль учетной записи локального компьютера успешно сброшен».

После сброса безопасного канала перезапустите контроллеры домена, я перезапустил сбойный и сервер с PDC ролью. Даже если вы попытаетесь сбросить безопасный канал с помощью утилиты Netdom, и команда не завершится успешно, продолжите процесс перезапуска. Если работает только владелец роли хозяина операций эмулятора PDC, KDC заставляет другие контроллеры домена повторно синхронизироваться с этим компьютером, вместо того, чтобы выдавать себе новый билет Kerberos.

После перезагрузки на сбойном контроллере и на PDC выполните команду:

После чего можно запускать службу Key Distribution Center (Центр распространения ключей Kerberos) (KDC). Для этого выполните:

Дополнительные методы диагностики

• Если у вас контроллеры домена располагаются по разным сайтам, то обязательно проверьте все ли порты Active Directory вы открыли на своем оборудовании, самый главный порт 135, его можно проверить с обоих сторон, через утилиту Telnet.
• Если ничего не помогает, то я вам советую выключить сбойный контроллер и удалить его, почистить метаданные в AD и создать новый контроллер домена, для ускорения реплики при создании, сделайте файл IFM.

Дополнительные ссылки

• https://console.kim.sg/how-to-revive-dead-dns-server-on-the-last-standing-domain-controller-after-seizing-all-other-dcs/
• https://support.microsoft.com/en-sg/help/288167/error-message-target-principal-name-is-incorrect-when-manually-replica
• https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/identity/replication-error-2146893022

На этом у меня все, мы с вами восстановили работу контроллеров домена и репликации, и больше не будет проблем с паролями. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:

6 Responses to SyncAll exited with fatal Win32 error: 8440 (0x20f8), ошибка репликации в AD

Добрый день! При попытке смены пароля (netdom /resetpwd) пишет:
Не удалось сбросить пароль учетной записи локального компьютера.

Неверное имя пользователя или пароль.

Не удалось выполнить команду.
Логин и пароль верные. Синхронизация не проходит, а сменить домен не могу так как проблема на контроллере домена.

Можете подробнее описать, что со сбойным контроллером?

Проблема такая же как и в посте не проходит репликация между доменами, проблема в главном домене.
Source DSA largest delta fails/total %% error
DC02 >60 days 5 / 5 100 (5) Access is denied.
DC03 >60 days 5 / 5 100 (8457) The destination server is currently rejecting replication requests.

dcgiag
Directory Server Diagnosis

Performing initial setup:
* Identified AD Forest.
Done gathering initial info.

Doing initial required tests

Testing server: baseDC02
Starting test: Connectivity
……………………. DC02 passed test Connectivity

Doing primary tests

Testing server: baseDC02
Starting test: Advertising
Warning: DsGetDcName returned information for \dc03.tarlan-auto.local, when we were trying to reach DC02.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
……………………. DC02 failed test Advertising
Starting test: FrsEvent
……………………. DC02 passed test FrsEvent
Starting test: DFSREvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC02 failed test DFSREvent
Starting test: SysVolCheck
……………………. DC02 passed test SysVolCheck
Starting test: KccEvent
A warning event occurred. EventID: 0x8000061E
Time Generated: 08/04/2022 11:17:35
Event String:
All directory servers in the following site that can replicate the directory partition over this transport are currently unavailable.
An error event occurred. EventID: 0xC000051F
Time Generated: 08/04/2022 11:17:35
Event String:
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
A warning event occurred. EventID: 0x80000749
Time Generated: 08/04/2022 11:17:35
Event String:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
A warning event occurred. EventID: 0x8000061E
Time Generated: 08/04/2022 11:17:35
Event String:
All directory servers in the following site that can replicate the directory partition over this transport are currently unavailable.
An error event occurred. EventID: 0xC000051F
Time Generated: 08/04/2022 11:17:35
Event String:
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
A warning event occurred. EventID: 0x80000749
Time Generated: 08/04/2022 11:17:35
Event String:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
A warning event occurred. EventID: 0x8000061E
Time Generated: 08/04/2022 11:17:35
Event String:
All directory servers in the following site that can replicate the directory partition over this transport are currently unavailable.
An error event occurred. EventID: 0xC000051F
Time Generated: 08/04/2022 11:17:35
Event String:
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
A warning event occurred. EventID: 0x80000749
Time Generated: 08/04/2022 11:17:35
Event String:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
A warning event occurred. EventID: 0x8000061E
Time Generated: 08/04/2022 11:17:35
Event String:
All directory servers in the following site that can replicate the directory partition over this transport are currently unavailable.
An error event occurred. EventID: 0xC000051F
Time Generated: 08/04/2022 11:17:35
Event String:
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
A warning event occurred. EventID: 0x80000749
Time Generated: 08/04/2022 11:17:35
Event String:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
A warning event occurred. EventID: 0x8000082C
Time Generated: 08/04/2022 11:18:05
Event String:
A warning event occurred. EventID: 0x8000082C
Time Generated: 08/04/2022 11:29:06
Event String:
A warning event occurred. EventID: 0x8000082C
Time Generated: 08/04/2022 11:30:06
Event String:
A warning event occurred. EventID: 0x8000082C
Time Generated: 08/04/2022 11:30:36
Event String:
……………………. DC02 failed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC02 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC02 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC02 passed test NCSecDesc
Starting test: NetLogons
……………………. DC02 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC02 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,Replications Check] Inbound replication is disabled.
To correct, run «repadmin /options DC02 -DISABLE_INBOUND_REPL»
[Replications Check,DC02] Outbound replication is disabled.
To correct, run «repadmin /options DC02 -DISABLE_OUTBOUND_REPL»
……………………. DC02 failed test Replications
Starting test: RidManager
The DS has corrupt data: rIDPreviousAllocationPool value is not valid
No rids allocated — please check eventlog.
……………………. DC02 failed test RidManager
Starting test: Services
NETLOGON Service is paused on [DC02]
……………………. DC02 failed test Services
Starting test: SystemLog
An error event occurred. EventID: 0x0000410B
Time Generated: 08/04/2022 11:14:05
Event String:
The request for a new account-identifier pool failed. The operation will be retried until the request succeeds. The error is
……………………. DC02 failed test SystemLog
Starting test: VerifyReferences
……………………. DC02 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation

Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation

Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation

Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation

Running partition tests on : tarlan-auto
Starting test: CheckSDRefDom
……………………. tarlan-auto passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. tarlan-auto passed test CrossRefValidation

Running enterprise tests on : tarlan-auto.local
Starting test: LocatorCheck
……………………. tarlan-auto.local passed test LocatorCheck
Starting test: Intersite
……………………. tarlan-auto.local passed test Intersite
Пытался сбросить безопасный канал, пишет неверный логинпароль.

Спасибо за статьи, очень помогли решить проблему. У старого домена принудительно забрал fsmo роли, установил новый домен и настроил репликацию. Предыдущий коммент можно удалить)

Источник

Troubleshooting AD Replication error 1722: The RPC server is unavailable

Resolution

Basic Troubleshooting Steps to Identify the problem.

1. Verify the startup value and service status for the is correct for
the Remote Procedure Call (RPC), Remote Procedure Call (RPC) Locator
and Kerberos Key Distribution Center.  The OS version will determine the
correct values for the source and destination system that is logging
the replication error.  Use the following table to help validate the
settings.

If you make any changes to match the settings above, reboot the
machine and verify both the startup value and service status match the
values documented in the table above.

2.   Verify the ClientProtocols key exists under HKLMSoftwareMicrosoftRpc, and that it contains the correct default protocols.

If the ClientProtocols key or any of the 4 default values are missing, import the key from a known good server.

3.   Verify DNS is working.  DNS lookup failures are the cause of a
large amount of 1722 RPC errors when it comes to replication.  There
are a few tools to use to help identify DNS errors:

• DCDIAG /TEST:DNS /V /E /F:<filename.log>
  The  DCDIAG /TEST:DNS
  command can validate DNS health of Windows 2000 Server (SP3 or later),
  Windows Server 2003 and Windows Server 2008 family domain controllers. 
  This test was first introduced with Windows Server 2003 Service Pack 1.

  There are seven test groups for this command.

• Authentication (Auth)
• Basic (Basc)
• Records registration (RReg)
• Dynamic update (Dyn)
• Delegations (Del)
• Forwarders/Root hints (Forw)

The summary provides remediation steps for the more common failures from this test.
Explanation and additional options for this test can be found at Domain Controller Diagnostics Tool (dcdiag.exe)

• NLTEST /DSGETDC:<netbios or DNS domain name>
  Nltest /dsgetdc: is used to exercise the dc locator process. Thus /dsgetdc:< domain name
  > tries to find the domain controller for the domain. Using the
  force flag forces domain controller location rather than using the
  cache. You can also specify options such as /gc or /pdc to
  locate a Global Catalog or a primary domain controller emulator. For
  finding the Global Catalog, you must specify a «tree name,» which is the
  DNS domain name of the root domain.

  Sample output:
             DC: \DC.Domain.com
        Address: \<IP Address>
       Dom Guid: 5499c0e6-2d33-429d-aab3-f45f6a06922b
       Dom Name: Domain.com
    Forest Name: Domain.com
   Dc Site Name: Default-First-Site-Name
  Our Site Name: Default-First-Site-Name
          Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE
  The command completed successfully

• Netdiag -v 
  Can be used with Windows 2003 and
  earlier versions to gather specific information for networking
  configuration and error.  This tool takes some time to run when
  executing the -v switch.  

  Sample Output for the DNS test:

  DNS test . . . . . . . . . . . . . : Passed
        Interface {34FDC272-55DC-4103-B4B7-89234BC30C4A}
          DNS Domain:
          DNS Servers: <DNS Server Ip address >
          IP Address:         Expected registration with PDN (primary DNS domain name):
            Hostname: DC.domain.com.
            Authoritative zone: domain.com.
            Primary DNS server: DC.domain.com <Ip Adress>
            Authoritative NS:<Ip Adress>
  Check the DNS registration for DCs entries on DNS server <DNS Server Ip address >
  The Record is correct on DNS server ‘<DNS Server Ip address >’.
  (You will see this line repeated several times for every entry for this DC.  Including srv records.)
  The Record is correct on DNS server ‘<DNS Server Ip address >’.
      PASS — All the DNS entries for DC are registered on DNS server ‘<DNS Server Ip address >’.

• ping -a <IP_of_problem_server>
  
  This a simple quick test to validate the host record for a domain controller is resolving to the correct machine.  
• dnslint /s IP /ad IP 
  DNSLint is a Microsoft
  Windows utility that helps you to diagnose common DNS name resolution
  issues.  The output for this is an htm file with alot of information
  including:

  DNS server: localhost
  IP Address: 127.0.0.1
  UDP port 53 responding to queries: YES
  TCP port 53 responding to queries: Not tested
  Answering authoritatively for domain: NO

  SOA record data from server:
  Authoritative name server: DC.domain.com
  Hostmaster: hostmaster
  Zone serial number: 14
  Zone expires in: 1.00 day(s)
  Refresh period: 900 seconds
  Retry delay: 600 seconds
  Default (minimum) TTL: 3600 seconds

• Additional authoritative (NS) records from server:
  DC2.domain.com <IP Address>

  Alias (CNAME) and glue (A) records for forest GUIDs from server:
  CNAME: 98d4aa0c-d8e2-499a-8f90-9730b0440d9b._msdcs.domain.com
  Alias: DC.domain.com
  Glue: <IP Adress>

  CNAME: a2c5007f-7082-4adb-ba7d-a9c47db1efc3._msdcs.domain.com
  Alias: dc2.child.domain.com
  Glue: <IP Address>

  For more information,  Description of the DNSLint utility 

4.  Verify network ports are not blocked by a firewall or 3rd party application listening on the required ports.

The endpoint mapper (listening on port 135) tells the client which
randomly assigned port a service (FRS, AD replication, MAPI, etc.) is

listening on.

*This is the range in Windows Server 2008, Windows Vista,

Windows 7, and Windows 2008 R2. 

Portqry can be used to identify if a port is blocked from a Dc when targeting another DC.  It can be downloaded at:

PortQry Command Line Port Scanner Version 2.0

Example Syntax:

portqry -n <problem_server> -e 135 

portqry -n <problem_server> -r 1024-5000

A graphical version of portqry, called Portqryui can be found at:

PortQryUI — User Interface for the PortQry Command Line Port Scanner

 If the Dynamic Port range has ports being blocked, please use the
below links to configure a port range that manageble for the customer.

 Additional Important links for configuration and working with Firewalls and Domain Controllers

HOWTO: Configure RPC Dynamic Port Allocation to Work with Firewall

Restricting Active Directory Replication Traffic to a Specific Port

How to Restrict FRS Replication Traffic to a Specific Static Port

How to Configure a Firewall for Domains and Trusts

A List of the Windows Server Domain Controller Default Ports

Port Requirements for the Microsoft Windows Server System

5.   Bad NIC drivers — See network card vendors or OEMs for the latest drivers.

6.  UDP fragmentation can cause replication errors that appear to
have a source of RPC server is unavailable. Event ID 40960 & 40961
errors with a source of LSASRV are very common for this particular
cause.

How to force Kerberos to use TCP instead of UDP in Windows

7.  SMB signing mismatches between DCs.  Using Default Domain
Controllers Policy to configure consistent settings for SMB Signing
under the following section will help address this cause:   

Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options

Microsoft network client: Digitally sign communications (always)   Disabled.
Microsoft network client: Digitally sign communications (if server agrees)  Enabled.
Microsoft network server: Digitally sign communications (always)   Disabled.
Microsoft network server: Digitally sign communications (if client agrees)  Enabled.

The settings can be found under the following registry keys:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManWorkstationParameters
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters

RequireSecuritySignature=always (0,disable, 1 enable).
EnableSecuritySignature=is server agrees (0,disable, 1 enable).

Additional Troubleshooting: 

if the above do not provide a solution to the 1722, Then you can use
the following Diagnostic logging to gather more information: