Dsbindwithcred to aed failed with status 1722 0x6ba the rpc server is unavailable

Dsbindwithcred to aed failed with status 1722 0x6ba the rpc server is unavailable

Добрый день уважаемые читатели и подписчики, в прошлый раз мы с вами устраняли проблему в Active Directory, а именно ошибку 14550 DfsSvc и netlogon 5781 на контроллере домена, сегодня же продолжается эпопея с продолжением этих ошибок, а именно от них мы избавились, но прилетели новые: Ошибка 1722. Сервер RPC и за последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. Давайте разбираться в чем дело.

Устраняем ошибку 1722 сервер rpc недоступен

Сетевые проблемы с репликацией и их решение, читайте по ссылке выше, про 14550. И так напомню, у меня есть два домена, родительский и дочерний. В дочернем 3 контроллера домена Active Directory. После переноса одного контроллера домена из одного сайта, ко всем остальным стали появляться ошибки 1722. Сервер RPC не доступен и сервер RPC и за последние 24 часа после предоставления SYSVOL.

Выявил я их при диагностике репликации между контроллерами домена, с помощью команды:

Данная команда показывает все ошибки репликации на предприятии. Вот как выглядит ошибка:

Первым делом, чтобы проверить, что с репликацией все хорошо, нужно удостовериться, что по UNC пути \\ваш домен доступна на чтение папка SYSVOL и NETLOGON.

Если они не доступны, то нужно проверить права на папки и проверьте доступность портов службы RPC TCP/UDP 135, возможно у вас они закрыты на брандмауэре, лучше на время тестирования его вообще отключить.

PS C:\Users\> Test-NetConnection dc07 -Port 135

ComputerName : dc07
RemoteAddress : 10.91.101.17
RemotePort : 135
InterfaceAlias : Ethernet0
SourceAddress : 10.91.101.7
TcpTestSucceeded : True

Если все нормально, то двигаемся дальше. Давайте теперь проверим, когда в последний раз реплицировались контроллеры домена, делается это командой:

В итоге я обнаружил, что у меня dc7 и dc13 имеют ошибку 1722 Сервер RPC недоступен. Порты 135 я проверил, они слушались. Кто не знает как проверить, то вот вам команда telnet в помощь.

Далее посмотрите в логах Windows 📃журналы «Active Directory Web Services«, «ActiveDirectory_DomainService» и «DFS Replication«, возможно вы там найдете дополнительные детали. Например, у меня была ошибка:

Partner DNS Address: DC1.pyatilistnik.org

Optional data if available:
Partner WINS Address: DC1
Partner IP Address: 192.168.1.26

The service will retry the connection periodically.

Additional Information:
Error: 1722 (The RPC server is unavailable.)
Connection ID: 9BBE21A2-46E3-4444-9D40-2967F4BA3400
Replication Group ID: E9198376-3944-4218-89BE-D4EC89CA73E8

В результате данный контроллер разрешался под старым IP-адресом, чтобы это поправить вам нужно почистить локальный кэш на контроллере, где появилась данная ошибка.

Когда с разрешением имени станет все нормально, у вас появится событие:

Additional Information:
Connection Address Used: DC1
Connection ID: 9BBE21A2-46E3-4C74-4444-2967F4BA3400
Replication Group ID: E9198376-39FD-4444-89BE-D4EC89CA73E8

Следующим шагом, идет 🛠проверка DNS серверов, в настройках стека TCP/IP. Если у вас более одного контроллера домена, то у вас первым dns сервером в настройках сетевого интерфейса должен идти dns другого контроллера домена, затем либо адрес текущего или петлевой Ip, а уже затем любые, что вам нужны.

Теперь снова выполнив команду repadmin /replsummary, я увидел, что все репликации прошли успешно. Так же советую запустить вручную репликацию AD, и проверить нет ли ошибок, убедитесь, так же, что команда dcdiag /a /q не дает ошибок. Так же если у вас развитая система сайтов AD, дождитесь времени репликации между ними.

Еще бывает, что на событие 1722 наслаивается ошибка:

Обновление 07.08.2022

Еще заметил интересную вещь, если в логах ошибки перестали появляться, но repadmin показывает ошибку, то нужно смотреть на количество неудачных попыток, если все хорошо, то счетчик начнет уменьшаться, но опять же совместно с ошибкой. Как только ошибок станет меньше двух, ошибка уйдет.

И вот там уже нужно больше телодвижений. Вот так вот просто решается ошибка 1722 сервер RPC не доступен на контроллере домена по Windows Server 2012 R2. Если у вас есть чем дополнить статью, то просьба написать это в комментариях.

Популярные Похожие записи:

6 Responses to Ошибка 1722 сервер RPC не доступен на контроллере домена

Привет, Иван! Я так не понял, что Вы сделали, чтобы все заработало. Как я понял, вы провели проверку, и все заработало?

Скринов случайно не осталось для написания статейки по переносу контроллера домена?)

Убедитесь, что все реплики ходят, и во вторых, чтобы в dns не было 127.0.0.1

Добрый день!
Спасибо за статью!
Подскажите, а как бороться с этим недугом?
The File Replication Service is having trouble enabling replication from DC1 to DC2 for c:\windows\sysvol\domain using the DNS name DC1.netwell.local. FRS will keep retrying.
Following are some of the reasons you would see this warning.

[1] FRS can not correctly resolve the DNS name DC1.netwell.local from this computer.
[2] FRS is not running on DC1.netwell.local.
[3] The topology information in the Active Directory Domain Services for this replica has not yet replicated to all the Domain Controllers.

This event log message will appear once per connection, After the problem is fixed you will see another event log message indicating that the connection has been established.

Вы не можете составить програмку для решения этого вопроса и поэтому выделываетесь в сети.

Этого 1722 и RPC не было на ХР и семёрке, у меня проявилось на десятке и не даёт возможности форматировать и создавать новые диски в программе от SEAGATE «Диск визард». Короче, моё мнение — это неумышленная, а может быть умышленная ошибка программистов, т.е. вирус. Придётся связываться с SEAGATE.
Как мне всё это надоело!

Источник

Active Directory replication error 1722: The RPC server is unavailable

This article helps fix the error 1722 of Active Directory replication.

Applies to: В Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Original KB number: В 2102154

Symptoms

This article describes the symptoms, cause, and resolution for resolving Active Directory replication failing with Win32 error 1722: The RPC server is unavailable.

DCPROMO Promotion of a replica DC fails to create an NTDS Settings object on the helper DC with error 1722гЂ‚

Dialog Title text: Active Directory Domain Services Installation Wizard

Dialog Message text:

DCDIAG reports that the Active Directory Replications test has failed with error 1722: The RPC Server is unavailable.

REPADMIN.EXE reports that replication attempt has failed with status 1722 (0x6ba).

REPADMIN commands that commonly cite the -1722 (0x6ba) status include but are not limited to:

• REPADMIN /REPLSUM
• REPADMIN /SHOWREPL
• REPADMIN /SHOWREPS
• REPADMIN /SYNCALL

Sample output from REPADMIN /SHOWREPS and REPADMIN /SYNCALL depicting The RPC server is unavailable error is shown below:

Sample output of REPADMIN /SYNCALL depicting The RPC server is unavailable error is shown below:

The replicate now command in Active Directory Sites and Services returns The RPC server is unavailable.

Right-clicking on the connection object from a source DC and choosing replicate now fails with The RPC server is unavailable. The on-screen error message is shown below:

Dialog title text: Replicate Now

Dialog message text:

The following error occurred during the attempt to synchronize naming context from domain controller to domain controller :The RPC server is unavailable. This operation will not continue. This condition may be caused by a DNS lookup problem. For information about troubleshooting common DNS lookup problems, see the following Microsoft Web site: DNS Lookup Problem

NTDS Knowledge Consistency Checker (KCC), NTDS General, or Microsoft-Windows-ActiveDirectory_DomainService events with the 1722 status are logged in the directory service event log.

Active Directory events that commonly cite the 1722 status include but are not limited to:

Event Source	Event ID	Event String
Microsoft-Windows-ActiveDirectory_DomainService	1125	The Active Directory Domain Services Installation Wizard (Dcpromo) was unable to establish connection with the following domain controller.
NTDS KCC	1311	The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
NTDS KCC	1865	The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
NTDS KCC	1925	The attempt to establish a replication link for the following writable directory partition failed.
NTDS Replication	1960	Internal event: The following domain controller received an exception from a remote procedure call (RPC) connection. The operation may have failed.

Cause

RPC is an intermediate layer between the network transport and the application protocol. RPC itself has no special insight into failures but attempts to map lower layer protocol failures into an error at the RPC layer.

RPC error 1722 / 0x6ba / RPC_S_SERVER_UNAVAILABLE is logged when a lower layer protocol reports a connectivity failure. The common case is that the abstract TCP CONNECT operation failed. In the context of AD replication, the RPC client on the destination DC was not able to successfully connect to the RPC server on the source DC. Common causes for this are:

1. Link local failure
2. DHCP failure
3. DNS failure
4. WINS failure
5. Routing failure (including blocked ports on firewalls)
6. IPSec / Network authentication failures
7. Resource limitations
8. Higher layer protocol not running
9. Higher layer protocol is returning this error

Resolution

Basic troubleshooting steps to identify the problem.

Verify the startup value and service status are correct for RPC, RPC Locator, and Kerberos Key Distribution Center

Verify the startup value and service status are correct for the Remote Procedure Call (RPC), Remote Procedure Call (RPC) Locator and Kerberos Key Distribution Center.

The OS version will determine the correct values for the source and destination system that is logging the replication error. Use the following table to help validate the settings.

Service Name	Windows 2000	Windows 2003 /R2	Windows 2008	Windows 2008 R2
Remote Procedure Call (RPC)	Started / Automatic	Started / Automatic	Started / Automatic	Started / Automatic
Remote Procedure Call (RPC) Locator	Started / Automatic (Domain Controllers) Not started / Manual(Member Servers)	Not started / Manual	Not started / Manual	Not started / Manual
Kerberos Key Distribution Center (KDC)	Started / Automatic (Domain Controllers) Not started / Disabled(Member Servers)	Started / Automatic (Domain Controllers) Not started / Disabled(Member Servers)	Started / Automatic (Domain Controllers) Not started / Disabled(Member Servers)	Started / Automatic (Domain Controllers) Not started / Disabled(Member Servers)

If you make any changes to match the settings above, restart the machine. Verify both the startup value and service status match the values documented in the table above.

Verify the ClientProtocols key exists under HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc, and that it contains the correct default protocols

Protocol Name	Type	Data Value
ncacn_http	REG_SZ	rpcrt4.dll
ncacn_ip_tcp	REG_SZ	rpcrt4.dll
ncacn_np	REG_SZ	rpcrt4.dll
ncacn_ip_udp	REG_SZ	rpcrt4.dll

If the ClientProtocols key or any of the four default values are missing, import the key from a known good server.

Verify DNS is working

DNS lookup failures are the cause of a large number of 1722 RPC errors when it comes to replication.

There are a few tools to use to help identify DNS errors:

DCDIAG /TEST:DNS /V /E /F:

The DCDIAG /TEST:DNS command can validate DNS health of Windows 2000 Server (SP3 or later), Windows Server 2003, and Windows Server 2008 family domain controllers. This test was first introduced with Windows Server 2003 Service Pack 1.

There are seven test groups for this command.

Records registration (RReg)

Dynamic update ( Dyn )

Forwarders/Root hints (Forw)

Summary of DNS test results:

The summary provides remediation steps for the more common failures from this test.

Explanation and additional options for this test can be found at Domain Controller Diagnostics Tool (dcdiag.exe).

Nltest /dsgetdc is used to exercise the dc locator process. Thus /dsgetdc: tries to find the domain controller for the domain. Using the force flag forces domain controller location rather than using the cache. You can also specify options such as /gc or /pdc to locate a Global Catalog or a primary domain controller emulator. For finding the Global Catalog, you must specify a tree name, which is the DNS domain name of the root domain.

Can be used with Windows 2003 and earlier versions to gather specific information for networking configuration and error. This tool takes some time to run when executing the -v switch.

Sample output for the DNS test:

It’s a simple quick test to validate the host record for a domain controller is resolving to the correct machine.

dnslint /s IP /ad IP

DNSLint is a Windows utility that helps you to diagnose common DNS name resolution issues. The output is an htm file with much information including:

DNS server: localhost

SOA record data from server:

Additional authoritative (NS) records from server: DC2.fabrikam.com

Alias (CNAME) and glue (A) records for forest GUIDs from server:

Verify network ports are not blocked by a firewall or third-party application listening on the required ports

The endpoint mapper (listening on port 135) tells the client which randomly assigned port a service (FRS, AD replication, MAPI, and so on) is listening on.

Application protocol	Protocol	Ports
Global Catalog Server	TCP	3269
Global Catalog Server	TCP	3268
LDAP Server	TCP	389
LDAP Server	UDP	389
LDAP SSL	TCP	636
LDAP SSL	UDP	636
IPsec ISAKMP	UDP	500
NAT-T	UDP	4500
RPC	TCP	135
RPC randomly allocated high TCP portsВ№	TCP	1024 — 5000 49152 — 65535*

* This is the range in Windows Server 2008, Windows Vista, Windows 7, and Windows 2008 R2.

Portqry can be used to identify if a port is blocked from a Dc when targeting another DC. It can be downloaded at PortQry Command Line Port Scanner Version 2.0.

-e 135
portqry -n

A graphical version of portqry, called Portqryui can be found at PortQryUI — User Interface for the PortQry Command Line Port Scanner.

If the Dynamic Port range has ports being blocked, use the below links to configure a port range that is manageable for the customer.

Additional important links for configuration and working with Firewalls and Domain Controllers:

Bad NIC drivers

See network card vendors or OEMs for the latest drivers.

UDP fragmentation can cause replication errors that appear to have a source of RPC server is unavailable

Event ID 40960 & 40961 errors with a source of LSASRV are common for this particular cause.

SMB signing mismatches between DCs

Using Default Domain Controllers Policy to configure consistent settings for SMB Signing under the following section will help address this cause:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

• Microsoft network client: Digitally sign communications (always) Disabled.
• Microsoft network client: Digitally sign communications (if server agrees) Enabled.
• Microsoft network server: Digitally sign communications (always) Disabled.
• Microsoft network server: Digitally sign communications (if client agrees) Enabled.

The settings can be found under the following registry keys:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters and HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

• RequireSecuritySignature = always (0,disable, 1 enable).
• EnableSecuritySignature = is server agrees (0,disable, 1 enable).

If the above don’t provide a solution to the 1722, use the following Diagnostic logging to gather more information:

Источник