Errore 1722 “RPC server is unavailable” in Active Directory: aggiungere un Domain Controller Windows Server 2022 senza blocchi di replica

Stai promuovendo un Domain Controller Windows Server 2022 in un dominio con un DC Windows Server 2012 e la procedura si blocca su “Replicate CN=Configuration,DC=…” con l’errore 1722 “The RPC server is unavailable”? Segui questa guida pratica per risolvere definitivamente i problemi di replica RPC in Active Directory.

Indice

Scenario e sintomi

Un’azienda dispone di una sola foresta e di un singolo controller di dominio (DC) Windows Server 2012. Durante l’aggiunta di un secondo DC Windows Server 2022, la promozione (“Promote to Domain Controller”) fallisce allo stadio finale “Replicate CN=Configuration,DC=…” con il messaggio “The RPC server is unavailable” (ID errore 1722). I test di connettività base (DNS dig/resolve, ping, tracert, accesso a \\nome) risultano regolari.

Questo è un caso classico: i test ICMP o l’accesso SMB a condivisioni possono andare a buon fine, ma la replica di AD DS usa RPC su porte specifiche e dinamiche, oltre a dipendere da DNS, Kerberos e tempo.

Come funziona la replica AD e dove si interrompe

La replica tra DC si basa su RPC. Il flusso semplificato:

Il DC di destinazione contatta l’RPC Endpoint Mapper del partner sulla TCP 135 per scoprire la porta dinamica del servizio Directory (NTDS).
L’Endpoint Mapper risponde con una porta alta nel range dinamico RPC (tipicamente TCP 49152‑65535 su Windows moderni).
Si apre la sessione sulla porta dinamica; seguono autenticazione Kerberos, lettura/scrittura degli oggetti e replica delle partizioni Configuration, Schema e Domain.

Se qualunque passaggio è impedito (ACL, firewall L3/L7, NAT, IDS/IPS, antivirus con ispezione, DNS errato, skew orario), la promozione può fermarsi proprio su “Replicate CN=Configuration” con l’errore RPC 1722.

Checklist rapida

Prima di entrare nel dettaglio, esegui questi controlli veloci (lato DC 2022 e DC 2012):

# Sul DC 2022
Test-NetConnection &lt;DC2012_FQDN&gt; -Port 135
Test-NetConnection &lt;DC2012_FQDN&gt; -Port 445
facoltativo ma utile se PortQry è disponibile: portqry -n &lt;DC2012_FQDN&gt; -e 135 -p tcp
nslookup &lt;DC2012_FQDN&gt;
nslookup -type=SRV ldap.tcp.dc._msdcs.&lt;dominio&gt;
w32tm /query /status
repadmin /syncall /AdeP
dcdiag /test:DNS /v

Sul DC 2012

Test-NetConnection <DC2022_FQDN> -Port 135
Test-NetConnection <DC2022_FQDN> -Port 445
nslookup <DC2022_FQDN>
w32tm /query /status
dcdiag /v /c
repadmin /replsummary </code></pre>

<p><em>Dritte immediate:</em> assicurati che sul <strong>nuovo DC</strong> il DNS <u>prima della promozione</u> punti <strong>al DC esistente</strong> (non a 127.0.0.1 e non a sé stesso). Verifica che dispositivi di sicurezza di rete non blocchino le porte RPC dinamiche.</p>

<h2>Tabella di risoluzione passo‑passo</h2>
<table>
  <thead>
    <tr>
      <th>Passaggio</th>
      <th>Cosa verificare / fare</th>
      <th>Perché è utile</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td>Connettività RPC</td>
      <td>Aprire tra i server le porte <strong>TCP&nbsp;135</strong> (Endpoint Mapper), <strong>TCP/UDP&nbsp;445</strong> (SMB) e l’intervallo <strong>RPC dinamico TCP&nbsp;49152‑65535</strong>. Se possibile, disabilitare temporaneamente firewall di terze parti per escludere blocchi.</td>
      <td>La replica usa RPC su porte negoziate: se il range è filtrato si ottiene l’errore 1722.</td>
    </tr>
    <tr>
      <td>Risoluzione DNS end‑to‑end</td>
      <td>Eseguire su entrambi i server <code>nslookup &lt;FQDNaltroDC&gt;</code> e <code>ping -a &lt;IPaltroDC&gt;</code>. Controllare record <strong>SRV</strong> in <em>_msdcs.&lt;dominio&gt;</em> e rimuovere A/SRV obsoleti o duplicati.</td>
      <td>Kerberos/RPC richiedono una risoluzione coerente e priva di conflitti per individuare l’endpoint del partner.</td>
    </tr>
    <tr>
      <td>Stato dei servizi</td>
      <td>Verificare che <strong>RPC</strong>, <strong>Netlogon</strong>, <strong>DNS Server</strong> e <strong>DFS Replication</strong> siano in esecuzione. Eseguire <code>dcdiag /v /c</code> e <code>repadmin /replsummary</code>.</td>
      <td>Errori interni o arresti anomali bloccano la replica; dcdiag/repadmin li evidenziano.</td>
    </tr>
    <tr>
      <td>Sincronizzazione oraria</td>
      <td>Usare <code>w32tm /query /status</code> su entrambi i DC; correggere scarti &gt; 5 minuti. Sul PDC&nbsp;Emulator puntare a una fonte NTP affidabile; forzare <code>w32tm /resync</code>.</td>
      <td>Kerberos rifiuta autenticazioni se la differenza oraria supera lo skew.</td>
    </tr>
    <tr>
      <td>Funzionalità e compatibilità</td>
      <td>Verificare che il livello funzionale <em>Windows Server&nbsp;2012</em> sia coerente (supportato da 2022). Assicurarsi che il dominio usi <strong>DFSR per SYSVOL</strong> (FRS non è supportato da 2019/2022).</td>
      <td>Evita blocchi strutturali (es. SYSVOL ancora su FRS) e problemi di schema.</td>
    </tr>
    <tr>
      <td>Impostazioni DNS sul nuovo DC</td>
      <td>Prima della promozione: <strong>Preferred DNS = DC&nbsp;2012</strong>; Alternate DNS facoltativo. Dopo la promozione: invertire (Preferred = sé stesso, Alternate = partner).</td>
      <td>Impostazioni DNS errate causano failure del binding RPC e dei record SRV.</td>
    </tr>
    <tr>
      <td>Ruoli FSMO e sito</td>
      <td>Controllare raggiungibilità dei ruoli (Schema/Naming/PDC/Infrastructure/RID) e la corretta mappatura <em>Subnet → Site</em> in <em>Active Directory Sites and Services</em>.</td>
      <td>Problemi su FSMO o topologia possono rimandare KCC o selezionare percorsi non raggiungibili.</td>
    </tr>
    <tr>
      <td>Log eventi</td>
      <td>Analizzare i registri <em>Directory‑Service</em>, <em>DNS Server</em>, <em>DFS Replication</em> e <em>System</em> per ID 1722, 2087, 2103, 4012, 2213, 1865.</td>
      <td>I log indicano il punto esatto del fallimento (binding RPC, autenticazione, dati, SYSVOL).</td>
    </tr>
    <tr>
      <td>Tool di supporto</td>
      <td>Seguire la guida ufficiale Microsoft “Troubleshoot replication error 1722” e la checklist AD DS.</td>
      <td>Fornisce script e step consolidati per questo errore specifico.</td>
    </tr>
  </tbody>
</table>

<h2>Verifiche dettagliate</h2>

<h3>Risoluzione DNS end‑to‑end</h3>
<ul>
  <li><strong>Autorità DNS:</strong> il DC&nbsp;2012 deve ospitare le zone integrate in AD (<em>dominio.tld</em> e <em>_msdcs.dominio.tld</em>) con aggiornamenti dinamici sicuri.</li>
  <li><strong>Record SRV critici:</strong> verifica con:
    <pre><code>nslookup -type=SRV ldap.tcp.dc._msdcs.&lt;dominio&gt;
nslookup -type=SRV kerberos.tcp.&lt;dominio&gt;

Forward/Reverse: ogni DC deve risolvere l’FQDN dell’altro nel corretto indirizzo IP e la reverse lookup deve tornare lo stesso nome:

nslookup &lt;FQDNaltroDC&gt;
ping -a &lt;IPaltroDC&gt;

DNS client: su DC 2022 prima della promozione imposta solo il DNS del DC 2012. Dopo la promozione, aggiorna: Preferred = sé stesso, Alternate = partner. Non usare 127.0.0.1 prima della promozione.
Record obsoleti: elimina A/SRV duplicati o non aggiornati. Se necessario, ipconfig /registerdns e Restart-Service DNS sul server DNS.

Porte e firewall RPC/SMB

Apri TCP 135/445 e TCP 49152‑65535 bidirezionali tra DC. Se vuoi restringere il range RPC, configurane una finestra più piccola e aprila negli ACL (occorrono chiavi di registro per RPC dinamico).
Escludi il filtraggio L7: IDS/IPS, ispezione TLS, proxy o NAT tra DC interferiscono con RPC. La replica tra DC non è supportata attraverso NAT.
Verifica pratica: Test-NetConnection <FQDN_partner> -Port 135 Test-NetConnection <FQDN_partner> -Port 445 Se disponibile: PortQry per sondare Endpoint Mapper portqry -n <FQDN_partner> -e 135 -p tcp

Sincronizzazione oraria e Kerberos

Skew ammesso: ±5 minuti per impostazione predefinita. Scarti maggiori bloccano Kerberos.
PDC Emulator: è l’orologio di riferimento del dominio. Impostalo su una fonte NTP affidabile. # Sul PDC Emulator w32tm /config /manualpeerlist:"time.example.org,0x8" /syncfromflags:manual /reliable:yes /update w32tm /resync /rediscover w32tm /query /status
Altri DC: w32tm /config /syncfromflags:domhier /update w32tm /resync w32tm /query /peers

Stato dei servizi e salute AD

Servizi chiave: Netlogon, DNS Server, DFS Replication. L’Active Directory Domain Services (NTDS) non è arrestabile in modo normale; se necessario, pianifica un riavvio del server.
Diagnostica completa:dcdiag /v /c repadmin /replsummary repadmin /showrepl * repadmin /queue repadmin /kcc
- 1722: problema di connettività RPC/porte.
- 2087: DNS non risolve il partner.
- 4012/2213: DFSR SYSVOL non ancora inizializzato o bloccato.

Compatibilità, ruoli e prerequisiti

Livelli funzionali: Windows Server 2022 supporta foreste e domini a livello 2012. L’aggiornamento dello schema viene gestito dal wizard se l’account ha privilegi adeguati e i ruoli FSMO sono raggiungibili.
SYSVOL: assicurati che il dominio usi DFSR. Se ancora su FRS (tipico in domini molto vecchi), migra a DFSR prima di introdurre DC 2019/2022.
Ruoli FSMO: verifica con netdom query fsmo e controlla la raggiungibilità del detentore dei ruoli.
Policy e software di sicurezza: impostazioni di hardening estreme (es. blocchi su RPC, SMB, CIFS) o EDR che ispezionano/scartano traffico RPC possono causare 1722.

Ambiente di rete e dispositivi di sicurezza

Multi‑NIC sui DC: evita percorsi multipli non necessari; collega i DC a una sola VLAN di server dove possibile.
MTU/Jumbo: incongruenze MTU possono interrompere handshake RPC con segmentazione anomala; mantieni valori coerenti.
VPN/IPSec: consenti esplicitamente il traffico RPC dinamico o crea eccezioni per i DC.

Correzioni tipiche che risolvono il 90% dei casi

Apri le porte necessarie su firewall host e di rete: TCP 135, TCP/UDP 445, range TCP 49152‑65535 tra i DC in entrambe le direzioni.
Imposta correttamente il DNS del nuovo server (prima della promozione punta al DC esistente). Elimina record A/SRV obsoleti e verifica i record SRV in _msdcs.
Allinea il tempo (PDC Emulator su NTP affidabile; resync degli altri DC). Correggi scarti > 5 minuti.
Controlla SYSVOL (DFSR): se in backlog o sospeso (ID 2213), sbloccalo: # Sul DC 2012 e/o 2022 se necessario dfsrdiag pollad Get-EventLog -LogName "DFS Replication" -Newest 20 Se evento 2213: rimuovere il ritardo amministrativo solo dopo verifica integrità wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="<GUID>" call ResumeReplication
Rigenera la topologia e forza la replica: repadmin /kcc repadmin /syncall /AdeP
Se persiste: riavvia Netlogon e DNS Server sul DC nuovo; in ultima istanza riavvia il server.

Script di diagnostica PowerShell

Questo script effettua i controlli chiave (porte, DNS, SRV, tempo, replica) tra due DC. Eseguilo dal DC 2022 sostituendo i placeholder.

param(
  [Parameter(Mandatory=$true)][string]$PartnerFqdn,
  [Parameter(Mandatory=$true)][string]$DomainDnsName
)

Write-Host "== Test porte =="
135,445 | ForEach-Object { Test-NetConnection -ComputerName $PartnerFqdn -Port $_ }

$dynPorts = 5..5 | ForEach-Object {Get-Random -Minimum 49152 -Maximum 65535} # dimostrativo
$dynPorts | ForEach-Object { Test-NetConnection -ComputerName $PartnerFqdn -Port $_ }

Write-Host "`n== Test DNS base =="
nslookup $PartnerFqdn

Write-Host "`n== SRV LDAP/Kerberos =="
nslookup -type=SRV "ldap.tcp.dc._msdcs.$DomainDnsName"
nslookup -type=SRV "kerberos.tcp.$DomainDnsName"

Write-Host "`n== Tempo =="
w32tm /query /status

Write-Host "`n== Repadmin =="
repadmin /replsummary
repadmin /showrepl *

Esempio di sessione completa

# 1) Impostazione DNS sul nuovo server (prima della promozione)
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.0.10

2) Verifica porte

Test-NetConnection dc2012.contoso.local -Port 135
Test-NetConnection dc2012.contoso.local -Port 445

3) Verifica SRV

nslookup -type=SRV ldap.tcp.dc._msdcs.contoso.local

4) Tempo su entrambi i lati

w32tm /query /status
w32tm /resync

5) Forzare KCC e replica

repadmin /kcc
repadmin /syncall /AdeP

6) Diagnostica DNS

dcdiag /test:DNS /v

Domande frequenti

Ping funziona, perché la replica no? Perché RPC non usa ICMP; la replica necessita di TCP 135 e di una porta dinamica alta negoziata dall’Endpoint Mapper, spesso filtrata da firewall o dispositivi L7.
Posso usare NAT tra DC? Non supportato. Il NAT rompe l’individuazione degli endpoint RPC e gli SPN/kerberos.
Il nuovo DC deve puntare a sé stesso come DNS durante la promozione? No. Deve risolversi tramite il DC esistente. Dopo la promozione potrai impostare Preferred = sé stesso.
FRS può causare 1722? L’errore 1722 è tipicamente connettività RPC. Tuttavia, domini che usano ancora FRS non possono accettare DC 2019/2022: migra a DFSR prima.
Posso “riavviare NTDS” senza riavviare il server? Su un DC in produzione il servizio AD DS non è arrestabile in modo standard; se necessario, pianifica un riavvio.

Appendice porte richieste

Servizio	Porte	Note
RPC Endpoint Mapper	TCP 135	Necessario per scoprire la porta dinamica di NTDS.
RPC dinamico	TCP 49152‑65535	Intervallo predefinito su Windows moderni; può essere ristretto con configurazione avanzata.
SMB	TCP/UDP 445	Accesso condivisioni amministrative e, in generale, varie operazioni di sistema.
DNS	TCP/UDP 53	Risoluzione nomi (inclusi SRV AD).
Kerberos	TCP/UDP 88	Autenticazione tra DC e servizi.
LDAP/LDAPS	TCP/UDP 389, TCP 636	Replica usa RPC; LDAP/LDAPS rimane fondamentale per altre operazioni AD.

Raccolta log ed escalation

Se dopo i controlli sopra il problema persiste, acquisisci log approfonditi prima di aprire un ticket al supporto:

# Netlogon verbose
nltest /dbflag:0x2080ffff
Traccia di rete
netsh trace start capture=yes report=disabled persistent=no maxsize=512 tracefile=c:\temp\rpc_trace.etl

Riprodurre l'errore (promozione/replica), poi fermare la traccia

netsh trace stop

Ripristinare Netlogon logging normale

nltest /dbflag:0x0

Allega i registri Directory‑Service, DNS Server, DFS Replication e la cartella C:\Windows\debug insieme alla traccia .etl. Documenta esattamente data/ora del tentativo fallito.

Riepilogo operativo

Apri le porte RPC/SMB richieste su firewall locali e di rete.
Correggi il DNS: imposta i resolver in modo appropriato, elimina record obsoleti e verifica i record SRV in _msdcs.
Esegui dcdiag e repadmin per identificare l’area in errore.
Allinea il tempo (PDC Emulator) e verifica Kerberos.
Riprova la promozione; la replica della partizione Configuration dovrebbe completarsi senza errori.

Materiale di riferimento operativo

Per una guida ufficiale specifica sull’errore RPC 1722 in replica, consulta la documentazione Microsoft “Troubleshoot replication error 1722” e i contenuti su dcdiag/repadmin. Anche senza collegamenti diretti, i nomi sono sufficienti per ritrovare i documenti nel portale.

Sequenza consigliata di comandi rapidi

# Sul DC 2022
Test-NetConnection <DC2012_FQDN> -Port 135
Test-NetConnection <DC2012_FQDN> -Port 445
repadmin /syncall /AdeP
dcdiag /test:DNS /v

Sul DC 2012

Test-NetConnection  -Port 135
dcdiag /v /c

Nota: se, dopo questi controlli, l’errore persiste, raccogli una traccia Netlogon e RPC (nltest /dbflag:0x2080ffff, netsh trace start capture=yes) e apri un ticket al supporto Microsoft allegando i log.