Stai promuovendo un Domain Controller Windows Server 2022 in un dominio con un DC Windows Server 2012 e la procedura si blocca su “Replicate CN=Configuration,DC=…” con l’errore 1722 “The RPC server is unavailable”? Segui questa guida pratica per risolvere definitivamente i problemi di replica RPC in Active Directory.
Scenario e sintomi
Un’azienda dispone di una sola foresta e di un singolo controller di dominio (DC) Windows Server 2012. Durante l’aggiunta di un secondo DC Windows Server 2022, la promozione (“Promote to Domain Controller”) fallisce allo stadio finale “Replicate CN=Configuration,DC=…” con il messaggio “The RPC server is unavailable” (ID errore 1722). I test di connettività base (DNS dig/resolve, ping
, tracert
, accesso a \\nome
) risultano regolari.
Questo è un caso classico: i test ICMP o l’accesso SMB a condivisioni possono andare a buon fine, ma la replica di AD DS usa RPC su porte specifiche e dinamiche, oltre a dipendere da DNS, Kerberos e tempo.
Come funziona la replica AD e dove si interrompe
La replica tra DC si basa su RPC. Il flusso semplificato:
- Il DC di destinazione contatta l’RPC Endpoint Mapper del partner sulla TCP 135 per scoprire la porta dinamica del servizio Directory (NTDS).
- L’Endpoint Mapper risponde con una porta alta nel range dinamico RPC (tipicamente TCP 49152‑65535 su Windows moderni).
- Si apre la sessione sulla porta dinamica; seguono autenticazione Kerberos, lettura/scrittura degli oggetti e replica delle partizioni Configuration, Schema e Domain.
Se qualunque passaggio è impedito (ACL, firewall L3/L7, NAT, IDS/IPS, antivirus con ispezione, DNS errato, skew orario), la promozione può fermarsi proprio su “Replicate CN=Configuration” con l’errore RPC 1722.
Checklist rapida
Prima di entrare nel dettaglio, esegui questi controlli veloci (lato DC 2022 e DC 2012):
# Sul DC 2022
Test-NetConnection <DC2012_FQDN> -Port 135
Test-NetConnection <DC2012_FQDN> -Port 445
facoltativo ma utile se PortQry è disponibile: portqry -n <DC2012_FQDN> -e 135 -p tcp
nslookup <DC2012_FQDN>
nslookup -type=SRV ldap.tcp.dc._msdcs.<dominio>
w32tm /query /status
repadmin /syncall /AdeP
dcdiag /test:DNS /v
Sul DC 2012
Test-NetConnection <DC2022_FQDN> -Port 135
Test-NetConnection <DC2022_FQDN> -Port 445
nslookup <DC2022_FQDN>
w32tm /query /status
dcdiag /v /c
repadmin /replsummary </code></pre>
<p><em>Dritte immediate:</em> assicurati che sul <strong>nuovo DC</strong> il DNS <u>prima della promozione</u> punti <strong>al DC esistente</strong> (non a 127.0.0.1 e non a sé stesso). Verifica che dispositivi di sicurezza di rete non blocchino le porte RPC dinamiche.</p>
<h2>Tabella di risoluzione passo‑passo</h2>
<table>
<thead>
<tr>
<th>Passaggio</th>
<th>Cosa verificare / fare</th>
<th>Perché è utile</th>
</tr>
</thead>
<tbody>
<tr>
<td>Connettività RPC</td>
<td>Aprire tra i server le porte <strong>TCP 135</strong> (Endpoint Mapper), <strong>TCP/UDP 445</strong> (SMB) e l’intervallo <strong>RPC dinamico TCP 49152‑65535</strong>. Se possibile, disabilitare temporaneamente firewall di terze parti per escludere blocchi.</td>
<td>La replica usa RPC su porte negoziate: se il range è filtrato si ottiene l’errore 1722.</td>
</tr>
<tr>
<td>Risoluzione DNS end‑to‑end</td>
<td>Eseguire su entrambi i server <code>nslookup <FQDNaltroDC></code> e <code>ping -a <IPaltroDC></code>. Controllare record <strong>SRV</strong> in <em>_msdcs.<dominio></em> e rimuovere A/SRV obsoleti o duplicati.</td>
<td>Kerberos/RPC richiedono una risoluzione coerente e priva di conflitti per individuare l’endpoint del partner.</td>
</tr>
<tr>
<td>Stato dei servizi</td>
<td>Verificare che <strong>RPC</strong>, <strong>Netlogon</strong>, <strong>DNS Server</strong> e <strong>DFS Replication</strong> siano in esecuzione. Eseguire <code>dcdiag /v /c</code> e <code>repadmin /replsummary</code>.</td>
<td>Errori interni o arresti anomali bloccano la replica; dcdiag/repadmin li evidenziano.</td>
</tr>
<tr>
<td>Sincronizzazione oraria</td>
<td>Usare <code>w32tm /query /status</code> su entrambi i DC; correggere scarti > 5 minuti. Sul PDC Emulator puntare a una fonte NTP affidabile; forzare <code>w32tm /resync</code>.</td>
<td>Kerberos rifiuta autenticazioni se la differenza oraria supera lo skew.</td>
</tr>
<tr>
<td>Funzionalità e compatibilità</td>
<td>Verificare che il livello funzionale <em>Windows Server 2012</em> sia coerente (supportato da 2022). Assicurarsi che il dominio usi <strong>DFSR per SYSVOL</strong> (FRS non è supportato da 2019/2022).</td>
<td>Evita blocchi strutturali (es. SYSVOL ancora su FRS) e problemi di schema.</td>
</tr>
<tr>
<td>Impostazioni DNS sul nuovo DC</td>
<td>Prima della promozione: <strong>Preferred DNS = DC 2012</strong>; Alternate DNS facoltativo. Dopo la promozione: invertire (Preferred = sé stesso, Alternate = partner).</td>
<td>Impostazioni DNS errate causano failure del binding RPC e dei record SRV.</td>
</tr>
<tr>
<td>Ruoli FSMO e sito</td>
<td>Controllare raggiungibilità dei ruoli (Schema/Naming/PDC/Infrastructure/RID) e la corretta mappatura <em>Subnet → Site</em> in <em>Active Directory Sites and Services</em>.</td>
<td>Problemi su FSMO o topologia possono rimandare KCC o selezionare percorsi non raggiungibili.</td>
</tr>
<tr>
<td>Log eventi</td>
<td>Analizzare i registri <em>Directory‑Service</em>, <em>DNS Server</em>, <em>DFS Replication</em> e <em>System</em> per ID 1722, 2087, 2103, 4012, 2213, 1865.</td>
<td>I log indicano il punto esatto del fallimento (binding RPC, autenticazione, dati, SYSVOL).</td>
</tr>
<tr>
<td>Tool di supporto</td>
<td>Seguire la guida ufficiale Microsoft “Troubleshoot replication error 1722” e la checklist AD DS.</td>
<td>Fornisce script e step consolidati per questo errore specifico.</td>
</tr>
</tbody>
</table>
<h2>Verifiche dettagliate</h2>
<h3>Risoluzione DNS end‑to‑end</h3>
<ul>
<li><strong>Autorità DNS:</strong> il DC 2012 deve ospitare le zone integrate in AD (<em>dominio.tld</em> e <em>_msdcs.dominio.tld</em>) con aggiornamenti dinamici sicuri.</li>
<li><strong>Record SRV critici:</strong> verifica con:
<pre><code>nslookup -type=SRV ldap.tcp.dc._msdcs.<dominio>
nslookup -type=SRV kerberos.tcp.<dominio>
Forward/Reverse: ogni DC deve risolvere l’FQDN dell’altro nel corretto indirizzo IP e la reverse lookup deve tornare lo stesso nome:
nslookup <FQDNaltroDC>
ping -a <IPaltroDC>
DNS client: su DC 2022 prima della promozione imposta solo il DNS del DC 2012. Dopo la promozione, aggiorna: Preferred = sé stesso, Alternate = partner. Non usare 127.0.0.1 prima della promozione.
Record obsoleti: elimina A/SRV duplicati o non aggiornati. Se necessario, ipconfig /registerdns
e Restart-Service DNS
sul server DNS.
Porte e firewall RPC/SMB
- Apri TCP 135/445 e TCP 49152‑65535 bidirezionali tra DC. Se vuoi restringere il range RPC, configurane una finestra più piccola e aprila negli ACL (occorrono chiavi di registro per RPC dinamico).
- Escludi il filtraggio L7: IDS/IPS, ispezione TLS, proxy o NAT tra DC interferiscono con RPC. La replica tra DC non è supportata attraverso NAT.
- Verifica pratica:
Test-NetConnection <FQDN_partner> -Port 135 Test-NetConnection <FQDN_partner> -Port 445 Se disponibile: PortQry per sondare Endpoint Mapper portqry -n <FQDN_partner> -e 135 -p tcp
Sincronizzazione oraria e Kerberos
- Skew ammesso: ±5 minuti per impostazione predefinita. Scarti maggiori bloccano Kerberos.
- PDC Emulator: è l’orologio di riferimento del dominio. Impostalo su una fonte NTP affidabile.
# Sul PDC Emulator w32tm /config /manualpeerlist:"time.example.org,0x8" /syncfromflags:manual /reliable:yes /update w32tm /resync /rediscover w32tm /query /status
- Altri DC:
w32tm /config /syncfromflags:domhier /update w32tm /resync w32tm /query /peers
Stato dei servizi e salute AD
- Servizi chiave: Netlogon, DNS Server, DFS Replication. L’Active Directory Domain Services (NTDS) non è arrestabile in modo normale; se necessario, pianifica un riavvio del server.
- Diagnostica completa:
dcdiag /v /c repadmin /replsummary repadmin /showrepl * repadmin /queue repadmin /kcc
- 1722: problema di connettività RPC/porte.
- 2087: DNS non risolve il partner.
- 4012/2213: DFSR SYSVOL non ancora inizializzato o bloccato.
Compatibilità, ruoli e prerequisiti
- Livelli funzionali: Windows Server 2022 supporta foreste e domini a livello 2012. L’aggiornamento dello schema viene gestito dal wizard se l’account ha privilegi adeguati e i ruoli FSMO sono raggiungibili.
- SYSVOL: assicurati che il dominio usi DFSR. Se ancora su FRS (tipico in domini molto vecchi), migra a DFSR prima di introdurre DC 2019/2022.
- Ruoli FSMO: verifica con
netdom query fsmo
e controlla la raggiungibilità del detentore dei ruoli. - Policy e software di sicurezza: impostazioni di hardening estreme (es. blocchi su RPC, SMB, CIFS) o EDR che ispezionano/scartano traffico RPC possono causare 1722.
Ambiente di rete e dispositivi di sicurezza
- Multi‑NIC sui DC: evita percorsi multipli non necessari; collega i DC a una sola VLAN di server dove possibile.
- MTU/Jumbo: incongruenze MTU possono interrompere handshake RPC con segmentazione anomala; mantieni valori coerenti.
- VPN/IPSec: consenti esplicitamente il traffico RPC dinamico o crea eccezioni per i DC.
Correzioni tipiche che risolvono il 90% dei casi
- Apri le porte necessarie su firewall host e di rete: TCP 135, TCP/UDP 445, range TCP 49152‑65535 tra i DC in entrambe le direzioni.
- Imposta correttamente il DNS del nuovo server (prima della promozione punta al DC esistente). Elimina record A/SRV obsoleti e verifica i record SRV in _msdcs.
- Allinea il tempo (PDC Emulator su NTP affidabile; resync degli altri DC). Correggi scarti > 5 minuti.
- Controlla SYSVOL (DFSR): se in backlog o sospeso (ID 2213), sbloccalo:
# Sul DC 2012 e/o 2022 se necessario dfsrdiag pollad Get-EventLog -LogName "DFS Replication" -Newest 20 Se evento 2213: rimuovere il ritardo amministrativo solo dopo verifica integrità wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="<GUID>" call ResumeReplication
- Rigenera la topologia e forza la replica:
repadmin /kcc repadmin /syncall /AdeP
- Se persiste: riavvia Netlogon e DNS Server sul DC nuovo; in ultima istanza riavvia il server.
Script di diagnostica PowerShell
Questo script effettua i controlli chiave (porte, DNS, SRV, tempo, replica) tra due DC. Eseguilo dal DC 2022 sostituendo i placeholder.
param(
[Parameter(Mandatory=$true)][string]$PartnerFqdn,
[Parameter(Mandatory=$true)][string]$DomainDnsName
)
Write-Host "== Test porte =="
135,445 | ForEach-Object { Test-NetConnection -ComputerName $PartnerFqdn -Port $_ }
$dynPorts = 5..5 | ForEach-Object {Get-Random -Minimum 49152 -Maximum 65535} # dimostrativo
$dynPorts | ForEach-Object { Test-NetConnection -ComputerName $PartnerFqdn -Port $_ }
Write-Host "`n== Test DNS base =="
nslookup $PartnerFqdn
Write-Host "`n== SRV LDAP/Kerberos =="
nslookup -type=SRV "ldap.tcp.dc._msdcs.$DomainDnsName"
nslookup -type=SRV "kerberos.tcp.$DomainDnsName"
Write-Host "`n== Tempo =="
w32tm /query /status
Write-Host "`n== Repadmin =="
repadmin /replsummary
repadmin /showrepl *
Esempio di sessione completa
# 1) Impostazione DNS sul nuovo server (prima della promozione)
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.0.10
2) Verifica porte
Test-NetConnection dc2012.contoso.local -Port 135
Test-NetConnection dc2012.contoso.local -Port 445
3) Verifica SRV
nslookup -type=SRV ldap.tcp.dc._msdcs.contoso.local
4) Tempo su entrambi i lati
w32tm /query /status
w32tm /resync
5) Forzare KCC e replica
repadmin /kcc
repadmin /syncall /AdeP
6) Diagnostica DNS
dcdiag /test:DNS /v
Domande frequenti
- Ping funziona, perché la replica no? Perché RPC non usa ICMP; la replica necessita di TCP 135 e di una porta dinamica alta negoziata dall’Endpoint Mapper, spesso filtrata da firewall o dispositivi L7.
- Posso usare NAT tra DC? Non supportato. Il NAT rompe l’individuazione degli endpoint RPC e gli SPN/kerberos.
- Il nuovo DC deve puntare a sé stesso come DNS durante la promozione? No. Deve risolversi tramite il DC esistente. Dopo la promozione potrai impostare Preferred = sé stesso.
- FRS può causare 1722? L’errore 1722 è tipicamente connettività RPC. Tuttavia, domini che usano ancora FRS non possono accettare DC 2019/2022: migra a DFSR prima.
- Posso “riavviare NTDS” senza riavviare il server? Su un DC in produzione il servizio AD DS non è arrestabile in modo standard; se necessario, pianifica un riavvio.
Appendice porte richieste
Servizio | Porte | Note |
---|---|---|
RPC Endpoint Mapper | TCP 135 | Necessario per scoprire la porta dinamica di NTDS. |
RPC dinamico | TCP 49152‑65535 | Intervallo predefinito su Windows moderni; può essere ristretto con configurazione avanzata. |
SMB | TCP/UDP 445 | Accesso condivisioni amministrative e, in generale, varie operazioni di sistema. |
DNS | TCP/UDP 53 | Risoluzione nomi (inclusi SRV AD). |
Kerberos | TCP/UDP 88 | Autenticazione tra DC e servizi. |
LDAP/LDAPS | TCP/UDP 389, TCP 636 | Replica usa RPC; LDAP/LDAPS rimane fondamentale per altre operazioni AD. |
Raccolta log ed escalation
Se dopo i controlli sopra il problema persiste, acquisisci log approfonditi prima di aprire un ticket al supporto:
# Netlogon verbose
nltest /dbflag:0x2080ffff
Traccia di rete
netsh trace start capture=yes report=disabled persistent=no maxsize=512 tracefile=c:\temp\rpc_trace.etl
Riprodurre l'errore (promozione/replica), poi fermare la traccia
netsh trace stop
Ripristinare Netlogon logging normale
nltest /dbflag:0x0
Allega i registri Directory‑Service, DNS Server, DFS Replication e la cartella C:\Windows\debug
insieme alla traccia .etl
. Documenta esattamente data/ora del tentativo fallito.
Riepilogo operativo
- Apri le porte RPC/SMB richieste su firewall locali e di rete.
- Correggi il DNS: imposta i resolver in modo appropriato, elimina record obsoleti e verifica i record SRV in _msdcs.
- Esegui
dcdiag
erepadmin
per identificare l’area in errore. - Allinea il tempo (PDC Emulator) e verifica Kerberos.
- Riprova la promozione; la replica della partizione Configuration dovrebbe completarsi senza errori.
Materiale di riferimento operativo
Per una guida ufficiale specifica sull’errore RPC 1722 in replica, consulta la documentazione Microsoft “Troubleshoot replication error 1722” e i contenuti su dcdiag/repadmin. Anche senza collegamenti diretti, i nomi sono sufficienti per ritrovare i documenti nel portale.
Sequenza consigliata di comandi rapidi
# Sul DC 2022
Test-NetConnection <DC2012_FQDN> -Port 135
Test-NetConnection <DC2012_FQDN> -Port 445
repadmin /syncall /AdeP
dcdiag /test:DNS /v
Sul DC 2012
Test-NetConnection -Port 135
dcdiag /v /c
Nota: se, dopo questi controlli, l’errore persiste, raccogli una traccia Netlogon e RPC (nltest /dbflag:0x2080ffff
, netsh trace start capture=yes
) e apri un ticket al supporto Microsoft allegando i log.