La promotion d’un serveur Windows Server 2022 en contrôleur de domaine peut échouer avec « The RPC server is unavailable (1722) ». Ce guide propose un diagnostic concret, des commandes prêtes à l’emploi et des correctifs pour rétablir la réplication de la partition CN=Configuration.
Vue d’ensemble du problème
Vous disposez d’un seul DC Windows Server 2012. Lors de l’assistant de promotion du serveur 2022 comme DC supplémentaire, l’étape de réplication de CN=Configuration échoue avec l’erreur 1722 alors que les tests réseau basiques (ping, résolution DNS) semblent corrects.
The RPC server is unavailable (1722)
Dans Active Directory, la réplication inter‑DC de la partition Configuration repose sur RPC over TCP 135 et des ports RPC dynamiques. L’erreur 1722 est presque toujours causée par un blocage de ports, un service critique arrêté, un enregistrement DNS manquant/cassé, ou un écart d’horloge cassant Kerberos.
Check‑list rapide avant d’aller plus loin
- Ports RPC : tester
135/TCPet la plage dynamique (par défaut 49152‑65535/TCP) entre les deux DC. - Services : s’assurer que RpcSs, Netlogon, NTDS, DFS Replication, Remote Registry sont en Running/Automatic sur les deux serveurs.
- DNS interne uniquement sur le nouveau 2022 (pas de DNS public ou résolveur mixte).
- Heure : écart < 5 min,
w32tm /query /statusOK. - DFSR :
dfsrmig /getglobalstate→ la valeur ELIMINATED confirme FRS → DFSR terminé. - Outils :
dcdiag,repadminpour isoler la réplication fautive. - Sites AD/MTU : même Site ou lien de site correct ; tester fragmentation avec
ping -f -l.
Tableau de contrôle – actions recommandées
| Axe de contrôle | Points clés et actions |
|---|---|
| Connectivité RPC | Le code 1722 indique que 135/TCP (RPC Endpoint Mapper) ou un port RPC dynamique est bloqué. Vérifier pare‑feu Windows, ACL, IPS, NAT, security groups cloud. PortQry -n <Nom_DC> -e 135 puis PortQry -n <Nom_DC> -r 49152-65535. Alternative PowerShell : Test-NetConnection -ComputerName <Nom_DC> -Port 135 -InformationLevel Detailed. |
| Services système | Services à l’état Running/Automatic : RPC (RpcSs), Netlogon, Active Directory Domain Services (NTDS), DFS Replication, Remote Registry. Redémarrer si nécessaire ; contrôler les journaux System, Directory Service, DFS Replication. |
| DNS & enregistrements SRV | Les enregistrements A et SRV du nouveau DC doivent exister dans _msdcs.<domaine>. ipconfig /flushdns puis dcdiag /test:dns sur chaque DC. Le DC 2022 pointe uniquement vers des DNS AD internes. |
| Synchronisation horaire | Service w32time démarré ; écart horaire < 5 minutes (Kerberos). w32tm /query /status et w32tm /query /source pour valider la source NTP. |
| Niveau fonctionnel & Sysvol | Un domaine au niveau fonctionnel 2012 supporte un DC 2022. Confirmer la réplication Sysvol via DFSR : dfsrmig /getglobalstate → ELIMINATED attendu. |
| Outils de diagnostic | dcdiag /c /v /e pour une vue globale. repadmin /replsummary et repadmin /showrepl pour localiser la partition en échec. Journaux : Directory Service, DFS Replication, System. |
| Sites AD & MTU | Vérifier que les DC sont dans le même Site ou qu’un lien de site adéquat existe (Active Directory Sites and Services). Tester la fragmentation : ping -f -l 1472 <Nom_DC> (ajuster la taille jusqu’à succès). |
Référence utile : « Troubleshoot replication error 1722 » – documentation Microsoft Learn (recherchez « 1722 RPC server is unavailable »).
Comprendre l’erreur 1722 dans ce contexte
La réplication AD de CN=Configuration utilise des connexions RPC initialisées via le RPC Endpoint Mapper (port 135/TCP), puis basculant vers un port dynamique. Si 135 est joignable mais que la plage dynamique est filtrée, la découverte d’endpoint aboutit mais l’appel de procédure distant échoue – d’où le message 1722. D’autres causes : service Netlogon arrêté, enregistrements SRV incomplets/obsolètes, horloge désynchronisée cassant l’authentification Kerberos, ou MTU inadapté sur des liaisons WAN/SD‑WAN.
Ports requis pour la promotion/réplication AD
| Port | Protocole | Rôle / Service | Commentaires |
|---|---|---|---|
| 135 | TCP | RPC Endpoint Mapper | Doit être ouvert bidirectionnellement entre DC. |
| 49152–65535 | TCP | RPC dynamiques | Plage par défaut depuis Windows Vista/Server 2008 ; peut être restreinte via Registre si réseau filtré. |
| 5722 | TCP | DFSR (Sysvol) | Nécessaire si Sysvol réplique via DFSR (recommandé). |
| 389 / 636 | TCP | LDAP / LDAPS | Découverte et annuaire. |
| 3268 / 3269 | TCP | LDAP GC / LDAPS GC | Global Catalog si activé sur le DC cible. |
| 88 | TCP/UDP | Kerberos | Authentification. |
| 464 | TCP/UDP | Kerberos (kpasswd) | Changement de mot de passe/clé. |
| 445 | TCP | SMB | Accès à Sysvol/Netlogon et divers scénarios. |
| 53 | TCP/UDP | DNS | Résolution et transferts. |
Diagnostic détaillé pas à pas
Connectivité et pare‑feu
- Depuis le DC 2022 vers le DC 2012 (et inversement) :
PortQry -n DC2012 -e 135 PortQry -n DC2012 -r 49152-65535 PortQry -n DC2012 -e 5722SiFILTEREDouNOT LISTENINGapparaît, ajuster les règles de pare‑feu/ACL. - PowerShell intégré (sans PortQry) :
Test-NetConnection DC2012 -Port 135 -InformationLevel Detailed (Test-NetConnection DC2012 -Port 5722).TcpTestSucceeded - Windows Firewall – exemples de règles sur chaque DC :
# Autoriser 135/TCP et 5722/TCP New-NetFirewallRule -DisplayName "RPC 135 In" -Direction Inbound -Protocol TCP -LocalPort 135 -Action Allow New-NetFirewallRule -DisplayName "DFSR 5722 In" -Direction Inbound -Protocol TCP -LocalPort 5722 -Action Allow # Autoriser un intervalle RPC restreint (ex. 49152-49252) New-NetFirewallRule -DisplayName "RPC Dynamic In" -Direction Inbound -Protocol TCP -LocalPort 49152-49252 -Action Allow
Restreindre la plage RPC dynamique (réseaux filtrés/NAT)
Pour éviter d’ouvrir 49152‑65535, définissez une sous‑plage dédiée aux services RPC :
HKLM\Software\Microsoft\Rpc\Internet
Ports (Multi‑SZ) : 49152-49252
PortsInternetAvailable (String) : Y
UseInternetPorts (String) : Y
Redémarrez le service RPC (ou le serveur lors d’un changement de plage) et ouvrez la même plage sur le pare‑feu/ACL. Répétez sur chaque DC impliqué.
Services critiques
# Vérifier l’état sur un serveur
"RpcSs","Netlogon","NTDS","DFSR","RemoteRegistry" | ForEach-Object {
Get-Service $_ | Select-Object Name,Status,StartType
}
# Démarrer si nécessaire
Start-Service RpcSs, Netlogon, DFSR, RemoteRegistry
DNS interne et enregistrements SRV
- Le nouveau DC 2022 doit utiliser des DNS AD internes (éviter 8.8.8.8/serveurs publics).
- Nettoyer le cache et tester :
ipconfig /flushdns dcdiag /test:dns /v nltest /dsgetdc:<domaine> - Vérifier sous
_msdcs.<domaine>la présence des enregistrements SRV et A pour les deux DC ; corriger les enregistrements obsolètes (stale) et relancer Netlogon pour forcer l’inscription :net stop netlogon & net start netlogon
Heure et Kerberos
w32tm /query /status
w32tm /query /source
# Si nécessaire, recadrer la source NTP
w32tm /config /manualpeerlist:"time.windows.com,0x9" /syncfromflags:MANUAL /reliable:YES /update
w32tm /resync /force
Assurez‑vous que le PDC Emulator du domaine fournit une référence fiable et que l’écart d’horloge est < 5 minutes.
DFSR et état de migration Sysvol
dfsrmig /getglobalstate
dfsrmig /getmigrationstate
Si la migration FRS → DFSR n’est pas terminée, finalisez‑la avant d’introduire le DC 2022. Un état ELIMINATED confirme la fin de la migration.
Sites AD, topologie et MTU
- Dans Active Directory Sites and Services, placez chaque DC dans le bon sous‑réseau et Site.
repadmin /kccforce la (re)génération des connexions. - Tester l’MTU pour exclure un blocage ICMP Fragmentation Needed :
ping -f -l 1472 <Nom_DC> ping -f -l 1464 <Nom_DC> # Ajuster jusqu’à succès
Outils d’investigation et interprétation des résultats
dcdiag
dcdiag /c /v /e
dcdiag /test:replications /v
Recherchez des erreurs RPC Server Unavailable, des pannes DNS, ou des problèmes de Advertising du DC 2022.
repadmin
repadmin /replsummary
repadmin /showrepl * /csv > C:\Temp\repl.csv
repadmin /queue
repadmin /showconn <NOM_DC_2022>
Se focaliser sur les lignes concernant la Configuration (CN=Configuration,DC=…). Un échec 1722 confirme le problème de transport.
Événements Windows à surveiller
- Directory Service : événements réplication NTDS (erreurs 1722, 8453, 1726).
- DFS Replication : événements indiquant des blocages de port 5722 ou des backlogs.
- System : démarrage/arrêt des services Netlogon/DFS/NTDS, erreurs TCP/IP.
Procédures de remédiation recommandées
Cas typique : pare‑feu/ACL au milieu
- Ouvrir 135/TCP, 5722/TCP, 53/TCP/UDP, 88/TCP/UDP, 389/636/3268/3269 TCP, 445/TCP, 464/TCP/UDP, et la plage RPC (par défaut 49152‑65535/TCP ou votre sous‑plage restreinte).
- Si nécessaire, définir une sous‑plage RPC stricte (registre ci‑dessus) et ouvrir uniquement cet intervalle.
- Relancer la promotion ; si vous restez bloqué, passer à la promotion hors‑ligne.
Promotion hors‑ligne/à trafic réduit (réseaux très filtrés)
IFM – Install From Media limite la première réplication et contourne les liens insuffisamment ouverts.
- Sur le DC 2012, préparer le média :
ntdsutil activate instance ntds ifm create sysvol full C:\IFM quit quit - Copier
C:\IFMvers le serveur 2022. - Sur le serveur 2022 :
Install-ADDSDomainController ` -InstallDNS:$true ` -NoGlobalCatalog:$false ` -DomainName "contoso.local" ` -ReplicationSourceDC "DC2012.contoso.local" ` -InstallationMediaPath "C:\IFM" ` -CriticalReplicationOnlyL’option-CriticalReplicationOnlyrestreint la réplication initiale aux partitions critiques ; complétez ensuite la réplication complète lorsque le réseau est prêt.
Validation après correction
nltest /sc_verify:<domaine> # Vérifie le canal sécurisé Netlogon
repadmin /replsummary # Vérifie la santé globale
repadmin /showrepl <NOM_DC_2022> # Toutes les partitions doivent être en succès
dcdiag /test:dns /v # Sanity check DNS
Scripts prêt‑à‑l’emploi pour automatiser les vérifications
Audit express des ports depuis le DC 2022
$targets = "DC2012","DC2022"
$ports = 135,5722,53,88,389,445,464,3268,3269
$rpcRange = 49152..49170 # échantillon rapide
foreach(\$t in \$targets){
foreach(\$p in \$ports){
\$ok = (Test-NetConnection -ComputerName \$t -Port \$p).TcpTestSucceeded
"{0}:{1} => {2}" -f \$t,\$p,(\$ok?"OK":"BLOCKED")
}
}
# Test d'un petit échantillon de la plage RPC
foreach(\$p in \$rpcRange){
if(-not (Test-NetConnection -ComputerName "DC2012" -Port \$p).TcpTestSucceeded){
"RPC dynamic port {0} appears BLOCKED" -f \$p
break
}
} Vérification des services et démarrage automatique
$svc = "RpcSs","Netlogon","NTDS","DFSR","RemoteRegistry"
Get-Service $svc | Select Name,Status,StartType
Get-Service $svc | Where Status -ne "Running" | Start-Service
Get-Service $svc | Where StartType -ne "Automatic" | Set-Service -StartupType Automatic
Contrôle DNS rapide
ipconfig /flushdns
dcdiag /test:dns /v
Resolve-DnsName -Name _ldap._tcp.dc._msdcs.<domaine> -Type SRV
Resolve-DnsName -Name DC2012.<domaine>
Resolve-DnsName -Name DC2022.<domaine>
Pièges fréquents et signaux faibles
- Serveur 2022 pointant vers un DNS public : l’inscription SRV échoue, la découverte du partenaire de réplication est cassée.
- Antivirus/EDR avec inspection réseau : certains agents filtrent/retardent RPC ; tester en désactivant temporairement la protection réseau (en maintenance).
- NAT entre DC : déconseillé ; à défaut, plage RPC fixe obligatoire et pinholes correspondants.
- MTU réduite sur VPN sans ICMP Fragmentation Needed autorisé : provoquer des resets TCP et des erreurs 1722.
- DFSR non finalisé (migration FRS → DFSR incomplète) : Sysvol ne réplique pas, la promotion peut échouer ou se bloquer.
Plan d’action recommandé
- Toujours valider 135/TCP + RPC dynamiques + 5722/TCP dans les deux sens.
- Confirmer les services et le DNS (SRV sous
_msdcs), puis la source NTP. - Vérifier Sites/liaisons/MTU, corriger si nécessaire.
- Relancer la promotion ; si le réseau reste trop fermé, basculer en IFM + CriticalReplicationOnly.
- Après succès, exécuter :
nltest /sc_verify,repadmin /replsummary,dcdiag.
FAQ rapide
Faut‑il mettre à jour le niveau fonctionnel pour ajouter un DC 2022 ?
Non, un domaine au niveau fonctionnel 2012 supporte un DC 2022. Veillez cependant à finaliser la migration Sysvol vers DFSR.
Puis‑je limiter la plage RPC pour n’ouvrir qu’une poignée de ports ?
Oui : définissez une plage dans HKLM\Software\Microsoft\Rpc\Internet (ex. 49152‑49252) et ouvrez strictement cette plage sur les pare‑feu/ACL des deux côtés.
La réplication échoue uniquement sur Configuration, pas sur Schema / Domain ; que faire ?
C’est typique d’un blocage RPC après la négociation initiale. Rejouez les tests PortQry ; contrôlez les enregistrements SRV et les connexions NTDS Settings (repadmin /showconn).
Exemples de commandes utiles centrées sur la réplication
# Forcer une réplication immédiate depuis le partenaire
repadmin /syncall /APeD
# Examiner la file de réplication
repadmin /queue
# Voir les dernières erreurs par site
Get-ADReplicationFailure -Scope Site -Target "Default-First-Site-Name" | \`
Select Server, FirstFailureTime, Partner, FailureCount, LastError
# Vérifier le Global Catalog sur le DC 2022
Get-ADDomainController -Identity \ | Select-Object Name,IsGlobalCatalog,Site Conclusion
Dans la majorité des cas, l’erreur 1722 lors de la promotion d’un DC 2022 vers un domaine existant 2012 provient d’un filtrage de ports RPC ou d’un DNS incomplet. En appliquant la check‑list ci‑dessus – connectivité, services, DNS, temps, DFSR, sites/MTU – puis en exploitant dcdiag/repadmin et les journaux, la réplication de la partition Configuration se rétablit et la promotion se termine sans erreur. En environnement très contraint, l’option IFM (Install From Media) combinée à -CriticalReplicationOnly permet de contourner le filtrage tout en restant supporté.
Annexe : modèle de plan de changement
| Étape | Action | Validation | Retour arrière |
|---|---|---|---|
| Pré‑vérifs | Tester 135/TCP + RPC dynamiques + 5722/TCP | PortQry/Test‑NetConnection OK | Reporter la promotion |
| DNS | Pointer le 2022 vers DNS AD interne, dcdiag /test:dns | SRV présents dans _msdcs | Corriger zones, relancer Netlogon |
| Heure | Configurer source NTP fiable | w32tm /query OK | Revenir temporairement sur PDC Emulator |
| Promotion | Assistant ou PowerShell (Install‑ADDSDomainController) | Réussite, DC advertised | Annuler l’opération et restaurer le serveur |
| Post‑vérifs | repadmin, dcdiag, nltest /sc_verify | Aucune erreur résiduelle | Analyser les journaux et rouvrir les ports |
Astuce : si vous devez justifier l’ouverture de ports, restreignez la plage RPC dynamique (registre) et documentez précisément la portée (DC ↔ DC) et la direction inbound/outbound. Cela rassure les équipes sécurité tout en restant conforme au fonctionnement de RPC.
En appliquant ces contrôles (ou en suivant pas à pas l’article de référence Microsoft mentionné), la réplication de CN=Configuration devrait s’établir et la promotion du contrôleur de domaine Windows Server 2022 aboutir.