Introdução: O erro “RPC server is unavailable” durante a atualização de Diretiva de Grupo costuma surgir nos momentos mais críticos, interrompendo automações e gerando atrasos em implantações. Este guia prático mostra como diagnosticar e corrigir a falha de ponta a ponta.
Visão geral do erro “RPC server is unavailable”
Quando o comando gpupdate é executado na estação ou quando se usa a opção Group Policy Update em uma OU, o Controlador de Domínio (DC) pode devolver os códigos:
The remote procedure call was cancelledThe RPC server is unavailable (0x6BA)
Ambas as mensagens indicam que o fluxo RPC — base do serviço de Diretiva de Grupo — foi interrompido entre o host de origem e o DC que hospeda Group Policy.
Como o RPC sustenta a Diretiva de Grupo
O Serviço de Chamada de Procedimento Remoto (Remote Procedure Call – RPC) permite que processos distribuídos troquem dados e executem instruções. Especificamente para GPO:
- rpcss (
Remote Procedure Call (RPC)) cria canais de comunicação. - RPC Endpoint Mapper cataloga quais portas dinâmicas (TCP 49152‑65535, por padrão) cada serviço escutará.
- GPADSvc, Netlogon e Kerberos dependem desses canais para autenticar o computador e ler objetos de política.
Sinais de que o problema é RPC
Nem todo erro de gpupdate é RPC. Indícios claros incluem:
- Duração longa (30 s +) antes da falha.
- ID 1722 no Event Viewer (System).
dcdiag /vexibindo RPC error 1722 ou 0x6BA.portqrymostra TCP 135 como FILTERED.
Causas mais comuns
| Categoria | O que costuma falhar |
|---|---|
| Serviços | RPC ou RPC Endpoint Mapper parados ou configurados em Manual/Disabled. |
| Rede | Perda de conectividade IP (rotas, VLAN, VPN, NIC off) ou filtragem de portas. |
| Firewall | TCP 135 bloqueado e portas dinâmicas RPC (49152‑65535) fechadas. |
| DNS / WINS | Nome do DC resolve para IP incorreto; registros SRV ausentes. |
| Autenticação | Credenciais sem permissão de leitura/aplicação da GPO ou falha Kerberos (skew de horário, SPN). |
Fluxo de solução de problemas
Execute as etapas na ordem e verifique o resultado após cada uma delas.
Verificar serviços RPC
services.mscConfirme que Remote Procedure Call (RPC) e RPC Endpoint Mapper estão em Running / Automatic. Reinicie se preciso:
net stop rpcss && net start rpcssTestar conectividade IP
ping DC_FQDN
ping DC_IPSem resposta? Cheque cabos, VLAN, rotas estáticas, VPN, NIC desativada ou teaming mal‑configurado.
Confirmar resolução de nomes
nslookup DC_FQDNO IP devolvido deve coincidir com o do ping. Se divergir, execute:
ipconfig /flushdnsLiberar portas no firewall
| Porta | Protocolo | Descrição |
|---|---|---|
| 135 | TCP | RPC Endpoint Mapper – obrigatório |
| 49152‑65535* | TCP/UDP | Portas dinâmicas RPC (Windows Server 2012 R2+) |
*Defina intervalo menor em servidores protegidos por firewall estrito. Consulte a seção “Restringir portas dinâmicas”.
Validar autenticação e permissões
- Execute
gpupdatecom conta membro de Domain Admins ou delegada. - Cheque sincronismo de hora:
w32tm /query /status. Skew > 5 min quebra Kerberos. - Verifique SPNs duplicados via
setspn -X -Q /.
Reiniciar e repetir gpupdate
gpupdate /forceSe o problema persistir, avance para diagnósticos avançados.
Diagnóstico avançado
| Ferramenta | Uso rápido | Busca por |
|---|---|---|
dcdiag /v | Executar no DC | Erros RPC, replicação, tempo |
portqry -n DC_FQDN -e 135 -p TCP | Estação → DC | Estado da porta 135 |
repadmin /replsummary | DC | Falha de replicação SYSVOL/GPO |
| Event Viewer | System & DFS‑R | ID 1722, 40960/40961, 5002 |
Restringir portas dinâmicas RPC
Para ambientes com firewall de borda, limitar o range reduz a superfície de ataque e simplifica as regras. Exemplo: 50000‑51000.
- Editar registro em
HKLM\Software\Microsoft\Rpc\Internet:
"Ports"=dword:0000c350 ;min 50000
"PortsEnd"=dword:0000c814 ;max 51000
"PortsInternetAvailable"="Y"
- Reiniciar serviço
rpcssou o servidor. - Criar regra de firewall permitindo o novo intervalo.
Impacto de DNS, SYSVOL e replicação
O processo de Group Policy consulta ldap.tcp.dc.msdcs.<domínio> e ldap.tcp.pdc.msdcs.<domínio> via DNS. Se registros estiverem ausentes, o cliente busca DC aleatório ou incorreto, ocasionando erro RPC. Além disso, GPO reside em SYSVOL; falhas de DFS‑R podem gerar access denied que mascaram‑se como falha RPC. Para validar:
nslookup -type=SRV ldap.tcp.dc._msdcs.seu.dominio
dcdiag /test:frssysvol
repadmin /showreplBoas práticas preventivas
- Monitorar ID 1722 e 135 no System Log com Event Forwarding.
- Configurar alertas de latência > 300 ms entre sites AD no Operations Manager.
- Aplicar baseline de firewall interno permitindo TCP 135 + intervalo RPC restrito.
- Manter servidores com patches mensais; atualizações de segurança podem exigir reboot para liberar portas.
- Automatizar verificação de serviços essenciais com
Test-ServiceHealth.ps1.
Perguntas frequentes (FAQ)
Posso simplesmente reiniciar o DC para resolver?
Em muitos casos, reiniciar restaura serviços RPC, mas não corrige a causa (ex.: regra de firewall). Use reinício apenas após confirmar que não há mudança de configuração pendente.
O erro afeta apenas gpupdate?
Não. Serviços como Remote Registry, Print Spooler e replicação do AD também dependem de RPC. Se rpcss falhar, múltiplos sintomas aparecerão.
Como validar se a GPO foi aplicada?
Após corrigir RPC, execute:
gpresult /h C:\temp\gpo.htmlAbra o relatório e verifique a seção Applied Group Policy Objects.
Existe risco ao abrir todo o range 49152‑65535?
Sim, pois expande superfície de ataque. Limite portas e aplique IPsec ou filtros de origem sempre que possível.
Checklist final
- ☑︎ Serviços RPC em execução?
- ☑︎ Conectividade IP estável?
- ☑︎ DNS resolve DC correto?
- ☑︎ TCP 135 e portas dinâmicas liberadas?
- ☑︎ Hora sincronizada (≤ 5 min)?
- ☑︎ GPUpdate executado com conta adequada?
- ☑︎ Ferramentas de diagnóstico sem erro?
Conclusão
Seguindo o roteiro — verificar serviços, conectividade, DNS, firewall, autenticação e depois diagnósticos avançados — a maioria absoluta dos incidentes “RPC server is unavailable” ao atualizar GPO é resolvida sem necessidade de reinstalação ou restauração de backup. Documente as etapas e crie playbooks corporativos para reduzir o tempo médio de correção na próxima ocorrência.