Error RPC 1722 y 1726 al forzar Group Policy Update desde GPMC: causas, puertos y solución paso a paso

Al forzar Group Policy Update desde la consola GPMC para equipos de una OU, pueden aparecer los errores RPC “The RPC server is unavailable” y “The remote procedure call was cancelled”. Aquí tienes un plan preciso para entender por qué ocurre y cómo resolverlo de forma segura y repetible.

Índice

Qué significan los errores de rpc en gpmc

Cuando GPMC intenta actualizar directivas en remoto, se apoya en RPC y DCOM para pedir al Task Scheduler del equipo destino que cree y ejecute una tarea temporal que lanza gpupdate. Si esa conversación falla, ves códigos como:

  • 1722 — “The RPC server is unavailable”: no se alcanza el servicio RPC en el host remoto o algo interrumpe la sesión.
  • 1726 — “The remote procedure call was cancelled”: la llamada se abortó por timeout, reinicio del servicio o corte de conexión.

En la práctica, estos mensajes suelen indicar que falta un servicio clave, hay un bloqueo de cortafuegos, problemas de DNS o permisos insuficientes para crear la tarea programada remota.

Cómo funciona la actualización de directivas remota

El flujo es sencillo pero exige varias piezas funcionando a la vez:

  1. GPMC contacta al equipo objetivo por RPC a través del Endpoint Mapper en el puerto 135.
  2. El equipo destino devuelve un puerto dinámico alto para continuar la conversación por DCOM.
  3. Se usa el Task Scheduler remoto para crear y ejecutar una tarea que llama a gpupdate con parámetros.
  4. Opcionalmente se usan las comparticiones administrativas ADMIN$ para copiar binarios o verificar acceso, lo que implica SMB.

Si cualquiera de estas fases se rompe —servicios detenidos, puertos filtrados, DNS erróneo, reloj desfasado para Kerberos o credenciales sin privilegios— aparecerán los errores RPC.

Causas probables

  • Servicios requeridos detenidos: RPC, RPC Endpoint Mapper, DCOM Server Process Launcher, Task Scheduler y para diagnóstico WMI.
  • Cortafuegos bloqueando RPC: puerto TCP 135 y puertos dinámicos altos; con frecuencia también SMB.
  • Conectividad o latencia deficiente: pérdida de paquetes, MTU, ruteo o nat no simétrico.
  • Resolución de nombres incorrecta: el cliente usa DNS no autorizado o con registros A o PTR obsoletos.
  • Permisos insuficientes: la cuenta que ejecuta GPMC no es administradora local del equipo de destino.
  • Rango de puertos rpc restringido: políticas o dispositivos intermedios abren solo parte del rango dinámico.
  • Desfase de hora: Kerberos falla si hay más de unos minutos de diferencia entre reloj del cliente y el controlador de dominio.

Tabla de puertos y servicios

Ten a mano esta matriz para validar dependencias.

ComponenteProtocolo y puertoDirecciónCuándo aplicaObservaciones
Endpoint MapperTCP 135Desde servidor de administración hacia equipoSiemprePrimera negociación de RPC.
RPC dinámicosTCP 49152–65535 por defectoDesde servidor de administración hacia equipoSiempreEl servicio remoto elige un puerto alto tras consultar el 135.
DCOMSobre puertos RPC dinámicosBidireccionalCreación y ejecución de la tareaUsado por el programador de tareas remoto.
SMBTCP 445Desde servidor de administración hacia equipoFrecuenteAcceso a ADMIN$ y recursos administrativos.
DNSUDP y TCP 53Del cliente a servidores DNS del dominioSiempreIndispensable para localizar equipos y controladores de dominio.
KerberosUDP y TCP 88Cliente a controlador de dominioSiempreFalla si hay desfase de hora.
Servicio del sistemaNombreEstado requeridoNotas
Remote Procedure CallRpcSsEn ejecución, AutomáticoNo se detiene normalmente; reinicia el equipo si está atascado.
RPC Endpoint MapperRpcEptMapperEn ejecución, AutomáticoAtiende el puerto 135.
DCOM Server Process LauncherDcomLaunchEn ejecución, AutomáticoCrítico para inicializar componentes COM.
Task SchedulerScheduleEn ejecución, AutomáticoNecesario para crear la tarea remota que lanza gpupdate.
Windows Management InstrumentationWinmgmtEn ejecución, AutomáticoRecomendado para diagnóstico y consultas de estado.
ServerLanmanServerEn ejecución, AutomáticoExige SMB si se usan comparticiones administrativas.

Guía de remediación

Aplica los pasos en este orden para reducir al mínimo el tiempo de diagnóstico.

Servicios y estado del equipo

Comprueba en origen y destino que los servicios clave están activos:

services.msc

O con PowerShell:

Get-Service RpcSs, RpcEptMapper, DcomLaunch, Schedule, Winmgmt, LanmanServer |
  Format-Table Name, Status, StartType

Si un servicio crítico no responde o aparece en estado extraño, reinicia el equipo afectado. En especial, si crees que RPC está atascado.

Conectividad y pruebas rápidas

Mide latencia y pérdida:

ping EQUIPO
ping DIRECCION_IP

Valida puertos imprescindibles desde el servidor que lanza GPMC:

Test-NetConnection -ComputerName EQUIPO -Port 135
Test-NetConnection -ComputerName EQUIPO -Port 445

Si 135 responde pero la operación sigue fallando, suele indicar que los puertos altos dinámicos no están abiertos.

Cortafuegos en el equipo de destino

Habilita las reglas integradas del perfil de dominio. Los nombres pueden variar por idioma; busca por los grupos siguientes y habilítalos:

  • Remote Scheduled Tasks Management (RPC y RPC-EPMAP)
  • Remote Service Management (RPC y RPC-EPMAP)
  • Windows Management Instrumentation y DCOM-In
  • File and Printer Sharing para SMB

Ejemplos en PowerShell:

Enable-NetFirewallRule -DisplayGroup "Remote Scheduled Tasks Management"
Enable-NetFirewallRule -DisplayGroup "Remote Service Management"
Enable-NetFirewallRule -DisplayGroup "Windows Management Instrumentation"
Enable-NetFirewallRule -DisplayGroup "File and Printer Sharing"

Restringe el alcance a los servidores de administración (propiedad Remote IP address) y aplica solo al perfil de dominio para minimizar superficie de ataque.

Resolución de nombres y dns

Asegúrate de que el cliente usa únicamente servidores DNS del dominio y que los registros son coherentes.

ipconfig /all
nslookup EQUIPO
nslookup EQUIPO.dominio.local
ipconfig /flushdns

Si el equipo o el controlador de dominio usan DNS externos, corrígelo: puede resolverse un nombre, pero apuntar a una IP equivocada, provocando tiempos de espera y cancelaciones de la llamada RPC.

Permisos y autenticación

La acción remota crea una tarea programada en el equipo destino. La cuenta que ejecuta GPMC debe pertenecer al grupo Administrators del equipo remoto.

Verifica acceso a las comparticiones administrativas:

\\EQUIPO\ADMIN$

O bien:

net use \\EQUIPO\ADMIN$ /user:DOMINIO\CUENTA

Si recibes acceso denegado, revisa pertenencia a grupos o directivas de UAC que limiten el token de cuentas locales.

Reloj y kerberos

Un desfase de tiempo rompe la autenticación.

w32tm /query /status
w32tm /query /source
w32tm /resync

Revisa que el origen de hora sea el esperado y que la deriva sea mínima. Prioriza sincronización con los controladores de dominio.

Pruebas específicas de la funcionalidad

Comprueba que el programador remoto responde:

schtasks /query /s EQUIPO

Prueba la alternativa en PowerShell si está habilitado PSRemoting:

Invoke-GPUpdate -Computer EQUIPO -Target Computer -Force -RandomDelayInMinutes 0

Registros del sistema y del programador

Si aún falla, revisa los registros:

  • Microsoft-Windows-TaskScheduler/Operational en el equipo de destino.
  • System para eventos de RPC y DCOM.
  • GroupPolicy/Operational para el detalle de aplicación de GPO.

En el servidor de administración, busca errores de RPC/DCOM y eventos de GPMC que apunten a permisos o a tiempos de espera.

Escenarios habituales y su diagnóstico

Solo abre el puerto del asignador

Verás que 135 está abierto, pero el intento de actualización expira. La causa típica es un cortafuegos intermedio que no permite los puertos altos dinámicos. Solución: habilita el rango dinámico o restringe el rango en los equipos y abre exactamente esos puertos.

Segmentos separados por nat

Con nat, la sesión RPC puede romperse si no hay traducción simétrica o si solo se permite un subconjunto de puertos. En entornos remotos, ejecuta GPMC desde un servidor ubicado en el mismo segmento que los clientes o publica reglas específicas para el rango de puertos acordado.

Uso de dns externos

Si un cliente apunta a DNS públicos, puede resolver nombres no válidos para el dominio interno. Corrige los servidores DNS en la interfaz de red y limpia cachés. A menudo este ajuste por sí solo elimina los 1722/1726.

Permisos delegados incorrectos

Ser Domain Admin no garantiza ser administrador local de todos los equipos si existen GPO que lo revocan o si hay Security Filtering restrictivo. Asegura pertenencia a Administrators en los equipos objetivo.

Restricción del rango de puertos rpc

En redes muy controladas puede ser necesario reducir el rango de puertos dinámicos para RPC y abrirlo en los cortafuegos. Para ello se definen puertos específicos y se configura el firewall corporativo en consecuencia. Esta operación debe planificarse cuidadosamente y probarse en laboratorio.

Pautas generales:

  • Define un rango dedicado y suficientemente amplio para evitar agotamiento.
  • Aplica la configuración de forma homogénea a todos los equipos gestionados.
  • Documenta el cambio y coordínalo con el equipo de redes.

Buenas prácticas de seguridad

  • Limita el origen: en las reglas de entrada, establece direcciones remotas únicamente de servidores de administración y controladores de dominio.
  • Perfil de dominio: evita habilitar estas reglas en perfiles privado o público.
  • Registra y audita: activa auditoría en firewall y revisa periódicamente eventos de creación de tareas remotas.
  • Segmenta: usa subredes de administración y proxys de salto para reducir exposición.

Comandos útiles para tu caja de herramientas

Comprueba conectividad y puertos:

Test-NetConnection -ComputerName EQUIPO -Port 135
Test-NetConnection -ComputerName EQUIPO -Port 445

Estado de servicios clave:

Get-Service RpcSs, RpcEptMapper, DcomLaunch, Schedule, Winmgmt, LanmanServer |
  Format-Table Name, Status, StartType

Estado de tiempo y fuente de sincronización:

w32tm /query /status
w32tm /query /source
w32tm /resync

Prueba de programador remoto:

schtasks /query /s EQUIPO

Actualización directa con PowerShell:

Invoke-GPUpdate -Computer EQUIPO -Target Computer -Force -RandomDelayInMinutes 0

Planes alternativos mientras corriges la causa

  • Ejecuta localmente en el equipo: gpupdate /force.
  • Usa PSExec o PSRemoting para disparar gpupdate de forma temporal.
  • Orquesta una tarea programada mediante tu herramienta de gestión (SCCM, Intune u otra) que llame a gpupdate /force.

Resumen operativo

Este es el recorrido mínimo que resuelve la mayor parte de los errores al forzar Group Policy Update desde una OU:

  1. Confirma servicios críticos y hora alineada.
  2. Valida conectividad general y puertos clave: 135 y rango alto.
  3. Habilita reglas de firewall para tareas programadas remotas, WMI y SMB, acotadas a orígenes de confianza.
  4. Corrige DNS: solo servidores del dominio y registros limpios.
  5. Asegura permisos: la cuenta debe ser administradora local.
  6. Revisa registros del programador, sistema y directivas para identificar el punto exacto de fallo.

Conclusión

Los errores RPC al forzar la actualización de directivas desde GPMC no son misteriosos: indican que una de las piezas fundamentales —servicios, puertos, DNS, permisos u hora— no está en su sitio. Con el playbook de arriba puedes localizar la causa en minutos, aplicar la corrección adecuada y, de paso, dejar el entorno más seguro y mantenible.

Índice