Solución de problemas del error de replicación de AD 1908: no se pudo encontrar el controlador de dominio para este dominio.

En este artículo se proporciona una solución para solucionar el error de replicación de AD 1908: no se pudo encontrar el controlador de dominio para este dominio.

Se aplica a:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número KB original:   2712026

Nota

Usuarios inicios: Este artículo solo está destinado a agentes de soporte técnico y profesionales de TI. Si está buscando ayuda con un problema, pregunte a microsoft Community.

Síntomas

  1. REPADMIN.exe informa de que el intento de replicación ha fallado con el estado 1908.

    Los comandos REPADMIN que normalmente citan el estado de 1908 incluyen pero no se limitan a:

    • REPADMIN /ADD
    • REPADMIN /REPLSUM *
    • REPADMIN /REHOST
    • REPADMIN /SHOWVECTOR /LATENCY
    • REPADMIN /SHOWREPS
    • REPADMIN /SHOWREPL

    Salida de ejemplo del repadmin /syncall comando:

    Syncing all NC's held on CONTOSO-DC02.  
    Syncing partition: DC=ForestDnsZones,DC=Contoso,DC=com  
    CALLBACK MESSAGE: Error contacting server 1b136427-14f0-448a-965c-  
    9cbb61400fcd._msdcs.Contoso.com (network error): 1908 (0x774):  
     Could not find the domain controller for this domain.  
    

    Salida de ejemplo del repadmin /showreps comando:

    DC=ForestDnsZones,DC=Contoso,DC=com  
    HQ\Contoso-DC02 via RPC  
    DC object GUID:1b136427-14f0-448a-965c-9cbb61400fcd._msdcs.Contoso.com/  
    Last attempt @ <DATE> <TIME> failed, result 1908 (0x774):  
    Could not find the domain controller for this domain.  
    <# consecutive failure>  
    <Last Success>  
    
  2. Los eventos de replicación NTDS KCC y NTDS con el estado 1908 se registran en el registro de eventos del servicio de directorio.

    Los eventos de Active Directory que normalmente citan el estado de 1908 incluyen, entre otros:

    Origen del evento Categoría del evento Id. de evento Tipo de evento Cadena de evento
    NTDS KCC Comprobación de coherencia de conocimientos 1926 Advertencia Error al intentar establecer un vínculo de replicación a una partición de directorio de solo lectura con los parámetros siguientes.
    NTDS KCC Comprobación de coherencia de conocimientos 1925 Advertencia Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.
    Replicación NTDS Replicación 1943 Error Active Directory no pudo quitar todos los objetos persistentes en el controlador de dominio local. Sin embargo, es posible que algunos objetos persistentes se hayan eliminado en este controlador de dominio antes de que se detuvo esta operación. Todos los objetos tenían su existencia comprobada en el siguiente controlador de dominio de origen.
    Replicación NTDS Instalación 1125 Error El Asistente para la instalación de servicios de dominio de Active Directory (Dcpromo) no pudo establecer la conexión con el siguiente controlador de dominio.

    Estos eventos contendrán el siguiente sub Valor de error:

    Datos adicionales
    Valor de error:
    No se pudo encontrar el controlador de dominio para este dominio. 1908

  3. Al intentar forzar la replicación en la consola de servicios y sitios de Active Directory (dssite.msc) mediante la opción "Replicar ahora", es posible que recibamos el siguiente error:

    Texto del título del cuadro de diálogo: Replicar ahora

    Texto del mensaje de diálogo: se produjo el siguiente error durante el intento de sincronizar el contexto de nomenclatura del controlador de dominio al controlador de dominio: no se pudo encontrar el controlador <Naming Context> de dominio para este <Source-DC-Name> <Destination-DC-Name> dominio.

    Mensaje de error: no se pudo encontrar el controlador de dominio para este dominio.

    Botones en el cuadro de diálogo: Aceptar

  4. Promoción y degradación del controlador de dominio

    Cuadro de diálogo en Dcpromo.exe error:

    Texto del título del cuadro de diálogo: Asistente para instalación de Active Directory

    Texto del mensaje de diálogo: Active Directory no pudo crear el objeto NTDS Configuración para este controlador de dominio CN=NTDS Configuración,CN= <DC_Name> ,CN=Servers,CN= <SiteName> ,CN=Sites,CN=Configuration, en el controlador de dominio remove <DomainDN> <Remote_DC_FQDN> . Asegúrese de que las credenciales de red proporcionadas tienen permisos suficientes.

    Mensaje de error: no se pudo encontrar el controlador de dominio para este dominio.

    Botones en el cuadro de diálogo: Aceptar

    Informes de archivos DCPromo.log(%windir%\debug\DCPromo.log):

    [INFO] Error: Los servicios de dominio de Active Directory no pudieron crear el objeto Configuración NTDS para este controlador de dominio de Active Directory CN=NTDS Configuración,CN=CONTOSO-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=com en el DC de AD contoso-dc01.Contoso.com remoto. Asegúrese de que las credenciales de red proporcionadas tienen permisos suficientes. (1908)
    [INFO] NtdsInstall para Contoso.com 1908 devuelto
    [INFO] DsRolepInstallDs devuelto 1908
    [ERROR] No se pudo instalar en el servicio de directorio (1908)

Causa

El código de error 1908 representa el error que se muestra como "No se pudo encontrar el controlador de dominio para este dominio". Este error tiene dos causas principales:

  1. El DC de destino no puede ponerse en contacto con un Centro de distribución de claves(KDC)

  2. El equipo está experimentando errores relacionados con Kerberos

Un concepto importante que debe comprenderse para este escenario es que el KDC usado para las operaciones de replicación puede ser:

a. Dc de destino
b. Dc de origen
c. Un DC totalmente diferente (no el DC de origen o de destino).

Solución

  1. Comprobar que el servicio de distribución de claves se está ejecutando en el controlador de dominio de destino

    Descubra el Centro de distribución de claves Kerberos al que se está ponerse en contacto. Se puede detectar mediante un programa de captura de paquetes como Network Monitor 3.4 (Disponible aquí).

    1. Use el Monitor de red para capturar el mensaje de error reproducido. (Es posible que deba detener primero el servicio cliente DNS para que vea el tráfico de consulta DNS)

    2. Revise la captura de paquetes para la consulta DNS de un KDC: Consultas de direcciones de ejemplo:

      _kerberos. tcp. <SiteName> . _sites.dc._msdcs. <Domain> . com
      _kerberos._tcp.dc._msdcs. <Domain> . com

    3. Revisar cualquier DCLocator tráfico:
      Captura de ejemplo del Monitor de red 3.4 del tráfico de DcLocator. En este ejemplo, 10.0.1.11 es el KDC que descubrimos y 10.0.1.10 es el cliente que solicita un vale. Usa el diseño predeterminado de columna de monitor de red.

      Marco # Hora y fecha Desplazamiento de tiempo IP de origen IP de destino Detalles
      42 3/7/2012 3.6455760 10.0.1.10 10.0.1.11 LDAPMessage: Search Request, MessageID: 371 * ** This packet is a UDP LDAP call for DC Locator looking for Netlogon***
      43 3/7/2012 3.6455760 10.0.1.11 10.0.1.10 NetLogon:LogonSAMPauseResponseEX (respuesta SAM cuando Se pausa Netlogon): 24 (0x18)
    4. Compruebe que se estén ejecutando KDC y servicios de 10.10.1.11. Netlogon Al detectar controlador de dominio(10.0.1.11), compruebe el KDC y el estado del servicio Netlogon con la consulta SC

      Ejemplo: consultar el servicio KDC con: "SC Query KDC" y Netlogon el servicio con: "SC Query Netlogon" Estos comandos deben devolver "State: Running"

  2. Comprobar que el controlador de dominio de destino es Publicidad como centro de distribución de claves
    Use DCDIAG.exe para comprobar que el controlador de dominio de destino es publicidad. Desde un CMD.exe, ejecute el siguiente comando:

    C:\DCDiag.exe /v /test:Advertising /test:SysVolCheck
    

    Compruebe que el controlador de dominio pasa las pruebas Advertising y SYSVOLCHeck y que está publicitándose como centro de distribución de claves SysVol y está listo. Si SysVol no está listo, el servidor no podrá anunciarse como controlador de dominio.

    Servidor de pruebas:<SiteName><DC Name>
    Prueba de inicio: Publicidad
    El DC <DC Name> se anuncia como un DC y tiene un DS
    El CONTROLADOR <DC Name> de dominio está publicindo como un servidor LDAP
    El DC <DC Name> es publicidad como tener un directorio que se puede escribir
    El DC <DC Name> está publicindo como un Centro de distribución de claves
    El DC <DC Name> está publicindo como un servidor de tiempo
    El DS <DC Name> es publicidad como GC.

    Prueba inicial: SysVolCheck la prueba lista para SYSVOL del servicio de * replicación de archivos
    SYSVOL del servicio de replicación de archivos está listo
    ..<DC Name> prueba pasada SysVolCheck

  3. Compruebe que el equipo de origen y el equipo de destino estén en un plazo de 5 minutos entre sí.

  4. Comprobar si hay errores de Kerberos

    1. Habilitar el registro de eventos Kerberos en el equipo cliente y los controladores de dominio en el sitio.
    2. KB: 262177 cómo habilitar el registro de eventos Kerberos
    3. Solución de problemas de Kerberos

Más información

Este error es uno de los ejercicios destacados en el siguiente laboratorio práctico de TechNet: Laboratorio práctico de TechNet: Solución de problemas de errores de replicación de Active Directory
En este laboratorio, recorrerá las fases de solución de problemas, análisis e implementación de errores de replicación de Active Directory que se encuentran con más de una vez. Usará una combinación de ADREPLSTATUS, repadmin.exe y otras herramientas para solucionar problemas de un entorno de cinco DC y tres dominios. Los errores de replicación de AD detectados en el laboratorio incluyen -2146893022, 1256, 1908, 8453 y 8606.