Solución de problemas del error de replicación de AD 8477: Se ha publicado la solicitud de replicación; esperando respuesta
En este artículo se describe un problema por el que las replicación de Active Directory producen un error 8477: "Se ha publicado la solicitud de replicación; esperando respuesta".
Se aplica a: Windows Server 2012 R2
Número de KB original: 2758780
Nota:
Usuarios domésticos: Este artículo solo está pensado para agentes de soporte técnico y profesionales de TI. Si está buscando ayuda con un problema, pregunte a la comunidad de Microsoft.
Síntomas
En este artículo se describen los síntomas, la causa y los pasos de resolución implicados en la solución de problemas del error 8477 de replicación de Active Directory: "Se ha publicado la solicitud de replicación; esperando respuesta".
Los síntomas descritos en este artículo suelen estar relacionados con la aparición del evento 8477, pero también se pueden observar con otros eventos relacionados con la replicación lenta o retrasada. Al solucionar estos problemas, se debe tener en cuenta todos los factores que pueden provocar retrasos en la replicación y corregirlos en consecuencia.
La salida de repadmin.exe /showreps /verbose puede notificar que se ha producido un error en el intento de replicación con el error 8477: "Se ha publicado la solicitud de replicación; esperando respuesta"
DC=Contoso,DC=com
Default-First-Site-Name\DomainController a través de RPC
GUID del objeto DSA: <GUID de objeto ntds de controladores de dominio de origen>
Dirección: <controladores de dominio de origen ntds settings object guid>._msdcs.Contoso.Com
DSA invocationID: id. <de invocación de base de datos NTDS de controladores de dominio de origen>
DO_SCHEDULED_SYNCS COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS SE PUEDE ESCRIBIR PREVIAMENTE
USN: 1158544/OU, 111052/PU
El último intento @ <Fecha y hora> se retrasó por un motivo normal, resultado 8477 (0x211d):
Se ha publicado la solicitud de replicación; esperando respuesta.
Último éxito @ <Fecha y hora>
La salida de repadmin.exe /queue puede notificar un gran número de solicitudes de replicación entrantes en cola y un tiempo de ejecución sin precedentes prolongado
Repadmin /queue
repadmin que ejecuta el comando /queue en server localhostLa cola contiene 26 elementos.
La tarea actual comenzó a ejecutarse en <fecha y hora>.
La tarea se ha estado ejecutando durante 86 minutos, 12 segundos.[6485] Fecha en cola <con> prioridad 590
SINCRONIZACIÓN DESDE EL ORIGEN
NC DC=Contoso,DC=com
DC Default-First-Site-Name\DomainController
Controladores de dominio de origen del GUID <del objeto DC ntds settings object guid>
Controladores de dominio de origen del complemento <de transporte dc ntds settings object guid>._msdcs.Contoso.com
ASYNCHRONOUS_OPERATION WRITEABLE PERIODIC NEVER_NOTIFY PREEMPTED
Nota:
La aparición del evento 8477 cuando las solicitudes de replicación entrantes están en cola se observa generalmente después de una tarea de replicación adelantada. Este evento se indica mediante el evento 8461: se ha adelantado la operación de replicación.
Al usar dcdiag.exe, se puede retrasar la inicialización de un controlador de dominio promocionado recientemente, a la espera de la finalización de una sincronización inicial.
Diagnóstico del servidor de directorios
Realizando instalación inicial:
Intentando encontrar el servidor principal...
Servidor principal = DomainController
El servicio de directorio en DomainController no ha terminado de inicializarse.
Para que el servicio de directorio se considere sincronizado, debe
intentar una sincronización inicial con al menos una réplica de esta
dominio que se puede escribir del servidor. También debe obtener información de Rid del Rid
Soporte FSMO.
El servicio de directorio no ha señalado el evento que permite que otros servicios
saber que está listo para aceptar solicitudes. Servicios como la clave
El Centro de distribución, el Servicio de mensajería entre sitios y NetLogon no lo harán
considere este sistema como un controlador de dominio apto.
* Bosque de AD identificado.
Se ha hecho la recopilación de información inicial.
El servicio de directorio en BOULDERDC01 no ha terminado de inicializarse.
Para que el servicio de directorio se considere sincronizado, debe
intentar una sincronización inicial con al menos una réplica de esta
dominio que se puede escribir del servidor. También debe obtener información de Rid del Rid
Soporte FSMO.
El servicio de directorio no ha señalado el evento que permite que otros servicios
saber que está listo para aceptar solicitudes. Servicios como la clave
El Centro de distribución, el Servicio de mensajería entre sitios y NetLogon no lo harán
considere este sistema como un controlador de dominio apto.
Se ha hecho la recopilación de información inicial.
Nota:
La salida de dcdiag.exe descrita anteriormente es un comportamiento normal durante la promoción de un nuevo controlador de dominio de réplica en un entorno. La aparición de 8477 en este caso debe tener tiempo para borrarse a través de ciclos de replicación normales antes de que se consideren o lleven a cabo las actividades correctivas.
Al usar dcdiag.exe, el caso de prueba "Replications" puede emitir una "ADVERTENCIA DE LATENCIA DE REPLICACIÓN"
Inicio de la prueba: replicación
ADVERTENCIA DE LATENCIA DE REPLICACIÓN
DomainController: una operación de replicación de larga duración está en curso
El trabajo se ha estado ejecutando durante 84 minutos y 22 segundos.
Se retrasará la replicación de nuevos cambios a lo largo de esta ruta de acceso.
Esto es normal para una nueva conexión o para un sistema que ha estado inactivo mucho tiempo.
Fecha y hora> en <cola con prioridad 90
Op: SYNC FROM SOURCE
NC DC=Contoso,DC=com
DSADN <source DCs ntds settings object guid>DSA transport addr <source DCs ntds settings object guid>._msdcs.Contoso.com
......................... Replicación de prueba superada por DomainController
El evento 1580 de "replicación NTDS" se puede registrar en el registro de eventos del servicio de directorio
| Origen del evento | Id. de evento | Cadena de evento |
|---|---|---|
| Replicación NTDS | 1580 | Una tarea de replicación de entrada de Servicios de dominio de Active Directory de larga duración ha terminado con los parámetros siguientes. Tiempo transcurrido (minutos): 84 Operación: Sincronizar opciones de réplica: 0x21000051 parámetro 1: DC=Contoso,DC=com Parameter 2:< source DCs ntds settings object guid> Parameter 3: Parameter 4:A long-running replication task may also occur when a system has been notavailable or a directory partition has been notavailable for an extended period of time. Una tarea de replicación de larga duración puede indicar un gran número de actualizaciones o una serie de actualizaciones complejas que se producen en el servicio de directorio de origen. Realizar estas actualizaciones durante tiempos no críticos puede evitar retrasos en la replicación.Una tarea de replicación de larga duración es normal en el caso de agregar una nueva partición de directorio a Servicios de dominio de Active Directory. Esto puede producirse debido a una nueva instalación, promoción de catálogo global o una conexión generada por el comprobador de coherencia de conocimiento (KCC). Valor de error de datos adicional: la operación se completó correctamente. |
Causa
El estado 8477 (La solicitud de replicación se ha publicado; en espera de respuesta) es informativo y representa una operación de replicación normal de Active Directory, lo que indica que la replicación está actualmente en curso desde el origen y aún no se ha aplicado a la réplica de base de datos de controladores de dominio de destino.
Sin embargo, la presencia de este evento durante un período prolongado puede indicar problemas con la replicación de Active Directory en el controlador de dominio de destino. entre las posibles causas se incluyen:
- Memoria física disponible baja, latencia alta o vínculos de red Low-Bandwidth, uso excesivo de CPU o E/S de disco para la cantidad de datos que el controlador de dominio está replicando
- Alta tasa de cambio de objetos en Servicios de dominio de Active Directory (AD DS)
- Utilidades de terceros que pueden obstaculizar o retrasar la función de replicación normal
- Grupos grandes (más de 5000 miembros) donde la replicación de valor vinculado no está habilitada
- Una modificación reciente en el esquema de Active Directory en la que se ha modificado o indexado un número considerable de atributos de esquema
Solución
La investigación del error de replicación 8477 debe realizarse, al menos inicialmente, en el controlador de dominio de destino dentro de la asociación de replicación. En la sección de resolución de este artículo se describen las técnicas que un administrador de Active Directory debe usar para resolver las posibles causas del error 8477 según la sección "Causa".
Memoria física disponible baja, latencia alta o vínculos de red Low-Bandwidth, uso excesivo de CPU o E/S de disco para la cantidad de datos que el controlador de dominio está replicando
Dominio de Active Directory Los controladores deben configurarse con el menor número posible de roles y aplicaciones adicionales, lo ideal es que un controlador de dominio sea un servidor de uso único que solo se use para atender consultas y solicitudes de autenticación. Al solucionar problemas de rendimiento de Active Directory, a menudo es mejor analizar primero el sistema en busca de aplicaciones, servicios o tareas adicionales que sean innecesarias o redundantes.
Como paso inicial, un profesional de TI debe comprobar el Administrador de tareas (y el Monitor de recursos cuando corresponda) para el uso general de CPU y memoria para determinar si es un nivel de referencia predefinido o se desvía de una base de referencia predefinida. Si no existe ninguna línea base, el procedimiento recomendado de Microsoft sugiere que el uso sostenido y repetido de CPU superior al 80 % se consideraría alto y se debería investigar más.
Solución de problemas de uso elevado de CPU en un controlador de dominio : solución de problemas de uso elevado de CPU en un controlador de dominio
En cuanto al uso del disco, en los controladores de Dominio de Active Directory los archivos Ntds.dit y edb.log deben ser los más activos del sistema. Para determinar si este es el caso, se debe realizar el registro y el análisis de rendimiento (según lo siguiente).
El ancho de banda bajo, la latencia alta o la conectividad de red ocupada también pueden provocar el error 8477 en los controladores de Dominio de Active Directory. Las métricas de datos de rendimiento de red deben recopilarse de un controlador de dominio mediante Monitor de rendimiento, Monitor de red u otras herramientas de este tipo. Las instrucciones sobre la supervisión y la medición del tráfico de replicación se detallan en Tráfico de replicación de Active Directory.
Para controladores de dominio basados en Windows Server 2003:
Un profesional de TI puede optar por usar Monitor de rendimiento con contadores de procesador, disco físico, interfaz de red y servicios de directorio agregados para determinar e investigar problemas de rendimiento en el sistema. En su lugar, Server Performance Advisor puede reducir la complejidad en el análisis de las métricas de rendimiento obtenidas de Monitor de rendimiento. La herramienta es una descarga gratuita y examinará la CPU, la red, la memoria y la E/S de disco, lo que proporciona detalles sobre el uso general y una determinación sobre si los datos de rendimiento se consideran inactivos, normales o potencialmente problemáticos.
Para Controladores de dominio basados en Windows Server 2008 y versiones posteriores:
Monitor de rendimiento en Windows Server 2008 y versiones posteriores incluye la funcionalidad clave de Server Performance Advisor inmediatamente. Dentro de los conjuntos de recopiladores de datos del sistema, el conjunto de diagnósticos de Active Directory generará, de forma similar a Server Performance Advisor, un informe con métricas clave para la investigación del rendimiento de Active Directory y proporcionará advertencias para comportamientos poco prácticos en los controladores de Dominio de Active Directory. Las advertencias se incluyen en la parte superior del informe, un ejemplo del cual se muestra a continuación:
| ADVERTENCIA | |
|---|---|
| Síntoma: | El sistema está experimentando una paginación excesiva |
| Causa: | La memoria disponible en el sistema es baja. |
| Detalles: | La memoria física total del sistema no es capaz de controlar la carga. |
| Resolución: | Actualizar la memoria física o reducir la carga del sistema |
| Relacionado: | Diagnóstico de memoria |
| Síntoma: | En los servidores de directorio, Ntds.dit y Edb.log deben ser los archivos más activos. En este caso, C:\Windows\NTDS\ntds.dit tiene la tasa de E/S más alta (84,622 operaciones/s). |
Alta tasa de cambio de objetos en Servicios de dominio de Active Directory (AD DS)
En un entorno de Active Directory ocupado, puede producirse un gran número de cambios en los objetos entre cada replicación programada. Si esto se espera dentro del entorno, todos los aspectos de la infraestructura de las organizaciones deben tener un tamaño adecuado para facilitar la replicación eficaz.
En caso de que un administrador de TI no conozca o no espere un gran número de cambios y reciba el error 8477, se debe realizar una investigación para determinar qué cambios se producen en el entorno y si se esperan o el resultado de un problema con una aplicación o servicio. Un medio eficaz para realizar esta tarea es determinar qué objetos están cambiando mediante el uso del atributo uSNChanged, el valor más alto de uSNChanged en un controlador de dominio específico representa el High-Watermark USN.
La ejecución de repadmin /showreps /verbose en un controlador de dominio con el evento 8477 que se muestra mostrará el High-Watermark actual y va seguido de /OU:
DC=Contoso,DC=com
Default-First-Site-Name\DomainController a través de RPC
GUID del objeto DSA: <GUID de objeto ntds de controladores de dominio de origen>
Dirección: <controladores de dominio de origen ntds settings object guid>._msdcs.Contoso.Com
DSA invocationID: id. <de invocación de base de datos NTDS de controladores de dominio de origen>
DO_SCHEDULED_SYNCS COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS SE PUEDE ESCRIBIR PREVIAMENTE
USN: 1158544/OU, 111052/PU
El último intento @ <Fecha y hora> se retrasó por un motivo normal, resultado 8477 (0x211d):
Se ha publicado la solicitud de replicación; esperando respuesta.
Último éxito @ <Fecha y hora>
En función del número de cambios que se produzcan, el USN más alto presente en un controlador de dominio puede aumentar rápidamente, para determinar los objetos que se están actualizando, se sugiere que en el asociado de replicación de origen, se ejecute el siguiente comando para el contexto de nomenclatura pertinente:
Repadmin /showattrDomainControllerNameDC=Contoso,DC=com /subtree /filter:"(uSNChanged>=highestcommitedusn)" /atts:objectclass
Aplicaciones o servicios específicos, como exchange Servicio de actualización de destinatarios pueden realizar cambios regulares en los atributos de Active Directory y es posible que deba ajustarse si el tráfico de replicación resultante no se puede administrar.
Utilidades de terceros que pueden obstaculizar o retrasar la función de replicación normal
Las aplicaciones de terceros deben configurarse y optimizarse en función de los procedimientos recomendados de rendimiento y compatibilidad. Algunas aplicaciones, si no están configuradas en torno a los procedimientos recomendados para el rendimiento de Active Directory, pueden afectar a la función normal Dominio de Active Directory Controller.
Las aplicaciones de nota incluyen (pero no están limitadas a):
a. Software de detección de virus
b. Agentes de supervisión
c. Aplicaciones de administración y sincronización de identidades
d. Software y agentes de copia de seguridad
Recomendaciones de detección de virus para equipos enterprise que ejecutan versiones compatibles actualmente de Windows
Grupos grandes (más de 5000 miembros) donde la replicación de valor vinculado no está habilitada
La replicación de valor vinculado no está disponible en bosques de Windows 2000 Server. Dado que una actualización de origen debe escribirse en una sola transacción de base de datos y porque el límite práctico de una sola transacción es de 5000 valores, la pertenencia a más de 5000 valores no se admite en Windows 2000 Server Active Directory. Un grupo de este tamaño representa una limitación tanto para la operación de escritura de base de datos necesaria para registrar un cambio en un atributo de ese tamaño como para la transferencia de esa cantidad de datos a través de la red. Esto es diferente en los bosques de Windows 2003 o nivel funcional superior donde está habilitada la replicación con valores vinculados (LVR) para las pertenencias a grupos.
Cuando un dominio se actualiza desde un nivel funcional 2000, las pertenencias de los grupos que se llevan se consideran heredadas y todavía pueden causar problemas de replicación:
Los bosques anteriores al nivel funcional de 2003 deben dividir los grupos en grupos más pequeños que no superen los 5000 miembros. También se puede usar el anidamiento de grupos, ya que las aplicaciones y los servicios que usan los grupos pueden admitirlo.
Los bosques en el nivel funcional de 2003 pueden quitar y restablecer los miembros del grupo para que sean habilitados para LVR. Con el tiempo, a medida que las entidades de seguridad se agregan y quitan de los grupos, los miembros se habilitan lentamente para LVR Nota: Los eventos 1479 y 1519 también se registran normalmente en el registro de eventos del servicio de directorio cuando los grupos grandes están causando problemas y retrasos en la replicación.
El uso de los miembros heredados de repadmin /showobjmeta en un grupo se puede determinar y convertir en miembros habilitados para LVR si es necesario para resolver el problema, estos usuarios se indican con "Type" del valor LEGACY:
repadmin /showobjmeta DomainControllerName "CN=Administrators,CN=Builtin,DC=Contoso,DC=Com"
3 entradas.
Hora del último mod de atributo de tipo que origina DSA Loc.USN Org.USN Ver
======= ============ ============= ================= ======= ======= ===
Nombre distintivo
=============================
Present member <Date Time> Default-First-Site-Name\DomainController 8203 8203 1
CN=Administrator,CN=Users,DC=Contoso,DC=Com
Present member <Date Time> Default-First-Site-Name\DomainController 12398 12398 1
CN=Enterprise Admins,CN=Users,DC=Contoso,DC=Com
Present member <Date Time> Default-First-Site-Name\DomainController 12378 12378 1
CN=Domain Admins,CN=Users,DC=Contoso,DC=Com
Fecha y hora> del miembro <HEREDADO Default-First-Site-Name\DomainController 198458 198458 1 CN=mjordan,CN=Users,DC=Contoso,DC=Com
Una modificación reciente en el esquema de Active Directory en la que se ha modificado o indexado un número considerable de atributos de esquema
Las definiciones de atributo se almacenan en objetos attributeSchema en la partición del directorio de esquema. Los cambios en los objetos attributeSchema bloquean otra replicación hasta que se realizan los cambios de esquema. Durante la replicación de cualquier partición de directorio que no sea la partición de directorio de esquema, el sistema de replicación comprueba primero si las versiones de esquema del origen y los controladores de dominio de destino están de acuerdo. Si las versiones no son las mismas, la replicación de la otra partición de directorio se vuelve a programar hasta que se sincroniza la partición de directorio de esquema.
La modificación del esquema mediante el uso de LDIFDE o archivos binarios personalizados incluidos con aplicaciones (es decir, Microsoft Exchange, Operations Manager, etc.) puede agregar atributos indexados a la partición del directorio de esquema. En función del tamaño de la actualización, los retrasos de replicación se pueden producir en bases de datos grandes.
En casos como estos, el estado 8477 puede aparecer como un problema transitorio y se debe esperar que se resuelva automáticamente una vez que las actualizaciones de esquema de mayor prioridad se replican correctamente y el resto de la replicación se pone al día con los cambios con copia de seguridad dentro del directorio.
Recolección de datos
Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.
Más información
Funcionamiento del modelo de replicación de Active Directory
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de