Solución de problemas del error de replicación de Active Directory 8614

En este artículo se proporcionan los pasos para solucionar el error de replicación de Active Directory 8614.

Se aplica a: Windows Server 2012 R2
Número de KB original: 2020053

Nota:

Usuarios domésticos: Este artículo solo está pensado para agentes de soporte técnico y profesionales de TI. Si busca ayuda con un problema, pregunte a la comunidad de Microsoft.

Síntomas

1. DCDIAG informa de que se produjo un error en la prueba de replicación de Active Directory con el código de estado de error 8614: Active Directory no se puede replicar con este servidor porque el tiempo transcurrido desde la última replicación con este servidor ha superado la duración del lápiz.

   Testing server: <site name><destination dc name>  
   Starting test: Replications  
   * Replications Check  
   [Replications Check,<destination DC name] A recent replication attempt failed:  
   From <source DC> to <destination DC>  
   Naming Context: <directory partition DN path>  
    The replication generated an error (8614):
    Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   The failure occurred at <date> <time>.  
   The last success occurred at <date> <time>.  
   3 failures have occurred since the last success.  
   

2. REPADMIN.EXE indica que se produjo un error en el último intento de replicación con el estado 8614. Los comandos REPADMIN que suelen citar el estado 8614 incluyen, pero no se limitan a:

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   A continuación se muestra la salida de ejemplo de REPADMIN /SHOWREPS la representación de la replicación entrante de CONTOSO-DC2 a CONTOSO-DC1 con error de acceso denegado a la replicación:

    efault-First-Site-Name\CONTOSO-DC1  
    DSA Options: IS_GC  
    Site Options: (none)  
    DSA object GUID:  
    DSA invocationID:  
   
   ==== INBOUND NEIGHBORS ======================================  
   
   DC=contoso,DC=com  
   Default-First-Site-Name\CONTOSO-DC2 via RPC  
   DSA object GUID:  
   Last attempt @ <date> <time> failed, result 8614(0x21a6):
   The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   <#> consecutive failure(s).  
   Last success @ <date> <time>.  
   

3. Los eventos NTDS KCC, NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con los cinco estados se registran en el registro de eventos del servicio de directorio.

   Los eventos de Active Directory que suelen citar el estado 8524 incluyen, entre otros, los siguientes:

   Origen del evento	Id.	Cadena de evento
   NTDS KCC	1925	Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.

4. El evento de replicación NTDS 2042 se puede registrar en el registro de eventos del servicio de directorio:

   Event Type: Error
   Event Source: NTDS Replication
   Event Category: Replication
   Event ID: 2042
   User: NT AUTHORITY\ANONYMOUS LOGON
   Computer: <name of DC that logged event>
   
   Description:  
   It has been too long since this machine last replicated with the named source
   machine. The time between replications with this source has exceeded the tombstone
   lifetime. Replication has been stopped with this source.
   
   The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted.
   
   Time of last successful replication: YYYY-MM-DD HH:MM:SS
   Invocation ID of source: <32 character GUID for source DC>
   Name of source: <fully qualified cname record of source DC>
   Tombstone lifetime (days): <current TSL value. Default = 60 or 180 days>
   
   The replication operation has failed.
   
   User Action:
   
   Determine which of the two machines was disconnected from the forest and is now out of date. You have three options:
   
   1. Demote or reinstall the machine(s) that were disconnected.
   2. Use the repadmin /removelingeringobjects tool to remove inconsistent deleted objects and then resume replication.
   3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it's recommended that you remove the key to reinstate the protection.  
   

5. El comando replica now en Sitios y servicios de Active Directory devuelve el siguiente mensaje:

   Active Directory no se puede replicar con este servidor porque el tiempo transcurrido desde la última replicación con este servidor ha superado la duración del lápiz.

   Haga clic con el botón derecho en el objeto de conexión desde un controlador de dominio de origen y elija replicar ahora en Sitios y servicios de Active Directory (DSSITE). MSC) no se realiza correctamente. Recibirá el siguiente mensaje:

   Active Directory no se puede replicar con este servidor porque el tiempo transcurrido desde la última replicación con este servidor ha superado la duración del lápiz.

   El texto del mensaje de error en pantalla es el siguiente:

   Texto del título del cuadro de diálogo: Replicar ahora
   Texto del mensaje de diálogo: se produjo el siguiente error durante el intento de sincronizar el contexto <de nomenclatura %nombre de partición de directorio%> del controlador> de dominio de origen del controlador <de dominio con el controlador> de dominio de destino del controlador <de dominio:

   Active Directory no se puede replicar con este servidor porque el tiempo transcurrido desde la última replicación con este servidor ha superado la duración del lápiz.
   La operación no continuará

   Botones del cuadro de diálogo: Aceptar

Causa

Los controladores de dominio de Active Directory admiten la replicación multimaestro. Cualquier controlador de dominio que contenga una partición grabable puede originar una creación, modificación o eliminación de un objeto o atributo (valor). El conocimiento de la eliminación de objetos o atributos persiste para el número de días de duración del lápiz. (Consulte Información sobre los objetos persistentes en un bosque de Windows Server Active Directory.

Active Directory requiere la replicación de un extremo a otro de todos los titulares de particiones para replicar transitivamente todas las eliminaciones de origen de las particiones de directorio en todos los titulares de particiones. El error al replicar de entrada una partición de directorio en un número gradual de días de TSL da como resultado objetos persistentes. Un objeto persistente es un objeto que ha sido eliminado intencionadamente por al menos un controlador de dominio, pero existe incorrectamente en los controladores de dominio de destino que no pudieron replicar de entrada el conocimiento transitorio de todas las eliminaciones únicas.

El error 8614 es un ejemplo de lógica agregada en controladores de dominio que ejecutan Windows Server 2003 o una versión posterior. Pone en cuarentena la propagación de objetos persistentes e identifica errores de replicación a largo plazo que provocan particiones de directorio incoherentes.

Las causas principales del error 8614 y el evento de replicación NTDS 2042 incluyen:

1. El controlador de dominio de destino que registra el error 8614 no pudo replicar de entrada una partición de directorio desde uno o varios controladores de dominio de origen para el número de días de duración de la lápida.

2. La hora del sistema en el controlador de dominio de destino movió o saltó la duración del lápiz uno o más días en el futuro desde la última replicación correcta. Da la apariencia al motor de replicación de que el controlador de dominio de destino no pudo replicar de entrada una partición de directorio para el número de días transcurridos de duración de la lápida.

   Los saltos de tiempo pueden producirse cuando se cumplen las condiciones siguientes:

   • Un controlador de dominio de destino se replica correctamente, adopta una TSL de tiempo del sistema incorrecta o más días en el futuro.
   • A continuación, el controlador de dominio de destino intenta replicar de entrada desde un origen que se replicó por última vez desde TSL o más días en el pasado.

   O bien

   El tiempo pasa de la hora actual a una duración del lápiz de fecha y hora o más días en el pasado, y se replica correctamente. A continuación, intenta replicar de entrada después de adoptar el tiempo TSL o más número de días en el futuro.

Básicamente, la causa y la resolución del error de replicación 8614 se aplican igualmente a la causa y la resolución del evento de replicación NTDS 2042.

Solución

Nota:

Hay dos planes de acción para recuperar controladores de dominio de Active Directory que registran el estado de error 8614 o el evento de replicación de NTDS 2042. Puede forzar la degradación del controlador de dominio o usar el plan de acción siguiente que indica: Comprobar las correcciones necesarias, buscar saltos de tiempo, comprobar si hay objetos persistentes y quitarlos si están presentes, quitar las cuarentenas de replicación, resolver errores de replicación y, a continuación, volver a poner el controlador de dominio en servicio. Forzar la degradación de estos controladores de dominio puede ser más fácil y rápido, pero puede dar lugar a la pérdida de actualizaciones de origen (es decir, pérdida de datos) en el controlador de dominio que se está degradando por fuerza. Active Directory se recupera correctamente de esta condición siguiendo los pasos siguientes. Seleccione la mejor solución para su escenario. No suponga que una disminución de fuerza es la única solución viable, especialmente cuando el error de replicación es fácil de resolver o es externo a Active Directory.

1. Compruebe si hay valores no predeterminados de duración del lápiz.

   De forma predeterminada, la duración del lápiz usa 60 o 180 días, dependiendo de la versión de Windows implementada en el bosque. Soporte técnico de Microsoft ve periódicamente controladores de dominio que han producido errores en la replicación entrante durante esos períodos de tiempo. También es posible que la duración de la lápida se haya configurado en un período corto, como dos días. Si es así, los controladores de dominio que no se replican de entrada durante, por ejemplo, cinco días producirán un error en la siguiente prueba:

   Todos los controladores de dominio deben replicarse con un número gradual de días de TSL

   Use repadmin /showattr para ver si se ha configurado un valor no predeterminado para el atributo TombstoneLifetime .

   repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest root domain>,DC=<top level domain>"
   

   Si el atributo no está presente en la showattr salida, se usa un valor predeterminado interno.

2. Compruebe si hay controladores de dominio que no pudieron realizar la replicación entrante para el número de días de TSL.

   Ejecute repadmin /showrepl * /csv analizado mediante Excel tal como se especifica en la sección Comprobar la replicación correcta en un controlador de dominio . Ordene la salida de replsum en Excel en la última columna de operación correcta de replicación en el orden de menos actual a la fecha y hora más actuales.

3. Compruebe si hay controladores de dominio de Windows Server 2003 RTM.

   Si el error 8614 se produjo en un controlador de dominio de Windows Server 2003 RTM, instale el service Pack de Windows Server 2003 más reciente.

4. Compruebe si hay saltos de tiempo.

   Para determinar si se produjo un salto de tiempo, compruebe los registros de eventos y diagnósticos (repadmin /showrepsregistros dcdiag) en los controladores de dominio de destino que registran errores 8614 para las marcas de tiempo siguientes:

   • Marcas de fecha que preceden al lanzamiento de un sistema operativo. Por ejemplo, marcas de fecha de Windows Server 2003 para un sistema operativo publicado en Windows Server 2008.
   • Marcas de fecha que preceden a la instalación del sistema operativo en el bosque.
   • Marcas de fecha en el futuro.
   • No se registran eventos en un intervalo de fechas determinado.

   Soporte técnico de Microsoft equipos han visto el tiempo del sistema en los controladores de dominio de producción saltar incorrectamente horas, días, semanas, años e incluso decenas de años en el pasado y el futuro.

   Si se ha detectado que la hora del sistema es inexacta, corríjala. A continuación, intente determinar por qué saltó el tiempo y qué se puede hacer para evitar el tiempo inexacto en el futuro frente a simplemente corregir el mal momento. Entre las posibles áreas que se investigarán se incluyen:

   • ¿Se configuró el PDC raíz del bosque mediante un origen de hora externo?
   • ¿Los orígenes de hora de referencia están en línea, están disponibles en la red y se pueden resolver en DNS?
   • ¿Se estaba ejecutando el servicio de tiempo de Microsoft o de terceros y se encontraba en un estado sin errores?
   • ¿Están configurados los equipos con rol de controlador de dominio para usar la jerarquía NT5DS en la hora de origen?
   • ¿Se ha descrito la protección de reversión de tiempo en Configuración del servicio de hora de Windows con un desplazamiento de tiempo grande en su lugar?
   • ¿Los relojes del sistema tienen buenas baterías y tiempo preciso en el BIOS?
   • ¿Están configurados el host virtual y los equipos invitados para la hora de origen según las recomendaciones de los fabricantes de hospedaje?

   En este artículo se explica cómo configurar el servicio de hora de Windows en función de los pasos de los documentos de desplazamiento de tiempo grandes para ayudar a proteger los controladores de dominio frente a la escucha de ejemplos de tiempo no válidos. Hay más información sobre MaxPosPhaseCorrection y MaxNegPhaseCorrection en el servicio de hora de Windows.

5. Compruebe y quite los objetos persistentes si están presentes.

   El punto de la cuarentena de replicación de errores 8614 es comprobar si hay objetos persistentes y quitarlos, si están presentes, en cada partición mantenida localmente antes de establecer Permitir replicación con asociados divergentes y dañados en 1 en el registro del controlador de dominio de destino, incluso si cree que todos los controladores de dominio de destino del bosque se ejecutan en coherencia estricta de replicación.

   La eliminación de objetos persistentes está fuera del ámbito de este artículo. Para más información, consulte los siguientes artículos:

   • Información sobre los objetos persistentes en un bosque Windows Server Active Directory.

   • Identificador de evento 1388 o 1988: se detecta un objeto persistente

   Repadmin La sintaxis se muestra aquí:

   Sintaxis	Ayuda en línea (Windows Server 2008 y versiones posteriores)
   c:\>repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/advisory_mode]	c:\>repadmin /help:removelingeringobject

6. Evalúe la configuración de la replicación estricta en los controladores de dominio de destino.

   La replicación en modo estricto impide que los objetos persistentes se reaniman en controladores de dominio de destino que han usado la recolección de elementos no utilizados para crear, eliminar y reclamar objetos eliminados intencionadamente.

   La clave del Registro para la replicación estricta:

   • Camino: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • Configuración: Coherencia <estricta de replicación: no distingue mayúsculas de minúsculas>
   • Tipo: reg_dword
   • Valor: 0 | 1

   Repadmin Sintaxis para habilitar y deshabilitar la replicación estricta en un único o varios controladores de dominio es la siguiente:

   Sintaxis	Ayuda en línea (Windows Server 2008 y versiones posteriores)	Habilitar en un único controlador de dominio	Habilitar en todos los controladores de dominio del bosque	Habilitación en todos los controladores de dominio del bosque
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey <fully qualified computer name> +strict	repadmin /regkey * +strict	repadmin /regkey gc: +strict

7. Establezca Permitir replicación con asociados divergentes y dañados en 1 en el controlador de dominio 8614.

   Después de quitar los objetos persistentes, deshabilite la cuarentena de replicación basada en tiempo:

   Método del Registro:

   • Ruta de acceso del Registro: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • Configuración del Registro: permitir la replicación con asociados divergentes y dañados <: no distingue mayúsculas de minúsculas》
   • Valor del Registro: 0 = no permitir, 1 = permitir

   Repadmin método:

   Sintaxis	Ayuda en línea (Windows Server 2008 y versiones posteriores)	Habilitar en un único controlador de dominio	Habilitar en todos los controladores de dominio del bosque	Habilitación en todos los controladores de dominio del bosque
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey dc01.contoso.com +allowDivergent	repadmin /regkey * +allowDivergent	repadmin /regkey GC: +allowDivergent

8. Resuelva los errores de replicación de AD si están presentes.

   Cuando el estado de error 8614 se registra en un controlador de dominio de destino, se enmascaran los errores de replicación anteriores que se registraron en el número de días TSL anterior.

   El hecho de que el controlador de dominio de destino haya notificado el error 8614 no significa que el error de replicación resida en el controlador de dominio de destino. En su lugar, el origen del error de replicación podría encontrarse con la resolución de nombres DNS o de red. O bien, podría haber un problema con uno de los siguientes elementos:

   • autenticación
   • base de datos jet
   • Topología
   • el motor de replicación en el controlador de dominio de origen o el controlador de dominio de destino

   Revise los eventos anteriores de Directory Service y la salida de diagnóstico (dcdiag, repadmin registros) que generó el controlador de dominio de origen, el controlador de dominio de destino y los asociados de replicación alternativos en el pasado para identificar el ámbito y el estado de error que impiden la replicación entre el controlador de dominio de destino y el controlador de dominio de origen.

9. Elimine Permitir replicación con asociados divergentes y dañados o establezca Permitir replicación con asociados divergentes y dañados en 0 en el Registro.

10. Supervise la replicación de Active Directory diariamente en el futuro.

    Supervise diariamente la replicación de un extremo a otro en el bosque de Active Directory mediante una aplicación de supervisión de Active Directory. Una opción económica pero eficaz es ejecutar repadmin /showrepl * /csv y analizar los resultados en Excel. Para obtener más información, vea Método 2: Supervisar la replicación mediante una línea de comandos.

    Identifique los controladores de dominio que se aproximan a los errores de replicación durante el 50 por ciento y el 90 por ciento de la duración del lápiz. Póngalos en una lista de watch. Con el 50 % de TSL, realice una fuerte inserción para resolver los errores de replicación. Al 90 %, considere la posibilidad de degradar los controladores de dominio que provocan errores de replicación por la fuerza si es necesario. Para ello, use el dcpromo /forceremoval comando .

    De nuevo, los errores de replicación que se registran en un controlador de dominio de destino pueden deberse a un problema en:

    • Controlador de dominio de origen
    • Controlador de dominio de destino
    • La red subyacente

    Por lo tanto, intente determinar la causa y dónde está el error antes de tomar medidas preventivas.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.

Referencias

Corrección de problemas de objetos persistentes de replicación (identificadores de evento 1388, 1988, 2042)