Solución de problemas de replicación de Active Directory
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.
Pruebe nuestro agente virtual: puede ayudarle a identificar y corregir rápidamente problemas comunes de replicación de Active Directory.
Los problemas de replicación de Active Directory pueden tener varios orígenes diferentes. Por ejemplo, los problemas del Servicio de nombres de dominio (DNS), los problemas de red o los problemas de seguridad pueden provocar un error en la replicación de Active Directory.
En el resto de este artículo se explican las herramientas y una metodología general para corregir errores de replicación de Active Directory. Los siguientes subtemas tratan los síntomas, las causas y cómo resolver errores de replicación específicos:
Introducción y recursos para solucionar problemas de replicación de Active Directory
Un error de replicación de entrada o de salida causa que los objetos de Active Directory que representan la topología de replicación, el programa de replicación, los controladores de dominio, los usuarios, los equipos, las contraseñas, los grupos de seguridad, las pertenencias a grupos y la directiva de grupo sean incoherentes entre los controladores de dominio. La incoherencia del directorio y el error de replicación provocan errores operativos o resultados incoherentes, en función del controlador de dominio con el que se contacte para la operación, y puede impedir la aplicación de directivas de grupo y permisos de control de acceso. Active Directory Domain Services (AD DS) depende de la conectividad de red, la resolución de nombres, la autenticación y autorización, la base de datos de directorios, la topología de replicación y el motor de replicación. Cuando la causa raíz de un problema de replicación no es inmediatamente obvia, determinar la causa entre las muchas posibles requiere la eliminación sistemática de las causas probables.
Para obtener una herramienta basada en la interfaz de usuario que le ayude a supervisar la replicación y diagnosticar errores, descargue y ejecute la herramienta Asistente de soporte técnico y recuperación de Microsoft.
Para obtener un documento completo que describa cómo puede usar la herramienta Repadmin para solucionar problemas de replicación de Active Directory, consulte Supervisión y solución de problemas de replicación de Active Directory mediante Repadmin.
Para obtener información sobre cómo funciona la replicación de Active Directory, consulte las siguientes referencias técnicas:
- Referencia técnica del modelo de replicación de Active Directory
- Referencia técnica de la topología de replicación de Active Directory
Recomendaciones de soluciones de herramientas y eventos
Idealmente, los eventos rojo (error) y amarillo (advertencia) del registro de eventos del Servicio de directorio sugieren la restricción específica que está causando el error de replicación en el controlador de dominio de origen o de destino. Si el mensaje del evento sugiere pasos para una solución, pruebe los pasos que se describen en el evento. La herramienta Repadmin y otras herramientas de diagnóstico también proporcionan información que puede ayudarle a resolver errores de replicación.
Para obtener información detallada sobre el uso de Repadmin para solucionar problemas de replicación, consulte Supervisión y solución de problemas de replicación de Active Directory mediante Repadmin.
Descarte de las interrupciones intencionadas o los errores de hardware
A veces, se producen errores de replicación debido a interrupciones intencionadas. Por ejemplo, al solucionar problemas de replicación de Active Directory, descarte primero las desconexiones intencionadas y los errores o actualizaciones de hardware.
Desconexiones intencionadas
Si los errores de replicación los notifica un controlador de dominio que está intentando la replicación con un controlador de dominio que se ha creado en un sitio de almacenamiento provisional y actualmente está sin conexión y a la espera de su implementación en el sitio de producción final (un sitio remoto, como una sucursal), puede esperar esos errores de replicación. Para evitar separar un controlador de dominio de la topología de replicación durante períodos prolongados, lo que provoca errores continuos hasta que se vuelve a conectar el controlador de dominio, considere la posibilidad de agregar estos equipos inicialmente como servidores miembros y usar el método de instalación desde medios (IFM) para instalar Active Directory Domain Services (AD DS). Puede usar la herramienta de línea de comandos Ntdsutil para crear medios de instalación que puede almacenar en medios extraíbles (CD, DVD u otros medios) y enviar al sitio de destino. A continuación, puede usar los medios de instalación para instalar AD DS en los controladores de dominio del sitio, sin usar la replicación.
Errores o actualizaciones de hardware
Si se producen problemas de replicación como resultado de un error de hardware (por ejemplo, error de una placa base, un subsistema de discos o una unidad de disco duro), notifíquelo al propietario del servidor para que se pueda resolver el problema de hardware.
Las actualizaciones periódicas de hardware también pueden hacer que los controladores de dominio estén fuera de servicio. Asegúrese de que los propietarios del servidor tengan un buen sistema para comunicar tales interrupciones con antelación.
Configuración de firewall
De manera predeterminada, las llamadas a procedimiento remoto (RPC) de replicación de Active Directory se producen dinámicamente sobre un puerto disponible mediante el asignador de puntos de conexión de RPC (RPCSS) en el puerto 135. Asegúrese de que el firewall de Windows con seguridad avanzada y otros firewalls estén configurados correctamente para habilitar la replicación. Para obtener información sobre la especificación del puerto para la replicación de Active Directory y la configuración del puerto, consulte el artículo 224196 de Microsoft Knowledge Base.
Para obtener información sobre los puertos que usa la replicación de Active Directory, consulte Herramientas y configuración de la replicación de Active Directory.
Para obtener información sobre cómo administrar la replicación de Active Directory a través de firewalls, consulte Replicación de Active Directory a través de firewalls.
Respuesta a un error de un servidor obsoleto que ejecuta Windows 2000 Server
Si se ha producido un error en un controlador de dominio que ejecuta Windows 2000 Server durante más tiempo que el número de días de duración del marcador de exclusión, la solución siempre es la misma:
- Mueva el servidor de la red corporativa a una red privada.
- Quite Active Directory o vuelva a instalar el sistema operativo de forma forzada.
- Quite los metadatos del servidor de Active Directory para que no se pueda reactivar el objeto del servidor.
En la mayoría de los sistemas operativos Windows, puede usar un script para limpiar los metadatos del servidor. Para obtener información sobre el uso de este script, consulte Eliminación de los metadatos del controlador de dominio de Active Directory.
De manera predeterminada, los objetos de configuración NTDS que se eliminan se reactivan automáticamente durante un período de 14 días. Por lo tanto, si no quita los metadatos del servidor (utilice Ntdsutil o el script mencionado anteriormente para realizar la limpieza de metadatos), los metadatos del servidor se restablecen en el directorio, lo que provoca que se produzcan intentos de replicación. En este caso, se registrarán errores de forma persistente como resultado de la incapacidad de realizar la replicación con el controlador de dominio que falta.
Causas raíz
Una vez descartadas las desconexiones intencionadas, los errores de hardware y los controladores de dominio de Windows 2000 obsoletos, el resto de los problemas de replicación casi siempre tienen una de las siguientes causas principales:
- Conectividad de red: es posible que la conexión de red no esté disponible o que no esté configurada correctamente.
- Resolución de nombres: las configuraciones incorrectas de DNS son una causa común de los errores de replicación.
- Autenticación y autorización: los problemas de autenticación y autorización provocan errores de "Acceso denegado" cuando un controlador de dominio intenta conectarse a su asociado de replicación.
- Base de datos del directorio (almacén): es posible que la base de datos del directorio no pueda procesar las transacciones lo suficientemente rápido como para mantenerse al día con los tiempos de espera de la replicación.
- Motor de replicación: si las programaciones de replicación entre sitios son demasiado cortas, es posible que las colas de replicación sean demasiado grandes para procesarse en el tiempo requerido por la programación de replicación de salida. En este caso, la replicación de algunos cambios se puede detener indefinidamente, un tiempo lo suficientemente largo como para superar la duración del marcador de exclusión.
- Topología de replicación: los controladores de dominio deben tener vínculos entre sitios en AD DS que se asignen a conexiones de red de área extensa (WAN) o de red privada virtual (VPN). Si crea objetos en AD DS para la topología de replicación que no son compatibles con la topología del sitio real de la red, se produce un error en la replicación que requiere la topología mal configurada.
Enfoque general para solucionar problemas
Use el siguiente enfoque general para corregir los problemas de replicación:
Supervise el estado de la replicación diariamente o use Repadmin.exe para recuperar el estado de replicación diariamente.
Intente resolver los errores notificados de forma oportuna mediante los métodos que se describen en los mensajes del evento y en esta guía. Si es posible que el software esté causando el problema, desinstale el software antes de seguir con otras soluciones.
Si el problema que provoca el error en la replicación no se puede resolver mediante ningún método conocido, quite AD DS del servidor y vuelva a instalarlo. Para más información sobre la reinstalación de AD DS, consulte Retirada de un controlador de dominio.
Si no se puede quitar AD DS normalmente mientras el servidor está conectado a la red, use uno de los métodos siguientes para resolver el problema:
- Fuerce la eliminación de AD DS en el Modo de restauración de servicios de directorio (DSRM), limpie los metadatos del servidor y vuelva a instalar AD DS.
- Vuelva a instalar el sistema operativo y vuelva a crear el controlador de dominio.
Para obtener más información sobre cómo forzar la eliminación de AD DS, consulte Forzar la eliminación de un controlador de dominio.
Uso de Repadmin para recuperar el estado de replicación
El estado de replicación es una manera importante de evaluar el estado del servicio de directorio. Si la replicación funciona sin errores, conoce los controladores de dominio que están en línea. También sabe que los siguientes sistemas y servicios funcionan:
- Infraestructura de DNS
- Protocolo de autenticación Kerberos
- Servicio de hora de Windows (W32time)
- Llamada a procedimiento remoto (RPC)
- Conectividad de red
Use Repadmin para supervisar el estado de replicación diariamente mediante la ejecución de un comando que evalúe el estado de replicación de todos los controladores de dominio del bosque. El procedimiento genera un archivo .csv que puede abrir en Microsoft Excel y filtrar en busca de errores de replicación.
Puede usar el procedimiento siguiente para recuperar el estado de replicación de todos los controladores de dominio del bosque.
Requisitos
La pertenencia a Administradores de empresa, o equivalente, es lo mínimo necesario para completar este procedimiento.
Herramientas:
- Repadmin.exe
- Excel (Microsoft Office)
Generación de una hoja de cálculo repadmin /showrepl para los controladores de dominio
Abra un símbolo del sistema como administrador: en el menú Inicio, haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, proporcione credenciales del grupo Admins. de la empresa, si fuera necesario, y luego haga clic en Continuar.
En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:
repadmin /showrepl * /csv > showrepl.csvAbra Excel.
Haga clic en el botón Office, haga clic en Abrir, vaya a showrepl.csv y, a continuación, haga clic en Abrir.
Oculte o elimine la columna A, así como la columna Tipo de transporte, como se indica a continuación:
Seleccione la columna que quiera ocultar o eliminar.
- Para ocultar la columna, haga clic con el botón derecho en la columna y, a continuación, haga clic en Ocultar.
- Para eliminar la columna, haga clic con el botón derecho en la columna seleccionada y, a continuación, haga clic en Eliminar.
Seleccione la fila 1 debajo de la fila de encabezado de columna. En la pestaña Ver, haga clic en Inmovilizar paneles y, a continuación, haga clic en Inmovilizar fila superior.
Seleccione toda la hoja de cálculo. En la pestaña Datos, haga clic en Filtrar.
En la columna Hora de la última operación correcta, haga clic en la flecha abajo y, a continuación, haga clic en Orden ascendente.
En la columna Controlador de dominio de origen, haga clic en la flecha abajo del filtro, seleccione Filtros de texto y, a continuación, haga clic en Filtro personalizado.
En el cuadro de diálogo Filtro automático personalizado, en Mostrar filas donde, haga clic en no contiene. En el cuadro de texto adyacente, escriba
delpara eliminar de la vista los resultados de los controladores de dominio eliminados.Repita el paso 11 para la columna Hora del último error, pero use el valor no es igual y, a continuación, escriba el valor 0.
Resuelva los errores de replicación.
Para cada controlador de dominio del bosque, la hoja de cálculo muestra el asociado de replicación de origen, la hora en que se produjo la replicación por última vez y la hora en que se produjo el último error de replicación para cada contexto de nomenclatura (partición de directorio). Mediante el Filtro automático en Excel, puede ver el estado de replicación solo para los controladores de dominio en funcionamiento, solo para los controladores de dominio con errores o para los controladores de dominio que sean los menos o más actuales, y puede ver los asociados de replicación que se replican correctamente.
Problemas y soluciones de replicación
Los problemas de replicación se notifican en mensajes de evento y en varios mensajes de error que se producen cuando una aplicación o un servicio intentan una operación. Idealmente, estos mensajes los recopila la aplicación de supervisión o bien se recopilan cuando recupera el estado de replicación.
La mayoría de los problemas de replicación se identifican en los mensajes del evento que se registran en el registro de eventos del servicio de directorio. Los problemas de replicación también se pueden identificar en forma de mensajes de error en la salida del comando repadmin /showrepl.
Mensajes de error repadmin /showrepl que indican problemas de replicación
Para identificar problemas de replicación de Active Directory, use el comando repadmin /showrepl, como se describe en la sección anterior. En la tabla siguiente se muestran los mensajes de error que genera este comando, junto con las causas raíz de los errores y vínculos a temas que proporcionan soluciones para los errores.
| Error de Repadmin | Causa principal | Solución |
|---|---|---|
| El tiempo desde la última replicación con este servidor ha superado la duración del marcador de exclusión. | Se ha producido un error en un controlador de dominio en la replicación de entrada con el controlador de dominio de origen con nombre el tiempo suficiente para que una eliminación se marque como exclusión, se replique y se lleve a cabo la recopilación de elementos no utilizados de AD DS. | Id. de evento 2042: transcurrió demasiado tiempo desde que se replicó esta máquina |
| No hay vecinos de entrada. | Si no aparece ningún elemento en la sección "Vecinos de entrada" de la salida generada por repadmin /showrepl, el controlador de dominio no pudo establecer vínculos de replicación con otro controlador de dominio. | Solución de problemas de conectividad de replicación (identificador de evento 1925) |
| Acceso denegado. | Existe un vínculo de replicación entre dos controladores de dominio, pero la replicación no se puede realizar correctamente como resultado de un error de autenticación. | Solución de problemas de seguridad de replicación |
| Se produjo un error en el último intento a las <fecha y hora> con el mensaje "El nombre de la cuenta de destino es incorrecto". | Este problema puede estar relacionado con problemas de conectividad, de DNS o de autenticación. Si se trata de un error de DNS, el controlador de dominio local no pudo resolver el nombre DNS basado en el identificador único global (GUID) de su asociado de replicación. | Corregir problemas de búsqueda de DNS de replicación (identificadores de eventos 1925, 2087, 2088) Corregir problemas de seguridad de replicación Corregir problemas de conectividad de replicación (identificador de evento 1925) |
| Error 49 de LDAP. | Es posible que la cuenta de equipo del controlador de dominio no esté sincronizada con el Centro de distribución de claves (KDC). | Solución de problemas de seguridad de replicación |
| No se puede abrir la conexión LDAP al host local | La herramienta de administración no pudo ponerse en contacto con AD DS. | Solución de problemas de consulta de DNS de replicación (id. de evento 1925, 2087, 2088) |
| Se ha adelantado la replicación de Active Directory. | El progreso de la replicación de entrada se interrumpió mediante una solicitud de replicación de mayor prioridad, como una solicitud que se generó manualmente con el comando repadmin /sync. | Espere a que se complete la replicación. Este mensaje informativo indica un funcionamiento normal. |
| Replicación publicada, en espera. | El controlador de dominio publicó una solicitud de replicación y está esperando una respuesta. La replicación está en curso desde este origen. | Espere a que se complete la replicación. Este mensaje informativo indica un funcionamiento normal. |
En la tabla siguiente se enumeran los eventos comunes que pueden indicar problemas con la replicación de Active Directory, junto con las causas principales de los problemas y vínculos a temas que proporcionan soluciones para los mismos.
| Identificador y origen del evento | Causa principal | Solución |
|---|---|---|
| 1311 NTDS KCC | La información de configuración de replicación de AD DS no refleja con precisión la topología física de la red. | Solución de problemas de topología de replicación (identificador de evento 1311) |
| Replicación 1388 NTDS | La coherencia de replicación estricta no está en vigor y se ha replicado un objeto persistente en el controlador de dominio. | Solución de problemas de objetos persistentes de replicación (identificador de evento 1388, 1988, 2042) |
| 1925 NTDS KCC | Se ha producido un error al intentar establecer un vínculo de replicación para una partición de directorio grabable. Este evento puede tener diferentes causas, dependiendo del error. | Corrección de problemas de conectividad de replicación (identificador de evento 1925) Corrección de problemas de búsqueda de DNS de replicación (identificadores de evento 1925, 2087, 2088) |
| 1988 Replicación NTDS | El controlador de dominio local ha intentado replicar un objeto de un controlador de dominio de origen que no está presente en el controlador de dominio local porque es posible que se haya eliminado y ya se haya recopilado como elemento no utilizado. La replicación no continuará para esta partición de directorio con este asociado hasta que se resuelva la situación. | Solución de problemas de objetos persistentes de replicación (identificador de evento 1388, 1988, 2042) |
| 2042 Replicación NTDS | La replicación no se ha producido con este asociado durante una vigencia de marcador de exclusión y la replicación no puede continuar. | Solución de problemas de objetos persistentes de replicación (identificador de evento 1388, 1988, 2042) |
| 2087 Replicación NTDS | AD DS no pudo resolver el nombre de host DNS del controlador de dominio de origen en una dirección IP y se produjo un error en la replicación. | Solución de problemas de consulta de DNS de replicación (id. de evento 1925, 2087, 2088) |
| 2088 Replicación NTDS | AD DS no pudo resolver el nombre de host DNS del controlador de dominio de origen en una dirección IP, pero la replicación se produjo. | Solución de problemas de consulta de DNS de replicación (id. de evento 1925, 2087, 2088) |
| 5805 Inicio de sesión de red | No se pudo autenticar una cuenta de máquina, lo que suele deberse a la existencia de varias instancias del mismo nombre de equipo o a que el nombre del equipo no se replica en todos los controladores de dominio. | Solución de problemas de seguridad de replicación |
Para obtener más información acerca de los conceptos de la replicación, consulte Tecnologías de replicación de Active Directory.
Pasos siguientes
Para obtener más información, incluidos los artículos de soporte técnico específicos de los códigos de error, consulte el artículo de soporte técnico: Solución de errores comunes de replicación de Active Directory.