locked
Replicacion de Active Directory - windows 2008 R2 RRS feed

  • Pregunta

  • Tengo 2 controladores de Dominio uno como primario y otro como secundario... el problema surgio cuando los controladores hubo que cambiarles las IP de los mismos, lo cual produjo que no esten replicando los datos entre ellos...

    he revisado los dns y modificado los valores que estaban mal... se ejecutaron los comandos, ipconfig /flushdns, ipconfig /registerdns


    Soporte Tecnico.

    lunes, 10 de septiembre de 2012 18:16

Respuestas

  • Prueba este comando a ver que errores produce: repadmin /showrepl luego puedes correr este comando repadmin /replsummary

    Esto va a chequear si la replicacion funciona, cuando fue la ultima replicacion y los fallos de la misma.

    Te dejo un link que quizas te pueda servir: http://blogs.technet.com/b/latam/archive/2010/04/22/como-resolver-problemas-de-replicaci-n-de-active-directory.aspx 

    Saludos,

    martes, 11 de septiembre de 2012 15:00
  • Hola Maxc!

    Según los registros que estás volcando de errpr, deberías habilitar las replicaciones de entrada y de salida con los siguientes comandos:

    repadmin /options -DISABLE_INBOUND_REPL

    repadmin /options -DISABLE_OUTBOUND_REPL

    Ahora bien, si llegaras a tener problemas con dichos commandos o no tenés éxito en la re-habilitación de la replicación, te sugiero revisar los siguientes puntos uno a uno y con tranquilidad para poder ir descartando problemas. Cada uno de estos puntos está ligado al troubleshooting de replicación en AD:

    0) PRIMER PUNTO, ante todo, revision de Event Viewer de la fecha donde el problema comenzó. Puede darte una pista bastante importante sobre el origen de tu problema, si bien estaría directamente relacionado con el cambio de IP de los DCs.

    1) Chequeo de resolución en nombre corto y nombre largo (FQDN) de los servidores involucrados, desde un nslookup tomando como servidores DNS a cada uno de los controladores de dominio.

    2) Chequeo de los valores de la zona DNS: si bien ya realizaste acciones básicas de registro DNS, te pido si podés verificar que dentro del ambito de la zona reversa en los DNS de los DC puedas verificar la zona _msdcs.xxxx.xxx los siguientes registros:

    a) _ldap

    b) _kerberos

    Todos son de tipo SRV (Service Location) y deberían tener los registros correspondientes a los nombres FQDN de ambos DCs. Si encontrás problemas, deberías correr desde los DCs el commando "netdiag /fix" para intentar solucionarlo.

    3) Chequeo de las IPs de los DC registradas en tu zona DNS correspondiente a tu dominio: que solo esté el registro de la IP "nueva" para ambos DCs.

    4) Chequeo que en "Sitios y Servicios" tengas declarada la subnet que corresponde a tu actual subnet LAN para los servidores. Si no lo tenés, configurarlo.

    5) Chequeo DNS a través del commando "dcdiag /test:dns". Si surgen problemas es importante solucionarlos.

    6) Chequeo desde "Sitios y Servicios" que existan las conexiones para replicación (dentro de opciones NTDS).

    7) Documentación de la salida de los comandos:

    a) repadmin /showrepl

    b) dcdiag (entiendo ya lo tenés)

    Cualquier resultado anormal que puedas exponernos, sera de utilidad para que te ayudemos a resolver el problema que estás experimentando!

    Un abrazo!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 12 de septiembre de 2012 0:58

Todas las respuestas

  • Maxc-R

    Como andas? Probaste replicar entre ellos en sitios y servicios? Tenes los logs de la replicacion entre ellos del comando repadmin.exe para poder ver que puede estar ocurriendo?

    Saludos,

    martes, 11 de septiembre de 2012 3:12
  • Si he tratado de realizar la replicacion desde sitios y servicios.... tengo los archivos que arrojo el dcdiag.. los cuales mirare en este momento...

    Bueno segun lo reportado por los archivos que dio DCDIAG estos son los errores que mostro, he realizado la ejecucion del comando que muestra pero no ha pasado nada.. solo a mostrado otro error:

    C:\Users\Administrador>repadmin /options srv-pdc-fya -disable_outbound_repl
    Message 0x400004d4 not found. Error 0.
    Opciones de DSA: IS_GC DISABLE_INBOUND_REPL
    Message 0x400004d5 not found. Error 0.
    Opciones de DSA: IS_GC DISABLE_INBOUND_REPL

    Errores mostrados por le dcdiag:

    Realizando pruebas requeridas iniciales

       Probando servidor: Default-First-Site-Name\SRV-PDC-FYA
          Iniciando prueba: Connectivity
             ......................... SRV-PDC-FYA superó la prueba Connectivity

    Realizando pruebas principales

       Probando servidor: Default-First-Site-Name\SRV-PDC-FYA
          Iniciando prueba: Advertising
             Advertencia: SRV-PDC-FYA no se está anunciando como un servidor
             horario.
             ......................... SRV-PDC-FYA no superó la prueba Advertising
          Iniciando prueba: FrsEvent
             ......................... SRV-PDC-FYA superó la prueba FrsEvent
          Iniciando prueba: DFSREvent
             Existen eventos de advertencia o de error en las últimas 24 horas
             después de compartir SYSVOL. Los problemas de replicación de SYSVOL
             incorrecta pueden ocasionar problemas de la directiva de grupo.
             ......................... SRV-PDC-FYA no superó la prueba DFSREvent
          Iniciando prueba: SysVolCheck
             ......................... SRV-PDC-FYA superó la prueba SysVolCheck
          Iniciando prueba: KccEvent
             ......................... SRV-PDC-FYA superó la prueba KccEvent
          Iniciando prueba: KnowsOfRoleHolders
             ......................... SRV-PDC-FYA superó la prueba
             KnowsOfRoleHolders
          Iniciando prueba: MachineAccount
             ......................... SRV-PDC-FYA superó la prueba MachineAccount
          Iniciando prueba: NCSecDesc
             ......................... SRV-PDC-FYA superó la prueba NCSecDesc
          Iniciando prueba: NetLogons
             ......................... SRV-PDC-FYA superó la prueba NetLogons
          Iniciando prueba: ObjectsReplicated
             ......................... SRV-PDC-FYA superó la prueba
             ObjectsReplicated
          Iniciando prueba: Replications
             [Comprobación de replicaciones,Replications Check] La replicación de
             entrada está deshabilitada.
             Para corregir esto, ejecute "repadmin /options SRV-PDC-FYA
             -DISABLE_INBOUND_REPL"
             [Comprobación de replicaciones,SRV-PDC-FYA] La replicación de salida
             está deshabilitada.
             Para corregir esto, ejecute "repadmin /options SRV-PDC-FYA
             -DISABLE_OUTBOUND_REPL"
             ......................... SRV-PDC-FYA no superó la prueba Replications
          Iniciando prueba: RidManager
             ......................... SRV-PDC-FYA superó la prueba RidManager

    • Editado Maxc-R martes, 11 de septiembre de 2012 12:47
    martes, 11 de septiembre de 2012 10:47
  • Te hago una consulta, se ven entre los controladores de dominio? Podes hacer ping entre ellos o resolver los nombres por nslookup?

    Saludos,

    martes, 11 de septiembre de 2012 13:45
  • si los dos servidores responden a los ping mediante el nombre y por el nslookup.-

    Soporte Tecnico.

    martes, 11 de septiembre de 2012 14:11
  • Prueba este comando a ver que errores produce: repadmin /showrepl luego puedes correr este comando repadmin /replsummary

    Esto va a chequear si la replicacion funciona, cuando fue la ultima replicacion y los fallos de la misma.

    Te dejo un link que quizas te pueda servir: http://blogs.technet.com/b/latam/archive/2010/04/22/como-resolver-problemas-de-replicaci-n-de-active-directory.aspx 

    Saludos,

    martes, 11 de septiembre de 2012 15:00
  • la ultima replicacion fue el jueves pasado, ya que el viernes se cambiaron las IP de los servidores y no volvieron a replicar mas entre ellos...

    Soporte Tecnico.

    martes, 11 de septiembre de 2012 15:32
  • Desde sitios y servicios puedes volver a regenerar las conexiones, elimina desde el DC01 la que te generar problemas y vuelve a regenerar la conexión y corre el comando repadmin /kcc para comprobar la coherencia de la replicacion

    Saludos,

    martes, 11 de septiembre de 2012 15:39
  • no se si me da buena espina eliminar las conexiones generadas automaticamente por los controladores de dominios... y habiendo realizado solo un cambio de ip en los mismo... osea pasaron de tener IP:10.66.66.1 a 192.168.1.100 solamente..

    Soporte Tecnico.

    martes, 11 de septiembre de 2012 16:56
  • Hola Maxc!

    Según los registros que estás volcando de errpr, deberías habilitar las replicaciones de entrada y de salida con los siguientes comandos:

    repadmin /options -DISABLE_INBOUND_REPL

    repadmin /options -DISABLE_OUTBOUND_REPL

    Ahora bien, si llegaras a tener problemas con dichos commandos o no tenés éxito en la re-habilitación de la replicación, te sugiero revisar los siguientes puntos uno a uno y con tranquilidad para poder ir descartando problemas. Cada uno de estos puntos está ligado al troubleshooting de replicación en AD:

    0) PRIMER PUNTO, ante todo, revision de Event Viewer de la fecha donde el problema comenzó. Puede darte una pista bastante importante sobre el origen de tu problema, si bien estaría directamente relacionado con el cambio de IP de los DCs.

    1) Chequeo de resolución en nombre corto y nombre largo (FQDN) de los servidores involucrados, desde un nslookup tomando como servidores DNS a cada uno de los controladores de dominio.

    2) Chequeo de los valores de la zona DNS: si bien ya realizaste acciones básicas de registro DNS, te pido si podés verificar que dentro del ambito de la zona reversa en los DNS de los DC puedas verificar la zona _msdcs.xxxx.xxx los siguientes registros:

    a) _ldap

    b) _kerberos

    Todos son de tipo SRV (Service Location) y deberían tener los registros correspondientes a los nombres FQDN de ambos DCs. Si encontrás problemas, deberías correr desde los DCs el commando "netdiag /fix" para intentar solucionarlo.

    3) Chequeo de las IPs de los DC registradas en tu zona DNS correspondiente a tu dominio: que solo esté el registro de la IP "nueva" para ambos DCs.

    4) Chequeo que en "Sitios y Servicios" tengas declarada la subnet que corresponde a tu actual subnet LAN para los servidores. Si no lo tenés, configurarlo.

    5) Chequeo DNS a través del commando "dcdiag /test:dns". Si surgen problemas es importante solucionarlos.

    6) Chequeo desde "Sitios y Servicios" que existan las conexiones para replicación (dentro de opciones NTDS).

    7) Documentación de la salida de los comandos:

    a) repadmin /showrepl

    b) dcdiag (entiendo ya lo tenés)

    Cualquier resultado anormal que puedas exponernos, sera de utilidad para que te ayudemos a resolver el problema que estás experimentando!

    Un abrazo!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 12 de septiembre de 2012 0:58
  • he revisado todos los puntos y ejecutado los comandos que me pasaste.. este son el resultado de los respectivos showrepl en cada controlador:

    SHOWREPL / PDC:

    Repadmin: ejecutando el comando /showrepl en el DC completo localhost
    Default-First-Site-Name\SRV-PDC-FYA
    Opciones de DSA: IS_GC DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL
    Opciones de sitio: (none)
    GUID del objeto DSA: 51882928-e201-40d1-9fd7-1426084deabc
    Id. de invocación de DSA: 51882928-e201-40d1-9fd7-1426084deabc

    ==== VECINOS DE ENTRADA ======================================

    DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-BDC-FYA vía RPC
            GUID del objeto DSA: 031d4e05-9735-45ca-9182-9ae655f84803
            Error en el último intento efectuado el 2012-09-12 11:45:32, resultado 8
    457 (0x2109):
                El servidor de destino está actualmente rechazando las solicitudes d
    e replicación.
            282 errores consecutivos.
            Última operación correcta efectuada el 2012-08-09 12:00:21.

    CN=Configuration,DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-BDC-FYA vía RPC
            GUID del objeto DSA: 031d4e05-9735-45ca-9182-9ae655f84803
            Error en el último intento efectuado el 2012-09-12 11:45:32, resultado 8
    457 (0x2109):
                El servidor de destino está actualmente rechazando las solicitudes d
    e replicación.
            125 errores consecutivos.
            Última operación correcta efectuada el 2012-08-09 11:58:06.

    CN=Schema,CN=Configuration,DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-BDC-FYA vía RPC
            GUID del objeto DSA: 031d4e05-9735-45ca-9182-9ae655f84803
            Error en el último intento efectuado el 2012-09-12 11:45:32, resultado 8
    457 (0x2109):
                El servidor de destino está actualmente rechazando las solicitudes d
    e replicación.
            123 errores consecutivos.
            Última operación correcta efectuada el 2012-08-09 11:58:06.

    DC=DomainDnsZones,DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-BDC-FYA vía RPC
            GUID del objeto DSA: 031d4e05-9735-45ca-9182-9ae655f84803
            Error en el último intento efectuado el 2012-09-12 11:45:32, resultado 8
    457 (0x2109):
                El servidor de destino está actualmente rechazando las solicitudes d
    e replicación.
            133 errores consecutivos.
            Última operación correcta efectuada el 2012-08-09 11:58:06.

    DC=ForestDnsZones,DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-BDC-FYA vía RPC
            GUID del objeto DSA: 031d4e05-9735-45ca-9182-9ae655f84803
            Error en el último intento efectuado el 2012-09-12 11:45:32, resultado 8
    457 (0x2109):
                El servidor de destino está actualmente rechazando las solicitudes d
    e replicación.
            124 errores consecutivos.
            Última operación correcta efectuada el 2012-08-09 11:58:06.

    Origen: Default-First-Site-Name\SRV-BDC-FYA
    ******* 282 ERRORES CONSECUTIVOS desde 2012-08-09 12:00:21
    Último error: 8457 (0x2109):
                El servidor de destino está actualmente rechazando las solicitudes d
    e replicación.

    SHOWREPL / BDC:

    Repadmin: ejecutando el comando /showrepl en el DC completo localhost
    Default-First-Site-Name\SRV-BDC-FYA
    Opciones de DSA: IS_GC
    Opciones de sitio: (none)
    GUID del objeto DSA: 031d4e05-9735-45ca-9182-9ae655f84803
    Id. de invocación de DSA: e333219f-835e-4069-88e6-873cdaf56853

    ==== VECINOS DE ENTRADA ======================================

    DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-PDC-FYA vía RPC
            GUID del objeto DSA: 51882928-e201-40d1-9fd7-1426084deabc
            Error en el último intento efectuado el 2012-09-12 12:15:39, resultado -
    2146893022 (0x80090322):
                El nombre principal de destino es incorrecto.
            575 errores consecutivos.
            Última operación correcta efectuada el 2012-09-07 07:51:46.

    CN=Configuration,DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-PDC-FYA vía RPC
            GUID del objeto DSA: 51882928-e201-40d1-9fd7-1426084deabc
            Error en el último intento efectuado el 2012-09-12 12:23:53, resultado -
    2146893022 (0x80090322):
                El nombre principal de destino es incorrecto.
            112 errores consecutivos.
            Última operación correcta efectuada el 2012-09-07 07:47:21.

    CN=Schema,CN=Configuration,DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-PDC-FYA vía RPC
            GUID del objeto DSA: 51882928-e201-40d1-9fd7-1426084deabc
            Error en el último intento efectuado el 2012-09-12 11:56:39, resultado -
    2146893022 (0x80090322):
                El nombre principal de destino es incorrecto.
            106 errores consecutivos.
            Última operación correcta efectuada el 2012-09-07 07:47:21.

    DC=DomainDnsZones,DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-PDC-FYA vía RPC
            GUID del objeto DSA: 51882928-e201-40d1-9fd7-1426084deabc
            Error en el último intento efectuado el 2012-09-12 12:02:59, resultado -
    2146893022 (0x80090322):
                El nombre principal de destino es incorrecto.
            173 errores consecutivos.
            Última operación correcta efectuada el 2012-09-07 07:47:21.

    DC=ForestDnsZones,DC=fya,DC=virtual,DC=com,DC=ar
        Default-First-Site-Name\SRV-PDC-FYA vía RPC
            GUID del objeto DSA: 51882928-e201-40d1-9fd7-1426084deabc
            Error en el último intento efectuado el 2012-09-12 11:56:39, resultado 1
    256 (0x4e8):
                El sistema remoto no está disponible. Para obtener más información s
    obre cómo solucionar problemas en la red, vea la Ayuda de Windows.
            109 errores consecutivos.
            Última operación correcta efectuada el 2012-09-07 07:47:21.

    Origen: Default-First-Site-Name\SRV-PDC-FYA
    ******* 575 ERRORES CONSECUTIVOS desde 2012-09-07 07:51:46
    Último error: -2146893022 (0x80090322):
                El nombre principal de destino es incorrecto.


    Soporte Tecnico.

    miércoles, 12 de septiembre de 2012 15:38
  • Gracias Maxc por la info!

    Me gustaría si podés darme más datos sobre los puntos 1, 2, 3 y 4 que te había puesto antes: ¿los resultados fueron normales? Porque al parecer estaríamos frente a un problema de DNS:

      • ¿Chequeaste que los DC tengan como DNS primario a si mismos (si es que todos los DC son DNS también) y como secundario al otro DC con el que deberían replica?
      • ¿Chequeaste que no existan apuntamientos de IP incorrectos?

    Además de esta info, te pido que me adjuntes el resultado del commando siguiente:

    netdom query fsmo

    Este commando nos dará la pauta de cuales son los roles que cada servidor aloja (o cual es el servidor que tiene todos los roles).

    En primera instancia, parece que existe un problema de DNS y, además, te confirmo que la replicación entrante y saliente está deshabilitada para el server SRV-PDC-FYA. Más allá de esto, y antes de ejecutar otra acción, sería bueno que respondas las primeras dos preguntas que te hago arriba y postees el resultado del commando que te puse antes.

    Esperamos tu feedback!

    Saludos!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 12 de septiembre de 2012 19:01
  • El punto 1 la resolución por nombre corto y largo funciona sin problema por ahi tardo un poco…, en cuanto a los puntos 3 y 4 fueron revisados y están actualizados ósea que apuntan bien… en sitios y servicios esta por defecto (no tiene nada)

    los dos chequeos que me decis los revise al principio y estan bien, en cuanto a que la replica esta deshabilitada lo habia visto en un principio pero hasta que no haya coherencia entre los servidores no me deja habilitarla...

    ni bien tengo el query FSMO te pego...


    Soporte Tecnico.

    jueves, 13 de septiembre de 2012 11:01
  • El punto 1 la resolución por nombre corto y largo funciona sin problema por ahi tardo un poco…, en cuanto a los puntos 3 y 4 fueron revisados y están actualizados ósea que apuntan bien… en sitios y servicios esta por defecto (no tiene nada)

    los dos chequeos que me decis los revise al principio y estan bien, en cuanto a que la replica esta deshabilitada lo habia visto en un principio pero hasta que no haya coherencia entre los servidores no me deja habilitarla...

    ni bien tengo el query FSMO te pego...


    Soporte Tecnico.


    Los netdom query FSMO no mostraron ningun error.

    Soporte Tecnico.

    jueves, 13 de septiembre de 2012 11:06
  • Buenas se que es viejo el post pero estoy con el mismo problema como lograste solucionarlo segui todos los pasos de este post y me sigue saliendo el mismo error.

    Gracias si me puedes dar una mano


    Juan Artave

    miércoles, 11 de septiembre de 2019 14:08
  • Buenas Tardes para todos..

    Quise añadir mi opinión, a pesar de como indica Juan Artave, Es algo viejo el hilo..

    Las opciones de deshabilitar la replica tanto de entrada, como de salida (DISABLE_INBOUND_REPL and OUTPUT) soluciona el error.. Pero suele tardarse.. En mi caso particular el error sucedió después de reemplazar los discos virtuales de uno de los controladores del dominio.. ( unas 3horas atrás) y me arrojaba exactamente este error.. Luego de aplicar, lo antes mencionado.. 

    Empezaron a replicar sin errores, pero luego de aprox 45mins... (Tiempo sin replicarse los controladores de dominio: 48Horas)

    Ambos controladores de dominio están a modo Virtual.. y la conectividad de red era buena.. Gbit interface de Hyper-V.

    Espero les sirva... 

    Saludos a todos...!!!

    miércoles, 16 de diciembre de 2020 3:17