none
Bloqueo de replicación RRS feed

  • Pregunta

  • Se ha bloqueado la replicación entre dos controladores de dominio que están en dominios distintos. Ambos son hijos de un dominio raiz (RAIZ.ES). A continuación describo el problema y los resultados de las pruebas realizadas. Todas las pruebas las he realizado desde el dominio (DC1.ORIGEN.RAIZ.ES) que es el que no puede replicar con el otro (DC2.DESTINO.RAIZ.ES).

    -El comando repadmin /showrepl informa de que:
    (...) failed, result 1908 (0x774): No se puede encontrar el controlador de dominio para este dominio.

    -He comprobado en el servidor DNS que ambos servidores están registrados correctamente, y que existen las entradas respectivas bajo _msdcs.raiz.es.

    -El firewall de Windows está desactivado en ambos DCs.

    -Aunque ambos están en subredes distintas, he comprobado que existe comunicación en los puertos utilizados por el Directorio Activo y el servicio de replicación (88, 389, 123, 135, 137, 138, 139, 1025, 1026, 445, 464, 636). La herramienta Portqryui, para análisis de conectividad por puertos, sólo ha detectado que está bloqueado el puerto 3268 por nuestros firewalls:
    (...) TCP port 3268 (msft-gc service): FILTERED

    -El DC1.ORINGEN.RAIZ.ES se encuentra ubicado en la unidad organizativa Domain Controllers de su Directorio Activo.

    -Al intentar ver el contenio del Directorio Activo de DC2.DESTINO.RAIZ.ES desde la herramienta Usuarios y Equipos de Active Directory de DC1.ORINGEN.RAIZ.ES, surge una ventana de error con el mensaje:
    El dominio DESTINO.RAIZ.ES no se encontró debido a: El dominio especificado no existe o no se pudo establecer conexión con él.

    -Al forzar la replicación con el dominio DESTINO.RAIZ.ES mediante la herramienta Sitios y servicios de Active Directory, surge una ventana con el mensaje:
    Se ha producido el siguente error cuando se intentaba sincronizar contexto de nombres Configuration del controlador de dominio DC1 al controlador de dominio: DC2: No se puede encontrar el controlador de dominio para este dominio. Esta operación no continuará (...).

    -No hay mensajes relacionados en el Visor de sucesos del DC1.ORIGEN.RAIZ.ES

    -La herramienta nltest /dclistBig SmileESTINO.RAIZ.ES dice:
    Cannot find DC to get DC list from.Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

    -Y nltest /DSGETDCBig SmileESTINO.RAIZ.ES:
    DsGetDcName failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

    -Al buscar por el error 1908, Microsoft sugiere utilizar el comando dcdiag /test:CheckSecurityError /ReplSourceBig SmileESTINO.RAIZ.ES, que dice:
    (...) No KDC found for domain destino.raiz.es in site Nombre-predeterminado-primer-sitio (1355, NULL)

    -Y también el comando dcdiag /test:CheckSecurityError /sBig SmileC.DESTINO.RAIZ.ES, que dice:
    (...) LDAP bind failed with error 8341, Error del servicio de directorios…

    En el DC2.DESTINO.RAIZ.ES hemos realizado pruebas de conectividad mediante netdiag y dcdiag, pero no hemos detectado ninguna anomalía. Además, este controlador de dominio se replica correctamente con otros DCs del mismo bosque.

    Desde otros controladores de dominio del bosque, hijos del raíz y ubicados en la misma subred que DC1.ORIGEN.RAIZ.ES, sí que es posible replicar con DC2.DESTINO.RAIZ.ES.

     

    ¿A alguien se le ocurre qué puede estar sucediendo?

    martes, 26 de agosto de 2008 15:44

Respuestas

  • Todo apunta a ser un problema de DNS.

     

    Postea un repadmin /showreps , comprueba que tu ping sea correcto entre los distintos Domain controllers, verifica que la configuracion DNS sea correcta y tenga los registros SRV correspondientes para cada uno de los Domain Controllers.

     

    Comentame si sigues con el incoveniente, pero insisto apunta para el lado de la configuracion del DNS.

     

     

    Slds
    Sebastian del Rio

     

    domingo, 21 de diciembre de 2008 19:07
    Moderador
  • Aarmand, veo dos problemas.

    Primero, el puerto 3268 no puede estar bloqueado, pues el que usan los Catalogo Global.

    Y por otro lado es lo más probable que el problema esté en DNS.

    Todos los dominios deben resolver a los demás. Esto lo puedes conseguir de diferentes formas. Con reenviadores y delegaciones, o stub zones, o quizás la más fácil, haciendo que en cada DNS de cada dominio tengas zonas secundarias de los otros.


    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    sábado, 25 de abril de 2009 13:02
    Moderador

Todas las respuestas

  •  

    master, solucionaste el problema?, a mi me pasa lo mismo.
    viernes, 19 de diciembre de 2008 17:14
  • Todo apunta a ser un problema de DNS.

     

    Postea un repadmin /showreps , comprueba que tu ping sea correcto entre los distintos Domain controllers, verifica que la configuracion DNS sea correcta y tenga los registros SRV correspondientes para cada uno de los Domain Controllers.

     

    Comentame si sigues con el incoveniente, pero insisto apunta para el lado de la configuracion del DNS.

     

     

    Slds
    Sebastian del Rio

     

    domingo, 21 de diciembre de 2008 19:07
    Moderador
  • Aarmad
    te agradecira indicar que tipo de solucion distes a este punto ya que yo tambien tengo el mismo problema con que se bloquea el directorio activo paralizano toda la red, es espera de tu respuesta
    miércoles, 22 de abril de 2009 19:11
  • Aarmand, veo dos problemas.

    Primero, el puerto 3268 no puede estar bloqueado, pues el que usan los Catalogo Global.

    Y por otro lado es lo más probable que el problema esté en DNS.

    Todos los dominios deben resolver a los demás. Esto lo puedes conseguir de diferentes formas. Con reenviadores y delegaciones, o stub zones, o quizás la más fácil, haciendo que en cada DNS de cada dominio tengas zonas secundarias de los otros.


    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    sábado, 25 de abril de 2009 13:02
    Moderador