none
Ayuda para reparar replicación de AD entre 2 servidores RRS feed

  • Pregunta

  • Buen dia a todos. Actualmente me encuentro de recién ingreso en una compañia la cual posee 2 servidores de Active directory un primario llamado apolo y un secundario llamado olimpo. Revisando los logs del sistema he encontrado el error 2042 y el 2089 en cuanto a fallas de replicación del directorio. Por lo que entiendo en los logs parece que hay Lingering Objects en uno de ellos y es necesario eliminarlos para reparar el desfase de replicación. La última fecha de replicación exitosa fue en febrero de 2012.

    El escenario es este:

    Servidor primario Apolo con Windows Server 2008 Enterprise   con GUID del objeto DSA: 9b09287b-f9aa-4df7-b005-1db67d2f9a7f

    Servidor secundario Olimpo con windows Server 2003 GUID del objeto DSA: ef25dc76-e0fc-493d-95ab-e67089c61d52

    Ambos con funcionalidad de bosque de windows 2003.

    El reporte del suceso 2042 indica entre otras cosas que podrian existir objetos persistentes en ambos servidores y que es necesario ejecutar el comando "repadmin /removelingeringobjects <DC de origen> <GUID del DSA del DC de destino> <NC> /ADVISORY_MODE" para determinar cuales son los Lingering objects y poderlos eliminar. No estoy familiarizado con este comando y me gustaría saber si pueden ayudarme a escribir este comando correctamente con la información descrita pues tengo un poco de confusión acerca de como llenar estos parametros en este ultimo comando.

    Utilizando el comando repadmin /showrepl en ambos servidores obtengo los siguientes resultados:

    Cuando se ejecuta el comando repadmin /showrepl en el servidor primario Apolo obtengo:

    Repadmin: ejecutando el comando /showrepl en el DC completo localhost
    Nombre-predeterminado-primer-sitio\APOLO
    Opciones de DSA: IS_GC
    Opciones de sitio: (none)
    GUID del objeto DSA: 9b09287b-f9aa-4df7-b005-1db67d2f9a7f
    Id. de invocación de DSA: 82f2b488-168b-4edf-878f-b60e9f19c2cc

    ==== VECINOS DE ENTRADA ======================================

    DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\OLIMPO vía RPC
            GUID del objeto DSA: ef25dc76-e0fc-493d-95ab-e67089c61d52
            Error en el último intento efectuado el 2012-06-27 08:52:13, resultado 8
    614 (0x21a6):
                El servicio de directorio no se puede replicar con este servidor por
    que el intervalo desde la última replicación con este servidor superó la vigenci
    a de objetos de desecho.
            8500 errores consecutivos.
            Última operación correcta efectuada el 2012-06-12 11:14:00.

    CN=Configuration,DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\OLIMPO vía RPC
            GUID del objeto DSA: ef25dc76-e0fc-493d-95ab-e67089c61d52
            El último intento, efectuado el 2012-06-27 07:54:11, se completó correct
    amente.

    CN=Schema,CN=Configuration,DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\OLIMPO vía RPC
            GUID del objeto DSA: ef25dc76-e0fc-493d-95ab-e67089c61d52
            El último intento, efectuado el 2012-06-27 07:54:11, se completó correct
    amente.

    DC=DomainDnsZones,DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\OLIMPO vía RPC
            GUID del objeto DSA: ef25dc76-e0fc-493d-95ab-e67089c61d52
            El último intento, efectuado el 2012-06-27 07:54:11, se completó correct
    amente.

    DC=ForestDnsZones,DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\OLIMPO vía RPC
            GUID del objeto DSA: ef25dc76-e0fc-493d-95ab-e67089c61d52
            El último intento, efectuado el 2012-06-27 07:54:11, se completó correct
    amente.

    Origen: Nombre-predeterminado-primer-sitio\OLIMPO
    ******* 8488 ERRORES CONSECUTIVOS desde 2012-06-12 11:14:00
    Último error: 8614 (0x21a6):
                El servicio de directorio no se puede replicar con este servidor por
    que el intervalo desde la última replicación con este servidor superó la vigenci
    a de objetos de desecho.

    Al ejecutar el comando repadmin /showrepl en el servidor secundario Olimpo obtengo:

    C:\Documents and Settings\Administrador.DELA>repadmin /showrepl

    repadmin running command /showrepl against server localhost

    Nombre-predeterminado-primer-sitio\OLIMPO
    DC Options: (none)
    Site Options: (none)
    DC object GUID: ef25dc76-e0fc-493d-95ab-e67089c61d52
    DC invocationID: 441e1fe9-49ba-40eb-a081-9b163e142a20

    ==== INBOUND NEIGHBORS ======================================

    DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\APOLO via RPC
            DC object GUID: 9b09287b-f9aa-4df7-b005-1db67d2f9a7f
            Last attempt @ 2012-06-27 08:51:52 was successful.

    CN=Configuration,DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\APOLO via RPC
            DC object GUID: 9b09287b-f9aa-4df7-b005-1db67d2f9a7f
            Last attempt @ 2012-06-27 07:57:10 was successful.

    CN=Schema,CN=Configuration,DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\APOLO via RPC
            DC object GUID: 9b09287b-f9aa-4df7-b005-1db67d2f9a7f
            Last attempt @ 2012-06-27 07:57:10 was successful.

    DC=DomainDnsZones,DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\APOLO via RPC
            DC object GUID: 9b09287b-f9aa-4df7-b005-1db67d2f9a7f
            Last attempt @ 2012-06-27 07:57:10 was successful.

    DC=ForestDnsZones,DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\APOLO via RPC
            DC object GUID: 9b09287b-f9aa-4df7-b005-1db67d2f9a7f
            Last attempt @ 2012-06-27 07:57:10 was successful.

    miércoles, 27 de junio de 2012 15:07

Respuestas

  • Revisa el siguiente enlace que puede ayudarte

    RaDians.com.ar » EventID 2042, error de Replicacion. Que hacer cuando un DC que ha excedido TombStone Lifetime y falla su replicacion {HowTo}:
    http://www.radians.com.ar/blog/?p=1439

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 27 de junio de 2012 18:21
    Moderador
  • Yo te dejo el oficial de Microsoft...

    Troubleshooting AD Replication error 8614: "The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime"
    http://support.microsoft.com/kb/2020053

    Suerte


    Check my qualifications here.
    Check my blog
    here.

    miércoles, 27 de junio de 2012 19:28

Todas las respuestas

  • Revisa el siguiente enlace que puede ayudarte

    RaDians.com.ar » EventID 2042, error de Replicacion. Que hacer cuando un DC que ha excedido TombStone Lifetime y falla su replicacion {HowTo}:
    http://www.radians.com.ar/blog/?p=1439

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 27 de junio de 2012 18:21
    Moderador
  • Yo te dejo el oficial de Microsoft...

    Troubleshooting AD Replication error 8614: "The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime"
    http://support.microsoft.com/kb/2020053

    Suerte


    Check my qualifications here.
    Check my blog
    here.

    miércoles, 27 de junio de 2012 19:28
  • Buenos Dias,

    En la mayoria de los escenarios siempre es mas "rapido" hacer la despromocion y promocion del domain controller en estado de tombstone, aunque en algunos casos esto puede resultar en perdida de datos que no esten sincronizados y que se hayan dado de alta en el servidor en periodo de tombstone directamente. En caso de querer resumir la replicacion se deben tomar ciertos cuidados con el fin de no causar un problema de lingering objects en el dominio. En el caso de que quieras ir por la opcion de resumir la replicacion, cabe aclarar que resumir la replicacion va a forzar a que el servidor trate de replicar, aunque generalmente cuando uno resume la replicacion luego ve el error real de replicacion

    Por ejemplo , durante 180 dias tenemos un access denied al replicar, luego de los 180 dias el error ya no es access denied , si no que es un error 8614 (Tombstone Lifetime), al resumir la replicacion podrias ver nuevamente el error real de replicacion que seria el access denied (Espero se comprenda la explicacion :) )

    En resumen, lee bien el documento que dejo Marti y de acuerdo a eso elige el mejor escenario para ti, en caso de ir por resumir la replicacion, toma todos los recaudos mencionados en la nota de soporte de microsoft.

    Cualquier duda dejanos saber


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    jueves, 28 de junio de 2012 1:39
    Moderador
  • muy bien gracias por sus comentarios, estoy leyendo la información de los links en este momento y les comunicaré la desición a tomar.

    Como consulta adicional, he estado chequeando los logs del sistema asi como la información de repadmin /showrepl, /showreps y dcdiag /q. En el caso de optar por la despromoción y repromoción del servidor con problemas me gustaría saber si pueden ayudarme a determinar cual es el servidor con el problema de tombston lifetime.

    Siendo Apolo el servidor primario y Olimpo el secundario, cuando creo objetos en el AD en Apolo estos son replicados hacia Olimpo en el instante y sin problema; si creo algun objeto en el secundario Olimpo estos no son replicados nunca. Si ingreso a "Sitios y servicios de Active Directory, y voy a:

    Servidores--Olimpo--NTDS Settings y si doy clic derecho y "Replicar ahora" sobre el objeto de conexion que cita "Desde el servidor Apolo" me responde: "Active Directory ha replicado las conexiones"

    pero si voy a

    Servidores--Apolo--NTDS Settings y si doy clic derecho y "Replicar ahora" sobre el objeto de conexion que cita "Desde el servidor Olimpo" me responde

    "Se ha producido el siguiente error cuando se intentaba sincronizar contexto de nombres dela.com.sv desde Olimpo al controlador de dominio:Apolo:Active Directory no puede hacer replicas con el servidor porque el intervalo desde la ultima replicación con este servidor ha superado el periodo de vida de objetos de desecho. Esta operación no continuará".

    Cual es el servidor que está fallando en replicación? Apolo u Olimpo? tengo esta gran duda puesto que si utilizo el comando repadmin /showrepl en Apolo devuelve la falla en 

    DC=dela,DC=com,DC=sv
        Nombre-predeterminado-primer-sitio\OLIMPO vía RPC
            GUID del objeto DSA: ef25dc76-e0fc-493d-95ab-e67089c61d52
            Error en el último intento efectuado el 2012-06-27 08:52:13, resultado 8
    614 (0x21a6):

    Pero en Olimpo como pueden ver en el repadmin /showrepl anterior del primer post en Olimpo devuelve que todo esta bien.

    Hago estas consultas adicionales pues no quisiera despromover el controlador equivocado.

    Agradezco de antemano su apoyo.


    • Editado luiguiv jueves, 28 de junio de 2012 19:41
    jueves, 28 de junio de 2012 19:38
  • Luiguiv,

    Busca que equipo está registrando el siguiente evento:

    Event Type: Error
    Event Source: NTDS Replication
    Event Category: Replication
    Event ID: 2042
    User: NT AUTHORITY\ANONYMOUS LOGON
    Computer: <name of DC that logged event>

    Suerte


    Check my qualifications here.
    Check my blog
    here.

    viernes, 29 de junio de 2012 7:35
  • Hola Marti gracias por tus comentarios. El servidor que está registrando ese evento es el servidor principal Apolo, el cual esta corriendo sobre windows server 2008. Si este servidor es el que registra el suceso 2042, indica que éste mismo es el del problema de replicación?Al ver el log de los sucesos 2042 cita:

    Hora de la última replicación correcta:
    2012-02-17 11:13:59
    Identificador de invocación del servidor de directorio de origen:
    441e1fe9-49ba-40eb-a081-9b163e142a20
    Nombre del servidor de directorio de origen:
    ef25dc76-e0fc-493d-95ab-e67089c61d52._msdcs.dela.com.sv
    Vigencia de desecho (días):
    60
    Error en la operación de replicación.

    pero el ID de DSA ef25dc76-e0fc-493d-95ab-e67089c61d52._msdcs.dela.com.sv pertenece al servidor secundario y es eso lo que me confunde o no logro entender. Estoy apostando por la despromoción y promoción con limpieza de metadatos para el servidor pero necesito determinar con seguridad cual de los 2 servidores es el que tiene problemas.

    Gracias de antemano por la ayuda.


    viernes, 29 de junio de 2012 13:19
  • Tal y como lo veo, OLIMPO es el DC problemático. La replicación funciona en el sentido "Replica desde..."; es decir, funciona cuando "OLIMPO replica desde APOLO" porque este último está en buen estado, pero falla cuando "APOLO replica desde OLIMPO" porque la versión que contiene está "desactualizada". Te recomiendo que sigas las indicaciones de los enlaces que the mandamos Guillermo y yo en posts anteriores.

    Suerte


    Check my qualifications here.
    Check my blog
    here.

    viernes, 29 de junio de 2012 13:41
  • ejecutando las instrucciones del link http://www.radians.com.ar/blog/?p=1439  acerca de la modificación del registro de windows, Modifiqué el parametro en el servidor primario Apolo con Windows 2008 ingresando el parametro citado "Replicate with Divergent and Corrupt" partner con el valor a 1. Cuando intento realizar la replicación desde Sitios y servicios de active director en "Replicar ahora" sobre el objeto de conexión Servers--Apolo--NTDS Settings "Desde el servidor Olimpo"  ahora me responde:

    "Error al intentar establecer contacto con el controlador de dominio APOLO: Acceso denegado"

    Se echó a perder algo con esa modificación? la seguí al pie de la letra. Ya quité esa linea del registro y realicé la tarea de replicación nuevamente pero sigue respondiendo la línea del mensaje anterior.

    Gracias de antemano por la ayuda.

    viernes, 29 de junio de 2012 14:50
  • El artículo está mal. El nombre correct para la clave de registro es "Allow Replication With Divergent and Corrupt Partner". Corrije y prueba de nuevo.

     

    Check my qualifications here.
    Check my blog
    here.


    • Editado Marti Peig viernes, 29 de junio de 2012 15:08
    viernes, 29 de junio de 2012 15:07
  • Marti He reingresado la clave de registro como indicas, pero sigue devolviendo el mensaje "Acceso denegado" descrito en el post anterior. Es necesario ingresar esta clave de registro en ambos controladores? debe ingresarse en el servidor Apolo (que seria el servidor aparentemente sin problemas) o en Olimpo (que es el que aparentemente SI tiene problemas) ?

    Adicional a esto, he ingresado a "Usuarios y equipos de active directory" y he dado clic derecho sobre el controlador de dominio Apolo en la opción "Cambiar controlador de dominio" con la intención de ver el estado de ambos servidores.

    Se muestra lo siguiente:

    Nombre        Sitio                                                     Tipo de DC        Version      Estado

    Apolo            Nombre-predeterminado-primer-sitio        GC               W2k8         No Disponible

    Olimpo          Nombre-predeterminado-primer-sitio        DC               W2k3         En línea

    Tiene el "No disponible" en Apolo algo que ver con todo este problema?

    Es necesario que reinicie el servidor?

    Gracias de antemano por la ayuda.


    • Editado luiguiv viernes, 29 de junio de 2012 15:37
    viernes, 29 de junio de 2012 15:32
  • Crea la calve de registro en ambos y fuerza de nuevo la replicación.

    Check my qualifications here.
    Check my blog
    here.

    viernes, 29 de junio de 2012 15:42
  • Bien Marti, he ingresado los registros de clave en cada DC y he realizado la replicación desde los sitios y servicios d active directory. He reiniciado ambos equipos y no veo errores de replicación en el visor de sucesos de los 2 servidores. He ejecutado el comando repadmin /showrepl y repadmin /showreps y ya no aparecen los problemas de replicación que aparecían incialmente indicando que la ultima replicacion exitosa fue hoy alrededor d las 10am.

    Adicional a esto encuentro el suceso 1104 con el siguiente mensaje:

    El Comprobador de coherencia de la información (KCC) ha terminado correctamente las siguientes notificaciones de cambio.
     
    Partición de directorio:
    DC=ForestDnsZones,DC=dela,DC=com,DC=sv
    Dirección de red de destino:
    ef25dc76-e0fc-493d-95ab-e67089c61d52._msdcs.dela.com.sv
    Servicio de directorio de destino (si está disponible):
    CN=NTDS Settings,CN=OLIMPO,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=dela,DC=com,DC=sv
     Este evento puede ocurrir si este servicio de directorio o el servicio de directorio de destino se han movido a otro sitio.

    No indica error hasta donde puedo ver, sino es solo informativo.

    El articulo del blog  indica que deben removerse las entradas de registro para Allow Replication With Divergent and Corrupt Partner una vez se reanuda la replicación cosa que ya he hecho. Apartir de este momento los problemas de replicación quedan resueltos? o podria sucitarse el problema una vez se remueven las claves en los registros?



    • Editado luiguiv viernes, 29 de junio de 2012 17:22
    viernes, 29 de junio de 2012 17:04
  • No, ahora ya puedes eliminar las claves y dejar que AD funcione de forma normal.

    No olvides marcar las respuestas y votar las que te hayan sido útiles para que otros, con tu mismo problema, puedan utiliza este hilo para resolverlo.

    Suerte.


    Check my qualifications here.
    Check my blog
    here.


    • Editado Marti Peig sábado, 30 de junio de 2012 9:50
    sábado, 30 de junio de 2012 9:50