Compartir a través de


Los identificadores de eventos de replicación de Active Directory 2108 y 1084 se producen durante la replicación entrante de Servicios de dominio de Active Directory

En este artículo se proporciona una solución a un problema por el que se obtienen los identificadores de evento 2108 y 1084 cuando se produce la replicación entrante del Servicios de dominio de Active Directory (AD DS).

Número de KB original: 837932

Síntomas

Cuando se produce la replicación entrante del Servicios de dominio de Active Directory (AD DS), un controlador de dominio de destino registra los siguientes eventos en el registro del servicio de directorio:

Event ID 1084: Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.
Object: CN=<cn path>  
Object GUID: <objectguid>  
Source directory service: NTDSA._msdcs.<forest root DNS domain name>  
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.  
This operation will be tried again at the next scheduled replication.  
User Action:  
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).  
Additional Data:  
Error value: <error code> <error string>

Nota:

En el texto, <el código> de error y <la Error value cadena> de error representan los valores reales que se muestran en la entrada de registro.

Event ID 2108: This event contains REPAIR PROCEDURES for the 1084 event which has previously been logged. This message indicates a specific issue with the consistency of the Active Directory Domain Services database on this replication destination. A database error occurred while applying replicated changes to the following object. The database had unexpected contents, preventing the change from being made.  
Object: CN=<cn path>  
Object GUID: <objectguid>   
Source directory service: NTDSA._msdcs.<forest root DNS domain name>

Nota:

Se trata de un evento de asociado al evento 1084.

Causa

Estos eventos se producen cuando el controlador de dominio no puede escribir un cambio transaccional en la copia local de la base de datos de Active Directory.

Solución

Para solucionar este problema, siga estos pasos. Vuelva a intentar la operación de replicación después de cada paso que realice un cambio.

  1. Asegúrese de que haya suficiente espacio libre en disco disponible en los volúmenes que hospedan la base de datos de Active Directory y vuelva a intentar la operación. Siga estos pasos para liberar espacio en disco adicional:

    1. Mueva archivos no relacionados a otro volumen.

    2. Realice una copia de seguridad de estado del sistema. Este proceso reduce el tamaño de los archivos de registro de transacciones. Para obtener más información, consulte Uso de la característica de copia de seguridad para realizar copias de seguridad y restaurar datos.

    3. Realice una desfragmentación sin conexión de Active Directory. Para obtener más información, consulte Cómo realizar la desfragmentación sin conexión de la base de datos de Active Directory.

  2. Asegúrese de que las unidades físicas que hospedan el archivo Ntds.dit y los archivos de registro de transacciones no tienen activada la compresión del sistema de archivos NTFS. Para confirmarlo, haga clic con el botón derecho en la letra de unidad en Mi equipo y, a continuación, asegúrese de que la casilla Comprimir unidad para ahorrar espacio en disco no está activada.

  3. Asegúrese de que las unidades físicas que hospedan el archivo Ntds.dit y los archivos de registro de transacciones se excluyen específicamente de los programas antivirus remotos y locales. Para más información, vea:

  4. Si el controlador de dominio de destino contiene el catálogo global y el error se produce en una de las particiones de solo lectura, use uno de los métodos siguientes para ayudar a resolver el problema:

    • Método 1: use la opción rehospedaje de la herramienta Repadmin.exe para volver a hospedar la partición afectada.

      La herramienta Repadmin.exe se instala en equipos que tienen el rol de controlador de dominio y se instala junto con herramientas de administración remota del servidor (RSAT) en estaciones de trabajo y servidores miembros. Para ello, escriba lo siguiente en un símbolo del sistema, donde domain_controller es el nombre del controlador de dominio de destino y good_source_domain_controller_name es el nombre de otro controlador de dominio:

      repadmin /rehost domain_controller naming_context good_source_domain_controller_name
      
    • Método 2: configure el controlador de dominio para que ya no sea un servidor de catálogo global. Siga estos pasos:

      1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Sitios y servicios de Active Directory.
      2. Busque el subárbol Default-First-Site-Name\ Servers\ domain_controller_name\ NTDS Settings (Configuración de NTDS).
      3. Haga clic con el botón derecho en Configuración NTDS y, después, seleccione Propiedades.
      4. Seleccione esta opción para desactivar la casilla Catálogo global y, a continuación, seleccione Aceptar.
    • Método 3

      Si el error se produce en una partición de programa, use la herramienta Ntdsutil.exe para cambiar la réplica que hospeda la partición del programa.

  5. Use una utilidad de terceros, como la utilidad ProcMon, para determinar si un programa o un usuario accede a la base de datos de Active Directory, los archivos de registro de transacciones o el archivo Edp.tmp . Si existe actividad de acceso a archivos, detenga los servicios responsables de la actividad. Para obtener más información sobre la utilidad ProcMon, consulte ProcMon.

  6. Determine si el problema está relacionado con el elemento primario del objeto de Active Directory en el controlador de dominio de destino. Para ello, siga estos pasos:

    1. En el controlador de dominio de origen, mueva temporalmente el objeto al que se hace referencia en el evento 1084 a un contenedor de unidad organizativa (OU). La unidad organizativa debe estar no relacionada con el contenedor actual. Por ejemplo, mueva el objeto a un nuevo contenedor fuera de la raíz del dominio.

    2. Si la replicación se completa después de mover el objeto, vuelva a mover el objeto a su contenedor original.

    3. Forzar el propagador del descriptor de seguridad para recompilar la herencia del contenedor de objetos en la base de datos que existe en los controladores de dominio de origen y destino. Para ello, siga estos pasos:

      1. Abra un símbolo del sistema con privilegios elevados en el controlador de dominio o en el cliente de Windows con RSAT instalado.

      2. Escriba ldp.exe <nombre> de controlador de dominio y presione Entrar.

      3. Seleccione Connection Connect (Conectar conexión>) y escriba el nombre del servidor al que desea conectarse.

        Nota:

        Se conectará a través del puerto 389 para Active Directory.

      4. Seleccione Enlace de conexión>y escriba el nombre de usuario administrativo, la contraseña y el dominio. (Debe usar credenciales de administrador de dominio o de administrador de empresa). Seleccione Aceptar.

      5. En el menú Examinar , seleccione Modificar. Deje el cuadro de texto DN en blanco. En el cuadro de texto Atributo , escriba FixUpInheritance. Seleccione Sí en el cuadro de texto Valor.

      6. En el área Operación , seleccione Agregar.

      7. Seleccione Entrar para rellenar el área Lista de entradas.

        Nota:

        En el área Lista de entradas, aparece [Agregar]fixupinheritance:sí .

      8. Seleccione Ejecutar.

        Nota:

        El panel derecho muestra ahora un estado Modificado y se inicia el propagador del descriptor de seguridad. El tiempo de ejecución del propagador del descriptor de seguridad depende del tamaño de la base de datos de Active Directory. El proceso se completa cuando el contador Eventos de propagación de seguridad de DS del objeto de rendimiento NTDS vuelve a cero.

      9. Seleccione Cerrar>salida de conexión.>

  7. En el controlador de dominio de origen, escriba repadmin /showmeta distinguished_name_path en un símbolo del sistema y, a continuación, vea los metadatos del objeto para la ruta de acceso de nombre distintivo a la que se hace referencia en el evento 1084. Repita este paso en el controlador de dominio de destino. Busque valores incoherentes que incluyan, pero no se limitan a:

    • Nombres y números incorrectos de atributos que aparecen en el objeto
    • Marcas de fecha o hora de origen incorrectas
    • Números de secuencia de actualización local incorrectos (USN)

    Los valores incorrectos pueden indicar un problema con la página de base de datos que hospeda el objeto.

    Para usar la herramienta Repadmin.exe cuando la ruta de acceso de nombre distintivo hace referencia a un objeto activo, escriba lo siguiente en un símbolo del sistema:

    repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object
    

    Si el objeto está en un contenedor de objetos eliminados o si no puede usar la herramienta Repadmin.exe para encontrar el objeto, use la referencia GUID del objeto para buscar el objeto. Se hace referencia a este GUID en el evento 1084. Para ello, escriba lo siguiente en un símbolo del sistema:

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"
    

    Por ejemplo, si Event 1084 y Event 2108 hacen referencia a un objeto donde el GUID es b49cd496-98a2-4500-bb08-5850c2f79ac, escriba repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

    Nota:

    Se requieren comillas y corchetes.

  8. Use la herramienta Ntdsutil.exe para realizar una comprobación de integridad de la base de datos de Active Directory en el controlador de dominio de origen.

    Antes de iniciar el equipo en el modo de restauración de servicios de directorio (DSRM), obtenga la contraseña de la cuenta de administrador sin conexión y la cuenta DSRM. Si windows LAPS administra las contraseñas de la cuenta de DSRM, obtenga la contraseña mediante Get-LapsADPassword.

    Si no conoce la contraseña de la cuenta de administrador, restablezca la contraseña del modo de restauración de servicios de directorio antes de empezar en este modo.

    Use el comando Ntdsutil Set Directory Services Restore Mode Password (Establecer contraseña del modo de restauración de servicios de directorio).

    Para obtener más información sobre cómo cambiar la contraseña, consulte el mensaje de error "Directory Services cannot start" (No se puede iniciar servicios de directorio) al iniciar el controlador de dominio basado en Windows o basado en SBS.

  9. Reinicie el controlador de dominio de origen y presione F8 para iniciar el modo de restauración de servicios de directorio. En el símbolo del sistema, escriba ntdsutil files integrity y pulse Entrar.

    Nota:

    Este comando confirma la integridad de la base de datos.

    • Si la herramienta Ntdsutil informa de que la base de datos está dañada y tiene réplicas de los contextos de nomenclatura en el controlador de dominio de origen, fuerza una degradación del controlador de dominio de origen y, a continuación, vuelve a promoverla después de comprobar la integridad de los controladores, el firmware y las unidades físicas que hospedan la base de datos de Active Directory y los archivos de registro de transacciones.

    • Si la base de datos está dañada y no existen réplicas del contexto de nomenclatura en el controlador de dominio de origen, restaure el estado del sistema más reciente. Use la herramienta NTDSutil.exe para confirmar la integridad de la base de datos de nuevo. Si sigue recibiendo un mensaje de daños, restaure las copias de seguridad anteriores hasta que pueda confirmar la integridad del controlador de dominio.

    • Si la base de datos sigue dañada, restaure la copia de seguridad de estado del sistema más reciente y, a continuación, en un símbolo del sistema, escriba:

      ntdsutil files recover
      

      Use la herramienta NTDSutil.exe confirmar la integridad de la base de datos de nuevo. Si la base de datos pasa la comprobación de integridad, realice una desfragmentación sin conexión de la partición de disco. Para obtener más información, consulte Cómo realizar la desfragmentación sin conexión de la base de datos de Active Directory.

      Para realizar una comprobación de integridad de la base de datos, escriba lo siguiente en un símbolo del sistema y presione Entrar, donde database_name es el nombre de la base de datos de Active Directory:

      esentutl.exe /g database_name
      

      Por último, use la opción Iniciar Windows Normalmente para reiniciar el equipo y, a continuación, vuelva a intentar la replicación desde el controlador de dominio de origen al controlador de dominio de destino afectado.

  10. Si estos pasos no se realizan correctamente y el error de replicación continúa, degrada el controlador de dominio, confirme la integridad de las unidades físicas y los volúmenes que hospedan el archivo Ntds.dit y el subsistema de disco y, a continuación, vuelva a promover el controlador de dominio. Use el mismo nombre de equipo.

  11. Use el comando compact de archivos ntdsutil para realizar una desfragmentación sin conexión de la base de datos de Active Directory. Para obtener más información, vea Realizar la desfragmentación sin conexión de la base de datos de Active Directory.

  12. En el símbolo del sistema, escriba el siguiente comando y presione Entrar:

    ntdsutil "semantic database analysis" "go"
    

    Nota:

    Las comillas de este ejemplo son necesarias para ejecutar el comando de análisis semántico de base de datos mediante un único argumento de línea de comandos.

    Si se notifican errores, escriba ntdsutil go fixupy presione Entrar.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, se recomienda recopilar la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.

Aviso de declinación de responsabilidades sobre la información de terceros

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.