Solucionar problemas de replicação do Active Directory
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
Experimente nosso agente virtual: ele pode ajudar você a identificar e corrigir rapidamente os problemas comuns de replicação do Active Directory.
Os problemas de replicação do Active Directory podem ter várias fontes diferentes. Por exemplo, problemas de DNS (Serviço de Nomes de Domínio), problemas de rede ou problemas de segurança podem causar falha na replicação do Active Directory.
O restante deste artigo explicará ferramentas e uma metodologia geral para corrigir erros de replicação do Active Directory. Os seguintes subtópicos incluem sintomas, causas e como resolver erros de replicação específicos:
Introdução e recursos para solucionar problemas de replicação do Active Directory
A falha de replicação de entrada ou saída faz com que os objetos do Active Directory que representam a topologia de replicação, programação de replicação, controladores de domínio, usuários, computadores, senhas, grupos de segurança, associações de grupo, e Política de Grupo fiquem inconsistentes entre os controladores de domínio. A inconsistência de diretório e a falha de replicação causam falhas operacionais ou resultados inconsistentes, dependendo do controlador de domínio contatado para a operação, e podem impedir a aplicação de permissões de controle de acesso e Política de Grupo. O AD DS (Active Directory Domain Services) depende de conectividade de rede, resolução de nomes, autenticação e autorização, banco de dados de diretório, topologia de replicação e mecanismo de replicação. Quando a causa raiz de um problema de replicação não for imediatamente óbvia, será preciso eliminar as causas prováveis sistematicamente para determinar a causa entre tantas outras.
Para obter uma ferramenta com base em IU que ajude a monitorar a replicação e diagnosticar erros, faça o download e execute a ferramenta Assistente de Recuperação e Suporte da Microsoft.
Para obter um documento abrangente que descreve como você pode usar, a ferramenta Repadmin para solucionar problemas de replicação do Active Directory está disponível. Confira Monitoramento e Solução de Problemas de Replicação do Active Directory usando o Repadmin.
Para obter informações sobre como funciona a replicação do Active Directory, confira as seguintes referências técnicas:
- Referência técnica do modelo de replicação do Active Directory
- Referência Técnica da Topologia de Replicação do Active Directory
Recomendações de solução de eventos e ferramentas
O ideal é que os eventos vermelhos (Erro) e amarelos (Aviso) no log de eventos do Serviço de Diretório sugiram a restrição específica que está causando a falha de replicação no controlador de domínio de origem ou de destino. Se a mensagem do evento sugerir etapas para uma solução, tente as etapas descritas no evento. A ferramenta Repadmin e outras ferramentas de diagnóstico também fornecem informações que podem ajudar você a resolver as falhas de replicação.
Para obter informações detalhadas sobre como usar o Repadmin para solucionar problemas de replicação, confira Monitoramento e Solução de Problemas de Replicação do Active Directory usando o Repadmin.
Como descartar interrupções intencionais ou falhas de hardware
Às vezes, ocorrem erros de replicação devido a interrupções intencionais. Por exemplo, quando você soluciona problemas de replicação do Active Directory, descarta primeiro as desconexões intencionais e falhas ou atualizações de hardware.
Desconexões intencionais
Se erros de replicação forem relatados por um controlador de domínio que está tentando replicar com um controlador de domínio criado em um site de teste e está offline aguardando sua implantação no site de produção final (um site remoto, como uma filial), você pode explicar esses erros de replicação. Para evitar separar um controlador de domínio da topologia de replicação por longos períodos, o que causa erros contínuos até que o controlador de domínio seja reconectado, adicione esses computadores inicialmente como servidores membros e use o método de IFM (instalação a partir da mídia) para instalar o AD DS (Active Directory Domain Services). Você pode usar a ferramenta de linha de comando Ntdsutil para criar uma mídia de instalação, que pode ser armazenada em mídia removível (CD, DVD ou outra mídia), e enviar para o site de destino. Em seguida, você pode usar a mídia de instalação para instalar o AD DS nos controladores de domínio no site, sem o uso da replicação.
Falhas ou atualizações de hardware
Se ocorrerem problemas de replicação como resultado de uma falha de hardware (por exemplo, falha de uma placa-mãe, subsistema de disco ou disco rígido), notifique o proprietário do servidor para que o problema de hardware possa ser resolvido.
As atualizações periódicas de hardware também podem fazer com que os controladores de domínio fiquem fora de serviço. Verifique se os proprietários do servidor têm um bom sistema para comunicar essas interrupções com antecedência.
Configuração do firewall
Por padrão, as RPCs (chamadas de procedimento remoto) de replicação do Active Directory ocorrem dinamicamente em uma porta disponível por meio do RPCSs (mapeador de pontos de extremidade da RPC) na porta 135. Verifique se o firewall do Windows com Segurança Avançada e outros firewalls estão configurados corretamente para permitir a replicação. Para obter informações sobre como especificar a porta para configurações de porta e replicação do Active Directory, confira o artigo 224196 na Base de Dados de Conhecimento Microsoft.
Para obter informações sobre as portas usadas pela replicação do Active Directory, confira Ferramentas e Configurações de Replicação do Active Directory.
Para obter informações sobre como gerenciar a replicação do Active Directory em firewalls, confira Replicação do Active Directory em Firewalls.
Como responder à falha de um servidor desatualizado que executa o Windows 2000 Server
Se um controlador de domínio que executa o Windows 2000 Server falhou por mais tempo do que o número de dias no tempo de vida da marca de exclusão, a solução será sempre a mesma:
- Migre o servidor da rede corporativa para uma rede privada.
- Remova o Active Directory compulsoriamente ou reinstale o sistema operacional.
- Remova os metadados do servidor do Active Directory, de modo que o objeto do servidor não possa ser reativado.
Você pode usar um script para limpar os metadados do servidor na maioria dos sistemas operacionais Windows. Para obter informações sobre como usar esse script, confira Remover metadados do controlador Domínio do Active Directory.
Por padrão, os objetos de Configurações do NTDS excluídos são restaurados automaticamente por um período de 14 dias. Portanto, se você não remover os metadados do servidor (use Ntdsutil ou o script já mencionado para executar a limpeza de metadados), os metadados do servidor serão restabelecidos no diretório, que solicita a ocorrência de tentativas de replicação. Nesse caso, os erros serão registrados persistentemente como resultado da incapacidade de replicar com o controlador de domínio ausente.
Causas Raiz
Se você descartar as desconexões intencionais, as falhas de hardware e os controladores de domínio desatualizados do Windows 2000, o restante dos problemas de replicação quase sempre terá uma das seguintes causas raiz:
- Conectividade de rede: a conexão de rede pode estar indisponível ou as configurações de rede não estão configuradas adequadamente.
- Resolução de nomes: as configurações incorretas de DNS são uma causa comum de falhas de replicação.
- Autenticação e autorização: os problemas de autenticação e autorização causam erros de "acesso negado", quando um controlador de domínio tenta se conectar a seu parceiro de replicação.
- Banco de dados de diretório (repositório): o banco de dados de diretório pode não processar as transações com rapidez suficiente para acompanhar os tempos limite de replicação.
- Mecanismo de replicação: se os agendamentos de replicação entre sites forem muito curtos, as filas de replicação poderão ser muito grandes para serem processadas no momento necessário para o agendamento de replicação de saída. Nesse caso, a replicação de algumas alterações pode ser interrompida indefinidamente, o suficiente para exceder o tempo de vida da marca de exclusão.
- Topologia de replicação: os controladores de domínio devem ter links entre sites no AD DS que são mapeados para conexões reais de WAN (rede de longa distância) ou VPN (rede virtual privada). Se você criar objetos no AD DS para topologia de replicação incompatível com a topologia do site real da sua rede, a replicação que exige a topologia configurada incorretamente falhará.
Abordagem geral para corrigir problemas
Use a seguinte abordagem geral para corrigir problemas de replicação:
Monitore a integridade da replicação diariamente ou use o Repadmin.exe para recuperar o status de replicação diariamente.
Tente resolver as falhas relatadas em tempo hábil, usando os métodos descritos nas mensagens de evento e neste guia. Se o software estiver causando o problema, desinstale-o antes de continuar com outras soluções.
Se não conseguir resolver o problema que está causando a falha de replicação com nenhum método conhecido, remova o AD DS do servidor e reinstale-o. Para obter mais informações sobre como reinstalar o AD DS, confira Encerramento de um controlador de domínio.
Se o AD DS não puder ser removido normalmente enquanto o servidor estiver conectado à rede, use um dos seguintes métodos para resolver o problema:
- Force a remoção de AD DS no Modo de Restauração dos Serviços de Diretório (DSRM), limpe os metadados do servidor e reinstale o AD DS.
- Reinstale o sistema operacional e recompile o controlador de domínio.
Para saber mais sobre como forçar a remoção do AD DS, confira Como forçar a remoção de um Controlador de Domínio.
Como usar o Repadmin para recuperar o status de replicação
O status de replicação é uma maneira importante de avaliar o status do serviço de diretório. Se a replicação estiver funcionando sem erros, você saberá quais controladores de domínio estão online. Você também saberá que os seguintes sistemas e serviços estão funcionando:
- Infraestrutura DNS
- Protocolo de autenticação do Kerberos
- Serviço de Horário do Windows (W32Time)
- RPC (Chamada de Procedimento Remoto)
- Conectividade de rede
Use o Repadmin para monitorar o status de replicação diariamente, executando um comando que avalia o status de replicação de todos os controladores de domínio na sua floresta. O procedimento gera um arquivo .csv que você pode abrir no Microsoft Excel e filtrar as falhas de replicação.
Você pode usar o procedimento a seguir para recuperar o status de replicação de todos os controladores de domínio na floresta.
Requisitos
A associação no Admins. de Empresa ou equivalente é o requisito mínimo exigido para concluir este procedimento.
Ferramentas:
- Repadmin.exe
- Excel (Microsoft Office)
Para gerar uma planilha repadmin /showrepl para controladores de domínio
Abra um Prompt de Comando como administrador: no menu Iniciar, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário aparecer, forneça as credenciais de Administrador Corporativo, se necessário, e clique em Continuar.
No prompt de comando, digite o seguinte comando e pressione ENTER:
repadmin /showrepl * /csv > showrepl.csvAbra o Excel.
Clique no botão Office. Clique em Abrir, navegue até showrepl.csv e depois clique em Abrir.
Oculte ou exclua a coluna A e a coluna Tipo de Transporte da seguinte maneira:
Selecione uma coluna que você deseja ocultar ou excluir.
- Para ocultar a coluna, clique com o botão direito do mouse na coluna e clique em Ocultar.
- Para excluir a coluna, clique com o botão direito do mouse na coluna selecionada e clique em Excluir.
Selecione a linha 1 abaixo da linha de título da coluna. Na guia Exibir, clique em Congelar Painéis e clique em Congelar Linha Superior.
Selecione a planilha inteira. Na guia Dados, clique em Filtrar.
Na coluna Hora do Último Sucesso, clique na seta para baixo e clique em Classificar em Ordem Crescente.
Na coluna DC de Origem, clique na seta para baixo do filtro, aponte para Filtros de Texto e clique em Filtro Personalizado.
Na caixa de diálogo Filtro automático personalizado, em Mostrar linhas onde, clique em Não contém. Na caixa de texto adjacente, digite
delpara eliminar da exibição dos resultados dos controladores de domínio excluídos.Repita o passo 11 para a coluna Hora da última falha, mas use o valor Não é igual e digite o valor 0.
Remova as falhas de replicação.
Para cada controlador de domínio na floresta, a planilha mostra o parceiro de replicação de origem, a hora em que a replicação ocorreu pela última vez e a hora em que ocorreu a última falha de replicação para cada contexto de nomenclatura (partição de diretório). Ao usar o Filtro Automático no Excel, você pode exibir a integridade de replicação somente para os controladores de domínio funcionais, somente para os controladores de domínio com falha ou os controladores de domínio que são os menos ou os mais atuais, e você pode ver os parceiros de replicação que estão replicando com êxito.
Problemas e resoluções de replicação
Os problemas de replicação são relatados em mensagens de evento e em várias mensagens de erro que ocorrem quando um aplicativo ou serviço tenta realizar uma operação. O ideal é que essas mensagens sejam coletadas pelo aplicativo de monitoramento ou quando você recupera o status de replicação.
A maioria dos problemas de replicação é identificada nas mensagens de evento que são registradas no log de eventos do serviço de diretório. Problemas de replicação também podem ser identificados na forma de mensagens de erro na saída do comando repadmin /showrepl.
Mensagens de erro repadmin /showrepl que indicam problemas de replicação
Para identificar problemas de replicação do Active Directory, use o comando repadmin /showrepl, conforme descrito na seção anterior. A tabela a seguir mostra as mensagens de erro que esse comando gera, juntamente com as causas raiz dos erros e os links para os tópicos que fornecem soluções para os erros.
| Erro repadmin | Causa raiz | Solução |
|---|---|---|
| O tempo desde a última replicação com este servidor excedeu a vida útil da marca de exclusão. | Um controlador de domínio apresentou falha na replicação de entrada com o controlador de domínio de origem nomeado longo o suficiente para que uma exclusão tenha sido marcada para exclusão, replicada e coletada do lixo do AD DS. | ID do evento 2042: faz muito tempo que esta máquina replicou |
| Não há vizinhos de entrada. | Se nenhum item aparecer na seção "Vizinhos de entrada" da saída gerada pelo repadmin /showrepl, o controlador de domínio não conseguirá estabelecer links de replicação com outro controlador de domínio. | Corrigir problemas de conectividade de replicação (ID do evento 1925) |
| Acesso negado. | Há um link de replicação entre dois controladores de domínio, mas a replicação não pode ser executada corretamente devido a uma falha de autenticação. | Corrigir problemas de segurança de replicação |
| A última tentativa em <data – hora> falhou com a mensagem "O nome da conta de destino está incorreto". | Esse problema pode estar relacionado a problemas de conectividade, DNS ou autenticação. Se esse for um erro DNS, o controlador de domínio local não poderá resolver o nome DNS baseado em GUID (identificador global exclusivo) do seu parceiro de replicação. | Como corrigir problemas de pesquisa de DNS de replicação (IDs de evento 1925, 2087, 2088) Como corrigir problemas de segurança de replicação Como corrigir problemas de conectividade de replicação (ID do evento 1925) |
| LDAP Erro 49. | A conta do computador do controlador de domínio pode não ser sincronizada com o KDC (centro de distribuição de chaves). | Corrigir problemas de segurança de replicação |
| Não é possível abrir a conexão LDAP com host local | A ferramenta de administração não conseguiu contatar o AD DS. | Corrigir problemas de pesquisa de DNS de replicação (ID do evento 1925, 2087, 2088) |
| A replicação do Active Directory perdeu a prevalência. | O progresso da replicação de entrada foi interrompido por uma solicitação de replicação de prioridade mais alta, como uma solicitação gerada manualmente com o comando repadmin /sync. | Aguarde a conclusão da replicação. Essa mensagem informativa indica a operação normal. |
| Replicação postada, aguardando. | O controlador de domínio postou uma solicitação de replicação e está aguardando uma resposta. A replicação está em andamento a partir dessa origem. | Aguarde a conclusão da replicação. Essa mensagem informativa indica a operação normal. |
A tabela a seguir lista eventos comuns que podem indicar problemas com a replicação do Active Directory, juntamente com as causas raiz dos problemas e os links para os tópicos que fornecem soluções para os problemas.
| ID e origem do evento | Causa raiz | Solução |
|---|---|---|
| 1311 NTDS KCC | As informações de configuração de replicação no AD DS não refletem com precisão a topologia física da rede. | Corrigir problemas de topologia de replicação (ID do evento 1311) |
| Replicação NTDS 1388 | A consistência de replicação estrita não está em vigor e um objeto remanescente foi replicado para o controlador de domínio. | Corrigir problemas de objetos remanescentes de replicação (ID do evento 1388, 1988, 2042) |
| 1925 NTDS KCC | Falha na tentativa de estabelecer um link de replicação para a partição de diretório gravável. Esse evento pode ter causas diferentes, dependendo do erro. | Como corrigir problemas de conectividade de replicação (ID do evento 1925) Como corrigir problemas de pesquisa de DNS de replicação (IDs de evento 1925, 2087, 2088) |
| Replicação NTDS 1988 | O controlador de domínio local tentou replicar o objeto de um controlador de domínio de origem que não está presente no controlador de domínio local porque pode ter sido excluído e já coletado como lixo. A replicação não continuará para esta partição de diretório com este parceiro até que a situação seja resolvida. | Corrigir problemas de objetos remanescentes de replicação (ID do evento 1388, 1988, 2042) |
| Replicação NTDS 2042 | A replicação não ocorreu com este parceiro durante o tempo de vida da marca de exclusão e a replicação não pode continuar. | Corrigir problemas de objetos remanescentes de replicação (ID do evento 1388, 1988, 2042) |
| Replicação NTDS 2087 | O AD DS não conseguiu resolver o nome do host DNS do controlador de domínio de origem para um endereço IP e a replicação falhou. | Corrigir problemas de pesquisa de DNS de replicação (ID do evento 1925, 2087, 2088) |
| Replicação NTDS 2088 | O AD DS não conseguiu resolver o nome do host DNS do controlador de domínio de origem para um endereço IP, mas a replicação funcionou. | Corrigir problemas de pesquisa de DNS de replicação (ID do evento 1925, 2087, 2088) |
| Logon de Rede 5805 | Falha na autenticação de uma conta de computador, que geralmente é causada por várias instâncias do mesmo nome do computador ou pelo nome do computador que não está replicando em todos os controladores de domínio. | Corrigir problemas de segurança de replicação |
Para obter mais informações sobre os conceitos de replicação, confira Tecnologias de Replicação do Active Directory.
Próximas etapas
Para obter mais informações, incluindo artigos de suporte específicos para códigos de erro, confira o artigo de suporte: Como solucionar problemas de erros comuns de replicação do Active Directory