Error de replicación de Active Directory 8456 o 8457: origen | el servidor de destino está rechazando actualmente las solicitudes de replicación.

  • Artículo

En este artículo se describen los pasos de síntomas, causa y resolución de situaciones en las que las operaciones de Active Directory producen un error 8456 o 8457.

Se aplica a: Windows Server (todas las versiones admitidas)
Número de KB original: 2023007

Nota:

Usuarios domésticos: Este artículo solo está pensado para agentes de soporte técnico y profesionales de TI. Si está buscando ayuda con un problema, pregunte a la comunidad de Microsoft.

Síntomas

Se produce un error en las operaciones de Active Directory con el error 8456 o 8457: el origen | el servidor de destino está rechazando actualmente las solicitudes de replicación.

  1. La promoción DCPROMO de un nuevo controlador de dominio en un bosque existente produce un error: El servidor de origen está rechazando actualmente las solicitudes de replicación.

    Texto del título del cuadro de diálogo: Texto del mensaje del cuadro de diálogo Asistente para instalación de Active Directory:

    Error en la operación porque: Active Directory no pudo transferir los datos restantes de la ruta de acceso> DN de partición de directorio de partición <de directorio al controlador <>de dominio de destino. "El servidor de origen está rechazando actualmente las solicitudes de replicación".

  2. DCDIAG notifica el error: el servidor de origen está rechazando actualmente las solicitudes de replicación o el servidor de destino está rechazando actualmente las solicitudes de replicación.

    Servidor de pruebas: nombre predeterminado del controlador de dominio nombre-sitio<>
    Inicio de la prueba: replicación
    * Comprobación de las replicaciones
    [Comprobación de las replicaciones,<DC NAME>] Error en un intento de replicación reciente:
    De IADOMINO a <DC NAME>
    Contexto de nomenclatura: ruta de acceso DC=<DN de partición>
    La replicación generó un error (8456):
    El servidor de origen está rechazando actualmente las solicitudes de replicación.
    El error se produjo en fecha <><y hora.>
    El último éxito se produjo en fecha <><y hora.>
    Se han producido 957 errores desde el último éxito.
    La replicación se ha deshabilitado explícitamente a través de las opciones del servidor

    Servidor de pruebas: nombre predeterminado del controlador de dominio nombre-sitio<>
    Inicio de la prueba: replicación
    * Comprobación de las replicaciones
    [Comprobación de las replicaciones,<DC NAME>] Error en un intento de replicación reciente:
    De IADOMINO a <DC NAME>
    Contexto de nomenclatura: ruta de acceso DC=<DN de partición>
    La replicación generó un error (8457):
    El servidor de destino está rechazando actualmente las solicitudes de replicación.
    El error se produjo en fecha <><y hora.>
    El último éxito se produjo en fecha <><y hora.>
    Se han producido 957 errores desde el último éxito.
    La replicación se ha deshabilitado explícitamente a través de las opciones del servidor

  3. REPADMIN indica que la replicación entrante y saliente de Active Directory puede producir un error: El origen | el servidor de destino está rechazando actualmente la replicación.

    DC=Contoso,DC=COM
    <nombre><de sitio dc name> via RPC
    GUID del objeto DC: <objectguid del objeto de configuración NTDS de controladores de dominio de origen>
    Error en el último intento @ <fecha><y hora> , resultado 8457 (0x2109):
    El servidor de destino está rechazando actualmente las solicitudes de replicación.

    DC=Contoso,DC=COM
    <nombre><de sitio dc name> via RPC
    GUID del objeto DC: <objectguid del objeto de configuración NTDS de controladores de dominio de origen>
    Error en el último intento @ <fecha><y hora> , resultado 8456 (0x2108):
    El servidor de origen está rechazando actualmente las solicitudes de replicación.

    Nota:

    Los comandos REPADMIN pueden mostrar el hexadecimal y el equivalente decimal para el error de replicación que rechaza actualmente.

  4. Los orígenes de eventos y los identificadores de evento que indican que se ha producido una reversión de USN incluyen, entre otros, los siguientes.

    Origen del evento Id. de evento Cadena de evento
    NTDS KCC 1308 El Comprobador de coherencia de conocimiento (KCC) ha detectado que se han producido errores constantes en los intentos sucesivos de replicar con el siguiente controlador de dominio.
    NTDS KCC 1925 Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.
    NTDS KCC 1926 Error al intentar establecer un vínculo de replicación a una partición de directorio de solo lectura con los parámetros siguientes
    Replicación NTDS 1586 El punto de comprobación de replicación de Windows NT 4.0 o anterior con el maestro del emulador de PDC no se pudo realizar correctamente. Puede producirse una sincronización completa de la base de datos del administrador de cuentas de seguridad (SAM) con controladores de dominio que ejecutan Windows NT 4.0 y versiones anteriores si el rol maestro del emulador de PDC se transfiere al controlador de dominio local antes del siguiente punto de control correcto. El proceso de punto de control se volverá a intentar en cuatro horas.
    Replicación NTDS 2023 El controlador de dominio local no pudo replicar los cambios en el siguiente controlador de dominio remoto para la siguiente partición de directorio.
    Microsoft-Windows-ActiveDirectory_DomainService 2095 Durante una solicitud de replicación de Servicios de dominio de Active Directory, el controlador de dominio local (DC) identificó un controlador de dominio remoto que ha recibido datos de replicación del controlador de dominio local mediante números de seguimiento de USN ya reconocidos.
    Microsoft-Windows-ActiveDirectory_DomainService 2103 La base de datos Servicios de dominio de Active Directory se restauró mediante un procedimiento de restauración no compatible. Servicios de dominio de Active Directory no podrá iniciar sesión en los usuarios mientras persiste esta condición. Por lo tanto, el servicio Net Logon se ha pausado.

    Donde los códigos de estado incrustados 8456 y 8457 se asignan a lo siguiente.

    Error decimal Error hexadecimal Cadena de error
    8456 2108 El servidor de origen está rechazando actualmente la replicación.
    8457 2109 El servidor de destino está rechazando actualmente la replicación.

  5. El evento general de NTDS 2013 se puede registrar en el registro de eventos de Servicios de directorio. Esto indica que se produjo una reversión de USN debido a una reversión o restauración no admitida de la base de datos de Active Directory.

    Tipo de evento: Error
    Origen del evento: NTDS General
    Categoría de eventos: Control de servicio
    Identificador de evento: 2103
    Fecha: <fecha>
    Hora: <hora>
    Usuario: <nombre de usuario>
    Equipo: <nombre del equipo>
    Descripción: la base de datos de Active Directory se ha restaurado mediante un procedimiento de restauración no admitido. Active Directory no podrá iniciar sesión en los usuarios mientras persiste esta condición. Como resultado, el servicio Net Logon se ha pausado. Acción del usuario Consulte los registros de eventos anteriores para obtener más información. Para obtener más información, visite el Centro de ayuda y soporte técnico en https://support.microsoft.com.

  6. El evento general 1393 de NTDS se puede registrar en el registro de eventos de Servicios de directorio. Esto indica que la unidad física o virtual que hospeda la base de datos de Active Directory o los archivos de registro carece de suficiente espacio libre en disco:

    Tipo de evento: Error
    Origen del evento: NTDS General
    Categoría de eventos: Control de servicio
    Identificador de evento: 1393
    Fecha: <fecha>
    Hora: <hora>
    Usuario: <nombre de usuario>
    Equipo: <nombre del> equipo Descripción:
    Se produce un error al intentar actualizar la base de datos del servicio de directorio con el error 112. Dado que Windows no podrá iniciar sesión en los usuarios mientras persiste esta condición, el servicio NetLogon se está pausando. M ake está seguro de que hay suficiente espacio libre en disco disponible en las unidades donde residen la base de datos de directorios y los archivos de registro.

Causa

El sistema operativo deshabilitó automáticamente la replicación entrante o saliente debido a varias causas raíz.

Entre los tres eventos que deshabilitan la replicación entrante o saliente se incluyen:

  • Se produjo una reversión de USN (evento general de NTDS 2103).
  • El disco duro está lleno (evento general 1393 de NTDS).
  • Un vector UTD dañado está presente (evento 2881).

El sistema operativo realiza automáticamente cuatro cambios de configuración cuando se produce una de las tres condiciones. Los cuatro cambios de configuración son los siguientes:

  1. La replicación entrante de Active Directory está deshabilitada.
  2. La replicación saliente de Active Directory está deshabilitada.
  3. DSA no grabable se establece en un valor distinto de cero en el Registro.
  4. El estado del servicio NETLOGON cambia de en ejecución a en pausa.

La causa principal dominante de esta condición de error es una reversión de USN que se describe en Un controlador de dominio de Windows Server registra el evento de Servicios de directorio 2095 cuando encuentra una reversión de USN.

No suponga que ningún valor distinto de cero para DSA no se pueda escribir o que un servidor de origen o de destino esté rechazando actualmente las solicitudes de replicación durante la replicación DCPROMO/AD significa definitivamente que se ha producido una reversión de USN y que estos controladores de dominio tienen que reducirse o volver a realizarse por fuerza implícitamente. Degradar puede ser la opción correcta. Sin embargo, puede ser excesivo cuando el error se debe a un espacio libre insuficiente en disco.

Solución

  1. Compruebe si el valor de DSA no se puede escribir.

    Para cada controlador de dominio que registra el error 8456 o 8457, determine si uno de los tres eventos desencadenantes deshabilitó automáticamente la replicación entrante o saliente de Active Directory; para ello, lea el valor de "DSA not writable" del registro local.

    Cuando la replicación se deshabilita automáticamente, el sistema operativo escribe uno de los cuatro valores posibles en DSA que no se pueden escribir:

    • Camino: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    • Configuración: DSA no se puede escribir
    • Tipo: Reg_dword
    • Valores:
      • #define DSA_WRITABLE_GEN 1
      • #define DSA_WRITABLE_NO_SPACE 2
      • #define DSA_WRITABLE_USNROLLBCK 4
      • #define DSA_WRITABLE_CORRUPT_UTDV 8

    Un valor de 1 solo se puede escribir cuando la versión del bosque no es compatible con el sistema operativo (por ejemplo, el controlador de dominio W2K se promueve a un bosque de nivel funcional del bosque de Windows Server 2003 o similar).

    Un valor de 2 significa que la unidad física o virtual que hospeda la base de datos de Active Directory o los archivos de registro carece de suficiente espacio libre en disco.

    Un valor de 4 significa que se produjo una reversión de USN porque la base de datos de Active Directory se revierte incorrectamente en el tiempo. Entre las operaciones que se sabe que provocan una reversión de USN se incluyen las siguientes:

    • Arranque desde instantáneas de máquina virtual guardadas anteriormente de equipos de rol de controlador de dominio en hosts de Hyper-V o VMWARE.
    • Conversiones de físico a virtual (P2V) incorrectas en bosques que contienen más de un controlador de dominio.
    • Restaurar equipos de rol de controlador de dominio mediante productos de creación de imágenes como Ghost.
    • Revertir el contenido de una partición que hospeda la base de datos de Active Directory en el tiempo mediante un subsistema de disco avanzado.

    Un valor de 8 indica que el vector de actualización está dañado en el controlador de dominio local.

    Técnicamente, DSA no grabable podría constar de varios valores. Por ejemplo, un valor del Registro de 10 indicaría un espacio en disco insuficiente y un UTD dañado. Normalmente, se escribe un único valor en DSA que no se puede escribir.

    Nota:

    Es habitual que los profesionales y administradores de soporte técnico deshabiliten parcialmente la cuarentena de replicación habilitando la replicación saliente, habilitando la replicación entrante, cambiando el valor de inicio del servicio NETLOGON de deshabilitado a automático e iniciando el servicio NETLOGON. Por lo tanto, es posible que la configuración de cuarentena completa no esté en vigor cuando se examine.

  2. Compruebe el registro de eventos del servicio de directorio para ver si hay eventos de cuarentena.

    Suponiendo que el registro de eventos del servicio de directorio no se haya ajustado, puede encontrar uno o varios eventos relacionados registrados en el registro de eventos del servicio de directorio de un controlador de dominio que registra el error 8456 o 8457.

    Evento Detalles
    NTDS General 2103 La base de datos de Active Directory se restauró mediante un procedimiento de restauración no admitido. Active Directory no podrá iniciar sesión en los usuarios mientras persiste esta condición. Por lo tanto, el servicio Net Logon se ha pausado. Acción del usuario Consulte los registros de eventos anteriores para obtener más información.
    Evento general 1393 de NTDS No hay espacio suficiente en el disco.
    Evento 2881 No aplicable

  3. Realice la recuperación en función del valor de DSA no grabable o de los eventos que se registran en el sistema:

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.