Solución de problemas de errores de replicación en Active Directory que se producen por errores de búsqueda de DNS, el evento Id. 2087 o el evento Id. 2088

Seleccione idioma Seleccione idioma
Id. de artículo: 824449 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe un plan de acción para que sigan los administradores y los profesionales de soporte técnico cuando los controladores de dominio que ejecutan Microsoft Windows 2000 o Microsoft Windows Server 2003 no pueden replicar Active Directory debido a problemas de búsqueda de DNS. Los administradores que solucionan problemas de replicación o errores de otros componentes que se deben a que no se resuelven los nombres DNS deberían seguir este plan de la acción.

Este artículo también explica dos nuevos eventos, con los identificadores 2087 y 2088, que registran los controladores de dominio de destino que ejecutan Windows Server 2003 con el Service Pack 1 (SP1). Estos eventos se producen cuando la imposibilidad de la resolución de un nombre DNS impide la replicación entrante de las particiones del servicio de directorio de Active Directory. Lo más importante, en el escenario de este problema, es que los controladores de dominio de destino basados en el Service Pack 1 de Windows Server 2003 utilizarán el nombre de dominio completo del controlador de dominio de origen en DNS o el nombre de equipo NetBIOS del controlador de dominio de origen en los Servicios de nombres Internet de Windows (WINS, Windows Internet Name Service). El objetivo de las mejoras de Windows Server 2003 es aminorar el efecto de los errores de configuración del servidor DNS o del cliente DNS en la replicación de Active Directory.

Síntomas

En un controlador de dominio basado en el Service Pack 1 (SP1) de Microsoft Windows Server 2003, se pueden registrar los mensajes de eventos siguientes en el registro de sucesos del servicio de directorio.

Mensaje 1

Tipo: error
Origen: replicación de NTDS
Categoría: Cliente RPC DS
Id. del evento: 2087
Usuario: NT AUTHORITY\ANONYMOUS LOGON
Equipo: nombreDeEquipo
Descripción:
Active Directory no pudo resolver el nombre de host DNS siguiente del controlador de dominio de origen como una dirección IP. Este error impide que las incorporaciones, eliminaciones y cambios en Active Directory se repliquen entre uno o varios controladores de dominio del bosque. Los grupos de seguridad, la directiva de grupo, los usuarios y los equipos y sus contraseñas serán incoherentes entre los controladores de dominio hasta que se resuelva este error, que potencialmente afecta a la autenticación del inicio de sesión y al acceso a los recursos de red.

Controlador de dominio de origen: nombreDeControladorDeDomnio
Nombre del host DNS con el error: GUID._msdcs.nombreDeDominioDNS

NOTA: de forma predeterminada, sólo se muestran hasta 10 errores de DNS durante un período de 12 horas determinado, incluso aunque se produzcan más errores. Para registrar todos los eventos de error individuales, establezca en 1 el valor de diagnóstico siguiente del Registro:

Ruta del Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Acción del usuario:

1) Si el controlador de dominio de origen ha dejado de funcionar o el sistema operativo se ha reinstalado con un nombre de equipo diferente o con el GUID de objeto NTDSDSA, quite los metadatos del controlador de dominio de origen con ntdsutil.exe, siguiendo los pasos descritos en el artículo 216498 de MSKB.

2) Confirme que el controlador de dominio de origen está ejecutando Active Directory y es accesible en la red escribiendo "net view \\<nombre de DC de origen>" o "ping <nombre de DC de origen>".

3) Compruebe que el controlador de dominio de origen usa un servidor DNS válido para los servicios DNS y que el registro de host del controlador de dominio de origen y el registro CNAME están registrados correctamente con la versión de DNS mejorado de DCDIAG.EXE disponible en http://www.microsoft.com/dns

dcdiag /test:dns

4) Compruebe que este controlador de dominio de destino usa un servidor DNS válido para los servicios DNS ejecutando la versión de DNS mejorado del comando DCDIAG.EXE en la consola del controlador de dominio de destino, según se indica:

dcdiag /test:dns

5) Para seguir analizando los errores de DNS, vea el artículo 824449 de Knowledge Base: http://support.microsoft.com/?kbid=824449

Datos adicionales
Valor de error:
11004 El nombre solicitado es válido pero no se encontraron datos del tipo solicitado.

Mensaje 2

Tipo: advertencia
Origen: Replication de NTDS
Categoría: DS RPC Client
Id. del evento: 2088
Usuario: NT AUTHORITY\ANONYMOUS LOGON
Equipo: nombreDeEquipo
Descripción:
Active Directory no pudo utilizar DNS para resolver la dirección IP del controlador de dominio de origen indicado abajo. Para mantener la coherencia de los grupos de seguridad, la directiva de grupo, los usuarios y los equipos, y sus contraseñas, Active Directory realizó correctamente la replicación utilizando el nombre de equipo completo o el nombre NetBIOS del controlador de dominio de origen.

La configuración DNS no válida puede estar afectando a otras operaciones esenciales en los equipos miembro, los controladores de dominio o los servidores de aplicación en este bosque de Active Directory, incluidas la autenticación de inicio de sesión o el acceso a los recursos de red.

Debería resolver inmediatamente este error de la configuración DNS para que este controlador de dominio pueda resolver la dirección IP del controlador de dominio de origen con DNS.

Nombre del servidor alternativo: nombreDeServidorAlternativo
Nombre del host DNS con el error: GUID._msdcs.nombreDeDominioDNS

NOTA: de forma predeterminada, sólo se muestran hasta 10 errores de DNS durante un período de 12 horas determinado, incluso aunque se produzcan más errores. Para registrar todos los eventos de error individuales, establezca en 1 el valor de diagnóstico siguiente del Registro:

Ruta del Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Acción del usuario:

1) Si el controlador de dominio de origen ha dejado de funcionar o el sistema operativo se ha reinstalado con un nombre de equipo diferente o con el GUID de objeto NTDSDSA, quite los metadatos del controlador de dominio de origen con ntdsutil.exe, siguiendo los pasos descritos en el artículo 216498 de MSKB.

2) Confirme que el controlador de dominio de origen está ejecutando Active Directory y es accesible en la red escribiendo "net view \\<nombre de DC de origen>" o "ping <nombre de DC de origen>".

3) Compruebe que el controlador de dominio de origen usa un servidor DNS válido para los servicios DNS y que el registro de host del controlador de dominio de origen y el registro CNAME están registrados correctamente con la versión de DNS mejorado de DCDIAG.EXE disponible en http://www.microsoft.com/dns

dcdiag /test:dns

4) Compruebe que este controlador de dominio de destino usa un servidor DNS válido para los servicios DNS ejecutando la versión de DNS mejorado del comando DCDIAG.EXE en la consola del controlador de dominio de destino, según se indica:

dcdiag /test:dns

5) Para seguir analizando los errores de DNS, vea el artículo 824449 de Knowledge Base: http://support.microsoft.com/?kbid=824449

Datos adicionales
Valor de error:
11004 El nombre solicitado es válido pero no se encontraron datos del tipo solicitado.

El evento con el identificador 2087 se produce cuando se ha producido un error en la replicación de Active Directory debido a un problema de la búsqueda de NetBIOS o DNS. En concreto, el controlador de dominio que registró el identificador de evento 2087 registrado no pudo resolver la dirección IP de un asociado de replicación utilizando uno de los elementos siguientes:
  • El registro de recurso CNAME
  • El nombre de equipo completo en DNS
  • El nombre del equipo NetBIOS
Dado que el controlador de dominio que registra el evento no puede realizar la replicación entrante, los datos de Active Directory pueden ser incoherentes entre los controladores de dominio. Por ejemplo, la información de los grupos de usuarios y equipos puede ser incoherente.

El evento con el identificador 2088 aparece cuando se cumplen las condiciones siguientes:
  • La replicación de Active Directory no puede resolver el registro de recurso CNAME del asociado de replicación en una dirección IP utilizando DNS.
  • Active Directory puede resolver la dirección IP del asociado de replicación utilizando el nombre de equipo completo del asociado en DNS o el nombre del equipo NetBIOS del asociado en una difusión de NetBIOS o WINS.
Nota
Aunque la resolución de nombres de NetBIOS tenga éxito, se deben investigar y resolver todos los errores de la resolución de nombres DNS, ya que pueden hacer que las funciones de Active Directory tengan problemas.

Causa

Los problemas de búsqueda de DNS pueden hacer que la replicación de Active Directory no funcione de alguna de las maneras siguientes:
  • Caso 1 : un controlador de dominio intenta replicarse con otro que está sin conexión y no se han actualizado o eliminado los datos de DNS y Active Directory correspondientes al controlador de dominio sin conexión para indicar que es inaccesible.
  • Caso 2 : un controlador de dominio intenta replicarse con otro que está en conexión, pero debido a problemas de la red o de DNS, los controladores de dominio no pueden localizarse entre sí.
Todos los controladores de dominio registran los registros SRV, A y CNAME en DNS. El registro CNAME tiene la forma GUID_DSA._msdcs.nombreDeDominioDNS. GUID_DSA es el GUID del objeto de agente de servicios de directorio (DSA) del controlador de dominio. nombreDeDominioDNS es el nombre del bosque donde se encuentra el controlador de dominio. Los controladores de dominio requieren el registro CNAME para localizar e identificar a sus asociados de replicación.

El servicio Net Logon del controlador de dominio registra todos los registros SRV. El servicio DNS Client en el controlador de dominio registra el registro de host DNS (A) y el registro CNAME del GUID.

Un controlador de dominio sigue estos pasos para localizar a su asociado de replicación:
  1. El controlador de dominio utiliza DNS para buscar el registro CNAME de su asociado de replicación.
  2. Si la búsqueda no tiene éxito, el controlador de dominio busca el registro A DNS de su asociado de replicación. Por ejemplo, el controlador de dominio busca dc-03.corp.contoso.com.
  3. Si la búsqueda del registro A DNS no tiene éxito, el controlador de dominio realiza una difusión de NetBIOS con el nombre de host de su asociado de replicación. Por ejemplo, el controlador de dominio utiliza dc-03.

Solución

Caso 1

Para quitar los datos de DNS y Active Directory que deja un controlador de dominio que ya no se usa, siga el procedimiento del artículo de Microsoft Knowledge Base siguiente:
216498 Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio
Si el controlador de dominio debe estar en conexión, resuelva el problema de bloqueo y, a continuación, vuelva a poner en conexión el controlador de dominio. Al reiniciar el controlador de dominio, registra automáticamente los datos de DNS y Active Directory que se requieren para la replicación de Active Directory con el controlador de dominio de destino.

Si no desea reiniciar el controlador de dominio, pero desea volver a registrar sus registros DNS, vaya al paso 7, "Registrar los registros de recursos en DNS".

Caso 2

Si la replicación no se produce porque un controlador de dominio de destino no puede resolver el nombre DNS de un asociado de replicación, debe diagnosticar los problemas de conectividad de red y DNS para determinar el origen del error.

Para diagnosticar y corregir la compatibilidad de DNS con la replicación de Active Directory, siga estos pasos:
  1. Recopile información.

    Debe tener la información siguiente para diagnosticar y corregir la compatibilidad de DNS con la replicación de Active Directory y otras operaciones que dependen de DNS:
    • El el nombre de dominio completo (FQDN) y la dirección IP del controlador de dominio de origen.
    • El FQDN y la dirección IP del servidor DNS que alberga la zona DNS correspondiente al nombre de dominio de Active Directory.
    Nota
    La información del servidor DNS y del controlador de dominio puede ser la misma si el controlador de dominio también está ejecutando el servicio Servidor DNS que alberga la zona DNS para el nombre de dominio de Active Directory.
  2. Compruebe la configuración de la conexión de red.
    1. En el controlador de dominio que está informando del error, en el Panel de Control, haga clic en Conexiones de red .
    2. Haga clic con el botón secundario del mouse en la conexión de red que desee configurar y, a continuación, haga clic en Propiedades.
    3. En la ficha General en una conexión de área local o en la ficha Funciones de red en todas las demás conexiones, haga clic en Protocolo Internet (TCP/IP) y, a continuación, haga clic en Propiedades.
    4. En Usar las siguientes direcciones de servidor DNS, compruebe que el servidor DNS preferido o el servidor DNS alternativo tienen la dirección IP correcta del servidor DNS que alberga la zona DNS correspondiente al nombre de dominio de Active Directory.

      Nota
      Es recomendable que el servidor DNS preferido para el controlador de dominio se encuentre en un sitio central que sea local o esté bien conectado. Si utiliza dicho sitio central, reduce la latencia de replicación.
    5. Si las direcciones IP son correctas, vaya al paso 3. Si la dirección IP es incorrecta, escriba la dirección correcta y, a continuación, vaya al paso 7.
  3. Compruebe la conectividad.

    Para comprobar la conectividad, utilice el comando ping en el controlador de dominio de destino para encontrar las direcciones IP del controlador de dominio de origen y del servidor DNS.
    En el controlador de dominio de destino, en el símbolo del sistema, escriba los comandos siguientes y, a continuación, presione ENTRAR después de cada uno:

    ping direcciónIPOrigenControladorDominio
    ping direcciónIPServidorDNS

    Si alguno de los comandos no puede ejecutarse, puede existir un error de conectividad de red. Póngase en contacto con el administrador de red para diagnosticar y corregir este error. Si ambos comandos tienen éxito, el error está en DNS.
  4. Compruebe que el servicio Servidor DNS se está ejecutando.

    Si el controlador de dominio de destino está configurado para utilizar un servidor DNS local, compruebe que el servicio DNS Server se está ejecutando. Para ello, escriba net start "DNS Server" en un símbolo del sistema y, a continuación, presione ENTRAR.

    Si el servicio DNS Server se está ejecutando, aparece un mensaje que lo indica. Si el servicio DNS Server está instalado, pero no se está ejecutando, el comando lo inicia.

    Si el servicio DNS Server no está instalado, aparece un mensaje que indica que el nombre del servidor no es válido. Si el controlador de dominio de destino está configurado para utilizar un servidor DNS remoto, utilice la consola de DNS para iniciar el servicio DNS Server. Para ello, siga estos pasos:
    1. Abra la consola e DNS.
    2. En el menú Acción, haga clic en Conectar a servidor DNS.
    3. En Conectar a servidor DNS, haga clic en El siguiente equipo.
    4. Para conectar con un servidor remoto, especifique el nombre de equipo DNS del servidor remoto o su dirección IP.
    5. Active la casilla de verificación Conectar a este equipo ahora y, a continuación, haga clic en Aceptar.
    6. En el menú Acción, seleccione Todas las tareas y haga clic en Iniciar.
  5. Compruebe que el registro de recursos está registrado.

    El controlador de dominio de destino utiliza el registro de recursos CNAME DNS, GUID_DSA._msdcs.nombreDeDominioDNS, para buscar el asociado de replicación de su controlador de dominio de origen. Para comprobar que este registro de recursos está en la zona DNS correspondiente al nombre de dominio de Active Directory, siga estos pasos:
    1. Abra la consola de DNS en el árbol de la consola. Busque cualquier controlador de dominio que esté ejecutando el servicio DNS Server, donde el servicio albergue la zona DNS con el mismo nombre que el dominio de Active Directory.
    2. En el árbol de la consola, haga clic en la zona que se denomina _msdcs.nombreDeDominioDNS.

      En DNS de Windows 2000 Server, _msdcs.nombreDeDominioDNS es un subdominio de la zona DNS para el nombre de dominio de Active Directory. En Windows Server 2003, _msdcs.nombreDeDominioDNS es una zona independiente.
    La zona que se denomina _msdcs.nombreDeDominioDNS debe contener lo siguiente:
    • Un registro de recursos CNAME que se denomina GUID_DSA._msdcs.nombreDeDominioDNS.
    • Un registro de recurso A correspondiente para el nombre del servidor DNS que se identifica como el host de destino en el registro CNAME.


    Si los registros de recursos no existen, vaya al paso 6 para diagnosticar por qué el servicio Net Logon no registró automáticamente los registros de recursos.
  6. Compruebe que el servicio DNS Server que alberga la zona para el nombre de dominio de Active Directory está configurado para aceptar actualizaciones dinámicas.
    1. En la consola de DNS, haga clic con el botón secundario del mouse en la zona aplicable y, a continuación, haga clic en Propiedades.
    2. En la ficha General , compruebe que el tipo de zona es Integrado en Active Directory.
    3. En Actualizaciones dinámicas, haga clic en Sólo con seguridad. (En Windows 2000 Server, la opción de actualización dinámica segura se denomina Sólo actualizaciones seguras).
  7. Registre los registros de recursos DNS en DNS.

    El servicio Net Logon en un controlador de dominio registra los registros de recursos DNS que se requieren para que el controlador de dominio se encuentre en la red. Para iniciar manualmente este registro en el controlador de dominio de origen, escriba lo siguiente en un símbolo del sistema y, a continuación, presione ENTRAR después de cada comando:

    net stop "net logon"

    net start "net logon"

    El servicio DNS Client registra el registro de recursos de host (A) al que el registro CNAME señala. Para iniciar este registro en el controlador de dominio de origen, escriba ipconfig /registerdns en un símbolo del sistema y, a continuación, presione ENTRAR.
  8. Compruebe el registro del registro de recursos.

    Para comprobar que los registros se registraron correctamente, vaya al paso 5, "Comprobar que el registro de recursos se ha grabado".
  9. Fuerce la replicación en los controladores de dominio de destino y de origen.
    1. En el controlador de dominio de destino, abra Sitios y servicios de Active Directory.
    2. En el árbol de la consola, haga clic en Configuración de NTDS para el controlador de dominio en el que desee forzar la replicación.
    3. En el panel de detalles, haga clic con el botón secundario del mouse en la conexión que desee utilizar para replicar la información de directorio y, a continuación, haga clic en Replicar ahora.
    También puede utilizar las herramientas de la línea de comandos replmon y repadmin. Estas herramientas están disponibles en el CD-ROM de instalación de Windows Server 2003. (El comando repadmin es /repadmin /syncall /d /e /P controladorDeDominioDeOrigen)
  10. Investigue otros problemas.

    Si con los pasos anteriores no se resuelven los errores, es posible que un controlador de dominio no puede registrar dinámicamente sus registros de recursos DNS porque los servidores DNS que utiliza para la resolución de nombres no puedan encontrar una zona autoritaria principal para estos registros de recursos. En este caso, hay dos causas posibles:

Más información

También puede utilizar las herramientas de la línea de comandos Dcdiag.exe y Netdiag.exe para solucionar problemas de infraestructura de Active Directory y DNS. Ambas herramientas están disponibles en línea o en el CD-ROM de instalación de Windows Server 2003. Para descargar estas herramientas, visite la página Web de Herramientas del Kit de recursos de Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

Propiedades

Id. de artículo: 824449 - Última revisión: jueves, 11 de mayo de 2006 - Versión: 4.1
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbprb kbdirservices KB824449

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com