Los identificadores de evento de replicación de Active Directory 2108 y 1084 se producen durante la replicación entrante de Servicios de dominio de Active Directory

  • Artículo

En este artículo se proporciona una solución a un problema por el que se obtienen los identificadores de evento 2108 y 1084 cuando se produce la replicación entrante del Servicios de dominio de Active Directory (AD DS).

Se aplica a: Windows Server 2016, Windows Server 2012 R2
Número de KB original: 837932

Síntomas

Cuando se produce la replicación entrante del Servicios de dominio de Active Directory (AD DS), un controlador de dominio de destino que ejecuta Microsoft Windows Server 2003 Service Pack 1 (SP1) a través de Windows Server 2016 registra el siguiente evento en el registro del servicio de directorio:

Identificador de evento 1084: evento interno: Servicios de dominio de Active Directory no se pudo actualizar el siguiente objeto con los cambios recibidos del siguiente servicio de directorio de origen. Esto se debe a que se produjo un error durante la aplicación de los cambios en Servicios de dominio de Active Directory en el servicio de directorio.

Objeto: CN=<cn path>

GUID de objeto: <objectguid>

Servicio de directorio de origen: NTDSA._msdcs.<nombre de dominio DNS raíz de forst>

La sincronización del servicio de directorio con el servicio de directorio de origen se bloquea hasta que se corrige este problema de actualización.

Esta operación se volverá a intentar en la siguiente replicación programada.

Acción del usuario:

Reinicie el equipo local si esta condición parece estar relacionada con recursos bajos del sistema (por ejemplo, memoria física o virtual baja).

Datos adicionales:

Valor de error: <cadena de error de código><de error>

Nota:

  • En el texto Valor de error, <el código> de error y <la cadena> de error representan los valores reales que se muestran en la entrada de registro.
  • El evento 1804 se ha registrado desde Windows 2000 Server.

Los controladores de dominio de destino que ejecutan Windows Server 2003 SP1 también registran el siguiente evento en el registro del servicio de directorio:

Id. de evento 2108: este evento contiene PROCEDIMIENTOS DE REPARACIÓN para el evento 1084 que se ha registrado anteriormente. Este mensaje indica un problema específico con la coherencia de la base de datos Servicios de dominio de Active Directory en este destino de replicación. Error de base de datos al aplicar cambios replicados al objeto siguiente. La base de datos tenía un contenido inesperado, lo que impedía que se realizara el cambio.

Nota:

  • El evento 2108 se registra en Windows Server 2003 después de instalar SP1.
  • Se trata de un evento asociado al evento 1084.

Causa

Estos eventos se producen cuando el controlador de dominio no puede escribir un cambio transaccional en la copia local de la base de datos de Active Directory.

Solución

Para resolver este problema, siga estos pasos. Vuelva a intentar la operación de replicación después de cada paso que realice un cambio.

  1. Asegúrese de que haya suficiente espacio libre en disco disponible en los volúmenes que hospedan la base de datos de Active Directory y vuelva a intentar la operación. Siga estos pasos para liberar espacio en disco adicional:

    1. Mover archivos no relacionados a otro volumen.

    2. Realice una copia de seguridad del estado del sistema. Este proceso reduce el tamaño de los archivos de registro de transacciones. Para obtener más información, vea Cómo usar la característica de copia de seguridad para realizar copias de seguridad y restaurar datos en Windows Server 2003.

    3. Realice una desfragmentación sin conexión de Active Directory. Para obtener más información, vea Cómo realizar la desfragmentación sin conexión de la base de datos de Active Directory.

  2. Asegúrese de que las unidades físicas que hospedan el archivo Ntds.dit y los archivos de registro de transacciones no tienen activada la compresión del sistema de archivos NTFS. Para confirmar esto, haga clic con el botón derecho en la letra de unidad en Mi equipo y, a continuación, asegúrese de que la casilla Comprimir unidad para ahorrar espacio en disco no esté seleccionada.

  3. Asegúrese de que las unidades físicas que hospedan el archivo Ntds.dit y los archivos de registro de transacciones se excluyen específicamente de los programas antivirus locales y remotos. Consulte la documentación del software antivirus para obtener más información.

  4. Si el controlador de dominio de destino contiene el catálogo global y el error se produce en una de las particiones de solo lectura, use uno de los métodos siguientes para ayudar a resolver el problema:

    • Método 1: use la opción de rehospedaje de la herramienta Repadmin.exe para volver a hospedar la partición afectada.

      La herramienta Repadmin.exe se instala en equipos que tienen el rol de controlador de dominio y se instala junto con la herramienta RSAT en estaciones de trabajo y servidores miembros. Para ello, escriba lo siguiente en un símbolo del sistema, donde domain_controller es el nombre del controlador de dominio de destino y good_source_domain_controller_name es el nombre de otro controlador de dominio:

      repadmin /rehost domain_controller naming_context good_source_domain_controller_name

    • Método 2: configure el controlador de dominio para que ya no sea un servidor de catálogo global. Siga estos pasos:

      1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory.
      2. Busque el subárbol Default-First-Site-Name\ Servers\ domain_controller_name\ NTDS Settings (Configuración de NTDS ).
      3. Haga clic con el botón derecho en Configuración de NTDS y, a continuación, haga clic en Propiedades.
      4. Haga clic para desactivar la casilla Catálogo global y, a continuación, haga clic en Aceptar.

    • Método 3

      Si el error se produce en una partición de programa, use la herramienta Ntdsutil.exe para cambiar la réplica que hospeda la partición del programa.

  5. Use una utilidad de terceros, como la utilidad FileMon, para determinar si un programa o un usuario tiene acceso a la base de datos de Active Directory, los archivos de registro de transacciones o el archivo Edp.tmp. Si existe una actividad de acceso a archivos, detenga los servicios responsables de la actividad. Para obtener más información sobre la utilidad FileMon, vea FileMon para Windows v7.04.

  6. Determine si el problema está relacionado con el elemento primario del objeto de Active Directory en el controlador de dominio de destino. Para ello, siga estos pasos:

    1. En el controlador de dominio de origen, mueva temporalmente el objeto al que se hace referencia en el evento 1084 a un contenedor de unidad organizativa (UO). La unidad organizativa no debe estar relacionada con el contenedor actual. Por ejemplo, mueva el objeto a un nuevo contenedor de la raíz del dominio.

    2. Si la replicación se completa después de mover el objeto, vuelva a mover el objeto a su contenedor original.

    3. Forzar que el propagador del descriptor de seguridad recompile la ascendencia del contenedor de objetos en la base de datos que existe en los controladores de dominio de origen y de destino. Para ello, siga estos pasos:

      1. Asegúrese de que están instaladas las Herramientas de soporte técnico de Windows Server 2003. Las herramientas de soporte técnico están disponibles en el CD-ROM de Windows Server 2003 en la carpeta Support\Tools. Haga doble clic en el archivo Suptools.msi para instalar las herramientas.

      2. Haga clic en Inicio, en Ejecutar, escriba ldp y, a continuación, haga clic en Aceptar.

      3. Haga clic en Conexión, haga clic en Conectary escriba el nombre del servidor al que desea conectarse.

        Nota:

        Se conectará a través del puerto 389 para Active Directory.

      4. Haga clic en Conexión, haga clic en Enlazary escriba el nombre de usuario administrativo, la contraseña y el dominio. (Debe usar credenciales de administrador de dominio o administrador de empresa). Haga clic en Aceptar.

      5. En el menú Examinar , haga clic en Modificar. Deje el cuadro de texto DN en blanco. En el cuadro de texto Atributo , escriba FixUpInheritance. Haga clic en en el cuadro de texto Valor .

      6. En el área Operación , haga clic en Agregar.

      7. Haga clic en Entrar para rellenar el área Lista de entradas .

        Nota:

        En el área Lista de entradas , aparece [Add]fixupinheritance:sí .

      8. Haga clic en Ejecutar.

        Nota:

        El panel derecho ahora muestra un estado Modificado y se inicia el propagador del descriptor de seguridad. El tiempo de ejecución del propagador del descriptor de seguridad depende del tamaño de la base de datos de Active Directory. El proceso se completa cuando el contador eventos de propagación de seguridad de DS del objeto NTDS Performance vuelve a cero.

      9. Haga clic en Cerrar, en Conexióny, a continuación, haga clic en Salir.

  7. En el controlador de dominio de origen, escriba repadmin /showmeta distinguished_name_path en un símbolo del sistema y, a continuación, vea los metadatos del objeto de la ruta de acceso de nombre distintivo a la que se hace referencia en el evento 1084. Repita este paso en el controlador de dominio de destino. Busque valores incoherentes que incluyan, entre otros, lo siguiente:

    • Nombres incorrectos y números de atributos que aparecen en el objeto
    • Marcas de fecha o hora de origen incorrectas
    • Números de secuencia de actualización local (USN) incorrectos

    Los valores incorrectos pueden indicar un problema con la página de base de datos que hospeda el objeto.

    Para usar la herramienta Repadmin.exe cuando la ruta de acceso de nombre distintivo haga referencia a un objeto activo, escriba lo siguiente en un símbolo del sistema:

    repadmin /showmeta remote_domain_controller_name distinguished_name_path_of_reference _object

    Si el objeto está en un contenedor de objetos eliminados o si no puede usar la herramienta Repadmin.exe para buscar el objeto, use la referencia GUID del objeto para buscar el objeto. Se hace referencia a este GUID en el evento 1084. Para ello, escriba lo siguiente en un símbolo del sistema:

    repadmin /showmeta remote_domain_controller_name "GUID_for_the_object that_is_referenced_in_Event_ID_1084"

    Por ejemplo, si Event 1084 y Event 2108 hacen referencia a un objeto donde el GUID es b49cd496-98a2-4500-bb08-58550c2f79ac, escriba repadmin /showmeta "<GUID=b49cd496-98a2-4500-bb08-58550c2f79ac>".

    Nota:

    Se requieren comillas y corchetes.

  8. Obtenga la herramienta de Ntdsutil.exe más reciente mediante la instalación del Service Pack más reciente para el sistema operativo. Use la herramienta Ntdsutil.exe para realizar una comprobación de integridad de la base de datos de Active Directory en el controlador de dominio de origen.

    Antes de iniciar el equipo en modo de restauración de Servicios de directorio, obtenga la contraseña de la cuenta de administrador sin conexión. Si no conoce la contraseña de la cuenta de administrador, restablezca la contraseña del modo de restauración de servicios de directorio antes de empezar en este modo. En los controladores de dominio que ejecutan Windows 2000 Service Pack 2 (SP2) y versiones posteriores, use el comando Setpwd.exe. El comando Setpwd.exe se encuentra en la carpeta %Systemroot%\System32. En los controladores de dominio basados en Windows Server 2003, use el comando Ntdsutil Set Directory Services Restore Mode Password (Contraseña del modo de restauración de Servicios de directorio de Ntdsutil).

    Para obtener más información sobre el modo de restauración de servicios de directorio, vea el mensaje de error "Servicios de directorio no se puede iniciar" al iniciar el controlador de dominio basado en Windows o basado en SBS.

    Para obtener más información sobre cómo cambiar la contraseña en Windows Server 2003, consulta el mensaje de error "Servicios de directorio no se puede iniciar" al iniciar el controlador de dominio basado en Windows o SBS.

  9. Reinicie el controlador de dominio de origen y presione F8 para iniciar el modo de restauración de servicios de directorio. En el símbolo del sistema, escriba ntdsutil files integrity y presione Entrar.

    Nota:

    Este comando confirma la integridad de la base de datos.

    • Si la herramienta Ntdsutil informa de que la base de datos está dañada y tiene réplicas de los contextos de nomenclatura en el controlador de dominio de origen, forzar una degradación del controlador de dominio de origen y, a continuación, volver a promoverla después de comprobar la integridad de los controladores, el firmware y las unidades físicas que hospedan la base de datos de Active Directory y los archivos de registro de transacciones.

    • Si la base de datos está dañada y no hay réplicas del contexto de nomenclatura en el controlador de dominio de origen, restaure el estado del sistema más reciente. Use la herramienta NTDSutil.exe para confirmar de nuevo la integridad de la base de datos. Si sigue recibiendo un mensaje dañado, restaure copias de seguridad anteriores hasta que pueda confirmar la integridad del controlador de dominio.

    • Si la base de datos sigue dañada, restaure la copia de seguridad de estado del sistema más reciente y, a continuación, en un símbolo del sistema, escriba:

      ntdsutil files recover

      Use la herramienta NTDSutil.exe para confirmar de nuevo la integridad de la base de datos. Si la base de datos pasa la comprobación de integridad, realice una desfragmentación sin conexión de la partición de disco. Para obtener más información, vea Cómo realizar la desfragmentación sin conexión de la base de datos de Active Directory.

      Para realizar una comprobación de integridad de la base de datos, escriba lo siguiente en un símbolo del sistema y presione Entrar, donde database_name es el nombre de la base de datos de Active Directory:

      esentutl.exe /g database_name

      Por último, use la opción Iniciar Windows Normalmente para reiniciar el equipo y, a continuación, vuelva a intentar la replicación desde el controlador de dominio de origen al controlador de dominio de destino afectado. Si la base de datos produce un error en la comprobación de integridad, se debe interrumpir el controlador de dominio. Use la herramienta de migración de Active Directory (ADMT) para migrar objetos. También puede usar las herramientas Ldifde.exe y Csvde.exe para exportar objetos que va a importar a un nuevo controlador de dominio de destino.

      Para obtener más información sobre cómo usar las herramientas de Ldifde.exe y Csvde.exe, vea Guía paso a paso para importar y exportar de forma masiva a Active Directory.

  10. Si estos pasos no se realizan correctamente y el error de replicación continúa, disminución de nivel del controlador de dominio, confirme la integridad de las unidades físicas y los volúmenes que hospedan el archivo Ntds.dit y el subsistema de disco y, a continuación, vuelva a promover el controlador de dominio. Use el mismo nombre de equipo.

  11. Use el comando ntdsutil files compact para realizar una desfragmentación sin conexión de la base de datos de Active Directory. Para obtener más información, vea Realización de la desfragmentación sin conexión de la base de datos de Active Directory .

  12. En el símbolo del sistema, escriba el siguiente comando y presione Entrar:

    ntdsutil "semantic database analysis" "go"

    Nota:

    Las comillas de este ejemplo son necesarias para ejecutar el comando de análisis semántico de base de datos mediante un único argumento de línea de comandos.

    Si se notifican errores, type ntdsutil go fixupy presione Entrar.

    Nota:

    Los comandos semánticos de base de datos no realizan reparaciones de pérdida en bases de datos de Active Directory, como los comandos o Esentutl /p reparaciones de archivos ntdsutil anteriores a Windows Server 2003 Service Pack 1.

    Aviso de declinación de responsabilidades sobre la información de terceros

    Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.