La información del controlador de dominio secundario huérfano no se replica en otros controladores de dominio
En este artículo se proporciona una solución a un problema por el que un controlador de dominio secundario huérfano no se puede replicar en otros controladores de dominio.
Se aplica a: Windows Server 2019, Windows Server 2016
Número de KB original: 887430
Síntomas
Un dominio secundario basado en Microsoft Windows Server queda huérfano del resto del bosque. Este dominio secundario puede recibir cambios que los controladores de dominio replican en el dominio primario (raíz), pero ningún controlador de dominio del dominio raíz ni de ningún otro dominio secundario tiene conocimiento de los controladores de dominio en el dominio secundario afectado.
Cuando un administrador intenta ver los controladores de dominio en el dominio secundario huérfano de otro dominio, no se muestra ningún controlador de dominio. Por ejemplo, no se muestra ningún controlador de dominio en el siguiente contexto de nomenclatura de configuración:
CN=Servers,CN= Site_Name,CN=Sites,CN=Configuration,DC= Domain_Name,DC=com
En este caso, Site_Name y Domain_Name son atributos del dominio huérfano.
Causa
Este problema puede producirse si el dominio secundario está huérfano del dominio primario.
Solución
Importante
Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del Registro para efectuar una restauración en caso de que surjan problemas.
Para resolver este problema, debe crear un vínculo de replicación y, a continuación, habilitar la autenticación unidireccional en lugar de la autenticación bidireccional. Para ello, siga estos pasos:
En un controlador de dominio en el dominio raíz, agregue el valor del Registro de reserva de SPN permitido del replicador . Para ello, siga estos pasos en el controlador de dominio.
- Seleccione Iniciar>ejecución y escriba regedt32.
- Seleccione la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters - Seleccione Editar>nuevo>valor DWORD.
- Escriba Replicator Allow SPN Fallback (Permitir reserva de SPN).
- En el panel derecho, haga doble clic en Replicador Permitir reserva de SPN, escriba 1 en el cuadro Datos de valor y, a continuación, seleccione Aceptar.
- Reinicie el controlador de dominio.
Abra una ventana del símbolo del sistema y ejecute los siguientes comandos:
repadmin /options fully_qualified_domain_name_(FQDN)_of_the_root_domain_controller +DISABLE_NTDSCONN_XLATE repadmin /add CN=Configuration,DC=Domain_Name,DC=Domain_Name FQDN_of_the_root_domain_controller FQDN_of_the_child_domain_controller repadmin /showrepsSe debe mostrar una conexión entrante correcta para el contexto de nomenclatura de configuración desde el controlador de dominio secundario.
Nota:
Para obtener información sobre la herramienta Repadmin.exe, consulte Supervisión y solución de problemas de replicación de Active Directory mediante Repadmin.
En el símbolo del sistema, ejecute el comando :
repadmin /options FQDN_of_the_root_domain_controller -DISABLE_NTDSCONN_XLATE.Quite la entrada del Registro de reserva De reserva de SPN de Replicator Allow . Para ello, siga estos pasos:
Inicie Editor del Registro y seleccione la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ParametersHaga clic con el botón derecho en Replicador Permitir reserva de SPN, seleccione Eliminary, a continuación, seleccione Aceptar.
Forzar la replicación entre todos los controladores de dominio del dominio raíz. Para ello, siga estos pasos:
En un controlador de dominio del dominio raíz, seleccione Iniciar>programas>Herramientas> administrativasSitios y servicios de Active Directory.
Expanda Servidores de sitios>, expanda la carpeta Server_Name y, a continuación, seleccione Configuración de NTDS.
Si hay otros controladores de dominio en el entorno que se van a replicar, se mostrarán en el panel derecho. Haga clic con el botón derecho en el primer controlador de dominio de la lista, seleccione Todas las tareas y, a continuación, seleccione Comprobar topología de replicación para iniciar el Comprobador de coherencia de conocimiento (KCC).
Se muestra un objeto de conexión entrante de uno o varios controladores de dominio secundarios. Es posible que tenga que actualizar la pantalla presionando F5.
Repita el paso 3 para cada controlador de dominio del dominio raíz.
Permitir que la replicación se produzca en todo el bosque. A continuación, ejecute el
repadmin /showrepscomando en el controlador de dominio raíz y en los controladores de dominio secundarios. Este paso garantiza que la replicación del servicio Active Directory (AD DS) se realiza correctamente.
La entrada del Registro de reserva de SPN de replicación permitida permite al controlador de dominio usar la autenticación unidireccional si no se puede realizar la autenticación bidireccional debido a un error al resolver un nombre de entidad de seguridad de servicio (SPN) en una cuenta de equipo.
Recolección de datos
Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.
Comentarios
Próximamente: a lo largo de 2024, eliminaremos gradualmente los problemas de GitHub como mecanismo de comentarios para el contenido y lo reemplazaremos por un nuevo sistema de comentarios. Para obtener más información, consulte: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de