Los cambios en grupos de seguridad o grupos de distribución no se replican en los controladores de dominio de destino cuando se usa la replicación de valores de vínculo en un entorno de Windows Server 2003

  • Artículo

En este artículo se proporciona una solución a un problema en el que los cambios realizados en grupos de seguridad o grupos de distribución no se replican en los controladores de dominio de destino cuando se usa la replicación de valores de vínculo.

Se aplica a: Windows Server 2012 R2
Número de KB original: 958838

Síntomas

Imagina la siguiente situación: En un entorno de Windows Server 2003, establece el nivel funcional del bosque en Windows Server 2003 o en una versión posterior de Windows. Haga esto para aplicar los cambios de replicación de valor de vínculo (LVR) a la pertenencia a grupos en atributos habilitados para LVR. En este escenario, puede experimentar los siguientes síntomas:

  • Los cambios en el grupo de seguridad o el grupo de distribución que existe en el controlador de dominio de origen no se replican en los controladores de dominio de destino. Este síntoma se produce cuando el cambio de pertenencia al grupo lo inicia un administrador o un programa.

  • Al ejecutar el repadmin /showreps comando, recibirá un mensaje que indica que un controlador de dominio de destino basado en Windows Server 2008 o Windows Server 2003 no puede replicar los cambios entrantes en una partición de directorio desde uno o varios controladores de dominio de origen. En esta situación, también recibe un error de Win32 8451.

    Nota:

    El error 8451 de Win32 corresponde al error ERROR_DS_DRA_DB_ERROR y a la siguiente descripción:
    La operación de replicación encontró un error de base de datos.

    Es posible que el controlador de dominio de destino basado en Windows Server 2008 o Windows Server 2003 afectado no replique los cambios entrantes realizados en particiones de solo lectura de catálogos globales o de controladores de dominio que hospedan particiones de directorio grabables.

  • Los controladores de dominio de destino basados en Windows Server 2008 y Windows Server 2003 registran eventos en el registro del servicio de directorio.

    Nota:

    • El evento general 1173 de NTDS indica un error de replicación genérico.
    • El valor de error de datos adicional -1603 se asigna a una moneda que no se encuentra en un error de jet de registro y al nombre simbólico errNoCurrentRecord. El error ortográfico de actualmente en la moneda no en un texto de error de registro .
    • La excepción e0010004 corresponde a DSA_DB_EXCEPTION de error.
    • El identificador interno 2050344 corresponde a una función en el código de capa de base de datos de NTDS. Este número depende del sistema operativo, del Service Pack y de las revisiones de aplicación de revisiones.

  • Los controladores de dominio de destino basados en Windows Server 2008 y Windows Server 2003 registran el evento 1692 del servicio de directorio.

    Nota:

    Este evento se registra cuando se habilita el registro de diagnóstico y se establece el valor de la entrada del Registro 5 Eventos de replicación en 1 o superior.

    Para obtener más información sobre el registro de diagnóstico de NTDS, consulte Configuración del registro de eventos de diagnóstico de Active Directory y LDS.

Estos síntomas pueden producirse cuando se realizan cambios en cualquier clase de objeto replicado por LVR que tenga vínculos hacia delante. (Estos cambios en la clase de objetos replicados por LVR también se realizan en los cambios realizados en los grupos de seguridad y distribución).

Causa

Este problema se produce si los controladores de dominio de destino basados en Windows Server 2008 o Windows Server 2003 detienen la replicación entrante cuando reciben actualizaciones lvr de objetos que no existen en sus copias locales de Active Directory.

En concreto, este problema puede producirse si se cumplen las condiciones siguientes:

  • Los cambios de pertenencia que se realizan en grupos de distribución o seguridad persistentes en controladores de dominio de origen se replican de salida mediante la replicación de valores de vínculo (LVR) en controladores de dominio de destino que no tienen una instancia del grupo que se está modificando. Por ejemplo, este problema puede producirse cuando se elimina un objeto y la duración de los objetos de lápida ha expirado de la copia local de Active Directory.

  • El nivel funcional del bosque se establece en el modo provisional de Windows Server 2003 o en una versión posterior.

  • Los grupos de seguridad o distribución persistentes residen en particiones de solo lectura o grabables de controladores de dominio de origen basados en Windows Server 2003 o Windows Server 2008, y la replicación se detiene entre los controladores de dominio de origen y de destino.

Solución

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

Para resolver este problema, siga estos pasos:

  1. Ejecute el siguiente comando repadmin en el controlador de dominio principal (PDC) para crear un archivo .csv que contenga la lista de controladores de dominio de destino:

    repadmin /showrepl * /csv >showrepl.csv

  2. Abra el archivo .csv en Excel e identifique los errores de replicación en los controladores de dominio de destino que han producido un error en el proceso de replicación entrante y que muestran el error 8451 de Win32.

  3. En los controladores de dominio que registran el mensaje de error "Error 8451 de Win32", asegúrese de que el registro de diagnóstico para la entrada del Registro 5 Eventos de replicación esté establecido en un valor de 1. Para ello, siga estos pasos:

    1. Haga clic en Inicio y luego en Ejecutar.

    2. En el cuadro Abrir, escriba regedit y luego haga clic en Aceptar.

    3. Busque y haga clic en la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

    4. En el panel de detalles, haga doble clic en 5 eventos de replicación, escriba 1 en el cuadro Datos de valor y, a continuación, haga clic en Aceptar.

    5. Cierre el Editor del Registro.

  4. En los controladores de dominio de destino, compruebe que el evento 1692 del servicio de directorio está registrado en el registro del servicio de directorio. El evento muestra los cambios en el atributo de miembro del grupo de seguridad o en otros atributos replicados por LVR y en los GUID de objeto persistentes.

  5. Quite los objetos persistentes de los controladores de dominio de destino basados en Windows Server 2008 o Windows Server 2003 mediante el repadmin /removelingeringobjects comando .

Importante

Deshabilitar la funcionalidad de coherencia de replicación estricta en el registro de controladores de dominio de destino basados en Windows Server 2008 o Windows Server 2003 no reanuda la replicación. No debe establecer el valor de la entrada del Registro de coherencia de replicación estricta en 0 para desbloquear la replicación de particiones de directorio.

No fuerce la replicación de particiones de directorio en los controladores de dominio de origen mediante el comando repadmin /sync o un comando equivalente junto con el modificador /force.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.