Cómo revisar la sincronización entre los controladores de dominio de Active Directory (Directorio Activo) de Windows Server y cómo forzar una replicación manual. Mostramos cómo verificar y forzar la replicación por comando y por interfaz gráfica.

Revisar sincronización entre controladores de dominio por comando en Windows Server

Existen varios comandos y métodos para obtener información sobre la replicación entre los controladores de dominio. A continuación mostramos algunos de ellos.

El siguiente comando, ejecutado desde una ventana de MS-DOS con privilegios elevados, mostrará información de replicación (hora de última replicación/sincronización y posibles errores):

repadmin /showrepl

Revisar sincronización entre controladores de dominio por comando en Windows Server

El texto del resultado del comando anterior:

repadmin /showrepl
Repadmin: ejecutando el comando /showrepl en el DC completo localhost
Nombre-predeterminado-primer-sitio\SRV2
Opciones de DSA: IS_GC
Opciones de sitio: (none)
GUID del objeto DSA: 8fbd-101-4cd-a11-43b3386
Id. de invocación de DSA: 58a00-f1-49-81-70b00d6
==== VECINOS DE ENTRADA ====
DC=proyectoa,DC=com
Nombre-predeterminado-primer-sitio\SRV1 vía RPC
GUID del objeto DSA: 8fbd-101-4cd-a11-43b3386
El último intento, efectuado el 2021-12-13 08:49:20, se completó correctamente.
CN=Configuration,DC=proyectoa,DC=com
Nombre-predeterminado-primer-sitio\SRV1 vía RPC
GUID del objeto DSA: 8fbd-101-4cd-a11-43b3386
El último intento, efectuado el 2021-12-13 08:17:29, se completó correctamente.
CN=Schema,CN=Configuration,DC=proyectoa,DC=com
Nombre-predeterminado-primer-sitio\SRV1 vía RPC
GUID del objeto DSA: 8fbd-101-4cd-a11-43b3386
El último intento, efectuado el 2021-12-13 07:54:55, se completó correctamente.
DC=DomainDnsZones,DC=proyectoa,DC=com
Nombre-predeterminado-primer-sitio\SRV1 vía RPC
GUID del objeto DSA: 8fbd-101-4cd-a11-43b3386
El último intento, efectuado el 2021-12-13 07:54:55, se completó correctamente.
DC=ForestDnsZones,DC=proyectoa,DC=com
Nombre-predeterminado-primer-sitio\SRV1 vía RPC
GUID del objeto DSA: 8fbd-101-4cd-a11-43b3386
El último intento, efectuado el 2021-12-13 07:54:55, se completó correctamente.

Si se ha producido algún error en la replicación nos lo mostrará con el comando anterior.

Este comando podemos ejecutarlo en todos los servidores del dominio, nos irá mostrando el estado de replicación de cada uno de ellos con sus respectivos «vecinos».

Otro comando, que muestra la información más resumida, puede ser:

repadmin /replsummary

Revisar sincronización entre controladores de dominio por comando en Windows Server

El comando anterior monstrará el resumen del estado de replicación de los servidores que forman parte del dominio. Mostrará el número de errores que se hayan procudido y el tiempo desde la última replicación mayor.

Otro comando útil para obtener información de sincronización/replicación entre nuestros servidores del dominio es:

dcdiag /test:replications

Revisar sincronización entre controladores de dominio por comando en Windows Server

Devolviendo:

dcdiag /test:replications
Diagnóstico del servidor de directorio
Realizando instalación inicial:
Intentando encontrar el servidor principal…
Servidor principal = SRV1
Se identificó el bosque de AD.
Recopilación de información inicial finalizada.
Realizando pruebas requeridas iniciales
Probando servidor: Nombre-predeterminado-primer-sitio\SRV1
Iniciando prueba: Connectivity
……………………. SRV1 superó la prueba Connectivity
Realizando pruebas principales
Probando servidor: Nombre-predeterminado-primer-sitio\SRV1
Iniciando prueba: Replications
……………………. SRV1 superó la prueba Replications
Ejecutando pruebas de partición en: ForestDnsZones
Ejecutando pruebas de partición en: DomainDnsZones
Ejecutando pruebas de partición en: Schema
Ejecutando pruebas de partición en: Configuration
Ejecutando pruebas de partición en: proyectoa
Ejecutando pruebas de empresa en: proyectoa.local

Otro comando útil para depurar errores de sincronización/replicación entre servidores del dominio es:

dcdiag /s:nombre_servidor_controlador_dominio /q

Revisar sincronización entre controladores de dominio por comando en Windows Server

Existen muchos más comandos interesantes para obtener información y estado de replicación/sincronización, del estado del servidor DNS, de los reenviadores, etc.. Algunos de ellos:

ComandoDescripción
dcdiag /dnsforwardersVerifica los reenviadores del DNS
dcdiag /dnsbasicTest básico del servidor DNS
dcdiag /dnsdelegationVerificar la delegación DNS
dcdiag /dnsallRealiza todos los test indicados en los comandos anteriores

Revisar replicación entre controladores de dominio mediante interfaz gráfica

En servidores Windows Server, también es posible consultar el estado de replicación desde la interfaz gráfica. Una forma de hacerlo es abriendo el Administrador de DNS (que se encuenta en Herramientas administrativas). En la rama del dominio «_tcp», deberemos tener un Registro de servicio (SRV) por cada servidor del dominio y para _kerberos, _kpassword, _ldap y _gc:

Revisar replicación entre controladores de dominio mediante interfaz gráfica

Por supuesto, desde el Visor de eventos también podremos filtrar y consultar posibles eventos de errores e información de replicación/sincronización, sobre todo en el registro «Servicio de directorio»:

Revisar replicación entre controladores de dominio mediante interfaz gráfica

Algunos ID de eventos relacionados con problemas con la replicación:

ID de EventoDescripción
1308El Controlador de coherencia de conocimientos (KCC) ha detectado que los intentos sucesivos de replicación con el siguiente controlador de dominio han fallado de forma coherente.
1925Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.
1926Error al intentar establecer un vínculo de replicación a una partición de directorio de solo lectura con los parámetros siguientes.
1586El Windows NT 4.0 o un punto de control de replicación anterior con el patrón del emulador PDC no se ha correcto correctamente. Puede producirse una sincronización completa de la base de datos del administrador de cuentas de seguridad (SAM) con controladores de dominio que ejecutan Windows NT 4.0 y versiones anteriores si el rol maestro del emulador PDC se transfiere al controlador de dominio local antes del siguiente punto de control correcto. El proceso de punto de control se volverá a intentar en cuatro horas.
2023El controlador de dominio local no pudo replicar los cambios realizados en el siguiente controlador de dominio remoto para la siguiente partición de directorio.
2095Durante una solicitud de replicación de Servicios de dominio de Active Directory, el controlador de dominio local (DC) identificó un CONTROLADOR de dominio remoto que ha recibido datos de replicación del CONTROLADOR de dominio local mediante números de seguimiento de USN ya reconocidos.
2103La base de datos de Servicios de dominio de Active Directory se restauró mediante un procedimiento de restauración no compatible. Los servicios de dominio de Active Directory no podrán iniciar sesión en los usuarios mientras esta condición persista. Por lo tanto, el servicio Net Logon se ha pausado.
2108El servidor de origen está rechazando actualmente la replicación
2109El servidor de destino está rechazando actualmente la replicación

También podremos consultar información de replicación y servidores del dominio desde la herramienta gráfica «Sitios y servicios de Active Directory» (en Herramientas administrativas). Deberemos ver y consultar los servidores que sean miembros del dominio

Revisar replicación entre controladores de dominio mediante interfaz gráfica

Forzar replicación entre servidores del dominio Active Directory con Windows Server

Para forzar la replicación entre servidores podemos usar el modo gráfico, abriendo la herramienta «Sitios y servicios de Active Directory» (que se encuentra en Herramientas administrativas). Y desde esta herramienta, desplegando el site que queramos sincronizar y el servidor correspondiente, pulsando con el botón derecho sobre NTDS correspondiente y eligiendo «Replicar ahora»:

Forzar replicación entre servidores del dominio Active Directory con Windows Server

Para forzar la replicación por comando, aunque no suele ser recomendable salvo por motivos justificados, podemos ejecutar:

repadmin /syncall

Forzar replicación entre servidores del dominio Active Directory con Windows Server

Si queremos hacer un chequeo de la topología de conexión entre servidores y forzar a que se agregue cualquier servidor nuevo al dominio, podemos usar el comando:

repadmin /kcc

Forzar replicación entre servidores del dominio Active Directory con Windows Server

Devolviendo:

repadmin /kcc
Repadmin: ejecutando el comando /kcc en el DC completo localhost
Nombre-predeterminado-primer-sitio
Message 0x400004d4 not found. Error 0.
Opciones de sitio: (none)
La consistencia de localhost se comprobó correctamente.

El comando anterior obliga al KCC (Comprobador de Coherencia del Conocimiento) en los controladores de dominio de destino a recalcular inmediatamente su topología de replicación entrante. Comprueba y crea las conexiones entre los controladores de dominio. De forma predeterminada, KCC se ejecuta en segundo plano cada 15 minutos para comprobar si se establece una nueva conexión entre los DC o no. Al ejecutar el comando, estamos obligando a los controladores de dominio a verificar si se encuentra un nuevo controlador de dominio en el entorno y, en caso afirmativo, agregar una conexión al mismo.