NOTA: por los inconvenientes que observo con la pérdida de imágenes he decidido republicar la nota
Una pregunta que he visto muchas veces es “¿cómo sé que mi Active Directory está funcionando bien?” o a veces es más grave el tema, se tratan de solucionar lo que no son más que las consecuencias de un problema de replicación entre Controladores de Dominio
Por lo tanto utilizaré una pequeña infraestructura como muestra la figura para diagnosticar si todo está funcionando correctamente
La infraestructura que utilizaré, y que en realidad es aprovechada casi en su totalidad de otras notas del blog, consiste en tres Controladores de Dominio en dos “Sites” diferentes
La configuración de cada uno es la siguiente:
DC1
– Nombre: DC1.ad.guillermod.com.ar
– Configuración IP: 192.168.1.201/24
– Puerta de Enlace: 192.168.1.254 (Interfaz local de ROUTER)
DC2
– Nombre: DC2.ad.guillermod.com.ar
– Configuración IP: 192.168.2.202/24
– Puerta de Enlace: 192.168.2.254 (Interfaz local de ROUTER)
DC3
– Nombre: DC3.ad.guillermod.com.ar
– Configuración IP: 192.168.1.202/24
– Puerta de Enlace: 192.168.1.254 (Interfaz local de ROUTER)
ROUTER
– Nombre: aleatorio creado durante la instalación, en grupo de trabajo
– Configurado como enrutador LAN
– Configuración IP: 192.168.1.254/24, 192.168.2.254/24
Como ya hemos hecho en notas anteriores está configurada la infraestructura de “Sites”, “Subnets” y “Links”. Pero si alguien tiene dudas en cómo configurarlo puede revisar la siguiente nota; “Configurando Sites (Sitios) en Active Directory”
Todo lo siguiente que haga, lo efectuaré en DC3, pero sería análogo hacerlo en cualquier otro de los Controladores de Dominio, lo hago en esta máquina porque es la última que instalé y promoví, y quiero estar seguro no tener problemas
Mostraré primero las opciones básicas que tenemos desde línea de comandos, y luego, por si no les gustara la línea de comandos utilizaré una aplicación gráfica, pero esta última habrá que descargarla e instalarla
Entonces en DC3 abro línea de comandos (CMD.EXE) ejecutada como administrador y el primer comando que probaré es:
REPADMIN /ShowRepl
Este comando nos muestra de qué Controlador de Dominio está recibiendo replicación de cada una de las particiones de Active Directory. Inclusive mostrará la fecha y hora del último intento de replicación, y si se efectuó correctamente
Con REPADMIN además podemos ver fácilmente cuáles Controladores de Dominio son los “Bridgehead Server” de cada “Site” utilizando:
REPADMIN /Bridgeheads
Y continuando con REPADMIN también podemos observar entre cuáles se está replicando y si huberan habido fallos utilizando:
REPADMIN /ReplSummary
Y además podemos usar DCDIAG para verificar la replicación utilizando:
DCDIAG /TEST:Replications
Si no les es cómoda la interfaz de línea de comandos, podemos también tener un panorama más amplio con la utilidad “Active Directory Replication Status Tool”
A tener en cuenta que para su instalación debe estar presente “.NET Framework 3.5”
Si la ejecutamos y pulsamos sobre el botón “Refresh Replication Status” veremos la información que provee la misma
Como podemos ver en la siguente captura de pantalla, en mi caso está funcionando correctamente la replicación, y no presenta ningún tipo de error, pero si se presentara algún error sería fácilmente identificable ya que aparecería con fondo color rojo
Aclaración: TSL es el “Tombstone lifetime”, o sea, el tiempo que un objeto pasa de marcado para borrar a efectivamente borrado
WindowServer 
Comentarios
Guillermo Buenos días, en el día de hoy recibí la Nota y no se siguen viendo las imágenes y espero que pueda dar solucion al inconveninte.
De antemano agradezco por sus aportes tan importantes.
Muchas Gracias
Hola Juan, gracias por la ayuda :)
Yo sigo probando tanto con Chrome como con IE desde dos máquinas diferentes, y forzando un refresco, y estoy viendo las imagines sin problemas
¿Haz probado con diferentes navegadores y forzando el refresco? ¿O inclusive si estuviera en tus posibilidades otra máquina?
Hola Ing. Guillermo lo valide en otro equipo y me funciona bien.
Ing Guillermo una pregunta de casualidad conoce algun sript o procedimiento para actualizar de manera masiva la información de los usuarios creados en AD.
Ya que debo actualizar la información que reposa en cada cuenta para 600 usuarios.
Muchas gracias por su orientación y buen día
No soy INGenirero, a lo sumo INGenioso :)
Hay muchas opciones para actualizar atributos de usuarios
Inclusive hay un comando que permite hacerlo: LDIFDE.EXE que lo más difícil es obtener el archivo en formato LDIF
Scripts hay muchos, revisa la siguiente búsqueda a ver si alguno se adapta mejor: https://gallery.technet.microsoft.com/site/search?query=update%20attributes&undefined=undefined&ac=3
Hola Guillermo, excelente nuevamente… Amigo que puedo hacer si por problemas con un sitio no hubo replicacion durante mas de tres meses y ahora arroja el siguiente error:
«el servicio de directorio no se puede replicar con este servidor porque el intervalo desde la ultima replicacion con este servidor supero la duracion de los marcadores de exclusion»
Muy feo eso de que no solucionara el problema en tanto tiempo :)
Revisa estos enlaces
– Replication error 8614 The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime:
https://technet.microsoft.com/en-us/library/replication-error-8614-the-active-directory-cannot-replicate-with-this-server-because-the-time-since-the-last-replication-with-this-server-has-exceeded-the-tombstone-lifetime(v=ws.10).aspx
– Event ID 2042: It has been too long since this machine replicated: Active Directory:
https://technet.microsoft.com/en-us/library/cc757610(v=ws.10).aspx
Excelente Guillermo muchas gracias
:)
Buen día Guillermo, consulta es normal que si ejecuto este comando REPADMIN /Bridgeheads, no me salga data sino que me envia esto ——- en cada campo?
Quedo anuente a tu apoyo como siempre.
saludos,
¿Y hay definidos «Sites»? porque si no hay, entonces no hay «Bridgheads»
Si nos referimos a los que aparecen en Site and Services si tengo los subdominios en esa sección.
Lo otro que me acabo de percatar es que en el site and service se selecciono el NTDS Settings y le doy «Recopilar configuración en el DC» o «Recopilar configuracion del DC» me envia un error que el Servidor RPC no esta disponible, no se si eso tenga que ver.
Uní ambas preguntas adenis10
RPC no disponible indica falta de conectividad entre los Controladores de Dominio
Como esto no es un foro de soporte, por favor pon la pregunta en uno, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home y trata de poner más información, sobre todo si te deja una captura de pantall de lo que muestra Site and Services; si no te deja porque tiene que verificar la cuenta puedes hacerlo en un sitio público tipo Onedrive o el que te parezca, disfrazando el link
Agradecido Guillermo.
Saludos
Agradecido, logre corregir mis inconveniente con el RPC y la replicación, gracias por la guía.
Hola, estuve revisando y la cantidad de archivos en un DC difiere de otro. Por favor su ayuda que acciones debo realizar para solucionar este inconveniente.
Slds.,
Hola Yesheri, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home y como no des más datos no creo que se pueda ayudarte
Un excelente artículo como siempre. Personalmente me parece más cómoda siempre la línea de comandos, aunque está bien dejar una alternativa. Saludos.
Hola Alejandro ¡Gracias! :)
Felicitaciones por tu página, cuando puedas corrige el primer comando:
NETDOM /ShowRepl
Supongo que querías decir:
REPADMIN /ShowRepl
Saludos.
¡Gracias Armando! corregido :)
estimado una consulta, en mi centro de trabajo he realizado una replica de un controlador de dominio, ahora lo que quiero hacer y nose si se podra es que la replica sea el dominio principal para poder dale de baja al dominio de origen ya que el equipo me esta presentando fallas
Hola Ruth, si se ha instalado el nuevo Controlador de Dominio como adicional al Dominio existente no hay problema
Pero primero apaga al «viejo» durante un tiempo suficiente para asegurarse que todo funcione correctamente
Recién luego lo debes despromover en la forma correcta, no sólo quitarlo, poniéndolo en línea
Esta operación moverá los «FSMO Roles» automáticamente, o si quieres puedes transferirlos a mano. Sobre esto último, si tienes dudas hay una nota en el blog