Un entorno de Active Directory (AD) saludable y sincronizado es la mismísima columna vertebral de cualquier red corporativa basada en Windows. Cuando los Controladores de Dominio (DCs) dejan de comunicarse adecuadamente o fallan al replicar sus metadatos, tu empresa experimentará problemas sumamente bizarros: contraseñas que no son reconocidas, políticas de grupo (GPO) que no se aplican, y usuarios creados en un sitio que “no existen” en otro.
Como administrador de sistemas, saber cómo diagnosticar rápidamente la salud de AD y forzar manualmente su replicación es una habilidad absolutamente crítica. Esta guía detalla los comandos nativos más esenciales en CMD y PowerShell utilizados para verificar el estado de Active Directory, evaluar la salud de la estructura y detonar sincronizaciones manuales entre los servidores.
1. Comprobar el estado de AD usando PowerShell
PowerShell provee cmdlets modernos y orientados a objetos para interactuar de forma impecable con Active Directory. Asegúrate de ejecutar estos comandos en una consola con privilegios elevados de Administrador (y tener el módulo de AD instalado).
a. Resumen del Estado de Replicación
Para obtener una vista panorámica y rapidísima de la salud de replicación de todos tus Controladores de Dominio:
Get-ADReplicationSummary
Este comando tabula magistralmente el estado de la replicación entre los DCs, permitiéndote identificar de inmediato fallos consecutivos o enlaces muertos de entrada/salida.
b. Metadatos Detallados entre Socios
Si deseas una vista quirúrgicamente detallada sobre los socios de replicación de un servidor específico:
Get-ADReplicationPartnerMetadata -Target "Nombre_del_DC" | Format-List
Esto revela los detalles exactos de las conexiones puntuales, los contadores de fallas consecutivas y las fechas exactas del último intento exitoso.
c. Identificar Roles FSMO
Los roles FSMO (Flexible Single Master Operations) son cinco tareas críticas e irrepetibles asignadas a DCs específicos. Para comprobar qué servidor posee qué rol en tu bosque y dominio:
Get-ADDomain | Select-Object InfrastructureMaster, PDCEmulator, RIDMaster
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
Si el servidor que alberga un rol FSMO “muere” permanentemente, necesitarás forzar el secuestro (seize) de estos roles hacia un DC que esté sano.
2. Comprobar el estado de AD usando CMD
Para revisiones veloces o en sistemas operativos sin el entorno de PowerShell optimizado, las viejas pero confiables herramientas de línea de comandos son unas bestias insuperables.
a. DCDIAG - Herramienta de Diagnóstico
dcdiag es el comando primordial por excelencia para verificar el estado de salud general de los controladores del dominio. Ejecuta decenas de complejas pruebas automáticas verificando red, DNS, y servicios en menos de un minuto.
- Abre CMD como administrador.
- Ejecuta un análisis estándar en el controlador local:
dcdiag - Ejecuta una prueba enfocada exclusivamente en la sanidad de DNS sobre un servidor en particular:
dcdiag /test:dns /s:Nombre_del_DC - Para obtener un reporte exageradamente detallado (verbose):
dcdiag /v
b. Verificar Replicación con Repadmin
repadmin es, indiscutiblemente, la herramienta suprema para diagnosticar y solucionar problemas de topología de replicación.
Resumen de la Replicación Global:
repadmin /replsummaryTe otorga una matriz simple del estado de replicación y la cantidad de errores recientes en toda la estructura del bosque.
Detalles de Conexión de Socios:
repadmin /showrepl Nombre_del_DCMuestra de quién está intentando jalar información el DC especificado y qué resultado obtuvo en la última hora.
Filtrar Únicamente los Errores:
repadmin /showrepl * /errorsonly¡Una maravilla! Omite todo el ruido de servidores sanos y te filtra de inmediato exclusivamente las conexiones en la red que actualmente están arrojando un error de sincronización.
c. Ver Roles FSMO en CMD
Si prefieres no usar PowerShell, la manera más veloz de ubicar quiénes son los amos de los roles FSMO es con:
netdom query fsmo
d. Comprobar Conectividad Básica de Red
Para corroborar rápidamente si tu máquina local puede siquiera comunicarse con el protocolo LDAP de tu dominio:
nltest /dsgetdc:Nombre_del_Dominio
Para averiguar físicamente en qué “Sitio” lógico de Active Directory asume el sistema que te encuentras posicionado:
nltest /dsgetsite
3. Cómo FORZAR la Replicación de Active Directory en la Red
En situaciones del día a día, como forzar el reseteo de una contraseña urgente para un directivo, aplicar políticas GPO o deshabilitar una cuenta de inmediato, simplemente no puedes darte el lujo de esperar los malditos 15 minutos base que le toma a la red propagar el cambio hacia todas las sedes. Puedes gatillar la replicación manualmente usando repadmin.
a. Forzar la Sincronización Masiva en Todos los Nodos
El comando “botón nuclear” más amado por los administradores para empujar y jalar todos los cambios acumulados de forma violenta y paralela por TODA tu red es:
repadmin /syncall /A /e /P /d /q
Explicación letal de los parámetros:
/A: Realiza la sincronización para Todas (All) las particiones de los contextos de nomenclatura que el servidor hospede./e: Atraviesa los límites y sincroniza abarcando toda la Empresa/Enterprise (es decir, enrruta hacia sedes de otras ciudades o sitios de AD externos)./P: Empuja (Push) los cambios de manera proactiva hacia afuera desde este servidor hacia los demás, en vez de solo jalarlos./d: Muestra los servidores en formato distinguido (Distinguished Name) para identificar mejor las rutas en pantalla./q: Modo silencioso (Quiet); omite escupir el éxito de conexión con cada servidor y solo detendrá la terminal para mostrar errores fatales.
b. Forzar “Pull” desde un Socio Específico
Si has creado un usuario en el DC principal (DC01) y quieres forzar a un DC esclavo de una sucursal remota (DC02) a que ingiera los cambios inmediatamente, entra al DC02 y ejecuta:
repadmin /replicate DC02 DC01 DC=corp,DC=local
(Este comando literalmente obliga al flujo: Destino -> Origen -> Partición).
Conclusión
Mantener en perfecto orden la salud de tu entorno central de Active Directory es un arte que exige constante monitoreo proactivo. Herramientas contundentes como dcdiag son invaluables para cazar fallas profundas de conectividad de raíz provocadas por DNS dañados, mientras que las de la familia de repadmin fungen como navaja suiza para reparar o empujar la topología métrica de sincronización. Adicionalmente, los cmdlets modernos en PowerShell como Get-ADReplicationSummary logran mostrar las cosas en formatos impecables.
Como regla de oro inquebrantable de TI: Siempre que atestigües comportamientos extraños, inexplicables, bizarros o “fantasmas” en cuanto a logueo de usuarios, impresoras o mapeo de red… lo primero que debes auditar es el DNS y la Replicación de AD. ¡Si un servidor de AD sucumbe ante lo asíncrono, forzar una réplica de rescate con /syncall podría llegar a salvarte horas enteras de solucionar averías infundadas!