El controlador de dominio no funciona correctamente

  • Artículo

En este artículo se proporcionan soluciones comunes al problema en el que el controlador de dominio no funciona correctamente.

Se aplica a: Windows Server 2012 R2
Número KB original: 837513

Síntomas

Al ejecutar la herramienta Dcdiag en un controlador de dominio basado en Microsoft Windows 2000-Server o en Windows Server 2003, puede recibir el siguiente mensaje de error:

Diagnóstico de DC
Realizando instalación inicial:
[DC1] Error en el enlace LDAP: 31

Cuando se ejecuta la utilidad REPADMIN /SHOWREPS localmente en un controlador de dominio, puede recibir uno de los siguientes mensajes de error:

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP error 82 (Error local).

Error en el último intento efectuado el @ aaaa-mm-dd hh:mm.ss, resultado 1753: No hay más extremos disponibles desde el asignador de extremos.

Error en el último intento efectuado @ aaaa-mm-dd hh:mm.ss, resultado 5: Acceso denegado.

Si usa Sitios y servicios de Active Directory para desencadenar la replicación, puede recibir un mensaje que indica que se deniega el acceso.

Al intentar usar recursos de red desde la consola de un controlador de dominio afectado, incluidos los recursos de convención de nomenclatura universal (UNC) o las unidades de red asignadas, puede recibir el siguiente mensaje de error:

No hay servidores de inicio de sesión disponibles (c000005e = "STATUS_NO_LOGON_SERVERS")

Si inicia alguna herramienta administrativa de Active Directory desde la consola de un controlador de dominio afectado, incluidos los Sitios y servicios y los Usuarios y equipos de Active Directory, puede recibir uno de los siguientes mensajes de error:

No se puede encontrar la información de nombres debido a: No se puede establecer conexión con ninguna autoridad para autenticación. Póngase en contacto con el administrador de su sistema para comprobar que su dominio está configurado correctamente y está conectado actualmente.

No se puede encontrar la información de nombres debido a: El nombre de la cuenta destino es incorrecto. Póngase en contacto con el administrador de su sistema para comprobar que su dominio está configurado correctamente y está conectado actualmente.

Los clientes de Microsoft Outlook conectados a equipos de Microsoft Exchange Server que usan controladores de dominio afectados para la autenticación pueden solicitar credenciales de inicio de sesión, aunque haya autenticación de inicio de sesión correcta de otros controladores de dominio.

La herramienta Netdiag puede mostrar los siguientes mensajes de error:

Prueba de lista de controladores de dominio. . . . . . . . . . . : Error
[ADVERTENCIA] No se puede llamar a DsBind para <nombre de servidor>.<fqdn> (<dirección IP>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Prueba de Kerberos. . . . . . . . . . . : Error
[FATAL] Kerberos no tiene un ticket para krbtgt/<fqdn>.

[FATAL] Kerberos no tiene un ticket para <hostname>.
Prueba de LDAP. . . . . . . . . . . . . : Correcto
[ADVERTENCIA] No se ha podido consultar el registro de SPN en el DC <nombre de host><fqdn>.

El siguiente evento se puede registrar en el registro de eventos del sistema del controlador de dominio afectado:

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

Solución

Hay varias resoluciones para estos síntomas. Aquí se muestra una lista de métodos que se pueden probar. La lista va seguida de pasos para llevar a cabo cada método. Pruebe cada uno hasta que se resuelva el problema. Los artículos de Microsoft Knowledge Base que describen correcciones menos comunes para estos síntomas se enumeran más adelante.

  1. Método 1: Corregir errores del Sistema de nombres de dominio (DNS).
  2. Método 2: Sincronizar la hora entre equipos.
  3. Método 3: Comprobar los derechos de usuario Tener acceso a este equipo desde la red.
  4. Método 4: Comprobar que el atributo userAccountControl del controlador de dominio es 532480.
  5. Método 5: Corregir el dominio Kerberos (confirmar que la clave del Registro PolAcDmN y la clave del Registro PolPrDmN coinciden).
  6. Método 6: Restablecer la contraseña de la cuenta de equipo y obtener un nuevo vale de Kerberos.

Método 1: Corregir errores de DNS

  1. En el símbolo del sistema, ejecute el comando netdiag -v. Este comando crea un archivo Netdiag.log en la carpeta donde se ejecutó el comando.
  2. Resuelva los errores de DNS en el archivo Netdiag.log antes de continuar. La herramienta Netdiag se encuentra en las Herramientas de soporte de Windows 2000 en el CD-ROM de Windows 2000 Server o como descarga.
  3. Asegúrese de que el DNS esté correctamente configurado. Uno de los errores de DNS más comunes es apuntar el controlador de dominio a un proveedor de servicios de Internet (ISP) para DNS en lugar de apuntar el DNS a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Se recomienda apuntar el controlador de dominio a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Se recomienda que configure reenviadores al ISP para la resolución de nombres en Internet.

Para obtener más información acerca de la configuración de DNS para el servicio de directorios Active Directory, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
Planeamiento del espacio de nombres DNS 254680

Método 2: Sincronizar la hora entre equipos

Compruebe que la hora está sincronizada correctamente entre los controladores de dominio. Además, compruebe que la hora está bien sincronizada entre los equipos cliente y los controladores de dominio.

Método 3: Comprobar los derechos de usuario Tener acceso a este equipo desde la red

Modifique el archivo Gpttmpl.inf para confirmar que los usuarios adecuados tienen activado el derecho Tener acceso a este equipo desde la red en el controlador de dominio. Para ello, siga estos pasos:

  1. Modifique el archivo Gpttmpl.inf para la directiva predeterminada de controladores de dominio. De forma predeterminada, la directiva predeterminada de controladores de dominio es donde se definen los derechos de usuario para un controlador de dominio. De forma predeterminada, el archivo Gpttmpl.inf para la directiva predeterminada de controladores de dominio se encuentra en la carpeta siguiente.

    Nota:

    Sysvol puede estar en una ubicación diferente, pero la ruta de acceso del archivo Gpttmpl.inf será la misma.

    Para controladores de dominio de Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Para controladores de dominio de Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. A la derecha de la entrada SeNetworkLogonRight, agregue los identificadores de seguridad para Administradores, Usuarios autenticados y Todos. Vea los ejemplos siguientes.

    Para controladores de dominio de Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Para controladores de dominio de Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Nota:

    Los Administradores (S-1-5-32-544), Usuarios autenticados (S-1-5-11), Todos (S-1-1-0) y Controladores de empresa (S-1-5-9) usan identificadores de seguridad conocidos que son los mismos en todos los dominios.

  3. Quite las entradas situadas a la derecha de la entrada SeDenyNetworkLogonRight (Denegar el acceso a este equipo desde la red) para que coincidan con el ejemplo siguiente.

    SeDenyNetworkLogonRight =

    Nota:

    El ejemplo es el mismo para Windows 2000 Server y para Windows Server 2003.

    De forma predeterminada, Windows 2000 Server no tiene entradas en la entrada SeDenyNetworkLogonRight. De forma predeterminada, Windows Server 2003 solo tiene la cuenta de cadena Support_random en la entrada SeDenyNetworkLogonRight. (La asistencia remota usa la cuenta de cadena Support_random). Dado que la cuenta de cadena de Support_random utiliza un identificador de seguridad (SID) diferente en cada dominio, no se puede distinguir con facilidad de una cuenta de usuario típica con solo examinar el SID. Es posible que desee copiar el SID en otro archivo de texto y, luego, quitarlo de la entrada SeDenyNetworkLogonRight. De esa manera, puede volver a colocarlo cuando haya terminado de solucionar el problema.

    SeNetworkLogonRight y SeDenyNetworkLogonRight se pueden definir en cualquier directiva. Si los pasos anteriores no resuelven el problema, compruebe el archivo Gpttmpl.inf en otras directivas de Sysvol para confirmar que los derechos de usuario no se definen allí también. Si un archivo Gpttmpl.inf no contiene ninguna referencia a SeNetworkLogonRight o a SeDenyNetworkLogonRight, esa configuración no está definida en la directiva y esa directiva no está causando este problema. Si esas entradas existen, asegúrese de que coincidan con la configuración enumerada anteriormente para la directiva predeterminada de controladores de dominio.

Método 4: Comprobar que el atributo userAccountControl del controlador de dominio es 532480

  1. Haga clic en Inicio y en Ejecutar y escriba adsiedit.msc.
  2. Expanda NC de dominio, DC=dominio y OU=Domain Controllers.
  3. Haga clic con el botón derecho en el controlador de dominio afectado y, después, haga clic en Propiedades.
  4. En Windows Server 2003, haga clic para seleccionar la casilla Mostrar atributos obligatorios y la casilla Mostrar atributos opcionales en la pestaña Editor de atributos. En Windows 2000 Server, haga clic en Ambos en el cuadro Seleccionar qué propiedades se van a ver.
  5. En Windows Server 2003, haga clic en userAccountControl en el cuadro Atributos. En Windows 2000 Server, haga clic en userAccountControl en el cuadro Seleccionar propiedades para ver.
  6. Si el valor no es 532480, escriba 532480 en el cuadro Editar atributo, haga clic en Establecer, en Aplicar y en Aceptar.
  7. Salga del Editor ADSI.

Método 5: Corregir el dominio Kerberos (confirmar que la clave del Registro PolAcDmN y la clave del Registro PolPrDmN coinciden)

Nota:

Este método solo es válido para Windows 2000 Server.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

  1. Inicie el Editor del Registro.
  2. En el panel izquierdo, expanda Seguridad.
  3. En el menú Seguridad, haga clic en Permisos para conceder al grupo local Administradores control total del subárbol SEGURIDAD y sus contenedores y objetos secundarios.
  4. Busque la clave HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. En el panel derecho del Editor del Registro, haga clic en la entrada <Sin nombre>: REG_NONE una vez.
  6. En el menú Vista, haga clic en Mostrar datos binarios. En la sección Formato del cuadro de diálogo, haga clic en Byte.
  7. El nombre de dominio aparece como una cadena en el lado derecho del cuadro de diálogo Datos binarios. El nombre de dominio es el mismo que el dominio Kerberos.
  8. Busque la clave del Registro HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. En el panel derecho del Editor del Registro, haga doble clic en la entrada <Sin nombre>: REG_NONE.
  10. En el cuadro de diálogo Editor binario, pegue el valor de PolPrDmN. (El valor de PolPrDmN será el nombre de dominio NetBIOS).
  11. Reinicie el controlador de dominio.

Método 6: Restablecer la contraseña de la cuenta de equipo y obtener un nuevo vale de Kerberos

  1. Detenga el servicio Centro de distribución de claves Kerberos y establezca el valor de inicio en Manual.

  2. Utilice la herramienta Netdom desde las Herramientas de soporte de Windows 2000 Server o desde las Herramientas de soporte de Windows Server 2003 para restablecer la contraseña de la cuenta de equipo del controlador de dominio:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>

    Asegúrese de que el comando netdom se devuelve como completado correctamente. Si no es así, el comando no ha funcionado. Para el dominio Contoso, donde el controlador de dominio afectado es DC1 y un controlador de dominio en funcionamiento es DC2, ejecute el siguiente comando netdom desde la consola de DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>

  3. Reinicie el controlador de dominio afectado.

  4. Inicie el servicio Centro de distribución de claves Kerberos y establezca la configuración de inicio en Automático.

Para obtener más información acerca de este problema, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
323542 No se puede iniciar la herramienta de Usuarios y equipos de Active Directory porque el servidor no está operativo