El controlador de dominio no funciona correctamente

Cuando ejecuta la herramienta Dcdiag en un controlador de dominio basado en Microsoft Windows 2000 Server o Windows Server 2003, puede recibir el mensaje de error siguiente: Cuando ejecuta la utilidad REPADMIN /SHOWREPS localmente en un controlador de dominio, puede recibir el mensaje de error siguiente:
Cuando intenta utilizar los recursos de red de la consola de un controlador de dominio afectado, incluidos los recursos de Convención de nomenclatura universal (UNC, Universal Naming Convention) o las unidades de red asignadas, puede recibir el mensaje de error siguiente: Si inicia cualquier herramienta administrativa de Active Directory desde la consola de un controlador de dominio afectado, incluidos Sitios y servicios de Active Directory y Usuarios y equipos de Active Directory, puede recibir uno de los mensajes de error siguientes: A los clientes de Microsoft Outlook conectados a equipos de Microsoft Exchange Server que están utilizando los controladores de dominio afectados para la autenticación se les pueden solicitar las credenciales de inicio de sesión, aunque la autenticación de inicio de sesión funcione correctamente en otros controladores de dominio.

La herramienta Netdiag puede mostrar los mensajes de error siguientes:

El suceso siguiente se puede grabar en el registro de sucesos del sistema del controlador de dominio afectado:

Tipo de suceso: Error
Origen del suceso: Administrador de control de servicios
Id. de suceso: 7023
Descripción: El servicio Centro de distribución de claves Kerberos terminó con el error siguiente: El Servidor Autoridad de seguridad local (LSA) o Administrador de cuentas de seguridad (SAM) se encontraba en un estado incorrecto para ejecutar la operación de seguridad.

Hay varias soluciones para estos síntomas. Lo siguiente es una lista de métodos que puede intentar. La lista va seguida de los pasos para realizar cada método. Pruebe cada método hasta que se resuelva el problema. Se muestran artículos de Microsoft Knowledge Base que describen las correcciones menos comunes para estos síntomas más adelante.

1. Método 1: Corregir los errores del Sistema de nombres de dominio (DNS).
2. Método 2: Sincronizar la hora entre los equipos.
3. Método 3: Comprobar los derechos de usuario Tener acceso a este equipo desde la red.
4. Método 4: Comprobar que el atributo userAccountControl del controlador de dominio es 532480.
5. Método 5: Corregir el territorio de Kerberos (confirmar que las claves del Registro PolAcDmN y PolPrDmN coinciden).
6. Método 6: Restablecer la contraseña de la cuenta de equipo y, a continuación, obtener un nuevo vale de Kerberos.

Método 1: Corregir los errores del Sistema de nombres de dominio (DNS)

1. En el símbolo del sistema, ejecute el comando netdiag -v. Este comando crea un archivo Netdiag.log en la carpeta donde se ejecutó el comando.
2. Resuelva cualquier error de DNS en el archivo Netdiag.log antes de continuar. La herramienta Netdiag está en Herramientas de soporte técnico de Windows 2000 Server en el CD-ROM de Windows 2000 Server o como una descarga. Para descargar las Herramientas de soporte técnico de Windows 2000 Server, visite el siguiente sitio Web de Microsoft:
   http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx

   (http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx)
3. Asegúrese de que DNS esté configurado correctamente. Uno de los errores de DNS más comunes es señalar el controlador de dominio a un Proveedor de servicios de Internet (ISP) para DNS en lugar de señalar DNS a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Recomendamos que señale el controlador de dominio a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Recomendamos que establezca los reenviadores en el ISP para la resolución de nombres en Internet.

Para obtener información adicional sobre la configuración de DNS para el servicio de directorio Active Directory, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

Método 2: Sincronizar la hora entre los equipos

Compruebe que la hora está correctamente sincronizada entre los controladores de dominio. Además, compruebe que esté sincronizada correctamente entre los equipos cliente y controladores de dominio.

Para obtener más información acerca de cómo configurar el Servicio de hora de Windows, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

Método 3: Comprobar los derechos de usuario "Tener acceso a este equipo desde la red"

Modifique el archivo Gpttmpl.inf para confirmar que los usuarios adecuados tienen el derecho de usuario Tener acceso a este equipo desde la red en el controlador de dominio. Para ello, siga estos pasos:

1. Modifique el archivo Gpttmpl.inf para la directiva de controladores de dominio predeterminada. De forma predeterminada, la directiva de controladores de dominio predeterminada es donde los derechos de usuario se definen para un controlador de dominio. De forma predeterminada, el archivo Gpttmpl.inf para la directiva de controladores de dominio predeterminada se encuentra en la carpeta siguiente.
   
   Nota
   Sysvol puede estar en una ubicación diferente, pero la ruta de acceso al archivo Gpttmpl.inf será la misma.
   
   En controladores de dominio de Windows Server 2003:
   
   C:\WINDOWS\Sysvol\Sysvol\<nombreDominio>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
   
   En controladores de dominio de Windows 2000 Server:
   
   C:\WINNT\Sysvol\Sysvol\<nombreDominio>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
2. A la derecha de la entrada SeNetworkLogonRight, agregue los identificadores de seguridad para Administradores, Usuarios autenticados y Todos. Vea los ejemplos siguientes.
   
   En controladores de dominio de Windows Server 2003:
   
   SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
   
   En controladores de dominio de Windows 2000 Server:
   
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   
   Nota
   Administradores (S-1-5-32), Usuarios autenticados (S-1-5-11), Todos (S-1-1-0) y Controladores empresariales (S-1-5-9) utilizan identificadores de seguridad conocidos que son el mismo en cada dominio.
3. Quite cualquier entrada situada a la derecho de SeDenyNetworkLogonRight (Denegar el acceso desde la red a este equipo) para que coincida con el ejemplo siguiente.
   
   SeDenyNetworkLogonRight =
   
   Nota
   El ejemplo es el mismo para Windows 2000 Server y para Windows Server 2003.
   
   De forma predeterminada, Windows 2000 Server no tiene ninguna entrada en SeDenyNetworkLogonRight. De forma predeterminada, Windows Server 2003 tiene sólo la cuenta Support_cadena aleatoria en la entrada SeDenyNetworkLogonRight. (Asistencia remota utiliza la cuenta Support_cadena aleatoria.) Dado que la cuenta Support_cadena aleatoria utiliza un identificador de seguridad diferente (SID) en cada dominio, la cuenta no se distingue con facilidad de una cuenta de usuario típica con sólo examinar el SID. Quizás desee copiar el SID a otro archivo de texto y, a continuación, quitar el SID de la entrada SeDenyNetworkLogonRight. Así, puede volverlo a poner cuando finalice la solución del problema.
   
   SeNetworkLogonRight y SeDenyNetworkLogonRight se pueden definir en cualquier directiva. Si los pasos anteriores no resuelven el problema, compruebe el archivo Gpttmpl.inf en otras directivas de Sysvol para confirmar que no se definen los derechos de usuario también allí. Si un archivo Gpttmpl.inf no contiene ninguna referencia a SeNetworkLogonRight o SeDenyNetworkLogonRight, esa configuración no se define en la directiva y esa directiva no produce el problema. Si esas entradas existen, asegúrese de que coinciden con la configuración mostrada anteriormente para la directiva de controlador de dominio predeterminada.

Método 4: Comprobar que el atributo userAccountControl del controlador de dominio es 532480

1. Haga clic en Iniciar, en Ejecutar y, a continuación, escriba adsiedit.msc.
2. Expanda Domain NC (NC de dominio), DC=dominio y, a continuación, OU=Domain Controllers (Unidad organizativa=controladores de dominio).
3. Haga clic con el botón secundario del mouse (ratón) en el controlador de dominio y, a continuación, haga clic en Properties (Propiedades).
4. En Windows Server 2003, haga clic para activar la casilla de verificación Show mandatory attributes (Mostrar atributos obligatorios) y la casilla de verificación Show optional attributes (Mostrar atributos opcionales) en la ficha Attribute Editor (Editor de atributos). En Windows 2000 Server, haga clic en Both (Ambas) en el cuadro Select which properties to view (Seleccione las propiedades para ver).
5. En Windows Server 2003, haga clic en userAccountControl en el cuadro Attributes (Atributos). En Windows 2000 Server, haga clic en userAccountControl en el cuadro Select a property to view (Seleccione una propiedad para ver).
6. Si el valor no es 532480, escriba 532480 en el cuadro Edit Attribute (Editar atributo), haga clic en Set (Establecer), haga clic en Apply (Aplicar) y, a continuación, haga clic en OK (Aceptar).
7. Salga de ADSI Edit.

Método 5: Corregir el territorio de Kerberos (confirmar que las claves del Registro PolAcDmN y PolPrDmN coinciden)

Nota
Este método sólo es válido para Windows 2000 Server.
Advertencia
Si utiliza incorrectamente el Editor del Registro pueden surgir problemas graves que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

1. Inicie el Editor del Registro.
2. En el panel de la izquierda, expanda Seguridad.
3. En el menú Seguridad, haga clic en Permisos para conceder al grupo local Administradores el Control total de la sección SECURITY y sus contenedores secundarios y objetos.
4. Busque la clave HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
5. En el panel derecho del Editor del Registro, haga clic en la entrada <Ningún nombre>: REG_NONE una vez.
6. En el menú Ver, haga clic en Mostrar datos binarios. En la sección Formato del cuadro de diálogo, haga clic en Byte.
7. El nombre de dominio aparece como una cadena en el lado derecho del cuadro de diálogo Datos binarios. El nombre de dominio es igual que el territorio de Kerberos.
8. Busque la clave del Registro HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
9. En el panel derecho del Editor del Registro, haga doble clic en la entrada <Ningún nombre>: REG_NONE.
10. En el cuadro de diálogo Editor binario, pegue el valor de PolPrDmN. (El valor de PolPrDmN será el nombre de dominio de NetBios).
11. Reinicie el controlador de dominio.

Método 6: Restablecer la contraseña de la cuenta de equipo y, a continuación, obtener un nuevo vale de Kerberos

1. Detenga el servicio Centro de distribución de claves Kerberos y, a continuación, establezca el valor de inicio en Manual.
2. Utilice la herramienta Netdom de las Herramientas de soporte técnico de Windows 2000 Server o de las Herramientas de soporte técnico de Windows Server 2003 para restablecer la contraseña de la cuenta de equipo del controlador de dominio:
   
   netdom resetpwd /server:otro controlador de dominio /userd domain\administrator /passwordd:contraseña de administrador
   
   Asegúrese de que el comando netdom se devuelve como finalizado correctamente. De lo contrario, el comando no funcionó. Para el dominio Contoso, donde el controlador de dominio afectado es DC1 y un controlador de dominio activo es DC2, ejecutaría el siguiente comando de netdom desde la consola de DC1:
   
   netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:contraseña de administrador
3. Reinicie el controlador de dominio afectado.
4. Inicie el servicio Centro de distribución de claves Kerberos y, a continuación, establezca la configuración de inicio en Automático.

Para obtener más información acerca de este problema, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base: