El controlador de dominio no funciona correctamente

Seleccione idioma Seleccione idioma
Id. de artículo: 837513 - Ver los productos a los que se aplica este artículo
Importante
Este artículo contiene información acerca de cómo se modifica el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad de él y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Síntomas

Cuando ejecuta la herramienta Dcdiag en un controlador de dominio basado en Microsoft Windows 2000 Server o Windows Server 2003, puede recibir el mensaje de error siguiente:
Diagnóstico de DC
Realizar la instalación inicial:
[DC1] se produjo el error 31 en el enlace de LDAP
Cuando ejecuta la utilidad REPADMIN /SHOWREPS localmente en un controlador de dominio, puede recibir el mensaje de error siguiente:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Error 82 de LDAP (error local).

Cuando intenta utilizar los recursos de red de la consola de un controlador de dominio afectado, incluidos los recursos de Convención de nomenclatura universal (UNC, Universal Naming Convention) o las unidades de red asignadas, puede recibir el mensaje de error siguiente:
No hay servidores de inicio de sesión disponibles (c000005e = "STATUS_NO_LOGON_SERVERS")
Si inicia cualquier herramienta administrativa de Active Directory desde la consola de un controlador de dominio afectado, incluidos Sitios y servicios de Active Directory y Usuarios y equipos de Active Directory, puede recibir uno de los mensajes de error siguientes:
No se puede encontrar la información de nombres debido a: No se puede establecer conexión con ninguna autoridad para autenticación. Póngase en contacto con el administrador de su sistema para comprobar que su dominio está configurado y está conectado actualmente.
No se puede encontrar la información de nombres debido a: El nombre de cuenta destino es incorrecto. Póngase en contacto con el administrador de su sistema para comprobar que su dominio está configurado y está conectado actualmente.
A los clientes de Microsoft Outlook conectados a equipos de Microsoft Exchange Server que están utilizando los controladores de dominio afectados para la autenticación se les pueden solicitar las credenciales de inicio de sesión, aunque la autenticación de inicio de sesión funcione correctamente en otros controladores de dominio.

La herramienta Netdiag puede mostrar los mensajes de error siguientes:
Comprobación de lista de DC. . . . . . . . . . . : Error
[ADVERTENCIA] No se puede llamar a DsBind en <nombreServidor>.<nombreDominioCompleto> (<dirección IP>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Comprobación de Kerberos. . . . . . . . . . . : Error
[GRAVE] Kerberos no tiene un vale para krbtgt/<nombreDominioCompleto>.
[GRAVE] Kerberos no tiene un vale para <nombreHost>.
Comprobación de LDAP. . . . . . . . . . . . . : Pasado
[ADVERTENCIA] No se pudo consultar el registro de SPN en el controlador de dominio <nombreHost> \<nombreCompleto>


El suceso siguiente se puede grabar en el registro de sucesos del sistema del controlador de dominio afectado:

Tipo de suceso: Error
Origen del suceso: Administrador de control de servicios
Id. de suceso: 7023
Descripción: El servicio Centro de distribución de claves Kerberos terminó con el error siguiente: El Servidor Autoridad de seguridad local (LSA) o Administrador de cuentas de seguridad (SAM) se encontraba en un estado incorrecto para ejecutar la operación de seguridad.

Solución

Hay varias soluciones para estos síntomas. Lo siguiente es una lista de métodos que puede intentar. La lista va seguida de los pasos para realizar cada método. Pruebe cada método hasta que se resuelva el problema. Se muestran artículos de Microsoft Knowledge Base que describen las correcciones menos comunes para estos síntomas más adelante.
  1. Método 1: Corregir los errores del Sistema de nombres de dominio (DNS).
  2. Método 2: Sincronizar la hora entre los equipos.
  3. Método 3: Comprobar los derechos de usuario Tener acceso a este equipo desde la red.
  4. Método 4: Comprobar que el atributo userAccountControl del controlador de dominio es 532480.
  5. Método 5: Corregir el territorio de Kerberos (confirmar que las claves del Registro PolAcDmN y PolPrDmN coinciden).
  6. Método 6: Restablecer la contraseña de la cuenta de equipo y, a continuación, obtener un nuevo vale de Kerberos.

Método 1: Corregir los errores del Sistema de nombres de dominio (DNS)

  1. En el símbolo del sistema, ejecute el comando netdiag -v. Este comando crea un archivo Netdiag.log en la carpeta donde se ejecutó el comando.
  2. Resuelva cualquier error de DNS en el archivo Netdiag.log antes de continuar. La herramienta Netdiag está en Herramientas de soporte técnico de Windows 2000 Server en el CD-ROM de Windows 2000 Server o como una descarga. Para descargar las Herramientas de soporte técnico de Windows 2000 Server, visite el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx
  3. Asegúrese de que DNS esté configurado correctamente. Uno de los errores de DNS más comunes es señalar el controlador de dominio a un Proveedor de servicios de Internet (ISP) para DNS en lugar de señalar DNS a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Recomendamos que señale el controlador de dominio a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Recomendamos que establezca los reenviadores en el ISP para la resolución de nombres en Internet.
Para obtener información adicional sobre la configuración de DNS para el servicio de directorio Active Directory, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
291382 Preguntas más frecuentes acerca de Windows 2000 DNS y Windows Server 2003 DNS
237675 Configuración del Sistema de nombres de dominio para Active Directory
254680 Planeación del espacio de nombres DNS
255248 Cómo crear un dominio secundario en Active Directory y delegar el espacio de nombres DNS al dominio secundario

Método 2: Sincronizar la hora entre los equipos

Compruebe que la hora está correctamente sincronizada entre los controladores de dominio. Además, compruebe que esté sincronizada correctamente entre los equipos cliente y controladores de dominio.

Para obtener más información acerca de cómo configurar el Servicio de hora de Windows, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
258059 Cómo sincronizar la hora en un equipo basado en Windows 2000 en un dominio de Windows NT 4.0
216734 Cómo configurar un servidor horario con autoridad en Windows 2000

Método 3: Comprobar los derechos de usuario "Tener acceso a este equipo desde la red"

Modifique el archivo Gpttmpl.inf para confirmar que los usuarios adecuados tienen el derecho de usuario Tener acceso a este equipo desde la red en el controlador de dominio. Para ello, siga estos pasos:
  1. Modifique el archivo Gpttmpl.inf para la directiva de controladores de dominio predeterminada. De forma predeterminada, la directiva de controladores de dominio predeterminada es donde los derechos de usuario se definen para un controlador de dominio. De forma predeterminada, el archivo Gpttmpl.inf para la directiva de controladores de dominio predeterminada se encuentra en la carpeta siguiente.

    Nota
    Sysvol puede estar en una ubicación diferente, pero la ruta de acceso al archivo Gpttmpl.inf será la misma.

    En controladores de dominio de Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<nombreDominio>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    En controladores de dominio de Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<nombreDominio>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. A la derecha de la entrada SeNetworkLogonRight, agregue los identificadores de seguridad para Administradores, Usuarios autenticados y Todos. Vea los ejemplos siguientes.

    En controladores de dominio de Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    En controladores de dominio de Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Nota
    Administradores (S-1-5-32), Usuarios autenticados (S-1-5-11), Todos (S-1-1-0) y Controladores empresariales (S-1-5-9) utilizan identificadores de seguridad conocidos que son el mismo en cada dominio.
  3. Quite cualquier entrada situada a la derecho de SeDenyNetworkLogonRight (Denegar el acceso desde la red a este equipo) para que coincida con el ejemplo siguiente.

    SeDenyNetworkLogonRight =

    Nota
    El ejemplo es el mismo para Windows 2000 Server y para Windows Server 2003.

    De forma predeterminada, Windows 2000 Server no tiene ninguna entrada en SeDenyNetworkLogonRight. De forma predeterminada, Windows Server 2003 tiene sólo la cuenta Support_cadena aleatoria en la entrada SeDenyNetworkLogonRight. (Asistencia remota utiliza la cuenta Support_cadena aleatoria.) Dado que la cuenta Support_cadena aleatoria utiliza un identificador de seguridad diferente (SID) en cada dominio, la cuenta no se distingue con facilidad de una cuenta de usuario típica con sólo examinar el SID. Quizás desee copiar el SID a otro archivo de texto y, a continuación, quitar el SID de la entrada SeDenyNetworkLogonRight. Así, puede volverlo a poner cuando finalice la solución del problema.

    SeNetworkLogonRight y SeDenyNetworkLogonRight se pueden definir en cualquier directiva. Si los pasos anteriores no resuelven el problema, compruebe el archivo Gpttmpl.inf en otras directivas de Sysvol para confirmar que no se definen los derechos de usuario también allí. Si un archivo Gpttmpl.inf no contiene ninguna referencia a SeNetworkLogonRight o SeDenyNetworkLogonRight, esa configuración no se define en la directiva y esa directiva no produce el problema. Si esas entradas existen, asegúrese de que coinciden con la configuración mostrada anteriormente para la directiva de controlador de dominio predeterminada.

Método 4: Comprobar que el atributo userAccountControl del controlador de dominio es 532480

  1. Haga clic en Iniciar, en Ejecutar y, a continuación, escriba adsiedit.msc.
  2. Expanda Domain NC (NC de dominio), DC=dominio y, a continuación, OU=Domain Controllers (Unidad organizativa=controladores de dominio).
  3. Haga clic con el botón secundario del mouse (ratón) en el controlador de dominio y, a continuación, haga clic en Properties (Propiedades).
  4. En Windows Server 2003, haga clic para activar la casilla de verificación Show mandatory attributes (Mostrar atributos obligatorios) y la casilla de verificación Show optional attributes (Mostrar atributos opcionales) en la ficha Attribute Editor (Editor de atributos). En Windows 2000 Server, haga clic en Both (Ambas) en el cuadro Select which properties to view (Seleccione las propiedades para ver).
  5. En Windows Server 2003, haga clic en userAccountControl en el cuadro Attributes (Atributos). En Windows 2000 Server, haga clic en userAccountControl en el cuadro Select a property to view (Seleccione una propiedad para ver).
  6. Si el valor no es 532480, escriba 532480 en el cuadro Edit Attribute (Editar atributo), haga clic en Set (Establecer), haga clic en Apply (Aplicar) y, a continuación, haga clic en OK (Aceptar).
  7. Salga de ADSI Edit.

Método 5: Corregir el territorio de Kerberos (confirmar que las claves del Registro PolAcDmN y PolPrDmN coinciden)

Nota
Este método sólo es válido para Windows 2000 Server.
Advertencia
Si utiliza incorrectamente el Editor del Registro pueden surgir problemas graves que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
  1. Inicie el Editor del Registro.
  2. En el panel de la izquierda, expanda Seguridad.
  3. En el menú Seguridad, haga clic en Permisos para conceder al grupo local Administradores el Control total de la sección SECURITY y sus contenedores secundarios y objetos.
  4. Busque la clave HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. En el panel derecho del Editor del Registro, haga clic en la entrada <Ningún nombre>: REG_NONE una vez.
  6. En el menú Ver, haga clic en Mostrar datos binarios. En la sección Formato del cuadro de diálogo, haga clic en Byte.
  7. El nombre de dominio aparece como una cadena en el lado derecho del cuadro de diálogo Datos binarios. El nombre de dominio es igual que el territorio de Kerberos.
  8. Busque la clave del Registro HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. En el panel derecho del Editor del Registro, haga doble clic en la entrada <Ningún nombre>: REG_NONE.
  10. En el cuadro de diálogo Editor binario, pegue el valor de PolPrDmN. (El valor de PolPrDmN será el nombre de dominio de NetBios).
  11. Reinicie el controlador de dominio.

Método 6: Restablecer la contraseña de la cuenta de equipo y, a continuación, obtener un nuevo vale de Kerberos

  1. Detenga el servicio Centro de distribución de claves Kerberos y, a continuación, establezca el valor de inicio en Manual.
  2. Utilice la herramienta Netdom de las Herramientas de soporte técnico de Windows 2000 Server o de las Herramientas de soporte técnico de Windows Server 2003 para restablecer la contraseña de la cuenta de equipo del controlador de dominio:

    netdom resetpwd /server:otro controlador de dominio /userd domain\administrator /passwordd:contraseña de administrador

    Asegúrese de que el comando netdom se devuelve como finalizado correctamente. De lo contrario, el comando no funcionó. Para el dominio Contoso, donde el controlador de dominio afectado es DC1 y un controlador de dominio activo es DC2, ejecutaría el siguiente comando de netdom desde la consola de DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:contraseña de administrador
  3. Reinicie el controlador de dominio afectado.
  4. Inicie el servicio Centro de distribución de claves Kerberos y, a continuación, establezca la configuración de inicio en Automático.

Para obtener más información acerca de este problema, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
325322 Recibe el mensaje de error "El servidor no está operativo" cuando intenta abrir Exchange System Manager
284929 No se pueden iniciar los complementos de Active Directory; un mensaje de error indica que no se pudo contactar con una entidad para la autenticación
257623 El sufijo DNS del nombre de equipo de un nuevo controlador de dominio puede no coincidir con el nombre del dominio después de instalar una actualización de un controlador de dominio principal de Windows NT 4.0 a Windows 2000
257346 El derecho de usuario "Tener acceso a este equipo desde la red" impide el funcionamiento de las herramientas
316710 Deshabilitar la distribución de claves Kerberos impide que se inicien los servicios Exchange
329642 Recibe mensajes de error cuando abre los complementos de Active Directory y Exchange System Manager
272686 Recibe mensajes de error cuando está abierto el complemento Usuarios y equipos de Active Directory
323542 No puede iniciar la herramienta Usuarios y equipos de Active Directory porque el servidor no es operativo
329887 No puede interactuar con los complementos MMC de Active Directory
325465 Los controladores de dominio de Windows 2000 requieren SP3 o una versión posterior cuando usan las herramientas de administración de Windows Server 2003
322267 Quitar el Cliente para redes Microsoft quita también otros servicios
297234 Existe una diferencia de tiempo entre el cliente y el servidor
247151 Los usuarios de dominio de nivel inferior pueden recibir un mensaje de error cuando inician complementos MMC
280833 No especificar todas las zonas DNS de un cliente proxy causa errores de DNS que son difíciles de rastrear
322307 No se pueden iniciar los servicios de Exchange o los complementos de Active Directory después de instalar el Service Pack 2 (SP2) de Windows 2000

Propiedades

Id. de artículo: 837513 - Última revisión: viernes, 02 de febrero de 2007 - Versión: 1.6
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palabras clave: 
kberrmsg kbtshoot kbactivedirectory kbactivedirectoryrepl kbevent KB837513

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com