Se producen errores de Userenv y se registran eventos después de aplicar directiva de grupo a equipos que ejecutan Windows Server 2003, Windows XP o Windows 2000

  • Artículo

En este artículo se proporciona una solución a los problemas por los que los equipos de la red no pueden conectarse a los objetos directiva de grupo (GPO) de las carpetas Sysvol de los controladores de dominio de red.

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 887303

Resumen

Puede experimentar uno o varios errores y eventos si se aplica directiva de grupo a los equipos de la red. Para determinar la causa del problema, debe solucionar la configuración de los equipos de la red. Siga estos pasos para solucionar la causa del problema:

  1. Examine la configuración de DNS y las propiedades de red en los servidores y equipos cliente.
  2. Examine la configuración de firma del bloque de mensajes del servidor en los equipos cliente.
  3. Asegúrese de que el servicio auxiliar netBIOS de TCP/IP, el servicio Net Logon y el servicio llamada a procedimiento remoto (RPC) se inician en todos los equipos.
  4. Asegúrese de que el sistema de archivos distribuido (DFS) está habilitado en todos los equipos.
  5. Examine el contenido y los permisos de la carpeta Sysvol.
  6. Asegúrese de que la derecha omitir comprobación de recorrido se concede a los grupos necesarios.
  7. Asegúrese de que los controladores de dominio no están en un estado de ajuste de diario.
  8. Ejecute el comando dfsutil /purgemupcache.

Síntomas

Experimenta uno o varios de los síntomas siguientes en un equipo que ejecuta Microsoft Windows Server 2003, Microsoft Windows XP o Microsoft Windows 2000:

  • directiva de grupo configuración no se aplica a los equipos.

  • directiva de grupo replicación no se completa entre los controladores de dominio de la red.

  • No puede abrir directiva de grupo complementos. Por ejemplo, no puede abrir el complemento Directiva de seguridad del controlador de dominio ni el complemento Directiva de seguridad de dominio.

  • Si intenta abrir un complemento de directiva de grupo, recibirá uno de los siguientes mensajes de error:

    No se pudo abrir el objeto directiva de grupo. Es posible que no tenga los derechos adecuados.
    Detalles: la cuenta no está autorizada para iniciar sesión desde esta estación.

    No tiene permiso para realizar esta operación.
    Detalles: se deniega el acceso.

    No se pudo abrir el objeto directiva de grupo. Es posible que no tenga los derechos adecuados.
    Detalles: el sistema no puede encontrar la ruta de acceso especificada.

  • Si intenta acceder a archivos compartidos en cualquier controlador de dominio, recibirá un mensaje de error. Este síntoma se produce incluso si ha iniciado sesión en el servidor e intenta acceder a un recurso compartido local. En concreto, este síntoma puede afectar al acceso al recurso compartido Sysvol de un controlador de dominio.

  • Si intenta acceder a un recurso compartido de archivos, se le pedirá repetidamente una contraseña.

  • Si intenta acceder a un recurso compartido de archivos, recibirá un mensaje de error similar a uno de los siguientes mensajes de error:

    \\Nombre_de_servidor\Share_Name no es accesible. Es posible que no tenga permisos para usar este recurso de red. Póngase en contacto con el administrador de este servidor para comprobar si tiene permisos de acceso.
    La cuenta no está autorizada para iniciar sesión desde esta estación.

    \\Nombre_de_servidor\Share_Name no es accesible.
    La cuenta no está autorizada para iniciar sesión desde esta estación.

    No se ha encontrado la ruta de acceso de la red.

Si ve el inicio de sesión de la aplicación en Visor de eventos en Windows XP o Windows Server 2003, verá eventos similares a los siguientes:

Tipo de evento: Error

Origen del evento: Userenv
Categoría de eventos: Ninguno
Id. de evento: 1058

Fecha: Fecha
Hora:
Time
Usuario:
User_name
Computadora:
Computer_Name
Descripción: Windows no puede acceder al archivo gpt.ini para GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= domainname,DC=com . El archivo debe estar presente en la ubicación <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>. (Error_Message). directiva de grupo procesamiento anulado. Para obtener más información, vea Ayuda y Centro de soporte técnico en https://support.microsoft.com.

El mensaje de error que aparece en el marcador de posición Error_Message del identificador de evento 1058 puede ser cualquiera de los siguientes mensajes de error:

  • No se ha encontrado la ruta de acceso de la red.

  • Acceso denegado.

  • No se pudo leer la información de configuración del controlador de dominio, ya sea porque la máquina no está disponible o porque se ha denegado el acceso.

Tipo de evento: Error
Origen del evento: Userenv
Categoría de eventos: Ninguno
Identificador de evento: 1030
Fecha:
Date
Hora:
Time
Usuario:
User_name
Computadora:
Computer_Name
Descripción: Windows no puede consultar la lista de objetos directiva de grupo. Mensaje que describe el motivo por el que el motor de directivas registró anteriormente esto. Para obtener más información, vea Ayuda y Centro de soporte técnico en https://support.microsoft.com.

Normalmente, si se producen el identificador de evento 1058 y el identificador de evento 1030, los equipos cliente y los servidores miembros los registran cuando se inicia el equipo. Los controladores de dominio registran estos eventos cada cinco minutos.

Si ve el registro de aplicación en Visor de eventos en un equipo basado en Windows 2000, verá eventos similares a los siguientes:

Tipo de evento: Error
Origen del evento: Userenv

Categoría de eventos: Ninguno
Identificador de evento: 1000
Fecha:
Date
Hora:
Time
Usuario: NT AUTHORITY\SYSTEM
Computadora:
Computer_Name
Descripción: Windows no puede acceder a la información del Registro en \\ domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol con (Error_Code).

El código de error que aparece en el marcador de posición Error_Code del identificador de evento 1000 puede ser cualquiera de los siguientes códigos de error:

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

Causa

Estos problemas se producen si los equipos que están en la red no pueden conectarse a determinados objetos directiva de grupo. En concreto, estos objetos se encuentran en las carpetas Sysvol de los controladores de dominio de la red.

Solución

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

Para resolver este problema, debe solucionar la configuración de la red para restringir la causa del problema y, a continuación, corregir la configuración. Para solucionar la posible causa de este problema, siga estos pasos:

Paso 1: Examinar la configuración dns y las propiedades de red en los servidores y equipos cliente

En las propiedades de conexión de área local, el cliente de Microsoft Networks debe estar habilitado en todos los servidores y equipos cliente. El componente Compartir archivos e impresoras para redes de Microsoft debe estar habilitado en todos los controladores de dominio.

Además, todos los equipos de la red deben usar servidores DNS que puedan resolver registros SRV y nombres de host para el bosque de Active Directory donde el equipo es miembro. Normalmente, un error de configuración común es que los equipos cliente usen los servidores DNS que pertenecen al proveedor de servicios de Internet (ISP).

En todos los equipos que han registrado los errores userenv, examine la configuración de DNS y las propiedades de red. Además, compruebe esta configuración en todos los controladores de dominio, independientemente de si registran o no errores de Userenv.

Para comprobar la configuración de DNS y las propiedades de red en equipos basados en Windows XP en la red, siga estos pasos:

  1. Seleccione Inicio y luego Panel de control.
  2. Si Panel de control está establecido en Vista de categorías, seleccione Cambiar a vista clásica.
  3. Haga doble clic en Red Connections, haga clic con el botón derecho en Conexión de área localy, a continuación, seleccione Propiedades.
  4. En la pestaña General , haga clic para activar la casilla Cliente para redes de Microsoft .
  5. Seleccione Protocolo de Internet (TCP/IP) y, a continuación, propiedades.
  6. Si se selecciona Usar las siguientes direcciones de servidor DNS , asegúrese de que las direcciones IP de los servidores DNS preferidos y alternativos son las direcciones IP de los servidores DNS que pueden resolver registros SRV y nombres de host en Active Directory. En concreto, el equipo no debe usar los servidores DNS que pertenecen al ISP. Si las direcciones del servidor DNS no son correctas, escriba las direcciones IP de los servidores DNS correctos en los cuadros Servidor DNS preferido y Servidor DNS alternativo .
  7. Seleccione Avanzadas y, a continuación, seleccione la pestaña DNS .
  8. Haga clic para activar la casilla Registrar las direcciones de esta conexión en DNS y, a continuación, seleccione Aceptar tres veces.
  9. Inicie un símbolo del sistema. Para ello, seleccione Inicio, Ejecutar, escriba cmd y, a continuación, seleccione Aceptar.
  10. Escriba ipconfig /flushdns y presione ENTRAR. Escriba ipconfig /registerdns y presione ENTRAR.
  11. Reinicie el equipo para que los cambios surtan efecto.

Para comprobar la configuración de DNS y las propiedades de red en equipos basados en Windows 2000 en la red, siga estos pasos:

  1. Seleccione Inicio, seleccione Configuración y, a continuación, seleccione Panel de control.

  2. Haga doble clic en Red y acceso telefónico Connections.

  3. Haga clic con el botón derecho en Conexión de área local y, a continuación, seleccione Propiedades.

  4. En la pestaña General , haga clic para activar la casilla Cliente para redes de Microsoft .

  5. Si el equipo es un controlador de dominio, haga clic para activar la casilla Compartir archivos e impresoras para Microsoft Networks .

    Nota:

    En servidores de acceso remoto de varios hogares y servidores basados en servidor de Microsoft Internet Security and Acceleration (ISA), puede deshabilitar el componente Uso compartido de archivos e impresoras para redes microsoft para el adaptador de red que está conectado a Internet. Sin embargo, el componente Cliente para redes de Microsoft debe estar habilitado para todos los adaptadores de red del servidor.

  6. Seleccione Protocolo de Internet (TCP/IP) y, a continuación, haga clic en Propiedades.

  7. Si se selecciona Usar las siguientes direcciones de servidor DNS , asegúrese de que las direcciones IP de los servidores DNS preferidos y alternativos son las direcciones IP de los servidores DNS que pueden resolver registros SRV y nombres de host en Active Directory. En concreto, el equipo no debe usar los servidores DNS que pertenecen al ISP. Si las direcciones del servidor DNS no son correctas, escriba las direcciones IP de los servidores DNS correctos en los cuadros Servidor DNS preferido y Servidor DNS alternativo .

  8. Seleccione Avanzadas y, a continuación, seleccione la pestaña DNS .

  9. Haga clic para activar la casilla Registrar las direcciones de esta conexión en DNS y, a continuación, seleccione Aceptar tres veces.

  10. Inicie un símbolo del sistema. Para ello, seleccione Inicio, Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.

  11. Escriba ipconfig /flushdns y presione ENTRAR. Escriba ipconfig /registerdns y presione ENTRAR.

  12. Reinicie el equipo.

Para comprobar la configuración de DNS y las propiedades de red en equipos basados en Windows Server 2003 en la red, siga estos pasos:

  1. Seleccione Inicio, seleccione Panel de control y, a continuación, haga doble clic en Red Connections.

  2. Haga clic con el botón derecho en la conexión de área local y, a continuación, seleccione Propiedades.

  3. En la pestaña General , haga clic para activar la casilla Cliente para redes de Microsoft .

  4. Si el equipo es un controlador de dominio, haga clic para activar la casilla Compartir archivos e impresoras para Microsoft Networks .

    Nota:

    En servidores de acceso remoto de varios hogares y servidores basados en servidor ISA, puede deshabilitar el componente Uso compartido de archivos e impresoras para redes de Microsoft para el adaptador de red que está conectado a Internet. Sin embargo, el componente Cliente para redes de Microsoft debe estar habilitado para todos los adaptadores de red del servidor.

  5. Seleccione Protocolo de Internet (TCP/IP) y, a continuación, propiedades.

  6. Si se selecciona Usar las siguientes direcciones de servidor DNS , asegúrese de que las direcciones IP de los servidores DNS preferidos y alternativos son las direcciones IP de los servidores DNS que pueden resolver registros SRV y nombres de host en Active Directory. En concreto, el equipo no debe usar los servidores DNS que pertenecen al ISP. Si las direcciones del servidor DNS no son correctas, escriba las direcciones IP de los servidores DNS correctos en los cuadros Servidor DNS preferido y Servidor DNS alternativo .

  7. Seleccione Avanzadas y, a continuación, seleccione la pestaña DNS .

  8. Haga clic para activar la casilla Registrar las direcciones de esta conexión en DNS y, a continuación, seleccione Aceptar tres veces.

  9. Inicie un símbolo del sistema. Para ello, seleccione Inicio, Ejecutar, escriba cmd y, a continuación, seleccione Aceptar.

  10. Escriba ipconfig /flushdns y presione ENTRAR. Escriba ipconfig /registerdns y presione ENTRAR.

  11. Reinicie el equipo para que los cambios surtan efecto.

Si los equipos cliente de la red están configurados para obtener sus direcciones IP automáticamente, asegúrese de que el equipo que ejecuta el servicio DHCP asigna las direcciones IP de los servidores DNS que pueden resolver registros SRV y nombres de host en Active Directory.

Para determinar qué direcciones IP usa un equipo para DNS, siga estos pasos:

  1. Inicie un símbolo del sistema. Para ello, seleccione Inicio, Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
  2. Escriba ipconfig /all y presione ENTRAR.
  3. Tenga en cuenta las entradas DNS que aparecen en la pantalla.

Si los equipos configurados para obtener direcciones IP automáticamente no usan los servidores DNS correctos, consulte la documentación del servidor DHCP para obtener información sobre cómo configurar la opción servidores DNS. Además, asegúrese de que cada equipo puede resolver la dirección IP del dominio. Para ello, escriba ping Your_Domain_Name. Your_Domain_Root en un símbolo del sistema y, a continuación, presione ENTRAR. En su lugar, escriba nslookup Your_Domain_Name. Your_Domain_Root y, a continuación, presione ENTRAR.

Nota:

Se espera que este nombre de host se resuelva en la dirección IP de uno de los controladores de dominio de la red. Si el equipo no puede resolver este nombre o si el nombre se resuelve en la dirección IP incorrecta, asegúrese de que la zona de búsqueda directa del dominio contiene registros de host (A) válidos (igual que la carpeta principal ).

Para asegurarse de que la zona de búsqueda directa del dominio contiene registros de host (A) válidos (igual que la carpeta principal ) en un equipo basado en Windows 2000, siga estos pasos:

  1. En un controlador de dominio que ejecuta DNS, seleccione Inicio, Programas, Herramientas administrativas y, a continuación, DNS.

  2. Expanda Your_Server_Name, expanda Zonas de búsqueda directa y, a continuación, seleccione la zona de búsqueda directa del dominio.

  3. Busque (igual que la carpeta primaria) registros de host (A).

  4. Si no existe un registro host (A) (igual que la carpeta primaria ), siga estos pasos para crear uno:

    1. En el menú Acción , seleccione Nuevo host.
    2. En el cuadro Dirección IP , escriba la dirección IP del adaptador de red local del controlador de dominio.
    3. Haga clic para activar la casilla Crear registro de puntero asociado (PTR) y, a continuación, seleccione Agregar host.
    4. Cuando reciba el siguiente mensaje, seleccione :

      (igual que la carpeta primaria) no es un nombre de host válido. ¿Está seguro de que desea agregar este registro?

  5. Haga doble clic en el registro host (A) (igual que la carpeta primaria ).

  6. Compruebe que la dirección IP correcta aparece en el cuadro Dirección IP .

  7. Si la dirección IP del cuadro Dirección IP no es válida, escriba la dirección IP correcta en el cuadro Dirección IP y, a continuación, seleccione Aceptar.

  8. En su lugar, puede eliminar el registro host (A) (igual que la carpeta principal ) que contiene una dirección IP que no es válida. Para eliminar el registro host (A) (igual que la carpeta principal ), haga clic con el botón derecho en él y, a continuación, seleccione Eliminar.

  9. Si el servidor DNS es un controlador de dominio que también es un servidor de enrutamiento y acceso remoto, consulte Resolución de nombres y problemas de conectividad en un servidor de enrutamiento y acceso remoto que también ejecuta DNS o WINS.

  10. En todos los equipos en los que agregue, elimine o modifique registros DNS, escriba ipconfig /flushdns en un símbolo del sistema y, a continuación, presione ENTRAR.

Para asegurarse de que la zona de búsqueda directa del dominio contiene registros de host (A) válidos (igual que la carpeta principal ) en un equipo basado en Windows Server 2003, siga estos pasos:

  1. En un controlador de dominio que ejecuta DNS, seleccione Inicio, Herramientas administrativas y, a continuación, DNS.

  2. Expanda Your_Server_Name, expanda Zonas de búsqueda directa y, a continuación, seleccione la zona de búsqueda directa del dominio.

  3. Busque el registro host (A) (igual que la carpeta primaria ).

  4. Si el registro host (A) ( igual que la carpeta principal) no existe, siga estos pasos para crear uno:

    1. En el menú Acción, seleccione Nuevo host (A).
    2. En el cuadro Dirección IP , escriba la dirección IP del adaptador de red local del controlador de dominio.
    3. Haga clic para activar la casilla Crear registro de puntero asociado (PTR) y, a continuación, seleccione Agregar host.
    4. Cuando reciba el siguiente mensaje, seleccione :

      (igual que la carpeta primaria) no es un nombre de host válido. ¿Está seguro de que desea agregar este registro?

  5. Haga doble clic en el registro host (A) (igual que la carpeta primaria ).

  6. Compruebe que la dirección IP correcta aparece en el cuadro Dirección IP .

  7. Si la dirección IP está en el cuadro Dirección IP no es válida, escriba la dirección IP correcta en el cuadro Dirección IP y, a continuación, seleccione Aceptar.

  8. En su lugar, puede eliminar el registro host (A) (igual que la carpeta principal ) que contiene la dirección IP que no es válida. Para eliminar el registro host (A), haga clic con el botón derecho (igual que la carpeta primaria) y, a continuación, seleccione Eliminar.

  9. Si el servidor DNS es un controlador de dominio que también es un servidor de enrutamiento y acceso remoto, consulte Resolución de nombres y problemas de conectividad en un servidor de enrutamiento y acceso remoto que también ejecuta DNS o WINS.

  10. En todos los equipos en los que agregue, elimine o modifique registros DNS, escriba ipconfig /flushdns en un símbolo del sistema y, a continuación, presione ENTRAR.

Paso 2: Examinar la configuración de firma del bloque de mensajes del servidor en los equipos cliente y servidores miembros

La configuración de firma del bloque de mensajes del servidor (SMB) define si los equipos de la red firman digitalmente las comunicaciones. Si la configuración de firma smb no está configurada correctamente, es posible que los equipos cliente o los servidores miembros no puedan conectarse a los controladores de dominio.

Por ejemplo, es posible que los controladores de dominio requieran la firma SMB, pero la firma SMB puede estar deshabilitada en los equipos cliente. Si se produce este problema, directiva de grupo no se puede aplicar correctamente. Por lo tanto, los equipos cliente registran errores de entorno de usuario (Userenv) en el registro de aplicación. A veces, la configuración de firma smb para el servicio Servidor y el servicio Estación de trabajo en un controlador de dominio puede entrar en conflicto entre sí.

Por ejemplo, la firma SMB puede estar deshabilitada para el servicio Estación de trabajo del controlador de dominio, pero la firma SMB es necesaria para el servicio servidor del controlador de dominio. En este escenario, no puede abrir uno o varios recursos compartidos de archivos locales del controlador de dominio si ha iniciado sesión en el servidor. Además, no puede abrir directiva de grupo complementos si ha iniciado sesión en el servidor.
Para obtener más información sobre cómo solucionar este problema en un controlador de dominio, consulte No se pueden abrir recursos compartidos de archivos ni complementos de directiva de grupo en un controlador de dominio.

Si directiva de grupo errores solo se producen en equipos cliente y servidores miembros, o si determina que no puede abrir recursos compartidos de archivos o directiva de grupo complementos en un controlador de dominio no se aplica a su situación, siga solucionando el problema.

De forma predeterminada, la firma SMB está habilitada, pero no es necesaria para la comunicación de cliente en equipos cliente y servidores miembros que ejecutan Windows XP, Windows 2000 o Windows Server 2003. Se recomienda usar la configuración predeterminada porque los equipos cliente pueden usar la firma SMB cuando sea posible, pero se comunicarán con los servidores que tengan deshabilitada la firma SMB.

Para configurar los equipos cliente y los servidores miembros para que la firma SMB esté habilitada pero no necesaria, debe cambiar los valores de algunas entradas del Registro. Para realizar los cambios del Registro en los equipos cliente, siga estos pasos:

  1. Seleccione Inicio y Ejecutar, escriba regedit en el cuadro Abrir y, luego, seleccione Aceptar.
  2. Expanda la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. En el panel derecho, haga clic con el botón derecho en enablesecuritysignature y, a continuación, seleccione Modificar.
  4. En el cuadro Datos de valor , escriba 0 y, a continuación, seleccione Aceptar.
  5. Haga clic con el botón derecho en requiresecuritysignature y, a continuación, seleccione Modificar.
  6. En el cuadro Datos de valor , escriba 0 y, a continuación, seleccione Aceptar.
  7. Expanda la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. En el panel derecho, haga clic con el botón derecho en enablesecuritysignature y, a continuación, seleccione Modificar.
  9. En el cuadro Datos de valor , escriba 1 y, a continuación, seleccione Aceptar.
  10. Haga clic con el botón derecho en requiresecuritysignature y, a continuación, seleccione Modificar.
  11. En el cuadro Datos de valor , escriba 0 y, a continuación, seleccione Aceptar.

Después de cambiar los valores del Registro, reinicie los servicios Servidor y Estación de trabajo. No reinicie los equipos porque puede hacer que se apliquen directivas de grupo y la configuración de directiva de grupo puede volver a configurar los valores en conflicto.

Después de cambiar los valores del Registro y reiniciar los servicios servidor y estación de trabajo en los equipos afectados, siga estos pasos:

  1. Vea la configuración de directiva de grupo para los GPO o GPO que se aplican a las cuentas de equipo afectadas.
  2. Asegúrese de que las directivas de grupo no entren en conflicto con la configuración del Registro necesaria.
  3. Use el Editor directiva de grupo Object para ver la configuración de directiva en la carpeta siguiente:Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

En un equipo que ejecuta Windows Server 2003, la configuración de directiva de grupo de firma SMB tiene los siguientes nombres:

  • Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)
  • Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
  • Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre)
  • Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de acuerdo)

En un equipo que ejecuta Windows 2000 Server, la configuración de directiva de grupo de firma SMB tiene los siguientes nombres:

  • Firmar digitalmente la comunicación del servidor (siempre)
  • Firmar digitalmente la comunicación del servidor (siempre que sea posible)
  • Firmar digitalmente las comunicaciones de cliente (siempre)
  • Firmar digitalmente las comunicaciones de cliente (siempre que sea posible)

Normalmente, la configuración de directiva de grupo de firma smb se configura como "No definida". Si define la configuración de directiva de grupo de firma SMB, asegúrese de comprender cómo puede afectar la configuración a la conectividad de red.
Para obtener más información sobre la configuración de firma smb, consulte Problemas de cliente, servicio y programa si cambia la configuración de seguridad y las asignaciones de derechos de usuario.

Si cambia la configuración de GPO en un controlador de dominio que ejecuta Windows 2000 Server, siga estos pasos:

  1. Inicie un símbolo del sistema. Para ello, seleccione Inicio, Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
  2. Escriba secedit /refreshpolicy machine_policy /enforce y presione ENTRAR.
  3. Reinicie los equipos cliente afectados.
  4. Vuelva a comprobar los valores de firma smb en el registro en los equipos cliente para asegurarse de que no cambiaron inesperadamente.

Si cambia la configuración de GPO en un controlador de dominio que ejecuta Windows Server 2003, siga estos pasos:

  1. Inicie un símbolo del sistema. Para ello, seleccione Inicio, Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
  2. Escriba gpupdate /force y presione ENTRAR.
  3. Reinicie los equipos cliente afectados.
  4. Vuelva a comprobar los valores de firma smb en el registro en los equipos cliente para asegurarse de que no cambiaron inesperadamente.

Si los valores de firma smb del Registro cambian inesperadamente después de reiniciar los equipos cliente, use uno de los métodos siguientes para ver la configuración de directiva aplicada que se aplica a un equipo cliente:

  • En un equipo basado en Windows XP, use el complemento MMC Conjunto resultante de directivas (Rsop.msc). Para obtener más información sobre el conjunto resultante de directivas, vea Conjunto resultante de directivas.

  • En Windows 2000, use la herramienta de línea de comandos Gpresult.exe para examinar los resultados de directiva de grupo. Para ello, siga estos pasos:

    1. Instale Gpresult.exe desde el Kit de recursos de Windows 2000.

    2. En un símbolo del sistema, escriba gpresult /scope computer y presione ENTRAR.

    3. En la sección Objetos directiva de grupo aplicados de la salida, tenga en cuenta los objetos directiva de grupo que se aplican a la cuenta de equipo.

    4. Compare los objetos directiva de grupo que se aplican a la cuenta de equipo que tiene la configuración de directiva de firma SMB en el controlador de dominio para estos objetos directiva de grupo.

Paso 3: Asegúrese de que el servicio auxiliar de NetBIOS TCP/IP se inicia en todos los equipos.

Todos los equipos de la red deben ejecutar el servicio auxiliar de NetBIOS TCP/IP.

Para comprobar que el servicio auxiliar netBIOS de TCP/IP se ejecuta en un equipo basado en Windows XP, siga estos pasos:

  1. Seleccione Inicio y luego Panel de control.
  2. Si Panel de control está en la vista categoría, seleccione Cambiar a vista clásica.
  3. Haga doble clic en Herramientas administrativas.
  4. Haga doble clic en Servicios.
  5. En la lista Servicios , seleccione Tcp/IP NetBIOS Helper. Compruebe que el valor de la columna Estado es Iniciado. Compruebe que el valor de la columna Tipo de inicio es Automático. Si los valores Status o Startup Type no son correctos, siga estos pasos:
    1. Haga clic con el botón derecho en Tcp/IP NetBIOS Helper y, a continuación, seleccione Propiedades.
    2. En la lista Tipo de inicio , seleccione Automático.
    3. En el área Estado del servicio, si el servicio no se ha iniciado, seleccione Iniciar.
    4. Seleccione Aceptar.

Para comprobar que el servicio auxiliar netBIOS de TCP/IP se ejecuta en un equipo basado en Windows Server 2003, siga estos pasos:

  1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Servicios.
  2. En la lista Servicios , seleccione Tcp/IP NetBIOS Helper. Compruebe que el valor de la columna Estado es Iniciado. Compruebe que el valor de la columna Tipo de inicio es Automático. Si los valores Status o Startup Type no son correctos, siga estos pasos:
    1. Haga clic con el botón derecho en Tcp/IP NetBIOS Helper y, a continuación, seleccione Propiedades.
    2. En la lista Tipo de inicio , seleccione Automático.
    3. En el área Estado del servicio, si el servicio no se ha iniciado, seleccione Iniciar.
    4. Seleccione Aceptar.

Para comprobar que el servicio auxiliar netBIOS de TCP/IP se ejecuta en un equipo basado en Windows 2000, siga estos pasos:

  1. Seleccione Inicio, Programas, Herramientas administrativas y Servicios.
  2. En la lista Servicios , seleccione Tcp/IP NetBIOS Helper Service. Compruebe que el valor de la columna Estado es Iniciado. Compruebe que el valor de la columna Tipo de inicio es Automático. Si los valores Status o Startup Type no son correctos, siga estos pasos:
    1. Haga clic con el botón derecho en Tcp/IP NetBIOS Helper Service y, a continuación, seleccione Propiedades.
    2. En la lista Tipo de inicio , seleccione Automático.
    3. En el área Estado del servicio, si el servicio no se ha iniciado, seleccione Iniciar.
    4. Seleccione Aceptar.

Además, asegúrese de que no ha deshabilitado uno o varios de los servicios del sistema necesarios mediante directiva de grupo objetos. Vea esta configuración de directiva mediante el Editor de objeto de directiva de grupo en la Computer Configuration/Windows Settings/Security Settings/System Services carpeta .

En Windows Server 2003 y Windows XP, puedes usar el complemento MMC Conjunto resultante de directivas (Rsop.msc) para comprobar toda la configuración de directiva aplicada que se aplica a un equipo. Para ello, seleccione Inicio, Ejecutar, escriba rsop.msc en el cuadro Abrir y, a continuación, seleccione Aceptar.

En Windows 2000, use la herramienta de línea de comandos Gpresult.exe para examinar los resultados de directiva de grupo. Para ello, siga estos pasos:

  1. Instale Gpresult.exe desde el Kit de recursos de Windows 2000.
  2. En un símbolo del sistema, escriba gpresult /scope computer y presione ENTRAR.
  3. En la sección Objetos directiva de grupo aplicados de la salida, tenga en cuenta los objetos directiva de grupo que se aplican a la cuenta de equipo.
  4. Compare los objetos directiva de grupo que se aplican a la cuenta de equipo con la configuración de la directiva de firma SMB en el controlador de dominio para estos objetos de directiva de grupo.

Nota:

Si el servicio auxiliar netBIOS de TCP/IP está deshabilitado en muchos escritorios, puede usar el siguiente script de Microsoft Visual Basic de ejemplo para iniciar el servicio auxiliar de NetBIOS TCP/IP en todos los equipos de una unidad organizativa (OU) al mismo tiempo.

Microsoft proporciona ejemplos de programación con fines ilustrativos únicamente, sin ninguna garantía, ya sea expresa o implícita. Esto incluye, entre otras, las garantías implícitas de comerciabilidad e idoneidad para un propósito específico. En este artículo se da por supuesto que está familiarizado con el lenguaje de programación que se muestra y con las herramientas empleadas para crear y depurar procedimientos. Los ingenieros de soporte técnico de Microsoft pueden ayudar a explicar la funcionalidad de un procedimiento determinado, pero no modificarán estos ejemplos para proporcionar funcionalidad adicional ni construir procedimientos para satisfacer sus requisitos específicos.

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

Paso 4: Asegúrese de que el sistema de archivos distribuido (DFS) esté habilitado en todos los equipos.

Todos los controladores de dominio deben ejecutar el servicio Sistema de archivos distribuido porque el recurso compartido sysvol es un volumen DFS. Además, el cliente DFS debe estar habilitado en el Registro en todos los equipos.

Para asegurarse de que el servicio sistema de archivos distribuido se ejecuta en controladores de dominio basados en Windows Server 2003, siga estos pasos:

  1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Servicios.
  2. En la lista Servicios , seleccione Servicio del sistema de archivos distribuido . Compruebe que el valor de la columna Estado es Iniciado. Compruebe que el valor de la columna Tipo de inicio es Automático. Si los valores Status o Startup Type no son correctos, siga estos pasos:
    1. Haga clic con el botón derecho en Sistema de archivos distribuido y, a continuación, seleccione Propiedades.
    2. En la lista Tipo de inicio , seleccione Automático.
    3. En el área Estado del servicio, si el servicio no se ha iniciado, seleccione Iniciar.
    4. Seleccione Aceptar.

Para asegurarse de que el servicio Sistema de archivos distribuido se ejecuta en controladores de dominio basados en Windows 2000 Server, siga estos pasos:

  1. Seleccione Inicio, Programas, Herramientas administrativas y Servicios.
  2. En la lista Servicios , seleccione Servicio del sistema de archivos distribuido . Compruebe que el valor de la columna Estado es Iniciado. Compruebe que el valor de la columna Tipo de inicio es Automático. Si los valores Status o Startup Type no son correctos, siga estos pasos:
    1. Haga clic con el botón derecho en Sistema de archivos distribuido y, a continuación, seleccione Propiedades.
    2. En la lista Tipo de inicio , seleccione Automático.
    3. En el área Estado del servicio, si el servicio no se ha iniciado, seleccione Iniciar.
    4. Seleccione Aceptar.

Para asegurarse de que el cliente del sistema de archivos distribuido está habilitado en todos los equipos cliente, siga estos pasos:

  1. Seleccione Inicio y Ejecutar, escriba regedit en el cuadro Abrir y, luego, seleccione Aceptar.
  2. Expanda la subclave siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Seleccione Mup y, en el panel derecho, busque una entrada de valor DWORD denominada DisableDFS.
  4. Si la entrada DisableDFS existe y los datos de valor son 1, haga doble clic en DisableDFS. En el cuadro Datos de valor , escriba 0 y, a continuación, seleccione Aceptar. Si los datos del valor DisableDFS ya son 0 o si la entrada DisableDFS no existe, no realice ningún cambio.
  5. Salga del editor del Registro.
  6. Si ha cambiado los datos del valor DisableDFS , reinicie el equipo.

Paso 5: Examinar el contenido y los permisos de la carpeta Sysvol

De forma predeterminada, la carpeta Sysvol se encuentra en la %systemroot% carpeta . La carpeta Sysvol contiene los objetos directiva de grupo del dominio, los recursos compartidos Sysvol y Netlogon y la carpeta de almacenamiento provisional del servicio de replicación de archivos (FRS).

Si los permisos de la carpeta Sysvol o del recurso compartido Sysvol son demasiado restrictivos, las directivas de grupo no se pueden aplicar correctamente y provocar errores de entorno de usuario (Userenv). Además, pueden producirse errores de Userenv si falta el recurso compartido sysvol o directiva de grupo objetos.
Para asegurarse de que el recurso compartido sysvol está disponible, ejecute el comando net share en un símbolo del sistema en cada controlador de dominio. Para ello, siga estos pasos:

  1. Seleccione Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
  2. Escriba net share y presione ENTRAR.
  3. Busque SYSVOL y NETLOGON en la lista de carpetas.

Si faltan los recursos compartidos Sysvol o Netlogon de uno o varios controladores de dominio, debe solucionar la causa del problema.
Para obtener más información sobre cómo solucionar problemas de los recursos compartidos Sysvol y Netlogon que faltan en Windows 2000 Server, consulte Solución de problemas de recursos compartidos SYSVOL y NETLOGON que faltan en controladores de dominio de Windows.

Para obtener más información sobre cómo volver a generar el recurso compartido Sysvol en Windows Server 2003, vea Cómo volver a generar el árbol SYSVOL y su contenido en un dominio.

Después de asegurarse de que el recurso compartido sysvol está disponible, asegúrese de que la carpeta Sysvol, el recurso compartido Sysvol y la carpeta raíz del volumen que contiene la carpeta Sysvol están configurados con los permisos correctos.

Además, en Windows 2000 Server, se debe conceder al grupo Todos los permisos control total en la carpeta raíz del volumen que contiene la carpeta Sysvol. En Windows Server 2003, se debe conceder al grupo Todos los usuarios el permiso especial Read & Execute a "This folder only" (Solo esta carpeta) y al grupo domain\Users se le deben conceder los siguientes permisos estándar:

  • Leer & ejecutar
  • Contenido de la carpeta de lista
  • Lectura

Además, en Windows Server 2003, el grupo domain\Users debe tener los siguientes permisos especiales:

  • Lea & permiso Ejecutar en "Esta carpeta, subcarpetas y archivos".
  • Permiso Crear carpeta o Anexar datos a "Esta carpeta y subcarpetas".
  • Permiso Crear archivos o escribir datos en "Solo subcarpetas".

Después de comprobar los permisos sysvol, asegúrese de que la carpeta Sysvol contiene los objetos directiva de grupo necesarios. Para buscar los objetos de directiva de grupo necesarios, use el programa de Gpotool.exe de Windows 2000 o el Kit de recursos de Windows Server 2003.

Si ejecuta el programa de Gpotool.exe sin ninguna opción, busca todos los objetos directiva de grupo en todos los controladores de dominio del dominio. Si incluye el /checkacl conmutador, la herramienta también examina la lista de control de acceso (ACL) sysvol. Para obtener una salida detallada al ejecutar el programa de Gpotool.exe, use el /verbose modificador .

En su lugar, puede comprobar manualmente el GPO individual en la carpeta SYSVOL. Por ejemplo, si la descripción del evento Userenv 1058 muestra el nombre de un GPO, puede comprobar manualmente el GPO individual en la carpeta SYSVOL. Puede hacerlo para asegurarse de que contiene una carpeta USER, una carpeta MACHINE y un archivo Gpt.ini. Para comprobar manualmente el GPO individual en la carpeta SYSVOL, siga estos pasos:

  1. Inicie un símbolo del sistema. Para ello, seleccione Inicio, Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
  2. Escriba en Time/interactive/next: cmd.exe y, a continuación, presione ENTRAR, donde Time es 1 o 2 minutos más tarde que la hora actual y está escrito en formato de hora de 24 horas. Por ejemplo, 3 minutos después de la 1:00 p.m. serían las 13:03 en formato de hora de 24 horas.
  3. En el momento en que especifique en el comando anterior, se abrirá una nueva ventana del símbolo del sistema. Escriba net use j:\\domainname.com\sysvol\domainname.com\Policies\{GUID}y, a continuación, presione ENTRAR, donde GUID es el GUID del GPO que se encuentra en la descripción del evento Userenv. Por ejemplo, si la descripción del evento Userenv 1058 indica, "El archivo debe estar presente en la ubicación <\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>", el GUID que usaría en el comando es 31B2F340-016D-11D2-945F-00C04FB984F9.
  4. Escriba dir j:\*.*y presione ENTRAR.
  5. Compruebe que una carpeta USER, una carpeta MACHINE y un archivo Gpt.ini aparecen en la lista de carpetas de la unidad I. Si falta alguna de estas carpetas y archivos, es probable que los equipos de la red registren errores de Userenv en el registro de aplicación.

Si faltan uno o más objetos directiva de grupo de la carpeta Sysvol, ejecute la Utilidad de restauración predeterminada de Windows Server 2003 directiva de grupo (Dcgpofix.exe) o la Herramienta de restauración de directiva de grupo predeterminada de Windows 2000 (Recreatedefpol.exe) para volver a crear los objetos de directiva de grupo predeterminados.

El programa de Dcgpofix.exe se incluye con Windows Server 2003. Para obtener más información sobre el programa Dcgpofix.exe, ejecute el comando en un símbolo del dcgpofix /? sistema.

Asegúrese de establecer las exclusiones recomendadas al examinar la unidad Sysvol con software antivirus. El análisis con software antivirus puede bloquear el acceso a los archivos necesarios, como el archivo Gpt.ini. Debe configurar estas exclusiones para todos los exámenes antivirus en tiempo real, programados y manuales.

Paso 6: Asegúrese de que se concede la opción Omitir la derecha de comprobación de recorrido a los grupos necesarios.

El derecho omitir comprobación de recorrido debe concederse a los siguientes grupos en los controladores de dominio:

  • Administradores
  • Usuarios autenticados
  • Todos
  • Acceso compatible anterior a Windows 2000

Para comprobar que se ha concedido el derecho omitir la comprobación de recorrido en un controlador de dominio basado en Windows Server 2003, siga estos pasos:

  1. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Directiva de seguridad del controlador de dominio.
  2. Expanda Directivas locales y, a continuación, seleccione Asignación de derechos de usuario.
  3. Haga doble clic en Omitir comprobación de recorrido.
  4. Haga clic para activar la casilla Definir esta configuración de directiva .
  5. Compruebe que los grupos Administradores, Usuarios autenticados, Todos y Acceso compatible anterior a Windows 2000 aparecen en esta configuración de directiva. Si falta alguno de estos grupos, siga estos pasos:
    1. Seleccione Agregar usuario o grupo.
    2. En el cuadro Nombres de usuario y grupo , escriba el nombre del grupo que falta y, a continuación, seleccione Aceptar.
  6. Seleccione Aceptar para cerrar la configuración de directiva.
  7. Inicie un símbolo del sistema. Para ello, seleccione Inicio, Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
  8. Escriba gpupdate /force y presione ENTRAR.

Para comprobar que se ha concedido el derecho omitir comprobación de recorrido en un controlador de dominio basado en Windows 2000 Server, siga estos pasos:

  1. Seleccione Inicio, Programas, Herramientas administrativas y Directiva de seguridad del controlador de dominio.
  2. Expanda Configuración de seguridad, directivas localesy, a continuación, seleccione Asignación de derechos de usuario.
  3. Haga doble clic en Omitir comprobación de recorrido.
  4. Haga clic para activar la casilla Definir esta configuración de directiva .
  5. Compruebe que los grupos Administradores, Usuarios autenticados, Todos y Acceso compatible anterior a Windows 2000 aparecen en esta configuración de directiva. Si falta alguno de estos grupos, siga estos pasos:
    1. Seleccione Agregar.
    2. En el cuadro Nombres de usuario y grupo , escriba el nombre del grupo que falta y, a continuación, seleccione Aceptar.
  6. Seleccione Aceptar para cerrar la configuración de directiva.
  7. Inicie un símbolo del sistema. Para ello, seleccione Inicio, Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
  8. Escriba secedit /refreshpolicy machine_policy /enforce y, a continuación, presione Seleccionar.

Paso 7: Asegúrese de que los controladores de dominio no están en un estado de ajuste de diario

Para ver si un controlador de dominio está en un estado de ajuste de diario, vea el registro del servicio de replicación de archivos en Visor de eventos y busque el identificador de evento NTFRS 13568. El identificador de evento 13568 es similar al siguiente identificador de evento:
Si el identificador de evento NTFRS 13568 está registrado en un controlador de dominio, para obtener más información sobre cómo solucionar errores de ajuste de diario, consulte Cómo solucionar errores de journal_wrap en conjuntos de réplicas Sysvol y DFS.

Paso 8: Ejecutar el comando Dfsutil /PurgeMupCache

Ejecute el programa de Dfsutil.exe con el /PurgeMupCache modificador para vaciar la información local de DFS/MUP almacenada en caché. El programa de Dfsutil.exe se incluye en las Herramientas de soporte técnico de Windows 2000 Server y las Herramientas de soporte técnico de Windows Server 2003.