Confianza entre un dominio de Windows NT, no se puede establecer un dominio de Active Directory y no funciona como se esperaba

Seleccione idioma Seleccione idioma
Id. de artículo: 889030 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Si intenta establecer una confianza entre un dominio basado en Microsoft Windows NT 4.0 y un dominio basado en Active Directory, puede experimentar alguno de los síntomas siguientes:
  • No se establece la confianza.
  • Se establece la confianza pero, la confianza no funciona como se esperaba.
Además, puede recibir cualquiera de los mensajes de error siguiente:
El siguiente error al intentar unirse al dominio "Domain_Name": la cuenta no está autorizada para iniciar sesión desde esta estación.
Acceso denegado.
No se puede establecer contacto con ningún controlador de dominio.
Error de inicio: nombre de usuario desconocido o contraseña incorrecta.
Cuando se utiliza el selector de objetos en Active Directory usuarios y equipos para agregar usuarios de dominio de NT 4.0 a Active Directory dominio, puede recibir el siguiente mensaje de error:
Ningún elemento coincide con la búsqueda actual. Compruebe los parámetros de búsqueda y vuelva a intentarlo.

Causa

Este problema se produce debido a un problema de configuración en cualquiera de las siguientes áreas:
  • Resolución de nombres
  • Configuración de seguridad
  • Derechos de usuario
  • Pertenencia al grupo de Microsoft Windows 2000 o Microsoft Windows Server 2003
Para identificar correctamente la causa del problema, debe solucionar la configuración de confianza.

Solución

Si recibe el mensaje de error "ningún elemento coincide con la búsqueda actual" cuando usa el selector de objetos en Active Directory usuarios y equipos, asegúrese de que los controladores de dominio el dominio de NT 4.0 incluyen todos el derecho tener acceso a este equipo desde la red . En este escenario, el selector de objetos intenta conectarse de forma anónima a través de la confianza. Para comprobar estos ssettings, siga los pasos descritos en el "método tres: comprobación los derechos de usuario" sección.

Solucionar problemas de confianza problemas de configuración entre un dominio basado en Windows NT 4.0 y Active Directory, debe comprobar la configuración correcta de las siguientes áreas:
  • Resolución de nombres
  • Configuración de seguridad
  • Derechos de usuario
  • Pertenencia al grupo de Microsoft Windows 2000 o Microsoft Windows Server 2003
Para ello, utilice los métodos siguientes.

Método uno: comprobar la configuración correcta de la resolución de nombres

Paso uno: crea un archivo LMHOSTS

Crear un archivo LMHOSTS en los controladores de dominio principal para proporcionar capacidad de resolución de nombre de dominios interrelacionados. El archivo LMHOSTS es un archivo de texto que se puede editar con cualquier editor de texto, como el Bloc de notas. El archivo LMHOSTS en cada controlador de dominio debe contener la dirección TCP/IP, el nombre de dominio y la entrada \0x1b de otro controlador de dominio. Para obtener más información acerca de cómo crear el archivo LMHOSTS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
180094Cómo escribir un archivo LMHOSTS para la validación de dominios y otros problemas con la resolución de nombres
Después de crear el archivo LMHOSTS, siga estos pasos:
  1. Modifique el archivo para que contenga texto similar al siguiente:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    Nota no debe ser un total de 20 caracteres y espacios entre las comillas ("") para la entrada \0x1b. Agregar espacios después del nombre de dominio para que se utiliza 15 caracteres. El carácter 16 es la barra diagonal que sigue el valor de "0x1b", y esto hace un total de 20 caracteres.
  2. Cuando termine de los cambios en el archivo LMHOSTS, guarde el archivo a la carpeta de \System32\Drivers\Etc %SystemRoot% en los controladores de dominio.
Para obtener más información acerca del archivo LMHOSTS, vea el archivo de ejemplo Lmhosts.SAM que se encuentra en la %SystemRoot% \System32\Drivers\Etc.

El paso dos: cargar el archivo LMHOSTS en la caché

  1. Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar .
  2. En el símbolo del sistema, escriba NBTSTAT -R , y, a continuación, presione ENTRAR. Este comando carga el archivo LMHOSTS en la caché.
  3. En el símbolo del sistema, escriba NBTSTAT - c , y, a continuación, presione ENTRAR. Este comando muestra la caché. Si el archivo está escrito correctamente, la caché es similar al siguiente:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    si el archivo no llena la caché correctamente, continúe con el paso siguiente.

Paso tres: asegúrese de que la búsqueda LMHOSTS está habilitada en el equipo basado en Windows NT 4.0

Si el archivo no llena la caché correctamente, asegúrese de que la búsqueda de LMHOSTS está habilitada en el equipo basado en Windows NT 4.0. Para ello, siga estos pasos:
  1. Haga clic en Inicio , seleccione configuración y, a continuación, haga clic en Panel de control .
  2. Haga doble clic en redes , haga clic en la ficha protocolos y, a continuación, haga doble clic en Protocolo TCP/IP .
  3. Haga clic en la ficha Dirección WINS y, a continuación, haga clic en casilla de verificación Habilitar la búsqueda de LMHOSTS .
  4. Reinicie el equipo.
  5. Repita los pasos en la sección "Cargar el archivo LMHOSTS en la caché".
  6. Si el archivo no llena la caché correctamente, asegúrese de que el archivo LMHOSTS se encuentra en la carpeta de \System32\Drivers\Etc %SystemRoot% y que el archivo tiene el formato correcto.

    Por ejemplo, el archivo debe tener el formato similar al formato de ejemplo siguiente:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    Nota no debe ser un total de 20 caracteres y espacios dentro de las comillas ("") para la entrada \0x1b y de nombre de dominio.

El paso cuatro: utilice el comando ping para probar la conectividad

Cuando el archivo llena la caché correctamente en cada servidor, utilice el comando ping en cada servidor para probar la conectividad entre los servidores. Para ello, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar .
  2. En el símbolo del sistema, escriba Ping Name_Of_Domain_Controller_You_Want_To_Connect_To, y, a continuación, presione ENTRAR. Si el comando ping no funciona, asegúrese de que se muestran las direcciones IP correctas en el archivo LMHOSTS.
  3. En el símbolo del sistema, escriba net ver Name_Of_Domain_Controller_You_Want_To_Connect_To, y, a continuación, presione ENTRAR. Se espera que recibirá el siguiente mensaje de error:
    Error de sistema 5. Acceso denegado
    Si el comando net view devuelve el siguiente mensaje de error o cualquier otro mensaje de error relacionados, asegúrese de que se muestran las direcciones IP correctas en el archivo LMHOSTS:
    Error de sistema 53. No se encontró la ruta de red
Como alternativa, se puede configurar servicios WINS para habilitar funcionalidad de resolución de nombre sin usar un LMHOSTS archivo.Para obtener más información acerca de cómo utilizar WINS para la resolución de nombres, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
185786Procedimientos recomendados para WINS

Método dos: ver configuración de seguridad

Normalmente, la parte de Active Directory de la configuración de confianza tiene configuración de seguridad causar problemas de conectividad. Sin embargo, la configuración de seguridad se debe inspeccionar en ambos lados de la confianza.

Paso uno: ver la configuración de seguridad en Windows 2000 Server y Windows Server 2003

En Windows 2000 Server y Windows Server 2003, se puede aplicar la configuración de seguridad o configurada directiva de grupo, una directiva local o una plantilla de seguridad aplicada.

Debe utilizar las herramientas adecuadas para determinar los valores actuales de la configuración de seguridad evitar lecturas incorrectas.

Para obtener una lectura precisa de la configuración de seguridad actual, utilice los métodos siguientes:
  • En Windows 2000 Server, utilice el complemento Configuración y análisis de seguridad.Para obtener más información acerca de cómo determinar la directiva de seguridad actual en un equipo basado en Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    258595Gpresult no enumera la directiva de seguridad resultante del equipo
  • En Windows Server 2003, utilice en la configuración y análisis de seguridad complemento, o el conjunto resultante de directivas (RSoP) complemento. Para obtener más información acerca de cómo utilizar el complemento conjunto resultante de directivas, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    323276Cómo instalar y usar RSoP en Windows Server 2003
Después de determinar la configuración actual, debe identificar la directiva que se aplica la configuración. Por ejemplo, debe determinar la directiva de grupo en Active Directory o la configuración local que establece la directiva de seguridad.

En Windows Server 2003, la directiva que establece los valores de seguridad se identifica mediante la herramienta RSoP. Sin embargo, en Windows 2000 debe ver la directiva de grupo y la directiva local para determinar la directiva que contiene la configuración de seguridad:
  • Para ver la configuración de directiva de grupo, debe habilitar la salida de registro para el cliente de configuración de seguridad de Microsoft Windows 2000 durante el procesamiento de directiva de grupo. Para obtener más información acerca de cómo habilitar resultados del registro del cliente de configuración de seguridad de Microsoft Windows 2000 durante el procesamiento de directiva de grupo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    245422Cómo habilitar el registro de cliente de la configuración de seguridad en Windows 2000 de procesamiento
  • El registro de aplicación en el Visor de sucesos y buscar el suceso 1000 y suceso 1202 de ID. Para obtener más información acerca de suceso 1000 ID y suceso 1202 de ID, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    319352ID. de suceso 1000 y 1202 de ID de evento se registran en el registro de sucesos cada cinco minutos en Windows 2000 Server
En las tres secciones siguientes identifican el sistema operativo y mostrar la configuración de seguridad que debe comprobar para el sistema operativo en la información que haya recopilado:
Windows 2000
Asegúrese de que los valores siguientes están configurados como se muestra.

RestrictAnonymous:
Contraer esta tablaAmpliar esta tabla
Restricciones adicionales para conexiones anónimas "Ninguno. Dependen de permisos predeterminado"
Compatibilidad de LM:
Contraer esta tablaAmpliar esta tabla
Nivel de autenticación de LAN Manager"Enviar sólo respuesta NTLM"
LA firma SMB, SMB cifrado o ambos:
Contraer esta tablaAmpliar esta tabla
Firmar digitalmente las comunicaciones de cliente (siempre)DESHABILITADO
Firmar digitalmente las comunicaciones de cliente (cuando es posible)HABILITADO
Firmar digitalmente las comunicaciones de servidor (siempre)DESHABILITADO
Firmar digitalmente las comunicaciones del servidor (cuando es posible)HABILITADO
Canal seguro: descifrar o firmar datos de canal seguro (siempre) digitalmenteDESHABILITADO
Canal seguro: descifrar digitalmente datos de canal seguro (cuando sea posible)DESHABILITADO
Canal seguro: firmar digitalmente canal datos seguro (cuando sea posible)DESHABILITADO
Canal seguro: requerir segura (Windows 2000 o posterior) de clave de sesiónDESHABILITADO
Windows Server 2003
Asegúrese de que los valores siguientes están configurados como se muestra.

RestrictAnonymous y RestrictAnonymousSam:
Contraer esta tablaAmpliar esta tabla
Acceso de red: permitir SID/nombre anónima traducciónHABILITADO
Acceso a redes: no permitir enumeraciones anónimas de SAM cuentas DESHABILITADO
Acceso a redes: no permitir la enumeración anónima de SAM cuentas y recursos compartidosDESHABILITADO
Acceso de red: deja los permisos se aplican a los usuarios anónimos todosHABILITADO
Acceso de red: canalizaciones con nombre pueden obtenerse de forma anónimaHABILITADO
Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidosDESHABILITADO
Nota De forma predeterminada, el valor de la acceso de red: permitir traducción SID/nombre anónima configuración es DISABLED en Windows Server 2008.Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
942428Controladores de dominio de Windows Server 2003 que los usuarios anónimos que resolver un identificador de seguridad (SID) a un nombre de usuario
Compatibilidad de LM:
Contraer esta tablaAmpliar esta tabla
Seguridad de red: nivel de autenticación de LAN Manager"Enviar sólo respuesta NTLM"
LA firma SMB, SMB cifrado o ambos:
Contraer esta tablaAmpliar esta tabla
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)DESHABILITADO
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)HABILITADO
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)DESHABILITADO
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)HABILITADO
Miembro de dominio: descifrar o firmar datos de canal seguro (siempre) digitalmente DESHABILITADO
Miembro de dominio: descifrar digitalmente datos de canal seguro (cuando sea posible) HABILITADO
Miembro de dominio: firmar digitalmente canal datos seguro (cuando sea posible)HABILITADO
Miembro de dominio: requerir clave de sesión de protegida (Windows 2000 o posterior)DESHABILITADO
Después de configurar correctamente la configuración, debe reiniciar el equipo. La configuración de seguridad no se fuerzan hasta que se reinicie el equipo.

Después de reiniciar el equipo, espere 10 minutos para asegurarse de que se aplican las directivas de seguridad y la configuración efectiva. Recomendamos que espere 10 minutos dado que las actualizaciones de directiva se producen cada 5 minutos en un controlador de dominio y la actualización de Active Directory puede cambiar los valores de configuración de seguridad. Después de 10 minutos, utilice configuración de seguridad y análisis u otra herramienta para examinar la configuración de seguridad de Windows 2000 y Windows Server 2003.

Windows NT 4.0

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows
En Windows NT 4.0, se debe comprobar la configuración de seguridad actual mediante la herramienta de Regedt32 para ver el registro. Para ello, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedt32 y, a continuación, haga clic en Aceptar .
  2. Expanda las siguientes subclaves del registro y, a continuación, ver el valor que se asigna a la entrada RestrictAnonymous:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Expanda las siguientes subclaves del registro y, a continuación, ver el valor asignado a la entrada de compatibilidad de LM:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Expanda las siguientes subclaves del registro y, a continuación, ver el valor asignado a la entrada de EnableSecuritySignature (servidor):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Expanda las siguientes subclaves del registro y, a continuación, ver el valor asignado a la entrada RequireSecuritySignature (servidor):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Expanda las siguientes subclaves del registro y, a continuación, ver el valor asignado a la entrada RequireSignOrSeal:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Expanda las siguientes subclaves del registro y, a continuación, ver el valor asignado a la entrada SealSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Expanda las siguientes subclaves del registro y, a continuación, ver el valor asignado a la entrada SignSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Expanda las siguientes subclaves del registro y, a continuación, ver el valor asignado a la entrada RequireStrongKey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Método tres: comprobación los derechos de usuario

Para comprobar los derechos de usuario necesarios en un equipo basado en Windows 2000, siga estos pasos:
  1. Haga clic en Inicio , seleccione programas , Herramientas administrativas y haga clic en Directiva de seguridad local .
  2. Expanda Directivas locales y haga clic en Asignación de derechos de usuario .
  3. En el panel derecho, haga doble clic en tener acceso a este equipo desde la red .
  4. Haga clic para seleccionar la Configuración de directiva local de agrupar en la lista asignado a casilla de verificación junto a todos y, a continuación, haga clic en Aceptar .
  5. Haga doble clic en Denegar el acceso a este equipo desde la red .
  6. Compruebe que no hay ningún grupo de principio en la lista asignado a y, a continuación, haga clic en Aceptar . Por ejemplo, asegúrese de que todos, usuarios autenticados y otros grupos, no aparecen.
  7. Haga clic en Aceptar y, a continuación, salga seguridad local de directiva.
Para comprobar los derechos de usuario necesarios en un equipo basado en Windows Server 2003, siga estos pasos:
  1. Haga clic en Inicio , seleccione Herramientas administrativas y, a continuación, haga clic en Directiva de seguridad de controlador de dominio .
  2. Expanda Directivas locales y haga clic en Asignación de derechos de usuario .
  3. En el panel derecho, haga doble clic en tener acceso a este equipo desde la red .
  4. Asegúrese de que el grupo Todos está en la lista de tener acceso a este equipo desde la red . Si el grupo Todos no aparece, siga estos pasos:
    1. Haga clic en Agregar usuario o grupo .
    2. En el cuadro usuario y los nombres de grupo , escriba todos y, a continuación, haga clic en Aceptar .
  5. Haga doble clic en Denegar el acceso a este equipo desde la red .
  6. Compruebe que no hay ningún grupo de principio en la lista Denegar el acceso a este equipo desde la red y, a continuación, haga clic en Aceptar . Por ejemplo, asegúrese de que todos, autenticados no se enumeran usuarios y otros grupos.
  7. Haga clic en Aceptar y cierre el dominio de directiva de seguridad de controlador.
Para comprobar los derechos necesarios en un servidor de Windows NT 4.0 equipo, siga estos pasos:
  1. Haga clic en Inicio , seleccione programas , Herramientas administrativas y, a continuación, haga clic en Administrador de usuarios para dominios .
  2. En el menú directivas , haga clic en usuario derechos .
  3. En la lista derecho , haga clic en tener acceso a este equipo desde la red .
  4. En el cuadro conceder a , asegúrese de que el grupo Todos está agregado. Si no se agrega el grupo todos, siga estos pasos:
    1. Haga clic en Agregar .
    2. En la lista de nombres , haga clic en todos , haga clic en Agregar y, a continuación, haga clic en Aceptar .
  5. Haga clic en Aceptar y salga del Administrador de usuarios.

Método cuatro: comprobar la pertenencia a grupos

Si se configura una confianza entre los dominios, pero no puede agregar grupos de usuarios de principio de un dominio a otro porque el cuadro de diálogo no encuentra los demás objetos de dominio, el grupo "Acceso compatible con versiones anteriores de Windows 2000" no tiene la pertenencia correcta.

En los controladores de dominio basado en Windows 2000 y los controladores de dominio basado en Windows Server 2003, asegúrese de que las pertenencias a necesarios están configuradas.

Para ello en los controladores de dominio basado en Windows 2000, siga estos pasos:
  1. Haga clic en Inicio , seleccione programas , Herramientas administrativas y, a continuación, haga clic en usuarios y equipos .
  2. Haga clic en integrado en y, a continuación, haga doble clic en grupo de acceso compatible anterior a Windows 2000 .
  3. Haga clic en la ficha miembros y, a continuación, asegúrese de que el grupo Todos está en la lista de miembros .
  4. Si el grupo Todos no está en la lista miembros , siga estos pasos:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar .
    2. En el símbolo del sistema, escriba net localgroup "Acceso compatible anterior a Windows 2000" everyone /add , y, a continuación, presione ENTRAR.
Para asegurarse de que las pertenencias a necesarios están configuradas en los controladores de dominio basado en Windows Server 2003, debe saber si el "acceso de red: deja los permisos se aplican a los usuarios anónimos todos" configuración de directiva está deshabilitada. Si no conoce, utilizar el Editor de objetos de directiva de grupo para determinar el estado de la "acceso de red: deja los permisos se aplican a los usuarios anónimos todos" configuración de directiva. Para ello, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba gpedit.msc y haga clic en Aceptar .
  2. Expanda las carpetas siguientes:
    directiva de equipo local
    Configuración del equipo
    configuración de Windows
    configuración de seguridad
    directivas locales
  3. Haga clic en Opciones de seguridad y, a continuación, haga clic en acceso de red: apliquen Let Everyone permisos a los usuarios anónimos en el panel derecho.
  4. Tenga en cuenta si el valor en la Configuración de seguridad de la columna es deshabilitada o habilitada .
Para asegurarse de que las pertenencias a necesarios están configuradas en los controladores de dominio basado en Windows Server 2003, siga estos pasos:
  1. Haga clic en Inicio , seleccione programas , Herramientas administrativas y, a continuación, haga clic en usuarios y equipos .
  2. Haga clic en integrado en y, a continuación, haga doble clic en grupo de acceso compatible anterior a Windows 2000 .
  3. Haga clic en la ficha miembros .
  4. Si el acceso de red: apliquen Let Everyone permisos a los usuarios anónimos configuración de directiva está deshabilitada, asegúrese de que todos, grupo de inicio de sesión anónimo está en la lista de miembros . Si el "acceso de red: deja los permisos se aplican a los usuarios anónimos todos" configuración de directiva está habilitada, asegúrese de que el grupo Todos está en la lista de miembros .
  5. Si el grupo Todos no está en la lista miembros , siga estos pasos:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar .
    2. En el símbolo del sistema, escriba net localgroup "Acceso compatible anterior a Windows 2000" everyone /add , y, a continuación, presione ENTRAR.

Método cinco: comprobar la conectividad mediante dispositivos de red, como servidores de seguridad, conmutadores o enrutadores

Si has recibido mensajes de error similares a la siguiente mensaje de error y haya comprobado que los archivos LMHOST son correctos, el problema puede deberse a un servidor de seguridad, enrutador o conmutador que ha bloqueado los puertos entre los controladores de dominio:
No se puede establecer contacto con ningún controlador de dominio
Para solucionar los dispositivos de red, utilice el escáner de puerto de línea de comandos PortQry versión 2.0 para probar los puertos entre los controladores de dominio. Para obtener más información acerca de PortQry versión 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
832919Nuevas características y funcionalidad de la versión 2.0 de PortQry
Para obtener más información acerca de cómo deben configurarse los puertos, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
179442Cómo configurar un servidor de seguridad para dominios y relaciones de confianza

Método seis: recopilar información adicional para ayudar a solucionar el problema

Si los métodos anteriores no le ha resolver el problema, recopilar la siguiente información adicional para ayudarle a solucionar la causa del problema:
  • Habilitar Netlogon iniciar sesión en ambos controladores de dominio. Para obtener más información acerca de cómo completar registro de Netlogon, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    109626Habilitar el registro de depuración para el servicio Netlogon
  • Capturar una traza en ambos controladores de dominio al mismo tiempo que se produce el problema. Para obtener más información acerca de cómo capturar el tráfico de red, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    812953Cómo utilizar a Monitor de red para capturar el tráfico de red

Más información

La siguiente lista de objetos de directiva de grupo (GPO) proporciona la ubicación de la correspondiente entrada de registro y la directiva de grupo en los sistemas operativos aplicables:
  • RestrictAnonymous GPO:
    • Ubicación del registro de Windows:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Ubicación del registro de Windows 2000 y Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Directiva de grupo de Windows 2000: Configuración del equipo \ configuración Windows \ configuración de seguridad \ restricciones adicionales de opciones de seguridad para conexiones anónimas
    • Equipo de directiva de grupo de Windows Server 2003: Configuración \ configuración Windows \ configuración de seguridad \ acceso de red de opciones de seguridad: no permitir la enumeración anónima de SAM cuentas y recursos compartidos
  • RestrictAnonymousSAM GPO:
    • Ubicación del registro de Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Directiva de grupo de Windows Server 2003: equipo Configuración \ configuración Windows \ configuración de seguridad \ acceso de red de opciones de seguridad: no permitir la enumeración anónima de SAM cuentas y recursos compartidos
  • EveryoneIncludesAnonymous GPO:
    • Ubicación del registro de Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Directiva de grupo de Windows Server 2003: equipo Configuración \ configuración Windows \ configuración de seguridad \ acceso de red de opciones de seguridad: apliquen Let Everyone permisos a los usuarios anónimos
  • La compatibilidad de LM de GPO:
    • Windows NT, Windows 2000 y Windows Server la ubicación del registro de 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Directiva de grupo de Windows 2000: Configuración del equipo \ configuración Windows \ configuración de seguridad \ opciones de seguridad: nivel de autenticación de LAN Manager
    • Directiva de grupo de Windows Server 2003: equipo Configuración \ configuración Windows \ configuración de seguridad \ seguridad Options\Network seguridad: nivel de autenticación de LAN Manager
  • EnableSecuritySignature GPO (cliente):
    • Ubicación del registro de Windows 2000 y Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Directiva de grupo de Windows 2000: Configuración del equipo \ configuración Windows \ configuración de seguridad \ opciones de seguridad: firmar digitalmente la comunicación de cliente (cuando sea posible)
    • Directiva de grupo de Windows Server 2003: equipo Configuración \ configuración Windows \ configuración de seguridad \ opciones de seguridad \ cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
  • RequireSecuritySignature GPO (cliente):
    • Ubicación del registro de Windows 2000 y Windows Server 2003:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Directiva de grupo de Windows 2000: Configuración del equipo \ configuración Windows \ configuración de seguridad \ opciones de seguridad: firmar digitalmente la comunicación de cliente (siempre)
    • Windows Server 2003: Configuración del equipo \ configuración Windows \ configuración de seguridad \ cliente de red seguridad\ de seguridad de Microsoft: firmar digitalmente las comunicaciones (siempre)
  • EnableSecuritySignature (servidor) GPO:
    • Ubicación del registro de Windows:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Ubicación del registro de Windows 2000 y Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Directiva de grupo de Windows 2000: firmar digitalmente la comunicación de servidor (cuando sea posible)
    • Directiva de grupo de Windows Server 2003: servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)
  • RequireSecuritySignature (servidor) GPO:
    • Ubicación del registro de Windows:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Ubicación del registro de Windows 2000 y Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Directiva de grupo de Windows 2000: firmar digitalmente las comunicaciones del servidor (siempre)
    • Directiva de grupo de Windows Server 2003: servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)
  • RequireSignOrSeal GPO:
    • Windows NT, la ubicación del registro de Windows 2000 y Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Directiva de grupo de Windows 2000: descifrar o firmar datos de canal seguro (siempre) digitalmente
    • Directiva de grupo de Windows Server 2003: miembro de dominio: descifrar o firmar datos de canal seguro (siempre) digitalmente
  • SealSecureChannel GPO:
    • Windows NT, la ubicación del registro de Windows 2000 y Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Directiva de grupo de Windows 2000: canal seguro: descifrar digitalmente datos de canal seguro (cuando sea posible)
    • Directiva de grupo de Windows Server 2003: dominio miembro: descifrar digitalmente datos de canal seguro (cuando sea posible)
  • SignSecureChannel GPO:
    • Windows NT, Windows 2000 y Windows Server la ubicación del registro de 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Directiva de grupo de Windows 2000: canal seguro: firmar digitalmente datos de canal (cuando sea posible) seguro
    • Directiva de grupo de Windows Server 2003: dominio miembro: firmar digitalmente datos de canal (cuando sea posible) seguro
  • RequireStrongKey GPO:
    • Windows NT, Windows 2000 y Windows Server la ubicación del registro de 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Directiva de grupo de Windows 2000: canal seguro: requerir clave de sesión (Windows 2000 o posterior) seguro
    • Directiva de grupo de Windows Server 2003: dominio miembro: requerir clave de sesión (Windows 2000 o posterior) seguro

Windows Server 2008

En un controlador de dominio que ejecuta Windows Server 2008, el comportamiento predeterminado de la configuración de directiva Permitir algoritmos compatibles con Windows NT 4.0 puede causar un problema. Esta configuración impide que los sistemas operativos Windows y los clientes de otros fabricantes utilicen algoritmos débiles para establecer canales de seguridad NETLOGON para controladores de dominio basados en Windows Server 2008. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
942564Cuando un equipo basado en Windows NT 4.0 intenta utilizar el servicio NETLOGON para establecer un canal de seguridad a un controlador de dominio basado en Windows Server 2008, la operación puede fallar

Referencias

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
257942Error: No se puede examinar el dominio seleccionado porque se ha producido el siguiente error...
246261Cómo utilizar el valor del Registro RestrictAnonymous en Windows 2000
258595Gpresult no enumera la directiva de seguridad del equipo de resultante
823659Problemas de compatibilidad que pueden producirse entre clientes, servicios y programas al modificar la configuración de seguridad y la asignación de derechos de usuario
278259Grupo Todos no incluye el identificador de seguridad anónimo

Propiedades

Id. de artículo: 889030 - Última revisión: sábado, 21 de febrero de 2009 - Versión: 8.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Palabras clave: 
kbmt kbnetwork kbactivedirectory kbtshoot KB889030 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 889030

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com