El controlador de dominio no está funcionando correctamente.

Se aplica: Windows Servers

Síntomas


Al ejecutar la herramienta Dcdiag en un controlador de dominio basado en Microsoft Windows 2000-Server o en un controlador de dominio basado en Windows Server 2003, puede recibir el siguiente mensaje de error:
Diagnóstico de DC
Realizar la configuración inicial:
[DC1] Error en el enlace de LDAP con el error 31
Al ejecutar la utilidad REPADMIN /SHOWREPS localmente en un controlador de dominio, puede recibir uno de los siguientes mensajes de error:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Error 82 de LDAP (error local).
Error en el último intento de aaaa-mm-dd hh:mm.ss, resultado 1753: No hay más extremos disponibles desde el asignador de extremos.
Error en el último intento de aaaa-mm-dd hh:mm.ss, resultado 5: acceso denegado.



Si usa Sitios y servicios de Active Directory para desencadenar la replicación, puede recibir un mensaje que indica que se deniega el acceso.


Cuando intenta utilizar recursos de red desde la consola de un controlador de dominio afectado, incluidos los recursos de la Convención de nomenclatura universal (UNC) o las unidades de red asignadas, puede recibir el siguiente mensaje de error:
No hay servidores de inicio de sesión disponibles (c000005e = "STATUS_NO_LOGON_SERVERS")
Si inicia alguna herramienta administrativa de Active Directory desde la consola de un controlador de dominio afectado, incluidos los Sitios y servicios y los Usuarios y equipos de Active Directory, puede recibir uno de los siguientes mensajes de error:
No se puede encontrar la información de nombres debido a: No se puede establecer conexión con ninguna autoridad para la autenticación. Póngase en contacto con el administrador del sistema para comprobar que el dominio está configurado correctamente y está en conexión en este momento.
No se puede encontrar la información de nombres debido a: El nombre de cuenta de destino es incorrecto. Póngase en contacto con el administrador del sistema para comprobar que el dominio está configurado correctamente y está en conexión en este momento.
Los clientes de Microsoft Outlook que están conectados a equipos de Microsoft Exchange Server que usan controladores de dominio afectados para la autenticación pueden solicitar credenciales de inicio de sesión, aunque haya una autenticación de inicio de sesión correcta de otros controladores de dominio.

Además, la herramienta Netdiag puede mostrar los mensajes de error siguientes:
DC list test . . . . . . . . . . . : Error
[ADVERTENCIA] No se puede llamar a DsBind a <servername>.<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Error
[GRAVE] Kerberos no tiene un vale para krbtgt/<fqdn>.

[GRAVE] Kerberos no tiene un vale para <hostname>.
Prueba DE LDAP. . . . . . . . . . . . . : Superado
[ADVERTENCIA] No se pudo consultar el registro SPN en DC <hostname>\<fqdn>
El siguiente evento puede aparecer en el registro de eventos del sistema del controlador de dominios afectado:

Solución


Estos síntomas pueden tener varias soluciones. A continuación se muestra una lista de métodos para probar. La lista va seguida de pasos para realizar cada método. Pruebe cada método hasta que se resuelva el problema. Los artículos de Microsoft Knowledge Base que describen correcciones menos comunes para estos síntomas se enumeran más adelante.
  1. Método 1: Corregir errores de Sistema de nombres de dominio (DNS).
  2. Método 2: Sincronizar la hora entre equipos.
  3. Método 3: Compruebe los derechos de usuarios para el Acceso a este equipo desde la red.
  4. Método 4: Compruebe que el atributo userAccountControl del controlador de dominio es 532480.
  5. Método 5: Corrija el dominio Kerberos (confirme que la clave del Registro PolAcDmN y la clave del Registro PolPrDmN coinciden).
  6. Método 6: Restablezca la contraseña de la cuenta de equipo y, a continuación, obtenga un nuevo vale Kerberos.
 

Método 1: Corregir errores DNS

  1. En el símbolo del sistema, ejecute el comando netdiag -v. Este comando crea un archivo Netdiag.log en la carpeta donde se ejecutó el comando.
  2. Resuelva los errores DNS en el archivo Netdiag.log antes de continuar. La herramienta Netdiag se encuentra en las Herramientas de soporte técnico de Windows 2000 Server en el CD-ROM de Windows 2000 Server o como descarga.
  3. Asegúrese de que DNS se configura correctamente. Uno de los errores DNS más comunes es apuntar el controlador de dominio a un proveedor de servicios de Internet (ISP) para DNS en lugar de apuntar DNS a sí mismo o a otro servidor DNS que admite actualizaciones dinámicas y registros SRV. Se recomienda apuntar el controlador de dominio a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Se recomienda que configure reenviadores al ISP para la resolución de nombres en Internet.
Para obtener más información acerca de la configuración de DNS para el servicio de directorios Active Directory, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
291382 Preguntas más frecuentes sobre DNS de Windows 2000 y Windows Server 2003
 
237675 Configurar el Sistema de nombres de dominio para Active Directory
 
254680 Planificación del espacio de nombres DNS
 
255248 Cómo crear un dominio secundario en Active Directory y delegar el espacio de nombres DNS al el dominio secundario
 

Método 2: Sincronizar la hora entre ordenadores

Compruebe que la hora está sincronizada correctamente entre los controladores de dominio. Además, compruebe que la hora está sincronizada correctamente entre los equipos de cliente y los controladores de dominio.

Para obtener más información acerca del Servicio de hora de Windows, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
258059 Sincronización de la hora en un equipo basado en Windows 2000 en un dominio de Windows NT 4.0
 
216734 Configuración de un servidor horario con autoridad en Windows 2000
 

Método 3: Compruebe los derechos de usuario para el "Acceso a este equipo desde la red"

Modifique el archivo Gpttmpl.inf para confirmar que los usuarios adecuados tienen activado el derecho Acceso a este equipo desde la red en el controlador de dominio. Para hacer esto, realice los siguientes pasos:
  1. Modifique el archivo Gpttmpl.inf para la Directiva predeterminada de controladores de dominio. De forma predeterminada, la Directiva predeterminada de controladores de dominio es donde se definen los derechos de usuario para un controlador de dominio. De forma predeterminada, el archivo Gpttmpl.inf para la Directiva predeterminada de controladores de dominio se encuentra en la carpeta siguiente.

    Nota Sysvol puede estar en una ubicación diferente, pero la ruta de acceso del archivo Gpttmpl.inf será la misma.

    Para controladores de dominio de Windows Server 2003:


    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Para controladores de dominio basados en Windows 2000 Server:


    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. A la derecha de la entrada SeNetworkLogonRight, agregue los identificadores de seguridad para Administradores, Usuarios autenticados y Todos. Vea los siguientes ejemplos.

    Para controladores de dominio de Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Para controladores de dominio basados en Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Nota Los administradores (S-1-5-32-544), los Usuarios autenticados (S-1-5-11), Todos (S-1-1-0) y los Controladores de empresa (S-1-5-9) utilizan identificadores de seguridad conocidos que son los mismos en todos los dominios.
  3. Elimine las entradas a la derecha de
    entrada SeDenyNetworkLogonRight (denegar el acceso a este equipo desde la red) para que coincida con el ejemplo siguiente.

    SeDenyNetworkLogonRight =

    Nota El ejemplo es el mismo para Windows 2000 Server y para Windows Server 2003.

    De forma predeterminada, Windows 2000 Server no tiene entradas en la entrada SeDenyNetworkLogonRight. De forma predeterminada, Windows Server 2003 solo tiene la cuenta Support_random string en la entrada SeDenyNetworkLogonRight (La cuenta Support_random string es utilizada por Asistencia remota). Dado que la cuenta Support_random string utiliza un identificador de seguridad (SID) diferente en cada dominio, la cuenta no se puede distinguir fácilmente de una cuenta de usuario típica con solo mirar el SID. Es posible que desee copiar el SID en otro archivo de texto y, a continuación, quitar el SID de la entrada SeDenyNetworkLogonRight. De esa manera, puede volver a colocarlo cuando haya terminado de solucionar el problema.

    SeNetworkLogonRight y SeDenyNetworkLogonRight se pueden definir en cualquier directiva. Si los pasos anteriores no resuelven el problema, compruebe el archivo Gpttmpl.inf en otras directivas de Sysvol para confirmar que los derechos de usuario no se definen allí también. Si un archivo Gpttmpl.inf no contiene ninguna referencia a SeNetworkLogonRight o a SeDenyNetworkLogonRight, esa configuración no está definida en la directiva y esa directiva no está causando este problema. Si esas entradas existen, asegúrese de que coincidan con la configuración enumerada anteriormente para la Directiva predeterminada de controladores de dominio.

Método 4: Compruebe que el atributo userAccountControl del controlador de dominio es 532480

  1. Haga clic en Inicio, Ejecutar y, a continuación, escriba adsiedit.msc.
  2. Expanda Dominio NC,
    DC=dominioy, a continuación,
    OU=controladores de dominio.
  3. Haga clic con el botón derecho del ratón en el controlador de dominio afectado y, a continuación, haga clic en
    Propiedades.
  4. En Windows Server 2003, haga clic para activar la Mostrar atributos obligatorios y la casilla Mostrar atributos opcionales en la pestaña Editor de atributos. En Windows 2000 Server, haga clic en Ambos en el cuadro Seleccionar que propiedades ver.
  5. En Windows Server 2003, haga clic en
    userAccountControl en el cuadro Atributos. En Windows 2000 Server, haga clic en userAccountControl en
    el cuadro Seleccionar que propiedad ver.
  6. Si el valor no es 532480, escriba
    532480 en el cuadro Editar atributo, haga clic en
    Establecer, haga clic en Aplicar y, a continuación, en
    Aceptar.
  7. Salga de Edición de ADSI.

Método 5: Corregir el dominio Kerberos (confirmar que la clave del Registro PolAcDmN y la clave del Registro PolPrDmN coinciden)

Nota Este paso solo es válido para Windows 2000 Server.
Importante En esta sección, método o tarea se incluyen pasos que le permitirán modificar el registro. Sin embargo, se pueden producir problemas graves si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para lograr una mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Si desea obtener más información sobre cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows
  1. Inicie el Editor del Registro.
  2. En el panel de la izquierda, expanda
    Seguridad.
  3. En el menú Seguridad, haga clic en
    Permisos para conceder al Grupo local de administradores Control total del subárbol Seguridad y sus contenedores y objetos secundarios.
  4. Localice la clave HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. En el panel derecho del Editor del Registro, haga clic en
    <Sin nombre>: entrada REG_NONE una vez.
  6. En el menú Vista, haga clic en Mostrar datos binarios. En la sección del cuadro de diálogo Formato, haga clic en Byte.
  7. El nombre de dominio aparece como una cadena en el lado derecho del cuadro de diálogo Datos binarios. El nombre de dominio es el mismo que el dominio Kerberos.
  8. Localice la clave del Registro HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. En el panel derecho del Editor del Registro, haga doble clic en
    <Sin nombre>: la entrada REG_NONE.
  10. En el cuadro de diálogo Editor binario, pegue el valor de PolPrDmN (el valor de PolPrDmN será el nombre de dominio de NetBIOS).
  11. Reinicie el controlador de dominio.

Método 6: Restablezca la contraseña de la cuenta de equipo y, a continuación, obtenga un nuevo vale Kerberos

  1. Detenga el servicio Centro de distribución de claves Kerberos y, a continuación, establezca el valor de inicio en Manual.
  2. Utilice la herramienta Netdom desde las Herramientas de soporte técnico de Windows 2000 Server o desde las Herramientas de soporte técnico de Windows Server 2003 para restablecer la contraseña de la cuenta de equipo del controlador de dominio:

    netdom resetpwd /server:otro controlador de dominio//userd:domain\administrator /passwordd:contraseña de administrador

    Asegúrese de que el comando netdom se devuelve como completado correctamente. Si no es así, el comando no funcionó. Para el dominio Contoso, donde el controlador de dominio afectado es DC1 y un controlador de dominio en funcionamiento es DC2, ejecute el siguiente comando netdom desde la consola de DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:contraseña de administrador
  3. Reinicie el controlador de dominio afectado.
  4. Inicie el servicio Centro de distribución de claves Kerberos y, a continuación, establezca la configuración de inicio en Automático.

Para obtener más información acerca de este problema, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
325322 Mensaje de error "El servidor no está operativo" al intentar abrir el Administrador del sistema de Exchange
 
284929 No se pueden iniciar complementos de Active Directory; el mensaje de error indica que no se pudo contactar con ninguna autoridad para la autenticación
 
257623 El sufijo DNS del nombre de equipo de un nuevo controlador de dominio puede no coincidir con el nombre del dominio después de instalar una actualización de un controlador de dominio principal de Windows NT 4.0 a Windows 2000
 
257346 El derecho de usuario "Acceso a este ordenador desde la red" hace que las herramientas no funcionen
 
316710 Deshabilitar la distribución de claves Kerberos impide que se inicien los servicios Exchange
 
329642 Mensajes de error al abrir complementos de Active Directory y el Administrador del sistema de Exchange
 
272686 Mensajes de error que se producen cuando se abre el complemento Usuarios y equipos de Active Directory
 
323542 No se puede iniciar la herramienta Usuarios y equipos de Active Directory porque el servidor no está operativo
 
329887 No puede interactuar con complementos MMC de Active Directory
 
325465 Los controladores de dominio de Windows 2000 requieren el SP3 o versión posterior cuando usan las herramientas de administración de Windows Server 2003
 
322267 Eliminación de cliente para redes de Microsoft elimina otros servicios
 
297234 Existencia de diferencia horaria entre el cliente y el servidor
 
247151 Usuarios de dominio de nivel inferior pueden recibir un mensaje de error al iniciar complementos MMC
 
280833 Error al especificar todas las zonas DNS en el cliente proxy genera errores de DNS que son difíciles de rastrear
 
322307 No se pueden iniciar los complementos de Exchange Services o Active Directory después de instalar Service Pack 2 (SP2) para Windows 2000