El controlador de dominio no funciona correctamente

En este artículo se proporcionan soluciones comunes al problema en el que el controlador de dominio no funciona correctamente.

Versión del producto original:   Windows Server 2012 R2
Número KB original:   837513

Síntomas

Al ejecutar la herramienta Dcdiag en un controlador de dominio basado en Microsoft Windows 2000-Server o en un controlador de dominio basado en Windows Server 2003, puede recibir el siguiente mensaje de error:

Diagnóstico de DC
Realizar la configuración inicial:
[DC1] Error en el enlace LDAP con el error 31

Al ejecutar la utilidad REPADMIN /SHOWREPS localmente en un controlador de dominio, puede recibir uno de los siguientes mensajes de error:

[D: \ nt \ private \ ds \ src \ util \ repadmin \ repinfo.c, 389] Error LDAP 82 (Error local).

Error en el último intento @ yyyy-mm-dd hh:mm.ss, resultado 1753: no hay más puntos de conexión disponibles en el asignador de puntos de conexión.

Error en el último intento @ yyyy-mm-dd hh:mm.ss, resultado 5: Se deniega el acceso.

Si usa sitios y servicios de Active Directory para desencadenar la replicación, puede recibir un mensaje que indica que se deniega el acceso.

Cuando intenta usar recursos de red desde la consola de un controlador de dominio afectado, incluidos los recursos de la Convención de nomenclatura universal (UNC) o las unidades de red asignadas, puede recibir el siguiente mensaje de error:

No hay servidores de inicio de sesión disponibles (c000005e = "STATUS_NO_LOGON_SERVERS")

Si inicia cualquier herramienta administrativa de Active Directory desde la consola de un controlador de dominio afectado, incluidos los sitios y servicios de Active Directory y los usuarios y equipos de Active Directory, puede recibir uno de los siguientes mensajes de error:

La información de nomenclatura no se puede encontrar porque: no se pudo ponerse en contacto con ninguna autoridad para la autenticación. Póngase en contacto con el administrador del sistema para comprobar que el dominio está configurado correctamente y que está en línea actualmente.

La información de nomenclatura no se puede encontrar porque: el nombre de la cuenta de destino es incorrecto. Póngase en contacto con el administrador del sistema para comprobar que el dominio está configurado correctamente y que está en línea actualmente.

Los clientes de Microsoft Outlook que están conectados Microsoft Exchange Server equipos que usan controladores de dominio afectados para la autenticación pueden solicitar credenciales de inicio de sesión, aunque haya una autenticación de inicio de sesión correcta de otros controladores de dominio.

La herramienta Netdiag puede mostrar los siguientes mensajes de error:

Prueba de lista de DC . . . . . . . . . . . : Error
[ADVERTENCIA] No se puede llamar a DsBind a <servername> .<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Prueba kerberos. . . . . . . . . . . : Error
[FATAL] Kerberos no tiene un vale para krbtgt/ <fqdn> .

[FATAL] Kerberos no tiene un vale para <hostname> .
Prueba LDAP. . . . . . . . . . . . . : Pasado
[ADVERTENCIA] Error al consultar el registro de SPN en DC <hostname><fqdn>

El siguiente evento se puede registrar en el registro de eventos del sistema del controlador de dominio afectado:

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

Solución

Existen varias resoluciones para estos síntomas. A continuación se muestra una lista de métodos para probar. A la lista le siguen los pasos para realizar cada método. Pruebe cada método hasta que se resuelva el problema. Los artículos de Microsoft Knowledge Base que describen correcciones menos comunes para estos síntomas se enumeran más adelante.

  1. Método 1: Corregir errores del sistema de nombres de dominio (DNS).
  2. Método 2: Sincronizar la hora entre equipos.
  3. Método 3: Compruebe el acceso a este equipo desde los derechos de usuario de red.
  4. Método 4: Compruebe que el atributo userAccountControl del controlador de dominio es 532480.
  5. Método 5: Corregir el dominio Kerberos (confirme que la clave del Registro PolAcDmN y la clave del Registro PolPrDmN coinciden).
  6. Método 6: Restablecer la contraseña de la cuenta del equipo y, a continuación, obtener un nuevo vale Kerberos.

Método 1: Corregir errores DNS

  1. En un símbolo del sistema, ejecute el netdiag -v comando. Este comando crea un archivo Netdiag.log en la carpeta donde se ha ejecutado el comando.
  2. Resuelva los errores DNS en el archivo Netdiag.log antes de continuar. La herramienta Netdiag está en las Herramientas de soporte técnico de Windows 2000 Server en el CD-ROM de Windows 2000 Server o como descarga.
  3. Asegúrese de que DNS está configurado correctamente. Uno de los errores DNS más comunes es apuntar el controlador de dominio a un proveedor de servicios de Internet (ISP) para DNS en lugar de apuntar DNS a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Se recomienda apuntar el controlador de dominio a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Se recomienda configurar reenviadores al ISP para la resolución de nombres en Internet.

Para obtener más información acerca de la configuración de DNS para el servicio de directorio de Active Directory, haga clic en los números de artículo siguientes para ver los artículos en Microsoft Knowledge Base:
Planeación del espacio de nombres DNS 254680

Método 2: Sincronizar la hora entre equipos

Compruebe que la hora está sincronizada correctamente entre los controladores de dominio. Además, compruebe que la hora está sincronizada correctamente entre los equipos cliente y los controladores de dominio.

Método 3: Comprobar los derechos de usuario "Acceder a este equipo desde la red"

Modifique el archivo Gpttmpl.inf para confirmar que los usuarios adecuados tienen acceso a este equipo desde el usuario de red directamente en el controlador de dominio. Para ello, siga estos pasos:

  1. Modifique el archivo Gpttmpl.inf de la directiva de controladores de dominio predeterminados. De forma predeterminada, la directiva de controladores de dominio predeterminado es donde se definen los derechos de usuario para un controlador de dominio. De forma predeterminada, el archivo Gpttmpl.inf de la directiva de controladores de dominio predeterminado se encuentra en la carpeta siguiente.

    Nota

    Sysvol puede estar en una ubicación diferente, pero la ruta de acceso para el archivo Gpttmpl.inf será la misma.

    Para controladores de dominio de Windows Server 2003:

    C: \ WINDOWS \ Sysvol \ Sysvol \ <Domainname> \ Policies \ { 6AC1786C-016F-11D2-945F-00C04fB984F9} \ MACHINE \ Microsoft \ Windows NT \ SecEdit \ GptTmpl.inf

    Para controladores de dominio de Windows 2000 Server:

    C: \ WINNT \ Sysvol \ Sysvol \ <Domainname> \ Policies \ { 6AC1786C-016F-11D2-945F-00C04fB984F9} \ MACHINE \ Microsoft \ Windows NT \ SecEdit \ GptTmpl.inf

  2. A la derecha de la entrada SeNetworkLogonRight, agregue los identificadores de seguridad para administradores, usuarios autenticados y para todos. Vea los ejemplos siguientes.

    Para controladores de dominio de Windows Server 2003:

    SeNetworkLogonRight = * S-1-5-32-554, * S-1-5-9, * S-1-5-32-544, * S-1-1-0

    Para controladores de dominio de Windows 2000 Server:

    SeNetworkLogonRight = * S-1-5-11, * S-1-5-32-544, * S-1-1-0

    Nota

    Los administradores (S-1-5-32-544), los usuarios autenticados (S-1-5-11), todos (S-1-1-0) y los controladores de empresa (S-1-5-9) usan identificadores de seguridad conocidos que son los mismos en todos los dominios.

  3. Quite cualquier entrada a la derecha de la entrada SeDenyNetworkLogonRight (Denegar el acceso a este equipo desde la red) para que coincida con el ejemplo siguiente.

    SeDenyNetworkLogonRight =

    Nota

    El ejemplo es el mismo para Windows 2000 Server y para Windows Server 2003.

    De forma predeterminada, Windows 2000 Server no tiene entradas en la entrada SeDenyNetworkLogonRight. De forma predeterminada, Windows Server 2003 solo tiene la Support_random de cadena en la entrada SeDenyNetworkLogonRight. (La Support_random de cadena de caracteres se usa mediante asistencia remota). Dado que la cuenta de cadena Support_random usa un identificador de seguridad (SID) diferente en todos los dominios, la cuenta no se distingue fácilmente de una cuenta de usuario típica con solo mirar el SID. Es posible que desee copiar el SID en otro archivo de texto y, a continuación, quitar el SID de la entrada SeDenyNetworkLogonRight. De este modo, puede volver a colocarlo cuando termine de solucionar el problema.

    SeNetworkLogonRight y SeDenyNetworkLogonRight se pueden definir en cualquier directiva. Si los pasos anteriores no resuelven el problema, compruebe el archivo Gpttmpl.inf en otras directivas de Sysvol para confirmar que los derechos de usuario no se definen allí. Si un archivo Gpttmpl.inf no contiene ninguna referencia a SeNetworkLogonRight o a SeDenyNetworkLogonRight, dicha configuración no se define en la directiva y esa directiva no está causando este problema. Si esas entradas existen, asegúrese de que coincidan con la configuración que se indica anteriormente para la directiva de controlador de dominio predeterminado.

Método 4: Comprobar que el atributo userAccountControl del controlador de dominio es 532480

  1. Haga clic en Inicio , en Ejecutar y, a continuación, escriba adsiedit.msc.
  2. Expanda Dominio NC, expanda DC=dominio y, a continuación, expanda OU=Controladores de dominio.
  3. Haga clic con el botón secundario en el controlador de dominio afectado y, a continuación, haga clic en Propiedades.
  4. En Windows Server 2003, haga clic para activar la casilla Mostrar atributos obligatorios y la casilla Mostrar atributos opcionales en la pestaña Editor de atributos. En Windows 2000 Server, haga clic en Ambos en el cuadro Seleccionar qué propiedades ver.
  5. En Windows Server 2003, haga clic en userAccountControl en el cuadro Atributos. En Windows 2000 Server, haga clic en userAccountControl en el cuadro Seleccionar una propiedad para ver.
  6. Si el valor no es 532480, escriba 532480 en el cuadro Editar atributo, haga clic en Establecer, haga clic en Aplicar y, a continuación, haga clic en Aceptar.
  7. Salga de edición adsi.

Método 5: Corregir el dominio Kerberos (confirme que la clave del Registro PolAcDmN y la clave del Registro PolPrDmN coinciden)

Nota

Este método solo es válido para Windows 2000 Server.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

  1. Inicie el Editor del Registro.
  2. En el panel izquierdo, expanda Seguridad.
  3. En el menú Seguridad, haga clic en Permisos para conceder al grupo local Administradores control total del subárbol SEGURIDAD y sus contenedores y objetos secundarios.
  4. Busque la HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN clave.
  5. En el panel derecho del Editor del Registro, haga clic en <No Name> la entrada : REG_NONE una vez.
  6. En el menú Ver, haga clic en Mostrar datos binarios. En la sección Formato del cuadro de diálogo, haga clic en Byte.
  7. El nombre de dominio aparece como una cadena en el lado derecho del cuadro de diálogo Datos binarios. El nombre de dominio es el mismo que el dominio Kerberos.
  8. Busque la HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN clave del Registro.
  9. En el panel derecho del Editor del Registro, haga doble clic en <No Name> la entrada : REG_NONE entrada.
  10. En el cuadro de diálogo Editor binario, pegue el valor de PolPrDmN. (El valor de PolPrDmN será el nombre de dominio NetBIOS).
  11. Reinicie el controlador de dominio.

Método 6: Restablecer la contraseña de la cuenta del equipo y, a continuación, obtener un nuevo vale Kerberos

  1. Detenga el servicio del Centro de distribución de claves Kerberos y, a continuación, establezca el valor de inicio en Manual.

  2. Usa la herramienta Netdom desde las Herramientas de soporte técnico de Windows 2000 Server o desde las Herramientas de soporte técnico de Windows Server 2003 para restablecer la contraseña de la cuenta del equipo del controlador de dominio:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>  
    

    Asegúrese de que el netdom comando se devuelve como completado correctamente. Si no es así, el comando no ha funcionado. Para el dominio Contoso, donde el controlador de dominio afectado es DC1 y un controlador de dominio en funcionamiento es DC2, ejecute el siguiente comando desde la consola netdom de DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
    
  3. Reinicie el controlador de dominio afectado.

  4. Inicie el servicio centro de distribución de claves Kerberos y, a continuación, establezca la configuración de inicio en Automático.

Para obtener más información acerca de este problema, haga clic en los números de artículo siguientes para ver los artículos en Microsoft Knowledge Base:
323542 No puede iniciar la herramienta Usuarios y equipos de Active Directory porque el servidor no está operativo