La autenticación de cliente del asignador de puntos de conexión RPC impide que los usuarios y grupos se agreguen al bosque de confianza.
Este artículo ayuda a corregir un error que se produce al intentar agregar un usuario o un grupo de un bosque de confianza a un grupo de dominio local de un dominio en un bosque de confianza.
Se aplica a: Windows Server 2012 R2
Número de KB original: 3073942
La habilitación de la autenticación de cliente del asignador de puntos de conexión RPC impide que se agreguen entidades de seguridad (es decir, usuarios y grupos de bosques de confianza) a un grupo de dominios local en el bosque de confianza. Para obtener información sobre otros componentes y operaciones que se ven afectados por la habilitación de la autenticación de cliente del asignador de puntos de conexión RPC, consulte la siguiente entrada de blog askds:
Restricciones para clientes RPC no autenticados: la directiva de grupo que perfora el dominio en la cara
Síntomas
Imagine la siguiente situación:
- Los controladores de dominio tienen habilitada la autenticación de cliente del asignador de puntos de conexión de Llamada a procedimiento remoto (RPC) de Microsoft.
- Establezca una confianza de bosque transitivo unidireccional de Active Directory entre dos bosques de Active Directory.
- Intenta agregar un usuario o un grupo del bosque de confianza a un grupo de dominio local de un dominio en el bosque de confianza.
En esta situación, aparece este mensaje de error:
Los controladores de Dominio de Active Directory necesarios para buscar los objetos seleccionados en los dominios siguientes no están disponibles:
<bosque de confianza>
Asegúrese de que los controladores de Active Directory están disponibles e intente volver a seleccionar los objetos.
Recibirá este mensaje como en la captura de pantalla siguiente:
Al habilitar el registro mejorado, la información de registro que recibe no proporciona ninguna información adicional, excepto los errores que indican que los controladores de dominio del bosque de confianza no están disponibles. Los seguimientos de supervisión de red no proporcionan detalles adicionales.
Causa
Cuando la autenticación de cliente del asignador de puntos de conexión RPC está habilitada, no se acepta el tráfico RPC no autenticado desde el bosque de Active Directory de confianza.
Solución
Importante
Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del Registro para efectuar una restauración en caso de que surjan problemas.
Para resolver este problema, utilice uno de los métodos siguientes.
Método 1
Si la configuración se aplicó a través de directiva de grupo, cambie la siguiente configuración a "Deshabilitado" a través de directiva de grupo en todos los controladores de dominio del bosque de Active Directory de confianza:
Configuración del equipo -> Plantillas administrativas -> Sistema -> Llamada a procedimiento remoto "Autenticación de cliente asignador de puntos de conexión RPC"
Nota:
Al cambiar la configuración a "No configurada" no se quitarán las entradas del Registro y el problema se mantendrá.
Después de realizar este cambio, se deben reiniciar todos los controladores de dominio del bosque de confianza para que los cambios surtan efecto.
Método 2
Advertencia
Es posible que se produzcan problemas graves si modifica el Registro de forma incorrecta mediante el Editor del Registro u otro método. Estos problemas pueden requerir la reinstalación del sistema operativo. Microsoft no puede garantizar la solución de estos problemas. Modifique el Registro bajo su propia responsabilidad.
Quite la siguiente entrada del Registro de todos los controladores de dominio del bosque de confianza:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\RestrictRemoteClients
Si existe, quite también la siguiente entrada del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
Compruebe que directiva de grupo configuración no invalide estos cambios. Todos los controladores de dominio del bosque de confianza deben reiniciarse después de cambiar esta configuración para que los cambios surtan efecto.
Más información
Lea el blog siguiente sobre los problemas que pueden producirse al habilitar la autenticación de cliente asignador de puntos de conexión RPC, especialmente en controladores de dominio:
Restricciones para clientes RPC no autenticados: la directiva de grupo que perfora el dominio en la cara
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de