La autenticación de cliente del asignador de extremo RPC impide que los usuarios y grupos se agregó al bosque de confianza

Este artículo ayuda a corregir un error que se produce cuando se intenta agregar un usuario o un grupo de un bosque de confianza a un grupo de dominio local de un dominio en un bosque de confianza.

Versión original del producto:   Windows Server 2012 R2
Número KB original:   3073942

La habilitación de la autenticación de cliente rpc Endpoint Mapper impide que las entidades de seguridad (es decir, usuarios y grupos de bosques de confianza) se agregó a un grupo de dominio local en el bosque de confianza. Para obtener información acerca de otros componentes y operaciones que se ven afectadas al habilitar la autenticación de cliente rpc Endpoint Mapper, consulte la siguiente entrada de blog askds:
Restricciones para clientes RPC no autenticados: la directiva de grupo que fuerza el dominio en la cara

Síntomas

Imagine la siguiente situación:

  • Los controladores de dominio tienen habilitada la autenticación de cliente de asignación de extremo de llamada a procedimiento remoto (RPC) de Microsoft.
  • Se establece una confianza de bosque transitivo y un solo sentido de Active Directory entre dos bosques de Active Directory.
  • Intenta agregar un usuario o un grupo del bosque de confianza a un grupo de dominio local de un dominio en el bosque de confianza.

En este escenario, recibirá el siguiente mensaje de error:

Los controladores de dominio de Active Directory necesarios para buscar los objetos seleccionados en los siguientes dominios no están disponibles:

<trusted-forest>

Asegúrate de que los controladores de Active Directory estén disponibles e intenta seleccionar los objetos de nuevo.

Recibirá este mensaje como en la siguiente captura de pantalla:

Captura de pantalla del mensaje de error

Al habilitar el registro mejorado, la información de registro que recibe no proporciona información adicional, excepto los errores que den como estado que los controladores de dominio del bosque de confianza no están disponibles. Los seguimientos de supervisión de red no proporcionan detalles adicionales.

Causa

Cuando se habilita la autenticación de cliente rpc Endpoint Mapper, no se acepta el tráfico RPC no autenticado del bosque de Active Directory de confianza.

Solución

Importante

Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, haga una copia de seguridad del Registro para su restauración en caso de que se produzcan problemas.

Para resolver este problema, use uno de los métodos siguientes.

Método 1

Si la configuración se aplicó a través de la directiva de grupo, cambie la siguiente configuración a "Deshabilitada" a través de la directiva de grupo en todos los controladores de dominio del bosque de Active Directory de confianza:

Configuración del equipo -> plantillas administrativas -> Sistema -> llamada a procedimiento remoto "Autenticación de cliente asignador de extremo RPC"

Nota

Al cambiar la configuración a "No configurado", no se quitarán las entradas del Registro y el problema persistirá.

Después de realizar este cambio, todos los controladores de dominio del bosque de confianza deben reiniciarse para que los cambios entren en vigor.

Método 2

Advertencia

Es posible que se produzcan problemas graves si modifica el Registro de forma incorrecta mediante el Editor del Registro u otro método. Estos problemas pueden requerir la reinstalación del sistema operativo. Microsoft no puede garantizar la solución de estos problemas. Modifique el Registro bajo su propia responsabilidad.

Quite la siguiente entrada del Registro de todos los controladores de dominio del bosque de confianza:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\RestrictRemoteClients
Si existe, quite también la siguiente entrada del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
Compruebe que la configuración de la directiva de grupo no invalide estos cambios. Todos los controladores de dominio del bosque de confianza deben reiniciarse después de que se cambie esta configuración para que los cambios entren en vigor.

Más información

Lea el siguiente blog sobre los problemas que pueden producirse al habilitar la autenticación de cliente del asignador de extremo RPC, especialmente en los controladores de dominio:
Restricciones para clientes RPC no autenticados: la directiva de grupo que fuerza el dominio en la cara