Al usar este sitio acepta el uso de cookies para anlisis, contenido personalizado y publicidad.

Ms informacin

Oscar

El controlador de dominio no funciona correctamente

El soporte tcnico para Windows Server 2003

finaliz el 14 de julio de 2015

Microsoft finaliz el soporte tcnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha
afectado a las actualizaciones de software y las opciones de seguridad. Sepa qu significa esto en su
caso y cmo puede mantenerse protegido.

Importante
Este artculo contiene informacin acerca de cmo se modifica el Registro. Antes de modificar el
Registro, asegrese de hacer una copia de seguridad de l y de que sabe cmo restaurarlo si ocurre
algn problema. Para obtener informacin sobre cmo realizar una copia de seguridad, restaurar y
modificar el Registro, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge
Base:
256986 Definicin del Registro de Microsoft Windows

Sntomas
Cuando ejecuta la herramienta Dcdiag en un controlador de dominio basado en Microsoft Windows
2000 Server o Windows Server 2003, puede recibir el mensaje de error siguiente:
Diagnstico de DC
Realizar la instalacin inicial:
[DC1] se produjo el error 31 en el enlace de LDAP
Cuando ejecuta la utilidad REPADMIN /SHOWREPS localmente en un controlador de dominio, puede
recibir el mensaje de error siguiente:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Error 82 de LDAP error local.
Cuando intenta utilizar los recursos de red de la consola de un controlador de dominio afectado,
incluidos los recursos de Convencin de nomenclatura universal UNC, Universal Naming Convention o
las unidades de red asignadas, puede recibir el mensaje de error siguiente:

No hay servidores de inicio de sesin disponibles c000005e = "STATUS_NO_LOGON_SERVERS"

Si inicia cualquier herramienta administrativa de Active Directory desde la consola de un controlador de
dominio afectado, incluidos Sitios y servicios de Active Directory y Usuarios y equipos de Active
Directory, puede recibir uno de los mensajes de error siguientes:
No se puede encontrar la informacin de nombres debido a: No se puede establecer conexin con
ninguna autoridad para autenticacin. Pngase en contacto con el administrador de su sistema para
comprobar que su dominio est configurado y est conectado actualmente.
No se puede encontrar la informacin de nombres debido a: El nombre de cuenta destino es
incorrecto. Pngase en contacto con el administrador de su sistema para comprobar que su dominio
est configurado y est conectado actualmente.
A los clientes de Microsoft Outlook conectados a equipos de Microsoft Exchange Server que estn
utilizando los controladores de dominio afectados para la autenticacin se les pueden solicitar las
credenciales de inicio de sesin, aunque la autenticacin de inicio de sesin funcione correctamente en
otros controladores de dominio.
La herramienta Netdiag puede mostrar los mensajes de error siguientes:
Comprobacin de lista de DC. . . . . . . . . . . : Error
[ADVERTENCIA] No se puede llamar a DsBind en <nombreServidor>.<nombreDominioCompleto>
<direccin IP>. [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Comprobacin de Kerberos. . . . . . . . . . . : Error
[GRAVE] Kerberos no tiene un vale para krbtgt/<nombreDominioCompleto>.
[GRAVE] Kerberos no tiene un vale para <nombreHost>.
Comprobacin de LDAP. . . . . . . . . . . . . : Pasado
[ADVERTENCIA] No se pudo consultar el registro de SPN en el controlador de dominio
<nombreHost> \<nombreCompleto>

El suceso siguiente se puede grabar en el registro de sucesos del sistema del controlador de dominio
afectado:
Tipo de suceso: Error
Origen del suceso: Administrador de control de servicios
Id. de suceso: 7023
Descripcin: El servicio Centro de distribucin de claves Kerberos termin con el error siguiente: El
Servidor Autoridad de seguridad local LSA o Administrador de cuentas de seguridad SAM se
encontraba en un estado incorrecto para ejecutar la operacin de seguridad.

Solucin
Hay varias soluciones para estos sntomas. Lo siguiente es una lista de mtodos que puede intentar. La
lista va seguida de los pasos para realizar cada mtodo. Pruebe cada mtodo hasta que se resuelva el
problema. Se muestran artculos de Microsoft Knowledge Base que describen las correcciones menos
comunes para estos sntomas ms adelante.
1. Mtodo 1: Corregir los errores del Sistema de nombres de dominio DNS.
2. Mtodo 2: Sincronizar la hora entre los equipos.

2. Mtodo 2: Sincronizar la hora entre los equipos.

3. Mtodo 3: Comprobar los derechos de usuario Tener acceso a este equipo desde la red.
4. Mtodo 4: Comprobar que el atributo userAccountControl del controlador de dominio es 532480.
5. Mtodo 5: Corregir el territorio de Kerberos confirmar que las claves del Registro PolAcDmN y
PolPrDmN coinciden.
6. Mtodo 6: Restablecer la contrasea de la cuenta de equipo y, a continuacin, obtener un nuevo
vale de Kerberos.

Mtodo 1: Corregir los errores del Sistema de nombres de dominio DNS

1. En el smbolo del sistema, ejecute el comando netdiag v. Este comando crea un archivo
Netdiag.log en la carpeta donde se ejecut el comando.
2. Resuelva cualquier error de DNS en el archivo Netdiag.log antes de continuar. La herramienta
Netdiag est en Herramientas de soporte tcnico de Windows 2000 Server en el CDROM de
Windows 2000 Server o como una descarga. Para descargar las Herramientas de soporte tcnico
de Windows 2000 Server, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx
3. Asegrese de que DNS est configurado correctamente. Uno de los errores de DNS ms comunes
es sealar el controlador de dominio a un Proveedor de servicios de Internet ISP para DNS en
lugar de sealar DNS a s mismo o a otro servidor DNS que admita actualizaciones dinmicas y
registros SRV. Recomendamos que seale el controlador de dominio a s mismo o a otro servidor
DNS que admita actualizaciones dinmicas y registros SRV. Recomendamos que establezca los
reenviadores en el ISP para la resolucin de nombres en Internet.
Para obtener informacin adicional sobre la configuracin de DNS para el servicio de directorio Active
Directory, haga clic en los nmeros de artculo siguientes para verlos en Microsoft Knowledge Base:
291382 Preguntas ms frecuentes acerca de Windows 2000 DNS y Windows Server 2003 DNS
237675 Configuracin del Sistema de nombres de dominio para Active Directory
254680 Planeacin del espacio de nombres DNS
255248 Cmo crear un dominio secundario en Active Directory y delegar el espacio de nombres
DNS al dominio secundario

Mtodo 2: Sincronizar la hora entre los equipos

Compruebe que la hora est correctamente sincronizada entre los controladores de dominio. Adems,
compruebe que est sincronizada correctamente entre los equipos cliente y controladores de dominio.
Para obtener ms informacin acerca de cmo configurar el Servicio de hora de Windows, haga clic en
los nmeros de artculo siguientes para verlos en Microsoft Knowledge Base:

258059 Cmo sincronizar la hora en un equipo basado en Windows 2000 en un dominio de

Windows NT 4.0
216734 Cmo configurar un servidor horario con autoridad en Windows2000

Mtodo 3: Comprobar los derechos de usuario "Tener acceso a este equipo

desde la red"
Modifique el archivo Gpttmpl.inf para confirmar que los usuarios adecuados tienen el derecho de
usuario Tener acceso a este equipo desde la red en el controlador de dominio. Para ello, siga estos
pasos:
1. Modifique el archivo Gpttmpl.inf para la directiva de controladores de dominio predeterminada.
De forma predeterminada, la directiva de controladores de dominio predeterminada es donde los
derechos de usuario se definen para un controlador de dominio. De forma predeterminada, el
archivo Gpttmpl.inf para la directiva de controladores de dominio predeterminada se encuentra en
la carpeta siguiente.
Nota
Sysvol puede estar en una ubicacin diferente, pero la ruta de acceso al archivo Gpttmpl.inf ser la
misma.
En controladores de dominio de Windows Server 2003:
C:\WINDOWS\Sysvol\Sysvol\<nombreDominio>\Policies\{6AC1786C016F11D2945F
00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
En controladores de dominio de Windows 2000 Server:
C:\WINNT\Sysvol\Sysvol\<nombreDominio>\Policies\{6AC1786C016F11D2945F
00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
2. A la derecha de la entrada SeNetworkLogonRight, agregue los identificadores de seguridad para
Administradores, Usuarios autenticados y Todos. Vea los ejemplos siguientes.
En controladores de dominio de Windows Server 2003:
SeNetworkLogonRight = *S1532554,*S159,*S1532544,*S110
En controladores de dominio de Windows 2000 Server:
SeNetworkLogonRight = *S1511,*S1532544,*S110
Nota
Administradores S1532, Usuarios autenticados S1511, Todos S110 y Controladores
empresariales S159 utilizan identificadores de seguridad conocidos que son el mismo en cada
dominio.
3. Quite cualquier entrada situada a la derecho de SeDenyNetworkLogonRight Denegar el acceso
desde la red a este equipo para que coincida con el ejemplo siguiente.
SeDenyNetworkLogonRight =
Nota
El ejemplo es el mismo para Windows 2000 Server y para Windows Server 2003.

El ejemplo es el mismo para Windows 2000 Server y para Windows Server 2003.
De forma predeterminada, Windows 2000 Server no tiene ninguna entrada en
SeDenyNetworkLogonRight. De forma predeterminada, Windows Server 2003 tiene slo la cuenta
Support_cadena aleatoria en la entrada SeDenyNetworkLogonRight. Asistencia remota utiliza la
cuenta Support_cadena aleatoria. Dado que la cuenta Support_cadena aleatoria utiliza un
identificador de seguridad diferente SID en cada dominio, la cuenta no se distingue con facilidad
de una cuenta de usuario tpica con slo examinar el SID. Quizs desee copiar el SID a otro archivo
de texto y, a continuacin, quitar el SID de la entrada SeDenyNetworkLogonRight. As, puede
volverlo a poner cuando finalice la solucin del problema.
SeNetworkLogonRight y SeDenyNetworkLogonRight se pueden definir en cualquier directiva. Si
los pasos anteriores no resuelven el problema, compruebe el archivo Gpttmpl.inf en otras
directivas de Sysvol para confirmar que no se definen los derechos de usuario tambin all. Si un
archivo Gpttmpl.inf no contiene ninguna referencia a SeNetworkLogonRight o
SeDenyNetworkLogonRight, esa configuracin no se define en la directiva y esa directiva no
produce el problema. Si esas entradas existen, asegrese de que coinciden con la configuracin
mostrada anteriormente para la directiva de controlador de dominio predeterminada.

Mtodo 4: Comprobar que el atributo userAccountControl del controlador de

dominio es 532480
1. Haga clic en Iniciar, en Ejecutar y, a continuacin, escriba adsiedit.msc.
2. Expanda Domain NC NC de dominio, DC=dominio y, a continuacin, OU=Domain Controllers
Unidad organizativa=controladores de dominio.
3. Haga clic con el botn secundario del mouse ratn en el controlador de dominio y, a
continuacin, haga clic en Properties Propiedades.
4. En Windows Server 2003, haga clic para activar la casilla de verificacin Show mandatory
attributes Mostrar atributos obligatorios y la casilla de verificacin Show optional attributes
Mostrar atributos opcionales en la ficha Attribute Editor Editor de atributos. En Windows 2000
Server, haga clic en Both Ambas en el cuadro Select which properties to view Seleccione las
propiedades para ver.
5. En Windows Server 2003, haga clic en userAccountControl en el cuadro Attributes Atributos. En
Windows 2000 Server, haga clic en userAccountControl en el cuadro Select a property to view
Seleccione una propiedad para ver.
6. Si el valor no es 532480, escriba 532480 en el cuadro Edit Attribute Editar atributo, haga clic en
Set Establecer, haga clic en Apply Aplicar y, a continuacin, haga clic en OK Aceptar.
7. Salga de ADSI Edit.

Mtodo 5: Corregir el territorio de Kerberos confirmar que las claves del

Registro PolAcDmN y PolPrDmN coinciden
Nota
Este mtodo slo es vlido para Windows 2000 Server.
Advertencia
Si utiliza incorrectamente el Editor del Registro pueden surgir problemas graves que tal vez requieran
volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que

volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que
resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
1. Inicie el Editor del Registro.
2. En el panel de la izquierda, expanda Seguridad.
3. En el men Seguridad, haga clic en Permisos para conceder al grupo local Administradores el
Control total de la seccin SECURITY y sus contenedores secundarios y objetos.
4. Busque la clave HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
5. En el panel derecho del Editor del Registro, haga clic en la entrada <Ningn nombre>:
REG_NONE una vez.
6. En el men Ver, haga clic en Mostrar datos binarios. En la seccin Formato del cuadro de
dilogo, haga clic en Byte.
7. El nombre de dominio aparece como una cadena en el lado derecho del cuadro de dilogo Datos
binarios. El nombre de dominio es igual que el territorio de Kerberos.
8. Busque la clave del Registro HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
9. En el panel derecho del Editor del Registro, haga doble clic en la entrada <Ningn nombre>:
REG_NONE.
10. En el cuadro de dilogo Editor binario, pegue el valor de PolPrDmN. El valor de PolPrDmN ser el
nombre de dominio de NetBios.
11. Reinicie el controlador de dominio.

Mtodo 6: Restablecer la contrasea de la cuenta de equipo y, a continuacin,

obtener un nuevo vale de Kerberos
1. Detenga el servicio Centro de distribucin de claves Kerberos y, a continuacin, establezca el valor
de inicio en Manual.
2. Utilice la herramienta Netdom de las Herramientas de soporte tcnico de Windows 2000 Server o
de las Herramientas de soporte tcnico de Windows Server 2003 para restablecer la contrasea de
la cuenta de equipo del controlador de dominio:
netdom resetpwd /server:otro controlador de dominio /userd domain\administrator
/passwordd:contrasea de administrador
Asegrese de que el comando netdom se devuelve como finalizado correctamente. De lo
contrario, el comando no funcion. Para el dominio Contoso, donde el controlador de dominio
afectado es DC1 y un controlador de dominio activo es DC2, ejecutara el siguiente comando de
netdom desde la consola de DC1:
netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:contrasea de
administrador
3. Reinicie el controlador de dominio afectado.
4. Inicie el servicio Centro de distribucin de claves Kerberos y, a continuacin, establezca la

4. Inicie el servicio Centro de distribucin de claves Kerberos y, a continuacin, establezca la

configuracin de inicio en Automtico.

Para obtener ms informacin acerca de este problema, haga clic en los nmeros de artculo siguientes
para verlos en Microsoft Knowledge Base:
325322 Recibe el mensaje de error "El servidor no est operativo" cuando intenta abrir Exchange
System Manager
284929 No se pueden iniciar los complementos de Active Directory; un mensaje de error indica que
no se pudo contactar con una entidad para la autenticacin
257623 El sufijo DNS del nombre de equipo de un nuevo controlador de dominio puede no
coincidir con el nombre del dominio despus de instalar una actualizacin de un controlador de
dominio principal de Windows NT 4.0 a Windows 2000
257346 El derecho de usuario "Tener acceso a este equipo desde la red" impide el funcionamiento
de las herramientas
316710 Deshabilitar la distribucin de claves Kerberos impide que se inicien los servicios Exchange
329642 Recibe mensajes de error cuando abre los complementos de Active Directory y Exchange
System Manager
272686 Recibe mensajes de error cuando est abierto el complemento Usuarios y equipos de Active
Directory
323542 No puede iniciar la herramienta Usuarios y equipos de Active Directory porque el servidor
no es operativo
329887 No puede interactuar con los complementos MMC de Active Directory
325465 Los controladores de dominio de Windows 2000 requieren SP3 o una versin posterior
cuando usan las herramientas de administracin de Windows Server 2003
322267 Quitar el Cliente para redes Microsoft quita tambin otros servicios
297234 Existe una diferencia de tiempo entre el cliente y el servidor
247151 Los usuarios de dominio de nivel inferior pueden recibir un mensaje de error cuando inician
complementos MMC
280833 No especificar todas las zonas DNS de un cliente proxy causa errores de DNS que son
difciles de rastrear
322307 No se pueden iniciar los servicios de Exchange o los complementos de Active Directory
despus de instalar el Service Pack 2 SP2 de Windows 2000

Propiedades
Id. de artculo: 837513 ltima revisin: 02/02/2007 07:14:00 Revisin: 1.6
La informacin de este artculo se refiere a:

La informacin de este artculo se refiere a:

Microsoft Windows Server 2003, Standard Edition 32bit x86, Microsoft Windows Server 2003,
Enterprise Edition 32bit x86, Microsoft Windows Server 2003, Datacenter Edition 32bit x86, Microsoft
Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000
Server
Palabras clave:
kberrmsg kbtshoot kbactivedirectory kbactivedirectoryrepl kbevent KB837513

Soporte tcnico

Seguridad

Ponerse en contacto con nosotros

Espaol Espaa, alfabetizacin internacional

Trminos de uso

Privacidad y cookies

Marcas comerciales

2016 Microsoft