Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta guía proporciona los conceptos fundamentales utilizados para solucionar problemas de unión de dominios en Active Directory.
Lista de verificación de solución de problemas
Sistema de Nombres de Dominio (DNS): Cada vez que tengas un problema para unirte a un dominio, una de las primeras cosas que debes comprobar es el DNS. DNS es el corazón de Active Directory (AD) y hace que las cosas funcionen correctamente, incluyendo la unión al dominio. es-ES: Asegúrese de lo siguiente:
- Las direcciones del servidor DNS son correctas.
- El orden de búsqueda del sufijo DNS es correcto si están involucrados varios dominios DNS.
- No hay registros DNS obsoletos o duplicados que referencien la misma cuenta de computadora.
- El DNS inverso no apunta a un nombre diferente como el registro A.
- Se puede hacer ping al nombre de dominio, a los controladores de dominio (DCs) y a los servidores DNS.
- Compruebe si hay conflictos de registros DNS para el servidor específico.
Netsetup.log: el archivo Netsetup.log es un recurso valioso al solucionar un problema de unión a un dominio. El archivo netsetup.log se encuentra en C:\Windows\Debug\netsetup.log.
Seguimiento de red: durante una unión a un dominio de AD, se producen varios tipos de tráfico entre el cliente y algunos servidores DNS y, a continuación, entre el cliente y algunos controladores de dominio. Si ve un error en cualquiera de los tráficos anteriores, siga los pasos de solución de problemas correspondientes de ese protocolo o componente para restringirlo. Para obtener más información, consulte Uso de Netsh para administrar seguimientos.
Cambios de refuerzo en la unión a un dominio: las actualizaciones de Windows publicadas a partir del 11 de octubre de 2022 contienen protecciones adicionales introducidas por CVE-2022-38042. Estas protecciones evitan intencionalmente que las operaciones de unión al dominio reutilicen una cuenta de computadora existente en el dominio de destino, a menos que se cumpla una de las siguientes condiciones:
- El usuario que intenta la operación es el creador de la cuenta existente.
- El ordenador fue creado por un miembro de los administradores de dominio.
Para obtener más información, consulte KB5020276: Netjoin: Cambios de endurecimiento de la unión a un dominio.
Requisitos de Puerto
La siguiente tabla enumera los puertos que deben estar abiertos entre el ordenador cliente y el controlador de dominio (DC).
| Puerto | Protocolo | Protocolo de aplicación | Nombre del servicio del sistema |
|---|---|---|---|
| 53 | TCP | DNS (Sistema de Nombres de Dominio) | Servidor DNS |
| 53 | UDP | DNS (Sistema de Nombres de Dominio) | Servidor DNS |
| 389 | UDP | Localizador de DC | LSASS |
| 389 | TCP | Servidor LDAP | LSASS |
| 88 | TCP | Kerberos | Servidor de distribución de claves Kerberos |
| 135 | TCP | RPC | Mapeador de Puntos Finales RPC |
| 445 | TCP | Pequeñas y Medianas Empresas (PYME) | LanmanServer |
| 1024-65535 | TCP | RPC | Mapper de Endpoint RPC para DSCrackNames, SAMR y llamadas de Netlogon entre Cliente y Controlador de Dominio |
Problemas comunes y soluciones
| Código de error de unión a un dominio | Causa | Artículo relacionado |
|---|---|---|
| 0x569 | Este error se produce porque la cuenta de usuario para unirse a un dominio carece del derecho Acceder a este equipo desde la red en el controlador de dominio (DC) que da servicio a la operación de unirse al dominio. | Solución de problemas del código de error 0x569: Al usuario no se le ha concedido el tipo de inicio de sesión solicitado en este equipo |
| 0xaac o 0x8b0 | Este error se produce cuando intenta usar un nombre de cuenta de equipo existente para unir un equipo a un dominio. | Solución de errores del código de error 0xaac: fallo al intentar usar una cuenta de equipo existente para unirse a un dominio |
| 0x6BF o 0xC002001C | Este error se produce cuando un dispositivo de red (enrutador, firewall o dispositivo de red privada virtual (VPN) rechaza los paquetes de red entre el cliente que se va a unir y el controlador de dominio (DC). | Solución de problemas de código de estado 0x6bf o 0xc002001c: Se produjo un error en la llamada a procedimiento remoto y no se ejecutó |
| 0x6D9 | Este error se produce cuando se bloquea la conectividad de red entre el cliente de unión y el controlador de dominio (DC). | Solución de problemas del código de error 0x6D9 "No hay más puntos de conexión disponibles en el asignador de puntos de conexión" |
| 0xa8b | Este error se produce cuando se une un equipo de grupo de trabajo a un dominio. | Solución de problemas del código de error 0xa8b: Se ha producido un error al intentar resolver el nombre DNS de un controlador de dominio en el dominio al que se está uniendo |
| 0x40 | El problema está relacionado con la obtención de tickets Kerberos para una sesión de Bloque de Mensajes del Servidor (SMB). | Solución de problemas del código de error 0x40 "El nombre de red especificado ya no está disponible" |
| 0x54b | Este error se produce porque no se puede establecer contacto con el dominio especificado, lo que indica problemas de localización de controladores de dominio (DC). | Solución de problemas del código de error 0x54b |
| 0x0000232A | Este error indica que el nombre del sistema de nombres de dominio (DNS) no se puede resolver. | Solución de problemas del código de error 0x0000232A |
| 0x3a | Este error se produce cuando el equipo cliente carece de conectividad de red confiable en el puerto 389 del Protocolo de control de transmisión (TCP) entre el equipo cliente y el controlador de dominio (DC). | Solución de problemas de código de estado 0x3a: El servidor especificado no puede realizar la operación solicitada |
| 0x216d | Este error se produce cuando la cuenta de usuario ha superado el límite de 10 equipos que se pueden unir al dominio o cuando una directiva de grupo restringe a los usuarios la unión de equipos al dominio. | Resolución de problemas del código de estado 0x216d: Su ordenador no pudo unirse al dominio |
Otros errores que ocurren cuando se une computadoras basadas en Windows a un dominio
Para más información, consulte:
Colecciones de datos para problemas de unión al dominio
Para solucionar problemas de unión al dominio, los siguientes registros pueden ayudar:
Registro de Netsetup
Este archivo de registro contiene la mayoría de la información sobre las actividades de unión de dominios. El archivo está ubicado en la máquina del cliente en%windir%\debug\netsetup.log.
Este archivo de registro está habilitado por defecto. No es necesario habilitarlo explícitamente.Seguimiento de red
El seguimiento de la red contiene la comunicación entre el ordenador cliente y los servidores relacionados, como los servidores DNS y los controladores de dominio en toda la red. Debería recopilarse en el ordenador del cliente. Distintas herramientas pueden recopilar rastros de red, como Wireshark y netsh.exe, que está incluido en todas las ediciones de Windows.
Puedes recoger cada registro por separado. Alternativamente, puedes usar algunas herramientas proporcionadas por Microsoft para reunirlos todos juntos. Para hacerlo, siga los pasos en las siguientes secciones.
Recoger manualmente
- Descarga e instala Wireshark en el ordenador cliente que va a unirse al dominio de AD.
- Inicia la aplicación con privilegios de administrador y luego comienza a capturar.
- Intenta unirte al dominio AD para reproducir el error. Registra el mensaje de error.
- Detén la captura en la aplicación y guarda el seguimiento de red en un archivo.
- Recopile el archivo netsetup.log que se encuentra en %windir%\debug\netsetup.log.
Usar guiones de autenticación
Auth Scripts es un script de PowerShell ligero desarrollado por Microsoft para facilitar la recopilación de registros con el fin de solucionar problemas relacionados con la autenticación. Para usarlo, siga estos pasos:
Descargue scripts de autenticación en el equipo cliente. Extrae los archivos a una carpeta.
Iniciar una ventana de PowerShell con privilegios de administrador. Cambie al directorio que contiene esos archivos extraídos.
Ejecute start-auth.ps1, acepte el CLUF si se le solicite y permita la ejecución si se le advierte sobre un publicador que no es de confianza.
Nota:
Si los scripts no pueden ejecutarse debido a las directivas de ejecución, consulte about_Execution_Policies.
Después de que el comando se haya completado correctamente, intente unirse al dominio AD para reproducir el error. Registra el mensaje de error.
Ejecute stop-auth.ps1 y permita la ejecución del programa si se le advierte sobre un publicador que no es de confianza.
Los archivos de registro se guardan en la subcarpeta authlogs , que incluye el registro de Netsetup.log y el archivo de seguimiento de red (Nettrace.etl).
Uso de la herramienta TSS
La herramienta TSS es otra herramienta desarrollada por Microsoft para facilitar la recopilación de registros. Para usarlo, siga estos pasos:
Descargue la herramienta TSS en el equipo cliente. Extrae los archivos a una carpeta.
Iniciar una ventana de PowerShell con privilegios de administrador. Cambie al directorio que contiene esos archivos extraídos.
Ejecute el siguiente comando:
TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowaitAcepta el EULA si se te solicita y permite la ejecución si aparece una advertencia sobre un editor no confiable.
Nota:
Si los scripts no pueden ejecutarse debido a las directivas de ejecución, consulte about_Execution_Policies.
El comando tarda unos minutos en completarse. Después de que el comando se complete exitosamente, intenta unirte al dominio AD para reproducir el error. Registra el mensaje de error.
Ejecute
TSS.ps1 -stopy permita la ejecución si se le advierte sobre un editor no confiable.Los archivos de registro se guardan en la subcarpeta C:\MS_DATA y ya están comprimidos. El nombre de archivo ZIP sigue el formato de TSS_<hostname>_<date>-<time>-ADS_AUTH.zip.
El archivo ZIP incluye el Netsetup.log y el seguimiento de red. El archivo de seguimiento de red se denomina <hostname>_<date>-<time>-Netsh_packetcapture.etl.