Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo resolver un problema en el que se ve un error de acceso denegado al intentar crear un espacio de nombres basado en dominio.
Se aplica a: Todas las versiones compatibles de Windows Server
Al iniciar sesión en Windows mediante una cuenta que pertenece al grupo Administradores de dominio y, a continuación, intenta crear un espacio de nombres basado en dominio en cualquier servidor de espacio de nombres del sistema de archivos distribuido (DFS), se produce un error en la operación. Windows devuelve un mensaje de error similar al siguiente:
\\contoso.com\Public No se puede consultar el espacio de nombres. Se denegó el acceso.
Sin embargo, cuando se produce este error, todavía puede crear correctamente un espacio de nombres independiente.
Causa 1: error en la autenticación NTLM
Al crear un nuevo espacio de nombres basado en dominio, se envía una consulta del sistema de nombres de dominio (DNS) para el nombre de dominio al servidor DNS para recibir una lista de los registros A de los controladores de dominio (CONTROLADORES de dominio). Después de recibir la respuesta DNS, la autenticación new Technology LAN Manager (NTLM) se realiza en uno de estos controladores de dominio.
Dado que la cuenta usada es miembro del grupo Usuarios protegidos, se produce un error en la STATUS_ACCOUNT_RESTRICTION autenticación NTLM.
De forma predeterminada, las cuentas que son miembros del grupo Usuarios protegidos no se pueden autenticar con la autenticación NTLM.
Ejemplo de seguimiento de Wireshark
192.168.0.42 192.168.0.1 SMB2 681 Session Setup Request, NTLMSSP_AUTH, User: CONTOSO\Testuser
192.168.0.1 192.168.0.42 SMB2 130 Session Setup Response, Error: STATUS_ACCOUNT_RESTRICTION
Resolución de la causa 1: Quitar la cuenta usada del grupo "Usuarios protegidos"
Nota:
Después de aplicar la solución, quite el espacio de nombres DFS de la consola de administración de DFS y agréguelo de nuevo, o cierre y vuelva a abrir la consola para que los cambios surtan efecto.
Para resolver este problema, quite la cuenta usada del grupo Usuarios protegidos para realizar la autenticación NTLM. Para obtener más información, vea Grupo de seguridad de usuarios protegidos.
Causa 2: La sesión de SMB no se autentica mutuamente
Este error también puede producirse cuando se ha implementado la autenticación mutua del bloque de mensajes del servidor (SMB) en las rutas de acceso del dominio (por ejemplo, \\Contoso.com\* o \\CONTOSO\*).
La máquina que aplica la configuración de protección no puede crear una netdfs canalización porque la sesión de SMB no se autentica mutuamente.
Puede comprobar si la configuración de protección se implementa en su entorno ejecutando el gpresult /h comando . También puede comprobar la configuración del Registro en la máquina afectada en:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths
Debe encontrar entradas para el nombre de dominio, como:
| Nombre de dominio | Nombre de valor y datos |
|---|---|
\\corp\* |
RequireMutualAuthentication=1RequireIntegrity=1 |
\\corp.contoso.com\* |
RequireMutualAuthentication=1RequireIntegrity=1 |
Resolución de la causa 2: Establezca el valor RequireMutualAuthentication en cero
Nota:
Después de aplicar la solución, quite el espacio de nombres DFS de la consola de administración de DFS y agréguelo de nuevo, o cierre y vuelva a abrir la consola para que los cambios surtan efecto.
Importante
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Como medida de protección, haga una copia de seguridad del registro antes de modificarlo para poder restaurarlo si se produce algún problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.
Para resolver este problema, establezca el RequireMutualAuthentication valor de \\Contoso\* y \\contoso.com\* en cero. Después de realizar estos cambios, puede crear el espacio de nombres .
Por ejemplo:
| Nombre de dominio | Nombre de valor y datos |
|---|---|
\\corp.contoso.com\* |
RequireMutualAuthentication=0RequireIntegrity=1 |
\\corp\* |
RequireMutualAuthentication=0RequireIntegrity=1 |
Ejemplo de un archivo de registro de Monitor de procesos para este escenario
10:32:48.8093671 AM mmc.exe 3488 CreateFile \\contoso.com\pipe\netdfs 0xC0000201 Desired Access: Generic Read/Write, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a
El error c0000201 indica que se produjo un error en la apertura remota porque no se cumplen las restricciones de apertura de red.
Nota:
Los siguientes filtros del Monitor de procesos son útiles:
PID is 3488, que es el PID de la consola de administración DFS.En la salida anterior del Monitor de procesos, 3488 es el PID del proceso de consola de administración DFS. Antes de usar este filtro, identifique primero el PID del proceso de la consola de administración DFS.
Path contains \\contoso.com(o\\contoso)