Guía de solución de problemas: errores de autorización dhcp

2025-01-20

En esta guía se proporciona un proceso detallado paso a paso para diagnosticar y resolver errores de autorización del Protocolo de configuración dinámica de host (DHCP) en un entorno de Active Directory (AD).

Síntomas

Durante la fase posterior a la instalación del rol DHCP en un servidor, aparece el siguiente mensaje de error:

Autorización del ..... del servidor DHCP Con error
Error en la autorización del servidor DHCP con código de error: 20070. El servicio DHCP no pudo ponerse en contacto con Active Directory.

La consola DHCP muestra una flecha roja hacia abajo en la sección IPv4, lo que indica que el servidor no está autorizado.

Captura de pantalla de la consola DHCP que muestra un estado no autorizado.

El identificador de evento 1046 se registra en los registros de eventos del sistema, lo que indica que el servidor DHCP no está autorizado para conceder direcciones IP:

El servicio DHCP/BINL en el equipo local, que pertenece al dominio> de dominio <administrativo de Windows, ha determinado que no está autorizado a iniciarse. Ha dejado de atender a los clientes.

Captura de pantalla del registro de eventos que indica un estado no autorizado.

Los intentos manuales para autorizar el servidor DHCP también pueden producir un error con el siguiente mensaje de error:

El dominio especificado no existe o podría ponerse en contacto con él.

Flujo de autorización DHCP

La autorización DHCP garantiza que solo los servidores autorizados puedan funcionar dentro de un dominio de AD. Este mecanismo impide que los servidores no autorizados distribuya direcciones IP, lo que puede provocar conflictos de red y problemas de seguridad.

Cuando se autoriza un servidor DHCP, se crea una entrada en AD en la lista de servidores autorizados. Este comportamiento se realiza a través de comunicaciones del Protocolo ligero de acceso a directorios (LDAP) entre el controlador de dominio (DC) y el servidor DHCP. Esta lista reside en el contenedor de configuración del esquema de AD.

Captura de pantalla que muestra la entrada creada en AD.

El servidor DHCP valida su estado de autorización en Servicios de dominio de Active Directory (AD DS) cada hora mediante LDAP. Si la dirección IP del servidor no se encuentra en esta lista, el servidor desautoriza a sí mismo.

Causas de errores de autorización

Problemas de permisos: la cuenta que se usa para autorizar el servidor no tiene privilegios suficientes.
Faltan entradas en AD: es posible que la entrada del servidor DHCP se elimine del contenedor de configuración de AD.
Problemas de conectividad: los problemas de red o firewall impiden la comunicación entre el controlador de dominio y el servidor DHCP.
Problemas de replicación de AD: los retrasos o problemas pueden provocar entradas incoherentes, lo que provoca entradas duplicadas o conflictivas (por ejemplo, objetos Conflict (CNF) en el contenedor de configuración de AD. El servidor DHCP no se puede autorizar con estas entradas.

Pasos para solucionar problemas

Paso 1: Comprobación de permisos

Use una cuenta de administrador de empresa para autorizar el servidor DHCP. Esta cuenta tiene permisos suficientes para realizar cambios en AD.

Paso 2: Comprobar el estado de autorización

Ejecute uno de los siguientes comandos para comprobar si la entrada del servidor DHCP existe en la lista de servidores autorizados de AD:

Comando de PowerShell:

Get-DhcpServerInDC

Comando del símbolo del sistema:

netsh dhcp show server

Como alternativa, use ADSI Edit para conectarse a la partición de configuración y compruebe si el servidor aparece allí:

Abra adsiedit.msc en el controlador de dominio.
Conéctese al contenedor de configuración .
Vaya a Servicios>de configuración>NetServices.
Compruebe si el nombre del servidor DHCP aparece en el panel derecho.

Paso 3: Probar la autorización manual

Si no hay ninguna entrada para el servidor, siga estos pasos:

Abra la Consola de administración de DHCP.
Haga clic con el botón derecho en el nombre del servidor DHCP.
Seleccione Autorizar.

Si se produce un error, continúe.

Paso 4: Comprobar la conectividad

Use las siguientes herramientas para probar la conectividad entre el servidor DHCP y el controlador de dominio:

Comando Ping para comprobaciones básicas de conectividad de red entre ambos servidores.
Comando Test-NetConnection para el puerto TCP 389 a través de PowerShell. Por ejemplo:
```
Test-NetConnection -ComputerName <DC-IP> -Port 389
```

Compruebe que los puertos LDAP (TCP/UDP 389) están abiertos y funcionales. Revise la configuración del firewall para asegurarse de que estos puertos no están bloqueados. Resuelva los problemas de conectividad detectados en consecuencia.

Además, puede capturar seguimientos de Wireshark para identificar las caídas de paquetes entre el controlador de dominio y el servidor DHCP.

Paso 5: Identificar y resolver entradas en conflicto

Abra adsiedit.msc y vaya a Servicios de configuración>>NetServices.
Busque entradas con la etiqueta CNF que incluya el nombre del servidor. La etiqueta CNF se agrega en el atributo CN. Por ejemplo:

cn <fqdn>CNF:ca69f501234

En este caso, se debe eliminar el objeto CNF (objeto en conflicto). Se recomienda realizar una copia de seguridad de AD y, a continuación, eliminar este objeto. Una vez eliminado el objeto, puede volver a autorizar el servidor DHCP.

Pasos adicionales de solución de problemas

Cuando intenta autorizar manualmente el servidor, podría funcionar, pero se produce un error en unos días porque su entrada se elimina en AD. En tales casos, es importante comprender por qué la entrada se elimina en AD o quién elimina la entrada de AD.

Para buscar quién eliminó la entrada del controlador de dominio del servidor DHCP, puede habilitar la auditoría en el controlador de dominio, que no está habilitado de forma predeterminada. Siga estos pasos para habilitar la auditoría:

Habilitación de la auditoría de cambios de AD

Abra la consola de administración de directivas de grupo en el controlador de dominio o ejecute gpmc.msc.
Vaya a Dominios>Domain_Name>directiva predeterminada de controladores de dominio.>
Haga clic con el botón derecho y edite la directiva predeterminada del controlador de dominio.
Vaya a Directivas de configuración del>>equipo Configuración de Windows Configuración>avanzada de directiva de auditoría>Directivas de auditoría Directivas de auditoría>DS Access>Audit Directory Service Changes. Habilite los intentos correctos y de error .

Configuración de la auditoría en el contenedor de "Configuración"

Abra adsiedit.msc.
Conéctese al contenedor de configuración .
Vaya a Servicios>NetServices.
Haga clic con el botón secundario y seleccione Propiedades.
Vaya a la pestaña Seguridad y seleccione Avanzadas.
En la pestaña Auditoría , seleccione Agregar.
Agregue el grupo Todos y habilite la auditoría para:
- Escribir todas las propiedades
- Eliminar
- Eliminar subárbol
Aplique los cambios.
Cuando el problema se repite, exporte los registros de eventos de seguridad en el controlador de dominio para identificar quién eliminó o modificó la entrada DHCP.

Consulte el ejemplo siguiente de eliminación de eventos:

A directory service object was deleted.

Subject:
    Security ID: <domain>\administrator
    Account Name: Administrator
    Account Domain: <domain>
    Logon ID: 0x35D447

Directory Service:
    Name: <url>
    Type: Active Directory Domain Services

Object:
    DN: CN=<fqdn>,CN=NetServices,CN=Services,CN=Configuration,DC=<domain>,DC=com

Para obtener más información, consulte Configuración de la auditoría en el contenedor de configuración.

Recolección de datos

Antes de ponerse en contacto con el soporte técnico de Microsoft, puede recopilar información sobre su problema.

Siga los pasos proporcionados en Introducción al conjunto de herramientas de TroubleShootingScript (TSS) para descargar y recopilar registros mediante la herramienta TSS. A continuación, use este comando para habilitar la recopilación de registros en el equipo afectado.

.\TSS.ps1 -Scenario NET_DHCPsrv