Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona una solución a un problema por el que se produce un error en el reenvío del registro de eventos de seguridad con error 0x138C y 5004 en Windows Server.
Se aplica a: Todas las versiones compatibles de Windows Server
Número de KB original: 4047777
Síntomas
Al intentar reenviar los registros de eventos de seguridad en Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008, recibirá el siguiente mensaje de error en el equipo recopilador de eventos:
El error "0x138C" complemento de reenvío de eventos de Windows no puede leer ningún evento de la consulta, ya que la consulta no devuelve ningún canal activo.
Además, recibirá el siguiente mensaje de error en el equipo de origen del evento:
SubscriptionSubscriptionName no se puede crear. El código de error es 5004.
Causa
Este problema puede producirse cuando se cumplen las condiciones siguientes:
La cuenta de servicio de red no tiene el permiso correcto cuando la administración remota de Windows (WinRM) intenta consultar los registros de seguridad desde el equipo de origen.
Los permisos para administrar el registro de eventos de seguridad se modifican mediante el Registro o configurando el registro Administrar auditoría y seguridad que establece la siguiente entrada del Registro en el equipo de origen:
- Clave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security - Entrada del Registro: CustomSD
- Valor:
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x7;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)(A;; 0x7;;;DA)(A;; 0x1;;;S-1-5-21-xxx-xxx-xxx-xxx)
- Clave del Registro:
Solución
Para solucionar este problema, debe agregar la cuenta de servicio de red a la directiva de grupo Administrar la auditoría y el registro de seguridad. Para ello, siga estos pasos:
- Seleccione Iniciar>directiva de seguridad local de herramientas>administrativas.
- En el menú de navegación, seleccione Asignación de derechos de usuario de directivas>locales.
- Haga clic con el botón derecho en Administrar auditoría y registro de seguridad y, a continuación, seleccione Propiedades.
- En la pestaña Configuración de seguridad local, haga clic en Agregar usuario o grupo para agregar la cuenta de servicio de red.
El procedimiento anterior agrega el SID S-1-5-20 (SID conocido de la cuenta de servicio de red) al valor del Registro CustomSD mencionado anteriormente. También puede agregar manualmente el valor a la clave del Registro. Después de la modificación, el valor es similar al siguiente:
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x7;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)(A;; 0x7;;;DA)(A;; 0x1;;;S-1-5-21-xxx-xxx-xxx-xxx);;; S-1-5-20