Compartir a través de

El servicio KDC en un RODC no se puede iniciar y genera el error 1450

En este artículo se resuelve un problema en el que el servicio KDC en un controlador de dominio de solo lectura (RODC) no se puede iniciar y recibe un mensaje de error que hace referencia a recursos del sistema insuficientes.

Se aplica a: Windows Server 2016

Síntomas

El servicio Centro de distribución de claves (KDC) kerberos no se inicia en un controlador de dominio de solo lectura (RODC) y el servicio genera el siguiente mensaje de error:

Windows no pudo iniciar el servicio centro de distribución de claves Kerberos en el equipo local. Error 1450: Existen recursos del sistema insuficientes para completar el servicio solicitado.

Si usa un comando como repadmin /replication para desencadenar la replicación entrante en el RODC desde un controlador de dominio de origen, el comando produce un error y genera el siguiente mensaje de error:

Error de DsReplicaSync() con el estado 6 (0x6):
El identificador no es válido.

Causa

Se quitó la cuenta krbtgt_##### del RODC.

Cada RODC tiene su propia cuenta de krbtgt_##### en Active Directory. En el nombre de la cuenta, ##### representa un número que identifica el RODC. RodC usa esta cuenta para proporcionar aislamiento criptográfico para los vales que emite. Normalmente, no es necesario interactuar con las cuentas de krbtgt_##### . Al promover o degradar un RODC, Windows administra automáticamente las cuentas. Sin embargo, si se produce un error en un RODC y no se limpian los metadatos, una cuenta "huérfana" krbtgt_##### puede permanecer en Active Directory.

Si un administrador intenta limpiar manualmente las cuentas huérfanas, puede producirse el problema mencionado en la sección "Síntomas". Este problema suele significar que se eliminó una cuenta de krbtgt_##### no huérfana en lugar de una cuenta huérfana.

Para obtener información sobre cómo identificar cuentas de krbtgt_##### huérfanas, vea MailBag: RODCs: krbtgt_#####, Huérfanos y Objetos de conexión RODC de equilibrio de carga.

Solución

El procedimiento que usa para resolver este problema depende de si ha habilitado la característica Papelera de reciclaje de AD en Active Directory. Seleccione uno de los siguientes métodos:

Método de recuperación 1 (característica papelera de reciclaje de AD no habilitada)

Si no se ha habilitado la característica Papelera de reciclaje de AD, siga estos pasos en un controlador de dominio que se pueda escribir (RWDC) o en un servidor de catálogo global (GC).

  1. Reinicie el servidor. Durante el proceso de inicio, presione F8 y, a continuación, seleccione Modo de restauración de servicios de directorio.

  2. Use una copia de seguridad de estado del sistema de antes de quitar la cuenta para restaurar el estado del sistema del servidor. Esta operación devuelve la cuenta a la copia local de Active Directory en el servidor.

  3. Abra una ventana del símbolo del sistema con privilegios elevados y use la herramienta ntdsutil para realizar una restauración autoritativa de la cuenta. Esta operación garantiza que la cuenta restaurada se pueda replicar en los demás controladores de dominio.

    Por ejemplo, para restaurar una cuenta que tenga el nombre krbtgt_23530, abriría una ventana del símbolo del sistema con privilegios elevados y ejecutaría el siguiente comando:

    ntdsutil restore object "CN=krbtgt_23530,CN=Users,DC=EMEA,DC=Contoso,DC=com"

    Nota

    La operación de restauración autoritativa crea un archivo de formato de intercambio de datos LDAP (LDIF) que contiene información de la cuenta restaurada. Necesitará este archivo en pasos posteriores.

  4. Reinicie el servidor para volver al modo normal de Active Directory.

  5. Rellene los atributos de backlink de la cuenta restaurada importando el archivo LDIF que se creó en el paso anterior. Para ello, ejecute el siguiente comando en un símbolo del sistema:

    ldifde -i -f <filename>.ldf

    En este comando, <filename> es el nombre de archivo y la ruta de acceso del archivo LDIF que se creó anteriormente. Esta operación vincula el objeto de equipo RODC de Active Directory a su cuenta correspondiente.

Después de finalizar estos pasos, es posible que tenga que restablecer la contraseña de la cuenta de equipo RODC (también conocida como "cuenta de equipo"). Para ello, siga los pasos descritos en Usar Netdom.exe para restablecer las contraseñas de la cuenta de máquina de un controlador de dominio de Windows Server.

Método de recuperación 2 (característica papelera de reciclaje de AD habilitada)

Si la característica Papelera de reciclaje de AD está habilitada, siga estos pasos.

  1. En un RWDC o GC, en una ventana del símbolo del sistema con privilegios elevados, ejecute los siguientes comandos para restaurar la cuenta:

    import-module ActiveDirectory
Get-ADObject -Filter {displayName -eq "krbtgt_<xxxxx>"} -IncludeDeletedObjects | Restore-ADObject

    En el segundo comando, <xxxxx> es el número de identificador del RODC.

  2. En el RODC afectado, abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando para replicar la información de la cuenta en el RODC:

    repadmin /replsingleobj <RODC_Name> <RWDC_Name> <DN>

    Este comando contiene los siguientes marcadores de posición:

    • <> RODC_Name representa el nombre del servidor del RODC.
    • <> RWDC_Name representa el RWDC en el que restauró la cuenta.
    • <DN> representa el nombre distintivo de la cuenta RODC (krbgt_xxxxx)

  3. Borre la memoria caché de Kerberos rodC mediante la ejecución de los siguientes comandos:

    klist purge
klist -li 0x3e7 purge

  4. Restablezca la contraseña de la cuenta de equipo RODC (también conocida como "cuenta de equipo") ejecutando el siguiente comando:

    netdom resetpwd /server: <RWDC_Name> /USERD: administrator /PasswordD:*

    En este comando, <RWDC_Name> representa el nombre del servidor del RWDC.

    Nota

    Este comando le pide la contraseña de la cuenta de administrador.

  5. Reinicie el RODC.

Referencias