Funcionalidad de resolución de conflictos y procesamiento de cambios de contraseña en Windows

  • Artículo

En este artículo se describe un valor del Registro que los administradores pueden usar para controlar cuando se contacta con el controlador de dominio principal (PDC), lo que puede ayudar a reducir los costos de comunicación entre sitios y a reducir la carga en el PDC.

Importante

Este artículo contiene información sobre cómo modificar el Registro. Antes de modificarlo, asegúrese de hacer una copia de seguridad de este y de comprender cómo restaurarlo si hay un problema. Para obtener más información sobre cómo realizar una copia de seguridad, restaurar y editar el Registro, consulte Información del Registro de Windows para usuarios avanzados.

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Número de KB original: 225511

Resumen

De forma predeterminada, cuando se restablece o cambia una contraseña de usuario, o cuando un controlador de dominio recibe una solicitud de autenticación de cliente con una contraseña incorrecta, se pone en contacto con el controlador de dominio de Windows que actúa como propietario del rol de operación maestra única flexible (FSMO) de PDC para el dominio de Windows. En este artículo se describe un valor del Registro que los administradores pueden usar para controlar cuando se contacta con el PDC, lo que puede ayudar a reducir los costos de comunicación entre sitios y a reducir la carga en el PDC.

Esta comunicación con el PDC no se realiza para las cuentas de equipo. Los equipos volverán a intentar la autenticación con la contraseña anterior más reciente cuando se produzca un error en la autenticación. En la misma línea, los equipos probarían la contraseña anterior más reciente al descifrar un vale de servicio Kerberos que reciben.

Más información

Advertencia

Si utiliza incorrectamente el Editor del Registro, puede causar serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no le garantiza que pueda solucionar los problemas que sean consecuencia del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

El siguiente valor del Registro se puede modificar para controlar la notificación de cambio de contraseña y la resolución de conflictos de contraseña como se describe a continuación:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

  • Valor del Registro: AvoidPdcOnWan
  • Tipo de registro: REG_DWORD
  • Datos del valor del Registro: 0 (o valor no presente) o 1
    • 0 o valor no presente = FALSE (para deshabilitar)
    • 1 = TRUE (para habilitar)
  • Valor predeterminado: (el valor no está presente)

Notificación de cambio de contraseña

Un controlador de dominio grabable de Windows recibe la solicitud de cambio o restablecimiento de contraseña del usuario. El cambio de contraseña se realiza localmente y, a continuación, se envía inmediatamente al propietario del rol FSMO de PDC mediante el servicio Netlogon como una llamada a procedimiento remoto (RPC). A continuación, el cambio de contraseña se replica en los asociados mediante el proceso de replicación de Active Directory mediante el PDC y el controlador de dominio (DC) que atienden el cambio de contraseña. Si un controlador de dominio de Windows Read-Only (RODC) recibe la solicitud de cambio de contraseña, funciona como un proxy de autenticación que reenvía la solicitud a su controlador de dominio del centro, que actúa como si fuera el primer controlador de dominio en recibir la solicitud.

Si el valor AvoidPdcOnWan se establece en TRUE y el FSMO de PDC se encuentra en otro sitio, el cambio de contraseña no se envía inmediatamente al PDC. Sin embargo, se actualiza con el cambio a través de la replicación normal de Active Directory. Si el FSMO de PDC está en el mismo sitio, no se usa el valor AvoidPdcOnWan y el cambio de contraseña se comunica inmediatamente al PDC.

Es posible que una contraseña actualizada no se envíe al emulador de PDC incluso si AvoidPdcOnWan es FALSE o no está establecido, si hay problemas al enviar la solicitud al PDC, por ejemplo, una interrupción de la red. No se ha registrado ningún error en este caso. A continuación, la actualización se distribuye mediante la replicación normal de AD.

Resolución de conflictos de contraseña

De forma predeterminada, los controladores de dominio de Windows consultan al propietario del rol FSMO de PDC si un usuario intenta autenticarse mediante una contraseña incorrecta según su base de datos local. Si la contraseña enviada desde el cliente por el usuario es correcta en el PDC, se permite el acceso al cliente y el controlador de dominio replica el cambio de contraseña.

Los administradores pueden usar el valor AvoidPdcOnWan para controlar cuándo los controladores de dominio de Active Directory intentan usar el propietario del rol FSMO de PDC para resolver conflictos de contraseñas. El PDC completa el inicio de sesión y la autenticación es correcta para el usuario autenticador.

Si el valor AvoidPdcOnWan se establece en TRUE y el propietario del rol FSMO de PDC se encuentra en otro sitio, el controlador de dominio no intenta autenticar un cliente con la información de contraseña almacenada en el FSMO de PDC. Tenga en cuenta, sin embargo, que esto da como resultado denegar el acceso al usuario. Esto puede provocar un impacto en la productividad, ya que muchos usuarios no van a probar la contraseña anterior para autenticarse. En algunos escenarios, es posible que no conozcan la contraseña anterior.

Es posible que no se intente una contraseña incorrecta en el emulador de PDC incluso si AvoidPdcOnWan es FALSE o no está establecido, si hay problemas para enviar la solicitud al PDC, por ejemplo, una interrupción de la red. No se ha registrado ningún error en este caso. En este caso, se deniega el intento de inicio de sesión.

El escenario es diferente cuando un RODC está implicado. Si se produce un error en una solicitud de autenticación en el RODC con una contraseña incorrecta, el RODC envía la solicitud al controlador de dominio del centro y, a su vez, el controlador de dominio del centro la envía al PDC. Si se ejecuta correctamente en el PDC, la autenticación del usuario se realiza correctamente. Si el RODC tiene permiso para almacenar en caché la contraseña de usuario, solicitará que la contraseña de usuario se replique desde el controlador de dominio del centro. Sin embargo, el controlador de dominio del centro de conectividad también solo tiene la contraseña antigua. El RODC solo obtiene la nueva contraseña a través del ciclo de replicación normal. Seguirá necesitando el centro de conectividad o el PDC hasta que se replique la nueva contraseña.

Control de replicación de contraseñas

Cuando el controlador de dominio grabable reenvía el cambio de contraseña al PDC, la contraseña de usuario se establece en ambos controladores de dominio. Ambos controladores de dominio incluirán esta nueva contraseña en su replicación de salida.

Si estos dos cambios llegan a un controlador de dominio, se realiza la resolución normal de conflictos de AD. La versión de atributos de AD será la misma, pero la marca de tiempo del PDC será un poco más antigua y se usará la contraseña del controlador de dominio inicial.

No hace ninguna diferencia, ya que la carga de datos es idéntica porque ambos controladores de dominio han escrito el mismo valor de contraseña nuevo.

Registro en el registro de eventos de Servicios de directorio

Windows Server 2022 ha agregado eventos para realizar un seguimiento de la actividad de las interacciones con el emulador de PDC con respecto a las notificaciones de actualización de contraseñas.

Identificador de evento 3035

El identificador de evento 3035 se registra en el PDC en el nivel de registro cuatro de la categoría "27 Notificaciones de actualización de contraseña de PDC" en la siguiente entrada del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3035
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>

Identificador de evento 3036

El identificador de evento 3036 se registra si hay un error al actualizar el PDC con las actualizaciones en una llamada desde un controlador de dominio de copia de seguridad (BDC):

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3036
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

Id. de evento 3037

El identificador de evento 3037 se registra en el BDC en el nivel de registro cuatro de la categoría "27 Notificaciones de actualización de contraseña de PDC" en la siguiente entrada del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3037
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
 User:      <User Name>
 User RID:  <RID>

Identificador de evento 3038

El identificador de evento 3038 se registra si hay un error al actualizar el PDC con las actualizaciones en una llamada desde un BDC:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3038
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

Para exmaple, el código de error c0000225 se asigna a STATUS_NOT_FOUND. Este error se espera cuando el usuario se acaba de crear en el controlador de dominio local y la contraseña del usuario se establece dentro de la latencia de replicación del PDC.

También puede ver errores relacionados con la red o RPC en el identificador de evento 3038. Por ejemplo, cuando un firewall bloquea la comunicación entre el BDC y el PDC, puede recibir este evento.

Referencias

Cómo configurar el registro de eventos de diagnóstico de Active Directory y LDS