Contraseña de cuenta de servicio de Cluster Server se debe establecer a 15 o más caracteres si está habilitada la directiva NoLMHash

Seleccione idioma Seleccione idioma
Id. de artículo: 828861 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Cuando intenta unirse el segundo nodo del clúster, el Asistente para instalación devuelve el mensaje siguiente:
<csa> no tiene permiso para administrar el clúster.
Además, si inicia el Administrador de clústeres (CluAdmin.exe) en un clúster o desde un servidor remoto, puede recibir el siguiente mensaje de error:
Acceso denegado

Causa

En lugar de almacenar la contraseña de cuenta de usuario en texto sin cifrar, Microsoft Windows genera y almacena las contraseñas de cuenta de usuario mediante dos representaciones de contraseña diferente, que normalmente se conoce como "hashes". Al establecer o cambiar la contraseña de una cuenta de usuario a una contraseña que contiene menos de 15 caracteres, Windows genera un hash de LAN Manager (LMHash) y un hash de Microsoft Windows NT (NT hash) de la contraseña. Estos hash se almacenan en la base de datos de administrador de cuentas de seguridad (SAM) local o en Active Directory.

Si el seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña directiva está establecida, no LMHash en el clúster (CSA) de la cuenta en Active Directory de servicio.

Cuando se utiliza una contraseña de menos de 15 caracteres para CSA, cuando se une el segundo nodo el proceso de instalación generará el LMHash para generar una clave de sesión para autenticar. Dado que no LMHash se almacena en Active Directory, el controlador de dominio no puede crear una clave de sesión correspondiente. El acceso denegado. Cuando utiliza una contraseña que tiene 15 o más caracteres para la CSA, un LMHash no se genera el proceso de instalación. En su lugar, se utilizará el hash de contraseña de Windows NT para derivar la clave de sesión. El controlador de dominio podrá generar una clave de sesión correspondiente. Se realizará correctamente la autenticación. Para obtener información adicional acerca de cómo impedir que la contraseña se almacene como un hash de LAN Manager, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
299656Cómo impedir que Windows almacene un hash de administrador de LAN de la contraseña en Active Directory y las bases de datos SAM local

Solución

Para resolver el problema, seleccione el método que mejor se adapte a su situación.

Método 1: Utilizar una contraseña de al menos 15 caracteres

Cuando la directiva NoLMHash está establecida en Active Directory y no puede ser deshabilitada debido a consideraciones de seguridad, utilice una contraseña que es como mínimo 15 caracteres largo para impedir que el Asistente para la instalación del clúster utilicen un LMHash para la autenticación.

Método 2: Habilitar el almacenamiento de LMHash en Active Directory

Habilitar el almacenamiento de LMHash de una contraseña de usuario mediante el grupo directiva en Active Directory. Para ello, siga estos pasos:
  1. En el dominio controladores grupo Directiva predeterminada, expanda Configuración del equipo , expanda Configuración de Windows , expanda Configuración de seguridad , expanda Directivas locales y, a continuación, haga clic en Opciones de seguridad .
  2. En la lista de directivas disponibles, haga doble clic en seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña .
  3. Haga clic en deshabilitado y, a continuación, haga clic en Aceptar .
  4. Asegúrese de que la directiva se replica y se aplica.
  5. Restablecer la contraseña de la CSA (longitud puede ser menos de 15 caracteres) para asegurarse de que se escribe el LMHash en SAM y AD.

Método 3: Instalar un hotfix

Hay una revisión de Microsoft para resolver este problema para que las contraseñas de quince caracteres no se requiere cuando se establece la directiva NoLMHash en Active Directory. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
890761Recibe un mensaje de error "Error 0x8007042b" cuando agrega o une un nodo a un clúster si utilizan NTLM versión 2 en Windows Server 2003

Propiedades

Id. de artículo: 828861 - Última revisión: lunes, 30 de octubre de 2006 - Versión: 5.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbmt kbprb KB828861 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 828861

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com