No se puede establecer la confianza entre un dominio de Windows NT y un dominio de Active Directory o no funciona según lo esperado.

  • Artículo

En este artículo se describen los problemas de configuración de confianza entre un dominio basado en Windows NT 4.0 y un dominio basado en Active Directory.

Se aplica a: Windows 10: todas las ediciones, Windows Server 2012 R2
Número de KB original: 889030

Síntomas

Si intenta configurar una confianza entre un dominio basado en Microsoft Windows NT 4.0 y un dominio basado en Active Directory, puede experimentar cualquiera de los síntomas siguientes:

  • No se establece la confianza.
  • Se establece la confianza, pero la confianza no funciona según lo esperado.

Además, puede recibir cualquiera de los siguientes mensajes de error:

Error al intentar unirse al dominio "Domain_Name": La cuenta no está autorizada para iniciar sesión desde esta estación.

Acceso denegado.

No se pudo establecer contacto con ningún controlador de dominio.

Error de inicio de sesión: nombre de usuario desconocido o contraseña incorrecta.

Al usar el selector de objetos en Usuarios y equipos de Active Directory para agregar usuarios del dominio NT 4.0 al dominio de Active Directory, puede recibir el siguiente mensaje de error:

Ningún elemento coincide con la búsqueda actual. Compruebe los parámetros de búsqueda e inténtelo de nuevo.

Causa

Este problema se produce debido a un problema de configuración en cualquiera de las áreas siguientes:

  • Resolución de nombres
  • Configuración de seguridad
  • Derechos de usuario
  • Pertenencia a grupos para Microsoft Windows 2000 o Microsoft Windows Server 2003

Para identificar correctamente la causa del problema, debe solucionar la configuración de confianza.

Solución

Si recibe el mensaje de error "No hay elementos que coincidan con la búsqueda actual" al usar el selector de objetos en Usuarios y equipos de Active Directory, asegúrese de que los controladores de dominio del dominio NT 4.0 incluyan Todos en el derecho Acceso a este equipo desde el derecho de usuario de red. En este escenario, el selector de objetos intenta conectarse de forma anónima a través de la confianza. Para comprobar esta configuración, siga los pasos descritos en la sección "Método tres: Comprobar los derechos de usuario".

Para solucionar problemas de configuración de confianza entre un dominio basado en Windows NT 4.0 y Active Directory, debe comprobar la configuración correcta de las siguientes áreas:

  • Resolución de nombres
  • Configuración de seguridad
  • Derechos de usuario
  • Pertenencia a grupos para Microsoft Windows 2000 o Microsoft Windows Server 2003

Para ello, use los métodos siguientes.

Método uno: Comprobar la configuración correcta de la resolución de nombres

Paso 1: Crear un archivo LMHOSTS

Cree un archivo LMHOSTS en los controladores de dominio principales para proporcionar la funcionalidad de resolución de nombres entre dominios. El archivo LMHOSTS es un archivo de texto que puede editar con cualquier editor de texto, como el Bloc de notas. El archivo LMHOSTS de cada controlador de dominio debe contener la dirección TCP/IP, el nombre de dominio y la entrada \0x1b del otro controlador de dominio.

Después de crear el archivo LMHOSTS, siga estos pasos:

  1. Modifique el archivo para que contenga texto similar al texto siguiente:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Nota:

    Debe haber un total de 20 caracteres y espacios entre comillas (" ") para la entrada \0x1b. Agregue espacios después del nombre de dominio para que use 15 caracteres. El carácter 16 es la barra diagonal inversa que va seguida del valor "0x1b" y esto hace un total de 20 caracteres.

  2. Cuando termine los cambios en el archivo LMHOSTS, guarde el archivo en la carpeta %SystemRoot% \System32\Drivers\Etc de los controladores de dominio. Para obtener más información sobre el archivo LMHOSTS, vea el archivo de ejemplo Lmhosts.sam que se encuentra en la carpeta %SystemRoot% \System32\Drivers\Etc.

Paso 2: Carga del archivo LMHOSTS en la memoria caché

  1. Haga clic en Inicio, en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, escriba NBTSTAT -Ry presione ENTRAR. Este comando carga el archivo LMHOSTS en la memoria caché.

  3. En el símbolo del sistema, escriba NBTSTAT -cy presione ENTRAR. Este comando muestra la memoria caché. Si el archivo se escribe correctamente, la memoria caché es similar a la siguiente:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Si el archivo no rellena correctamente la memoria caché, continúe con el paso siguiente.

Paso 3: Asegúrese de que la búsqueda LMHOSTS está habilitada en el equipo basado en Windows NT 4.0

Si el archivo no rellena correctamente la memoria caché, asegúrese de que la búsqueda LMHOSTS está habilitada en el equipo basado en Windows NT 4.0. Para ello, siga estos pasos:

  1. Haga clic enInicio, seleccione Configuración y, a continuación, haga clic en Panel de control.
  2. Haga doble clic en Redes, haga clic en la pestaña Protocolos y, a continuación, haga doble clic en Protocolo TCP/IP.
  3. Haga clic en la pestaña Dirección WINS y, a continuación, haga clic para activar la casilla Habilitar búsqueda LMHOSTS .
  4. Reinicie el equipo.
  5. Repita los pasos de la sección "Cargar el archivo LMHOSTS en la memoria caché".
  6. Si el archivo no rellena correctamente la memoria caché, asegúrese de que el archivo LMHOSTS está en la carpeta %SystemRoot%\System32\Drivers\Etc y de que el archivo tiene el formato correcto.

Por ejemplo, el archivo debe tener un formato similar al formato de ejemplo siguiente:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b" #PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Nota:

Debe haber un total de 20 caracteres y espacios dentro de las comillas (" ") para el nombre de dominio y la entrada \0x1b.

Paso 4: Uso del comando Ping para probar la conectividad

Cuando el archivo rellene la memoria caché correctamente en cada servidor, use el Ping comando en cada servidor para probar la conectividad entre los servidores. Para ello, siga estos pasos:

  1. Haga clic en Inicio, en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, escriba Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>y presione ENTRAR. Si el Ping comando no funciona, asegúrese de que las direcciones IP correctas aparecen en el archivo LMHOSTS.

  3. En el símbolo del sistema, escriba net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>y presione ENTRAR. Se espera que reciba el siguiente mensaje de error:

    Error del sistema 5. Acceso denegado

    Si el comando net view devuelve el siguiente mensaje de error o cualquier otro mensaje de error relacionado, asegúrese de que las direcciones IP correctas aparecen en el archivo LMHOSTS:

    Se ha producido el error del sistema 53. No se ha encontrado la ruta de acceso de la red

Como alternativa, el servicio de nombres de Internet (WINS) de Windows se puede configurar para habilitar la funcionalidad de resolución de nombres sin usar un archivo LMHOSTS.

Método dos: Ver la configuración de seguridad

Normalmente, el lado de Active Directory de la configuración de confianza tiene valores de seguridad que provocan problemas de conectividad. Sin embargo, la configuración de seguridad debe inspeccionarse en ambos lados de la confianza.

Paso 1: Ver la configuración de seguridad en Windows 2000 Server y Windows Server 2003

En Windows 2000 Server y Windows Server 2003, la configuración de seguridad se puede aplicar o configurar mediante directiva de grupo, una directiva local o una plantilla de seguridad aplicada.

Debe usar las herramientas correctas para determinar los valores actuales de la configuración de seguridad para evitar lecturas inexactas.

Para obtener una lectura precisa de la configuración de seguridad actual, use los métodos siguientes:

  • En Windows 2000 Server, use el complemento Configuración de seguridad y análisis.

  • En Windows Server 2003, use el complemento Configuración de seguridad y análisis o conjunto resultante de directivas (RSoP).

Después de determinar la configuración actual, debe identificar la directiva que aplica la configuración. Por ejemplo, debe determinar el directiva de grupo en Active Directory o la configuración local que establece la directiva de seguridad.

En Windows Server 2003, la herramienta RSoP identifica la directiva que establece los valores de seguridad. Sin embargo, en Windows 2000 debe ver la directiva de grupo y la directiva local para determinar la directiva que contiene la configuración de seguridad:

  • Para ver la configuración de directiva de grupo, debe habilitar la salida de registro para el cliente de configuración de seguridad de Microsoft Windows 2000 durante el procesamiento de directiva de grupo.

  • Vea el Visor de eventos de inicio de sesión de la aplicación y busque el identificador de evento 1000 y el identificador de evento 1202.

Las tres secciones siguientes identifican el sistema operativo y enumeran la configuración de seguridad que debe comprobar para el sistema operativo en la información que ha recopilado:

Windows 2000

Asegúrese de que la configuración siguiente está configurada como se muestra.

Restrictanonymous:

Restricciones adicionales para las conexiones anónimas
 "Ninguno. Confiar en los permisos predeterminados"

Compatibilidad con LM:

Nivel de autenticación de LAN Manager "Enviar solo respuesta NTLM"

Firma smb, cifrado smb o ambos:

Firmar digitalmente las comunicaciones de cliente (siempre) DESHABILITADO
Firmar digitalmente las comunicaciones de cliente (cuando sea posible) HABILITADO
Firmar digitalmente las comunicaciones del servidor (siempre) DESHABILITADO
Firmar digitalmente las comunicaciones del servidor (cuando sea posible) HABILITADO
Canal seguro: cifrar o firmar digitalmente datos de canal seguro (siempre) DESHABILITADO
Canal seguro: cifre digitalmente los datos de canal seguro (cuando sea posible) DESHABILITADO
Canal seguro: firmar digitalmente datos de canal seguro (cuando sea posible) DESHABILITADO
Canal seguro: requiere una clave de sesión segura (Windows 2000 o posterior) DESHABILITADO
Windows Server 2003

Asegúrese de que la configuración siguiente está configurada como se muestra.

RestrictAnonymous y RestrictAnonymousSam:

Acceso a la red: permitir la traducción de nombres o SID anónimos HABILITADO
Acceso a la red: no permitir la enumeración anónima de cuentas SAM DESHABILITADO
Acceso a la red: no permitir la enumeración anónima de cuentas y recursos compartidos sam DESHABILITADO
Acceso a la red: permitir que todos los permisos se apliquen a usuarios anónimos HABILITADO
Acceso a la red: se puede acceder a canalizaciones con nombre de forma anónima HABILITADO
Acceso de red: restricción del acceso anónimo a canalizaciones y recursos compartidos con nombre DESHABILITADO

Nota:

De forma predeterminada, el valor de la opción Acceso a la red: Permitir traducción de nombres o SID anónimos es DISABLED en Windows Server 2008.

Compatibilidad con LM:

Seguridad de red: nivel de autenticación de LAN Manager "Enviar solo respuesta NTLM"

Firma smb, cifrado smb o ambos:

Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre) DESHABILITADO
Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de acuerdo) HABILITADO
Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre) DESHABILITADO
Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente está de acuerdo) HABILITADO
Miembro del dominio: cifrar o firmar digitalmente datos de canal seguro (siempre) DESHABILITADO
Miembro del dominio: cifre digitalmente los datos de canal seguro (cuando sea posible) HABILITADO
Miembro del dominio: firmar digitalmente datos de canal seguro (cuando sea posible) HABILITADO
Miembro de dominio: requerir una clave de sesión segura (Windows 2000 o posterior) DESHABILITADO

Una vez configurada la configuración correctamente, debe reiniciar el equipo. La configuración de seguridad no se aplica hasta que se reinicia el equipo.

Una vez que se reinicie el equipo, espere 10 minutos para asegurarse de que se aplican todas las directivas de seguridad y que se configuran los valores efectivos. Se recomienda esperar 10 minutos porque las actualizaciones de directivas de Active Directory se producen cada 5 minutos en un controlador de dominio y la actualización puede cambiar los valores de configuración de seguridad. Después de 10 minutos, use Security Configuration and Analysis u otra herramienta para examinar la configuración de seguridad en Windows 2000 y Windows Server 2003.

Windows NT 4.0

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: 322756 Cómo hacer una copia de seguridad y restaurar el Registro en Windows.

En Windows NT 4.0, la configuración de seguridad actual debe comprobarse mediante la herramienta Regedt32 para ver el registro. Para ello, siga estos pasos:

  1. Haga clic en Inicio, en Ejecutar, escriba regedt32 y, a continuación, haga clic en Aceptar.

  2. Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada Compatibilidad de LM:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada EnableSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada RequireSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Método tres: Comprobar los derechos de usuario

Para comprobar los derechos de usuario necesarios en un equipo basado en Windows 2000, siga estos pasos:

  1. Haga clic en Inicio, seleccione Programas, Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad local.
  2. Expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
  3. En el panel derecho, haga doble clic en Acceder a este equipo desde la red.
  4. Haga clic para activar la casilla Configuración de directiva local situada junto al grupo Todos en la lista Asignado a y, a continuación, haga clic en Aceptar.
  5. Haga doble clic en Denegar el acceso a este equipo desde la red.
  6. Compruebe que no hay ningún grupo de principios en la lista Asignado a y, a continuación, haga clic en Aceptar. Por ejemplo, asegúrese de que todos los usuarios, usuarios autenticados y otros grupos no aparecen en la lista.
  7. Haga clic en Aceptary, a continuación, salga de Directiva de seguridad local.

Para comprobar los derechos de usuario necesarios en un equipo basado en Windows Server 2003, siga estos pasos:

  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad del controlador de dominio.

  2. Expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.

  3. En el panel derecho, haga doble clic en Acceder a este equipo desde la red.

  4. Asegúrese de que el grupo Todos está en la lista Acceso a este equipo desde la red .

    Si el grupo Todos no aparece, siga estos pasos:

    1. Haga clic en Agregar usuario o grupo.
    2. En el cuadro Nombres de usuario y grupo , escriba Todos y, a continuación, haga clic en Aceptar.

  5. Haga doble clic en Denegar el acceso a este equipo desde la red.

  6. Compruebe que no hay ningún grupo de principios en denegar el acceso a este equipo desde la lista de red y, a continuación, haga clic en Aceptar. Por ejemplo, asegúrese de que todos los usuarios autenticados y otros grupos no aparezcan.

  7. Haga clic en Aceptar y, a continuación, cierre la directiva de seguridad del controlador de dominio.

Para comprobar los derechos de usuario necesarios en un equipo basado en Windows NT Server 4.0, siga estos pasos:

  1. Haga clic en Inicio, seleccione Programas, Herramientas administrativasy, a continuación, haga clic en Administrador de usuarios para dominios.

  2. En el menú Directivas , haga clic en Derechos de usuario.

  3. En la lista Derecha , haga clic en Acceso a este equipo desde la red.

  4. En el cuadro Conceder a , asegúrese de que se agrega el grupo Todos.

    Si no se agrega el grupo Todos, siga estos pasos:

    1. Haga clic en Agregar.
    2. En la lista Nombres , haga clic en Todos, haga clic en Agregary, a continuación, haga clic en Aceptar.

  5. Haga clic en Aceptary, a continuación, salga del Administrador de usuarios.

Método cuatro: Comprobar la pertenencia a grupos

Si se configura una confianza entre los dominios, pero no se pueden agregar grupos de usuarios principales de un dominio al otro porque el cuadro de diálogo no encuentra los demás objetos de dominio, es posible que el grupo "Acceso compatible con Pre-Windows 2000" no tenga la pertenencia correcta.

En los controladores de dominio basados en Windows 2000 y los controladores de dominio basados en Windows Server 2003, asegúrese de que están configuradas las pertenencias a grupos necesarias.

Para hacerlo en los controladores de dominio basados en Windows 2000, siga estos pasos:

  1. Haga clic en Inicio, apunte a Programas, apunte a Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

  2. Haga clic en Integrado y, a continuación, haga doble clic en Grupo de acceso compatible con Pre-Windows 2000.

  3. Haga clic en la pestaña Miembros y, a continuación, asegúrese de que el grupo Todos está en la lista Miembros .

  4. Si el grupo Todos no está en la lista Miembros , siga estos pasos:

    1. Haga clic en Inicio, en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.
    2. En el símbolo del sistema, escriba net localgroup "Pre-Windows 2000 Compatible Access" everyone /addy presione ENTRAR.

Para asegurarse de que las pertenencias a grupos necesarias están configuradas en los controladores de dominio basados en Windows Server 2003, debe saber si la configuración de directiva "Acceso a la red: Permitir que todos los permisos se apliquen a usuarios anónimos" está deshabilitada. Si no lo sabe, use la Editor de objetos directiva de grupo para determinar el estado de la configuración de directiva "Acceso a la red: permitir que todos los permisos se apliquen a usuarios anónimos". Para ello, siga estos pasos:

  1. Haga clic en Inicio y, en Ejecutar, escriba gpedit.msc y haga clic en Aceptar.

  2. Expanda las carpetas siguientes:

    Directiva de equipo local
    Configuración del equipo
    Configuración de Windows
    Configuración de seguridad
    Directivas locales

  3. Haga clic en Opciones de seguridady, a continuación, haga clic en Acceso a la red: permitir que todos los permisos se apliquen a los usuarios anónimos en el panel derecho.

  4. Tenga en cuenta si el valor de la columna Configuración de seguridad es Deshabilitado o Habilitado.

Para asegurarse de que las pertenencias a grupos necesarias están configuradas en los controladores de dominio basados en Windows Server 2003, siga estos pasos:

  1. Haga clic en Inicio, apunte a Programas, apunte a Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

  2. Haga clic en Integrado y, a continuación, haga doble clic en Grupo de acceso compatible con Pre-Windows 2000.

  3. Haga clic en la pestaña Miembros.

  4. Si la configuración de directiva Acceso a la red: Permitir que todos los permisos se apliquen a usuarios anónimos está deshabilitada, asegúrese de que el grupo Todos, Inicio de sesión anónimo está en la lista Miembros . Si la configuración de directiva "Acceso a la red: permitir que todos los permisos se apliquen a usuarios anónimos" está habilitada, asegúrese de que el grupo Todos está en la lista Miembros .

  5. Si el grupo Todos no está en la lista Miembros , siga estos pasos:

    1. Haga clic en Inicio, en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.
    2. En el símbolo del sistema, escriba net localgroup "Pre-Windows 2000 Compatible Access" everyone /addy presione ENTRAR.

Método cinco: Comprobar la conectividad a través de dispositivos de red, como firewalls, conmutadores o enrutadores

Si ha recibido mensajes de error similares al siguiente mensaje de error y ha comprobado que los archivos LMHOST son correctos, el problema puede deberse a un firewall, enrutador o conmutador que tiene puertos bloqueados entre los controladores de dominio:

No se pudo establecer contacto con ningún controlador de dominio

Para solucionar problemas de dispositivos de red, use PortQry Command Line Port Scanner versión 2.0 para probar los puertos entre los controladores de dominio.

Para obtener más información sobre PortQry versión 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

832919 Nuevas características y funcionalidad en PortQry versión 2.0

Para obtener más información sobre cómo se deben configurar los puertos, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

179442 Configuración de un firewall para dominios y confianzas

Método seis: Recopilar información adicional para ayudar a solucionar el problema

Si los métodos anteriores no le ayudaron a resolver el problema, recopile la siguiente información adicional para ayudarle a solucionar la causa del problema:

  • Habilite el registro de Netlogon en ambos controladores de dominio. Para obtener más información sobre cómo completar el registro de Netlogon, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: 109626 Habilitación del registro de depuración para el servicio Net Logon.

  • Capture un seguimiento en ambos controladores de dominio al mismo tiempo que se produce el problema.

Más información

La siguiente lista de objetos de directiva de grupo (GPO) proporciona la ubicación de la entrada del Registro correspondiente y la directiva de grupo en los sistemas operativos aplicables:

  • Gpo RestrictAnonymous:

    • Ubicación del Registro de Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Ubicación del Registro de Windows 2000 y Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\ Opciones de seguridad Restricciones adicionales para conexiones anónimas
    • Windows Server 2003 directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad Acceso de red: No permitir la enumeración anónima de cuentas y recursos compartidos SAM

  • Gpo restrictAnonymousSAM:

    • Ubicación del Registro de Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 directiva de grupo: Configuración del equipo\Configuración de Windows\Opciones de seguridad Opciones de seguridad Acceso de red: No permitir la enumeración anónima de cuentas y recursos compartidos sam

  • GPO EveryoneIncludesAnonymous:

    • Ubicación del Registro de Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad Acceso a la red: Permitir que todos los permisos se apliquen a usuarios anónimos

  • GPO de compatibilidad de LM:

    • Ubicación del Registro de Windows NT, Windows 2000 y Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad: Nivel de autenticación del Administrador de LAN

    • Windows Server 2003 directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad\Seguridad de red: Nivel de autenticación del Administrador de LAN

  • Gpo de EnableSecuritySignature (cliente):

    • Ubicación del Registro de Windows 2000 y Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad \Opciones de seguridad: Firmar digitalmente la comunicación del cliente (cuando sea posible)
    • Windows Server 2003 directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad\Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (si el servidor está de acuerdo)

  • Gpo de RequireSecuritySignature (cliente):

    • Ubicación del Registro de Windows 2000 y Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad: Firmar digitalmente la comunicación del cliente (siempre)
    • Windows Server 2003: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad\Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre)

  • Gpo de EnableSecuritySignature (servidor):

    • Ubicación del Registro de Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Ubicación del Registro de Windows 2000 y Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 directiva de grupo: firmar digitalmente la comunicación del servidor (siempre que sea posible)
    • Windows Server 2003 directiva de grupo: Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente está de acuerdo)

  • GPO RequireSecuritySignature (server):

    • Ubicación del Registro de Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Ubicación del Registro de Windows 2000 y Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 directiva de grupo: firmar digitalmente la comunicación del servidor (siempre)
    • Windows Server 2003 directiva de grupo: Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre)

  • GPO RequireSignOrSeal:

    • Ubicación del Registro de Windows NT, Windows 2000 y Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 directiva de grupo: cifrar o firmar digitalmente datos de canales seguros (siempre)
    • Windows Server2003 directiva de grupo: miembro del dominio: cifrar o firmar digitalmente datos de canal seguro (siempre)

  • Gpo sealSecureChannel:

    • Ubicación del Registro de Windows NT, Windows 2000 y Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 directiva de grupo: canal seguro: cifrado digital de datos de canal seguro (siempre que sea posible)
    • Windows Server 2003 directiva de grupo: Miembro del dominio: Cifrar digitalmente datos de canal seguro (siempre que sea posible)

  • Gpo de SignSecureChannel:

    • Ubicación del Registro de Windows NT, Windows 2000 y Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 directiva de grupo: canal seguro: firmar digitalmente datos de canales seguros (siempre que sea posible)
    • Windows Server 2003 directiva de grupo: miembro del dominio: firmar digitalmente datos de canales seguros (siempre que sea posible)

  • GPO RequireStrongKey:

    • Ubicación del Registro de Windows NT, Windows 2000 y Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 directiva de grupo: Canal seguro: Requerir clave de sesión segura (Windows 2000 o posterior)
    • Windows Server 2003 directiva de grupo: Miembro de dominio: Requerir clave de sesión segura (Windows 2000 o posterior)

Windows Server 2008

En un controlador de dominio que ejecuta Windows Server 2008, el comportamiento predeterminado de la opción de directiva Permitir algoritmos criptográficos compatibles con Windows NT 4.0 puede causar un problema. Esta configuración impide que tanto los sistemas operativos Windows como los clientes de terceros usen algoritmos de criptografía débiles para establecer canales de seguridad NETLOGON en controladores de dominio basados en Windows Server 2008.

Referencias

Para obtener más información, haga clic en los números de artículo siguientes para ver los artículos de Microsoft Knowledge Base:

823659 incompatibilidades de cliente, servicio y programa que pueden producirse al modificar la configuración de seguridad y las asignaciones de derechos de usuario