La configuración de directiva de grupo no se aplica cuando un usuario en un territorio Kerberos externo inicia la sesión basados en Windows XP o a un equipo basado en Windows 2000 en un dominio secundario

Seleccione idioma Seleccione idioma
Id. de artículo: 892090 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Un usuario en un territorio Kerberos externo inicia sesión en un equipo basado en Microsoft Windows XP Professional o a un equipo basado en Microsoft Windows 2000 Professional en un dominio secundario. No se aplicarán configuraciones de directiva de grupo desde un controlador de dominio basado en Microsoft Windows Server 2003 en el dominio principal.

Causa

Este problema se produce debido a una mayor seguridad en Microsoft Windows Server 2003.

Solución

Se trata de una revisión de cliente. Para resolver el problema, debe, como mínimo, instalar la revisión en todos los equipos cliente del dominio secundario. Debe aplicar la revisión a los equipos siguientes:
  • Windows Server 2003-based clientes del dominio secundario
  • Windows XP Professional clientes del dominio secundario
  • Clientes basado en Windows 2000 del dominio secundario
Si alguno de los servidores de Windows 2000 o Windows Server 2003 o los controladores de dominio va a realizar las solicitudes de autenticación de cliente para cuentas externas de territorio de Kerberos, la revisión debe instalarse también en estos equipos.

Nota Este problema no se aplica sólo a los dominios secundarios. Este problema puede producirse a través de otras relaciones de confianza transitiva. Por ejemplo, el problema puede producirse en un dominio en un árbol distinto si un dominio que confía en el mismo bosque confía en un territorio Kerberos externo.

Información de paquete de servicio de Windows Server 2003

Para resolver este problema, obtenga el service pack más reciente para Windows Server 2003. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
889100Cómo obtener la versión más reciente del Service Pack para Windows Server 2003

Información sobre hotfix de Windows Server 2003

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a los sistemas que experimenten este problema específico. Esta revisión podría sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la siguiente actualización de software que contenga este hotfix.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Póngase en contacto si no aparece en esta sección, con los Microsoft cliente Servicios de y soporte técnico para obtener la revisión de.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

No se necesita ningún requisito previo.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar la revisión.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información de archivo

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria de la herramienta fecha y hora en el panel de control.
Windows Server 2003, versiones basadas en x-64
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Kerberos.dll5.2.3790.2452716,80025-May-200518: 18x 64SP1No aplicable
Secur32.dll5.2.3790.2452122,88025-May-200518: 18x 64SP1No aplicable
Wldap32.dll5.2.3790.2452399,36025-May-200518: 18x 64SP1No aplicable
Wkerberos.dll5.2.3790.2452349,18425-May-200518: 18x 86SP1GUAU
Wsecur32.dll5.2.3790.245266,56025-May-200518: 18x 86SP1GUAU
Wwldap32.dll5.2.3790.2452178,68825-May-200518: 18x 86SP1GUAU
Windows Server 2003, Enterprise Edition para sistemas basados en Itanium
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Kerberos.dll5.2.3790.335902,65625-May-200504: 49IA-64NingunoRTMQFE
Secur32.dll5.2.3790.335171,00825-May-200504: 49IA-64NingunoRTMQFE
Wldap32.dll5.2.3790.335426,49625-May-200504: 49IA-64NingunoRTMQFE
Wkerberos.dll5.2.3790.335342,01625-May-200504: 49x 86NingunoGUAU
Wsecur32.dll5.2.3790.33559,39225-May-200504: 49x 86NingunoGUAU
Wwldap32.dll5.2.3790.335162,30425-May-200504: 49x 86NingunoGUAU
Kerberos.dll5.2.3790.2452957,95225-May-200504: 49IA-64SP1SP1QFE
Secur32.dll5.2.3790.2452190,97625-May-200504: 49IA-64SP1SP1QFE
Wldap32.dll5.2.3790.2452453,12025-May-200504: 49IA-64SP1SP1QFE
Wkerberos.dll5.2.3790.2452349,18425-May-200504: 49x 86SP1GUAU
Wsecur32.dll5.2.3790.245266,56025-May-200504: 49x 86SP1GUAU
Wwldap32.dll5.2.3790.2452178,68825-May-200504: 49x 86SP1GUAU
Versiones de 32 bits de Windows Server 2003
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Kerberos.dll5.2.3790.335342,01625-May-200516: 48x 86NingunoRTMQFE
Secur32.dll5.2.3790.33564.51225-May-200516: 48x 86NingunoRTMQFE
Wldap32.dll5.2.3790.335162,30425-May-200516: 48x 86NingunoRTMQFE
Kerberos.dll5.2.3790.2452349,18425-May-200516: 54x 86SP1SP1QFE
Secur32.dll5.2.3790.245265.53625-May-200516: 54x 86SP1SP1QFE
Wldap32.dll5.2.3790.2452178,68825-May-200516: 54x 86SP1SP1QFE

Información de la revisión Windows XP

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a los sistemas que experimenten este problema específico. Esta revisión podría sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la siguiente actualización de software que contenga este hotfix.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Póngase en contacto si no aparece en esta sección, con los Microsoft cliente Servicios de y soporte técnico para obtener la revisión de.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

Windows XP Service Pack 2 (SP2)

Requisito de reinicio

Debe reiniciar el equipo después de aplicar la revisión.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información de archivo

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria de la herramienta fecha y hora en el panel de control.
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Kerberos.dll5.1.2600.2676295,93613-May-200517: 10x 86SP2SP2QFE
Wldap32.dll5.1.2600.2676172,03213-May-200517: 10x 86SP2SP2QFE

Información de revisión de Windows 2000

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a los sistemas que experimenten este problema específico.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Si no aparece en esta sección, enviar una solicitud al servicio de cliente de Microsoft y soporte para obtener la revisión.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

Windows 2000 Service Pack 4 (SP4)

Requisito de reinicio

Debe reiniciar el equipo después de aplicar la revisión.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información de archivo

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria de la herramienta fecha y hora en el panel de control.
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataforma
Adsldp.dll5.0.2195.6613125,71219-Jun-200307: 35x 86
Adsldpc.dll5.0.2195.6701133,90419-Jun-200307: 35x 86
Adsmsext.dll5.0.2195.666762.73619-Jun-200307: 35x 86
Advapi32.dll5.0.2195.6876388,36823-Mar-200413: 47x 86
Browser.dll5.0.2195.686669,90423-Mar-200413: 47x 86
Dnsapi.dll5.0.2195.6824134,92823-Mar-200413: 47x 86
Dnsrslvr.dll5.0.2195.687692.43223-Mar-200413: 47x 86
EventLog.dll5.0.2195.688347,88823-Mar-200413: 47x 86
Kdcsvc.dll5.0.2195.6890143,63223-Mar-200413: 47x 86
Kerberos.dll5.0.2195.7049207,12012-May-200501: 20x 86
Ksecdd.sys5.0.2195.682471,88820-Sep-200312: 02x 86
Lsasrv.dll5.0.2195.6987513,29615-Oct-200405: 46x 86
Lsass.exe5.0.2195.690233.55225-Feb-200411: 29x 86
Msv1_0.dll5.0.2195.6897123,15210-Mar-200414: 07x 86
Netapi32.dll5.0.2195.6949309,00810-Jun-200404: 28x 86
Netlogon.dll5.0.2195.6891371,47223-Mar-200413: 47x 86
Ntdsa.dll5.0.2195.68961,028,88023-Mar-200413: 47x 86
Samsrv.dll5.0.2195.6897388,36823-Mar-200413: 47x 86
Scecli.dll5.0.2195.6893111,37623-Mar-200413: 47x 86
Scesrv.dll5.0.2195.6903253,20023-Mar-200413: 47x 86
Sp3res.dll5.0.2195.70406,309,37620-Abr-200521: 37x 86
W32Time.dll5.0.2195.682450.96023-Mar-200413: 47x 86
W32tm.exe5.0.2195.682457,10420-Sep-200312: 02x 86
Wldap32.dll5.0.2195.7049127,24812-May-200518: 28x 86

Solución

Para evitar este problema, utilice uno de los métodos siguientes:
  • Coincide con las contraseñas para la cuenta de usuario externo y para la cuenta de usuario actualmente asignada de Windows en el dominio principal.
  • Asignar la cuenta de usuario de territorio de Kerberos externa a una cuenta en el dominio secundario.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:". Este problema se corrigió por primera vez en Microsoft Windows Server 2003 Service Pack 2.

Más información

Este problema se produce después de la siguiente secuencia de eventos:
  1. El cliente Kerberos consulta el territorio externo para obtener la cuenta de controlador de dominio.
  2. Territorio externo no tiene la cuenta de equipo del controlador de dominio desde el dominio primario. Por lo tanto, territorio externo devuelve una respuesta de "principal desconocido".
  3. El cliente Kerberos consulta el dominio secundario para obtener la cuenta de controlador de dominio.
  4. El dominio secundario se emite un vale de concesión de vales (TGT) de entre territorios. Dado que el TGT original desde el territorio externo no contiene un certificado de atributo de privilegio (PAC), el dominio secundario crea un nuevo PAC. Este nuevo PAC contiene los grupos de dominio de principal a la que pertenece el usuario.
  5. El cliente de Kerberos sigue la referencia al dominio principal. Cuando el dominio principal recibe un TGT entre territorios que contiene un PAC que incluye los identificadores de seguridad (SID) de su propio dominio, el dominio principal rechaza el TGT.
Las características de seguridad de Windows Server 2003, compruebe que los SID de un centro de distribución de claves (KDC) no están incluidos en un territorio de confianza en PACs desde otro territorio. Este comportamiento ayuda a impedir que KDC obtener derechos de aumento de un territorio que no se mantienen los KDC.

Con esta revisión, los equipos cliente pueden negociar correctamente la ruta de confianza. Los equipos cliente evitar la situación donde un KDC de Windows Server 2003 se presenta un PAC que incluye el SID desde el territorio de Windows Server 2003.

Windows 2000 Server no tiene este capacidad de filtrado de SID adicional. Por lo tanto, este problema no ocurre en un dominio basado en Windows 2000 Server.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684Descripción de la terminología estándar utilizada para describir las actualizaciones de software de Microsoft

Soporte técnico para x 64 versiones de Microsoft Windows

El fabricante del hardware proporciona soporte técnico y asistencia para versiones basadas en 64 de Windows en x. El fabricante del hardware proporciona soporte técnico, porque incluyó una versión x 64 de Windows con el hardware. El fabricante de hardware podría haber personalizado la instalación de Windows con componentes únicos. Esos componentes exclusivos podrían incluir controladores de dispositivo específicos o configuraciones opcionales para maximizar el rendimiento del hardware. Si necesita ayuda técnica con su versión de x 64 de Windows, Microsoft ofrecerá asistencia de esfuerzo razonable. Sin embargo, es posible que deba contactar directamente con el fabricante. El fabricante es el mejor cualificado para proporcionar el soporte técnico del software que él mismo instaló en el hardware.

Para información de producto acerca de Microsoft Windows XP Professional x 64 Edition, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Para información de producto acerca de x 64 de Microsoft Windows Server 2003, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Propiedades

Id. de artículo: 892090 - Última revisión: jueves, 11 de octubre de 2007 - Versión: 4.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbfix kbpubtypekc KB892090 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 892090

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com