Problemas con la pertenencia a un dominio después de una restauración del sistema

Síntomas

Puede experimentar los comportamientos siguientes:
  • Si usa Restaurar sistema después de que el intervalo de cambio de contraseña ha caducado una vez, y restaurar el equipo a un punto anterior a los cambios de contraseña, el próximo cambio de contraseña no puede producirse cuando éste vence. En su lugar, el sistema operativo trata la restauración como si se ha cambiado la contraseña.
  • Si usa Restaurar sistema después de que el intervalo de cambio de contraseña expiró dos veces y restaurar el equipo a un punto anterior a los cambios de contraseña, se deshabilitan las cuentas de los usuarios del dominio en el equipo y los usuarios reciben un mensaje de error cuando intentan iniciar sesión.

Causa

Al unir un equipo a un dominio, un
se crea la cuenta nombreEquipo$ y una contraseña que se comparte entre el equipo y el dominio. De forma predeterminada, esta contraseña se cambia cada 30 días (MaximumPasswordAge).

El comportamiento que se describe en la sección "Síntomas" se produce porque Restaurar sistema sólo revierte el estado del equipo local. Parte de la información acerca de cómo unirse a dominios reside en el servicio de directorio de Active Directory y restaurar sistema no restaurar Active Directory.

El primer síntoma, el cambio de contraseña de retraso se produce porque Restaurar sistema vuelve a escribir el secreto de LSA con la contraseña con los mismos valores. Esta reescritura actualiza la marca de tiempo en el secreto que utiliza el servicio Netlogon para decidir sobre la marca de tiempo del cambio de contraseña. Para el segundo síntoma, no hay ninguna contraseña almacenada localmente que coincida con la contraseña de la cuenta de equipo en Active Directory.

Solución

Para resolver el primer síntoma, espere a que el equipo cambiar la contraseña, o forzar la comoputer para cambiar la contraseña de inmediato. Para forzar un cambio de contraseña, ejecute el /sc_change_pwd de nltest:dominio comando. El comando nltest es parte de las herramientas de soporte de Windows.

Para resolver el segundo síntoma, utilice uno de los métodos siguientes:
  • Quite el equipo del dominio y, a continuación, volver al dominio.
  • Deshacer la restauración.

Estado

Este comportamiento es por diseño.

Más información

Las contraseñas de cuenta de un equipo determinado son válidas para su combinación en particular. Para cada equipo que es miembro de un dominio, hay un canal de comunicación discreto con un controlador de dominio. Este canal de comunicación discreto también es conocido como el canal seguro. La contraseña para el canal seguro se almacena con la cuenta de equipo en todos los controladores de dominio. Para Microsoft Windows 2000 o Microsoft Windows XP, el período de cambio de contraseña de predeterminado equipo cuenta es cada 30 días. Si la contraseña de la cuenta de equipo y el secreto de la autoridad de seguridad Local (LSA) no están sincronizados, el servicio Net Logon registra los mensajes de error.

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

216393 restablecer cuentas de equipo en Windows 2000

251335 los usuarios del dominio no pueden unir estación de trabajo o servidor a un dominio

260575 cómo utilizar Netdom.exe para restablecer contraseñas de cuenta de equipo

Efectos de 175468 de replicación de la cuenta de equipo en un dominio

Propiedades

Id. de artículo: 295049 - Última revisión: 22 ene. 2017 - Revisión: 1

Comentarios