Síntomas
Después de instalar cualquiera de las actualizaciones que se enumeran en la lista de la tabla de actualizaciones afectadas (más adelante en esta sección) en controladores de dominio de Windows Server 2012 o Windows Server 2012 R2 o en servidores miembro que realizan la autenticación de paso en nombre de los llamadores remotos, la autenticación NTLM puede dar un error 0xC0000022. Este problema no ocurre si se instalan las actualizaciones de seguridad que se describen en el boletín de seguridad de Microsoft MS16-101 antes, después o junto con revisiones en la lista de la tabla de actualizaciones afectadas. Nota: Para ver los ejemplos de registro para el servicio Netlogon que se muestra en esta sección, debe habilitar el registro de depuración a través del registro o la herramienta NLTEST. Para obtener más información acerca de cómo habilitar el registro de depuración para el servicio Netlogon, vea la siguiente página Web de Microsoft:
Habilitar registro para el servicio Netlogon de depuración Cuando se produce este problema, se registra un mensaje de error similar al siguiente en el Netlogon.log de un controlador de dominio afectado:
SamLogon: Inicio de sesión de Domain\User memberServer devuelve 0xC0000022
En la tabla siguiente muestra la asignación de error:
Hexadecimal |
Decimal |
Simbólico |
Descriptivo |
0xC0000022 |
-1073741790 |
STATUS_ACCESS_DENIED |
Un proceso ha solicitado acceso a un objeto, pero se le ha concedido esos derechos de acceso. |
Los archivos de registro NETLOGON. LOGS de los controladores de dominio afectados tendrán firmas similares a los siguientes:
Fecha y hora [CRÍTICA] DOMINIO [11940]: NlpUserValidateHigher: denegar el acceso después de estado: 0xc0000022 0
Fecha y hora [SESIÓN] DOMINIO [11940]: NlSetStatusClientSession: establecer el estado de la conexión a c0000022 Fecha y hora [SESIÓN] DOMINIO [11940]: NlSetStatusClientSession: desenlaza del servidor \\DCName (TCP) 0. Fecha y hora [SESIÓN] DOMINIO [11940]: NlSetStatusClientSession: desenlaza del servidor \\DCName (TCP) 1. Fecha y hora [INICIO DE SESIÓN] [11940] SamLogon: inicio de sesión de red de Domain\xxxxx de xxxxxxxxx devuelve 0xC000018DO las entradas siguientes en un equipo miembro o independiente con una cuenta local:
Fecha y hora [INICIO DE SESIÓN] [4140] SamLogon: inicio de sesión de red de ComputerA\LocalAccount de EquipoA especificado
Fecha y hora [CRÍTICA] NlPrintRpcDebug [4140]: no se pudo obtener EEInfo para I_NetLogonSamLogonEx: 1761 (puede ser legítimo para 0xc0000064) Fecha y hora [INICIO DE SESIÓN] [4140] SamLogon: inicio de sesión de red de ComputerA\LocalAccount de EquipoA devuelve 0xC0000022Donde los errores extendidos se asignan a la siguiente:
Hexadecimal |
Decimal |
Simbólico |
Descriptivo |
0xC0000022 |
-1073741790 |
STATUS_ACCESS_DENIED |
Un proceso ha solicitado acceso a un objeto, pero no se le ha concedido esos derechos de acceso. |
0x6e1 |
1761 |
RPC_S_ENTRY_NOT_FOUND |
No se encuentra la entrada. |
0xC000018D |
-1073741427 |
STATUS_TRUSTED_RELATIONSHIP_FAILURE |
La solicitud de inicio de sesión produjo un error porque hubo un error en la relación de confianza entre esta estación de trabajo y el dominio principal. |
Lista de actualizaciones afectadas
Las siguientes actualizaciones suelen causar este problema: Windows 8.1 y Windows Server 2012 R2
3187754 |
MS16-110: Descripción de la actualización de seguridad para Windows: 13 de septiembre de 2016 |
Windows Server 2012:
2922223 |
No se puede cambiar la hora del sistema si está habilitada la entrada del registro RealTimeIsUniversal en Windows |
3167679 |
MS16-101: Descripción de la actualización de seguridad para los métodos de autenticación de Windows: 9 de agosto de 2016 |
3174644 |
Documento informativo sobre seguridad de Microsoft: soporte actualizado para el intercambio de claves Diffie-Hellman |
3175024 |
MS16-111: Descripción de la actualización de seguridad para el Kernel de Windows: 13 de septiembre de 2016 |
3179575 |
Paquete acumulativo de actualizaciones de agosto de 2016 para Windows Server 2012 |
3187754 |
MS16-110: Descripción de la actualización de seguridad para Windows: 13 de septiembre de 2016 |
3185332 |
Paquete acumulativo mensual de calidad de seguridad de octubre de 2016 para Windows Server 2012 |
3192393 |
Actualización de calidad de solo seguridad de octubre de 2016 para Windows Server 2012 |
3192406 |
Paquete acumulativo de calidad de versión preliminar de octubre de 2016 Windows Server 2012 |
Causa
Este problema se produce porque un paquete acumulativo de actualizaciones recientes no aplicó una dependencia en la actualización de Netlogon.dll.
Solución
Para solucionar este problema, instale las actualizaciones de seguridad que se describen en el boletín de seguridad de Microsoft MS16-101.