Contraseña de cuenta de servicio de clúster debe establecerse a 15 o más caracteres si está habilitada la directiva NoLMHash

Síntomas

Cuando intenta unir el segundo nodo del clúster, el Asistente para instalación devuelve el siguiente mensaje:
< CSA > no tiene permiso para administrar el clúster.
Además, si inicia el Administrador de clústeres (CluAdmin.exe) en un clúster o desde un servidor remoto, puede recibir el siguiente mensaje de error:
Acceso denegado

Causa

En lugar de almacenar la contraseña de su cuenta de usuario en texto sin cifrar, Microsoft Windows genera y almacena las contraseñas de cuentas de usuario mediante dos representaciones de contraseña distintas, denominadas normalmente "hash". Cuando se establece o cambia la contraseña de una cuenta de usuario a una contraseña que contiene menos de 15 caracteres, Windows genera un Hash de LAN Manager (LMHash) y un hash de Microsoft Windows NT (hash de NT) de la contraseña. Estos hash se almacenan en la base de datos Administrador de cuentas de seguridad (SAM) local o en Active Directory.


Si la seguridad de red: no almacenar valor de Hash de LAN Manager en el próximo cambio de contraseña directiva está establecida, no hay LMHash en la cuenta de servicio de clúster (CSA) en Active Directory.

Cuando se utiliza una contraseña de menos de 15 caracteres para el CSA, al unir el segundo nodo, el proceso de instalación generará el LMHash para generar una clave de sesión para autenticar. Porque no LMHash se almacena en Active Directory, el controlador de dominio no se puede generar una clave de sesión correspondiente. Se deniega el acceso. Cuando se utiliza una contraseña que tiene 15 o más caracteres para el CSA, un LMHash no se puede generar mediante el proceso de instalación. En su lugar, se utilizará el valor de hash de contraseña de Windows NT para derivar la clave de sesión. El controlador de dominio podrá generar una clave de sesión correspondiente. La autenticación se realizará correctamente. Para obtener información adicional acerca de cómo impedir que la contraseña se almacena como un hash de LAN Manager, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

299656 cómo impedir que Windows almacene un hash de administrador de LAN de su contraseña en Active Directory y bases de datos locales de SAM

Solución

Para resolver el problema, seleccione el método que mejor se adapte a su situación.

Método 1: Utilice una contraseña que tenga menos de 15 caracteres

Cuando la directiva NoLMHash está establecida en Active Directory y no se puede deshabilitar por razones de seguridad, utilice una contraseña que tenga menos de 15 caracteres de largo para impedir que el Asistente para configuración de clúster utilizando un LMHash para la autenticación.

Método 2: Habilitar el almacenamiento de LMHash en Active Directory

Habilitar el almacenamiento de LMHash de la contraseña de un usuario mediante la directiva de grupo en Active Directory. Para ello, siga estos pasos:
  1. En la directiva predeterminada de dominio controladores grupo, expanda
    Configuración del equipo, expanda Configuración de Windows, expanda Configuración de seguridad, expanda
    Las directivas localesy, a continuación, haga clic en Opciones de seguridad.
  2. En la lista de directivas disponibles, haga doble clic en
    Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.
  3. Haga clic en deshabilitadoy, a continuación, haga clic en
    OK.
  4. Asegúrese de que la directiva se replica y se aplica.
  5. Restablecer la contraseña de CSA (longitud puede ser inferior a 15 caracteres) para asegurarse de que se escribe el LMHash en SAM y Active Directory.

Método 3: Instalar un hotfix

Hay una revisión de Microsoft para resolver este problema para que las contraseñas de quince caracteres no son necesarios cuando se establece la directiva NoLMHash en Active Directory. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

890761 recibe un mensaje de error "Error 0x8007042b" cuando agrega o une un nodo a un clúster si utilizan NTLM versión 2 en Windows Server 2003

Propiedades

Id. de artículo: 828861 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios