Experimenta un retraso en el proceso de autenticación de usuario cuando se ejecuta un programa de servidor de gran volumen en un miembro de dominio de Windows 2000 o Windows Server 2003

Importante: Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de hacer copia de seguridad del registro antes de modificarlo. Asegúrese de que sabe cómo restaurarlo si ocurre algún problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Síntomas

Cuando ejecuta un programa de servidor de gran volumen en un miembro de dominio que utiliza Kerberos para autenticar usuarios, experimenta un retraso en el proceso de autenticación de usuario. Además, observará un aumento en el tráfico de procedimiento remoto (RPC) de llamada entre el controlador de dominio que utiliza la interfaz RPC de inicio de sesión de red y el servidor.

Al habilitar el registro de depuración para el servicio de Net Logon en el miembro de dominio o en el controlador de dominio, se registrará la entrada siguiente el en el Netlogon.log:

Causa

Este problema se produce porque el cliente Kerberos comprueba la firma del certificado de atributo de privilegio (PAC) en el vale de Kerberos utilizando el controlador de dominio. El cliente Kerberos realiza esta comprobación para evitar la suplantación de la PAC. El tráfico de red generado por las solicitudes RPC que forman parte de este proceso de comprobación.

El cliente Kerberos realiza esta comprobación sólo para los llamadores no confiables. Aplicaciones en modo usuario se reconocen como los llamadores no confiables.

Solución

Información del Service pack

Para resolver este problema, obtenga el service pack más reciente para Windows Server 2003 y aplicar el cambio de registro que se detallan a continuación para deshabilitar la validación de la PAC. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
889100 cómo obtener el service pack más reciente para Windows Server 2003
Después de obtener el service pack más reciente para Windows Server 2003, desactivar la comprobación de PAC para servicios.

Advertencia: pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.

En Windows Server 2003 SP2, puede desactivar la comprobación de PAC para servicios. Para ello, agregue la entrada del registro ValidateKdcPacSignature a la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Agregue la entrada ValidateKdcPacSignature como una entrada de tipo DWORD en los servidores que se autentican a los usuarios de servicios de aplicación. Estos servidores pueden incluir controladores de dominio. Cuando el valor de esta entrada es 0, Kerberos no realiza una validación PAC en un proceso que se ejecuta como un servicio. Cuando el valor de esta entrada es 1, Kerberos realiza la validación de la PAC como de costumbre. Tendrá que reiniciar el equipo después de modificar esta entrada del registro. Cuando esta entrada no está presente, el sistema se comporta como si la entrada estuviera presente y tiene un valor de 1. El valor predeterminado en Windows Server 2008 para esta entrada es 0.


Para obtener más información acerca de cómo habilitar el registro de depuración para el servicio de Net Logon, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
109626 depuración de habilitar registro para el servicio de Net Logon

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a". Este problema se corrigió primero en Microsoft Windows Server 2003 Service Pack 2.
Propiedades

Id. de artículo: 906736 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios