Autenticación de usuarios de confianza se produce un error en un servidor basado en Windows Server 2003 si se utiliza el formato UPN y si el valor de la entrada LmCompatibilityLevel es igual o mayor que 3

Síntomas

Imagine el siguiente escenario:
  • En un servidor basado en Windows Server 2003, la entrada LmCompatibilityLevel se establece en un valor que es igual o mayor que 3.
  • Este servidor recibe una solicitud de autenticación de un usuario de otro dominio. Existe una relación de confianza entre el dominio que aloje el servidor y el dominio al que pertenece el usuario.
  • El nombre principal de usuario (UPN) del usuario se utiliza durante el proceso de autenticación.
En este escenario, se produce un error de autenticación del usuario.

Nota: Este problema se produce cuando se utiliza el formato siguiente (en lugar del formato UPN) en el proceso de autenticación:
nombre de dominio\nombre de usuario
Además, si está habilitada la auditoría cuando se produce este problema, se graban los sucesos siguientes:

Solución

Instalar la revisión para este problema en el controlador de dominio de recursos a los que el servidor tiene su canal seguro y que reenvía la solicitud a la siguiente autoridad en la cadena de autenticación de paso a través.

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Para aplicar este hotfix, debe tener Windows Server 2003 Service Pack 1 o Windows Server 2003 Service Pack 2 instalado en el servidor.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión


Este hotfix no sustituye a otras revisiones publicadas anteriormente.

Información del registro


Para utilizar este hotfix, no es necesario realizar ningún cambio en el registro.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Windows Server 2003 con SP1, versiones basadas en x86
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll5.2.3790.3109426,49624-Mar-200814:04x86
Windows Server 2003 con SP2, versiones basadas en x86
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll5.2.3790.4259436,73624-Mar-200813:57x86
Windows Server 2003, versiones basadas en x 64
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataformaRequisito de SPTipo de servicio
Netlogon.dll5.2.3790.3109689,66424-Mar-200812:11x64SP1No aplicable
Wnetlogon.dll5.2.3790.3109426,49624-Mar-200812:11x86SP1WOW
Windows Server 2003 con SP2, versiones basadas en x64
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataformaRequisito de SPTipo de servicio
Netlogon.dll5.2.3790.4259689,66424-Mar-200812:21x64SP2No aplicable
Wnetlogon.dll5.2.3790.4259436,73624-Mar-200812:21x86SP2WOW
Windows Server 2003 con SP1, versiones basadas en IA-64
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataformaRequisito de SPTipo de servicio
Netlogon.dll5.2.3790.3109989,69624-Mar-200812:07IA-64SP1No aplicable
Wnetlogon.dll5.2.3790.3109426,49624-Mar-200812:07x86SP1WOW
Windows Server 2003 con SP2, versiones basadas en IA-64
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataformaRequisito de SPTipo de servicio
Netlogon.dll5.2.3790.4259989,69624-Mar-200812:12IA-64SP2No aplicable
Wnetlogon.dll5.2.3790.4259436,73624-Mar-200812:12x86SP2WOW

Solución alternativa

Para evitar este problema, utilice uno de los métodos siguientes.

Método 1

Establezca el valor de la entrada LmCompatibilityLevel a 2 o a 1.

Método 2

Utilice el nombre de dominio\ formato denombre de usuario para el proceso de autenticación.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información

El protocolo de autenticación de LAN Manager (LM) se utiliza para autenticar a los clientes de Windows para las operaciones de red. Estas operaciones de red incluyen uniones de dominio, acceso a recursos de red y la autenticación de usuario o equipo. El nivel de autenticación de LM determina qué protocolo de autenticación de desafío y respuesta se negocia entre el cliente y los equipos servidores. En concreto, el nivel de autenticación de LM determina qué protocolos de autenticación intentará negociar el cliente o qué protocolos de autenticación que aceptará el servidor. El valor que se establece para la entrada LmCompatibilityLevel determina qué protocolo de autenticación de desafío/respuesta se utiliza para los inicios de sesión de red.

Para obtener más información acerca de la entrada LmCompatibilityLevel, visite el siguiente sitio Web de Microsoft:Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

Propiedades

Id. de artículo: 947861 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios