Mensaje de error al intentar acceder a un servidor localmente mediante su FQDN o su alias CNAME después de instalar Windows Server 2003 Service Pack 1: Acceso denegado o Sin proveedor de red aceptado la ruta de acceso de red determinada

  • Artículo

En este artículo se proporciona una solución a un error que se produce al intentar acceder a un servidor localmente mediante su FQDN o su alias CNAME.

Se aplica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Número de KB original: 926642

Nota:

Este artículo contiene información que muestra cómo ayudar a reducir la configuración de seguridad o cómo desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, se recomienda evaluar los riesgos asociados a la implementación de esta solución alternativa en un entorno determinado. Si implementa esta solución alternativa, siga los pasos adicionales adecuados para ayudar a proteger el sistema.

Síntomas

Imagina la siguiente situación: Instale Microsoft Windows Server 2003 Service Pack 1 (SP1) en un equipo basado en Windows Server 2003. Después de hacerlo, experimenta problemas de autenticación al intentar acceder a un servidor localmente mediante su nombre de dominio completo (FQDN) o su alias CNAME en la ruta de acceso convención de nomenclatura universal (UNC): \\nombreDeServidor\.

En este escenario, experimenta uno de los síntomas siguientes:

  • Recibe ventanas de inicio de sesión repetidas.
  • Recibe un mensaje de error "Acceso denegado".
  • Recibe un mensaje de error "Ningún proveedor de red aceptó la ruta de acceso de red especificada".
  • El identificador de evento 537 se registra en el registro de eventos de seguridad.

Nota:

Puede acceder al servidor mediante su FQDN o su alias CNAME desde otro equipo de la red que no sea este equipo en el que instaló Windows Server 2003 SP1. Además, puede acceder al servidor en el equipo local mediante las siguientes rutas de acceso:

  • \\IPaddress-of-local-computer
  • \\Netbiosname o \\ComputerName

Causa

Este problema se produce porque Windows Server 2003 SP1 incluye una nueva característica de seguridad denominada funcionalidad de comprobación de bucle invertido. De forma predeterminada, la funcionalidad de comprobación de bucle invertido está activada en Windows Server 2003 SP1 y el valor de la entrada del Registro DisableLoopbackCheck está establecido en 0 (cero).

Nota:

La funcionalidad de comprobación de bucle invertido se almacena en la subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Solución

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

Nota:

Esta solución alternativa puede hacer que su equipo o su red sea más vulnerable a los ataques de usuarios malintencionados o con software malintencionado, como los virus. No recomendamos esta solución alternativa, pero proporcionamos esta información para que pueda implementar esta solución alternativa a su entera discreción. Use esta solución alternativa bajo su propia responsabilidad.

Para resolver este problema, establezca la entrada del Registro DisableStrictNameChecking en 1. A continuación, use cualquiera de los métodos siguientes, según corresponda para su situación.

Para ello, siga estos pasos para todos los nodos del equipo cliente:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.

  2. Busque la siguiente subclave del registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

  3. Haga clic con el botón derecho en MSV1_0, seleccione Nuevo y, a continuación, haga clic en Valor de cadena múltiple.

  4. En la columna Nombre , escriba BackConnectionHostNames y presione ENTRAR.

  5. Haga clic con el botón derecho en BackConnectionHostNamesy, a continuación, haga clic en Modificar.

  6. En el cuadro Datos de valor , escriba el CNAME o el alias DNS que se usa para los recursos compartidos locales en el equipo y, a continuación, haga clic en Aceptar.

    Nota:

    • Escriba cada nombre de host en una línea independiente.
    • Si la entrada del Registro BackConnectionHostNames existe como un tipo REG_DWORD, debe eliminar la entrada del Registro BackConnectionHostNames.

  7. Cierre el Editor del Registro y reinicie el equipo.

Método 2: Deshabilitar la comprobación de bucle invertido de autenticación

Vuelva a habilitar el comportamiento que existe en Windows Server 2003 estableciendo la entrada del Registro DisableLoopbackCheck en la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry subclave en 1. Para establecer la entrada del Registro DisableLoopbackCheck en 1, siga estos pasos en el equipo cliente:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.

  2. Busque la siguiente subclave del registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Haga clic con el botón derecho en Lsa, seleccione Nuevo y, a continuación, haga clic en Valor DWORD .

  4. Escriba DisableLoopbackCheck y presione ENTRAR.

  5. Haga clic con el botón derecho en DisableLoopbackChecky, a continuación, haga clic en Modificar.

  6. En el cuadro Información del valor, escriba 1 y haga clic en Aceptar.

  7. Salga del Editor del Registro.

  8. Reinicie el equipo.

Nota:

Debe reiniciar el servidor para que este cambio surta efecto. De forma predeterminada, la funcionalidad de comprobación de bucle invertido está activada en Windows Server 2003 SP1 y la entrada del Registro DisableLoopbackCheck está establecida en 0 (cero). La seguridad se reduce cuando se deshabilita la comprobación de bucle invertido de autenticación y se abre el servidor de Windows Server 2003 para ataques de tipo "man in the middle" (MITM) en NTLM.

Estado

Microsoft ha confirmado que se trata de un problema en los productos de Microsoft que aparecen al principio de este artículo.

Más información

Después de instalar la actualización de seguridad 957097, es posible que se produzca un error en aplicaciones como SQL Server o Internet Information Services (IIS) al realizar solicitudes de autenticación NTLM locales.

Para obtener más información sobre cómo resolver este problema, consulte la sección "Problemas conocidos con esta actualización de seguridad" del artículo de KB 957097.