Síntomas
Imagine el siguiente escenario:
-
Habilitar la autenticación selectiva en una confianza entre dos bosques de Active Directory.
-
Una cuenta de usuario de un bosque de Active Directory se utiliza para tener acceso a un servidor de recursos de otro bosque de Active Directory.
-
Se utiliza la autenticación NTLM en y entre estos dos bosques de Active Directory.
-
El servidor de recursos tiene un canal de seguridad en un controlador de dominio basado en Windows Server 2008 R2 de sólo lectura (RODC).
-
No hay ningún controlador de dominio de lectura y escritura (RWDC) en el sitio más cercano en el RODC.
-
Se cambia la contraseña de equipo del servidor de recursos.
En este escenario, se produce un error de autenticación selectiva en la confianza de bosque. Puede experimentar varios errores de autenticación. Éstos son algunos ejemplos:
-
Cuando tiene acceso el servidor de recursos, recibirá el siguiente mensaje de error:
Acceso denegado
-
Se le pedirá repetidamente para introducir su nombre de usuario y contraseña.
Causa
Este problema se produce porque el RODC no tiene la contraseña del servidor de recursos en el momento de la autenticación.
Cuando el RODC realiza la comprobación de la autenticación selectiva, intenta leer todos los atributos de Active Directory del objeto de equipo del servidor de recursos. Sin embargo, como el RODC no puede recuperar la contraseña del servidor de recursos, esto hace autenticación falle.Solución
Información de la revisión
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.
Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión. Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Requisitos previos
Para aplicar esta revisión, debe estar ejecutando uno de los siguientes sistemas operativos:
-
Windows Server 2008 R2
-
Windows Server 2008 R2 Service Pack 1 (SP1)
Para obtener más información acerca de cómo obtener un service pack de Windows Server 2008 R2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
976932 información acerca de Service Pack 1 para Windows 7 y Windows Server 2008 R2
Información del registro
Para utilizar la revisión de este paquete, no es necesario realizar ningún cambio en el registro.
Requisito de reinicio
Debe reiniciar el equipo después de aplicar este hotfix.
Información de reemplazo de revisión
Esta revisión no sustituye a ninguna revisión publicada previamente.
Información de archivo
La versión global de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.
Notas sobre la información de archivo de Windows Server 2008 R2
Importante: Correcciones urgentes de Windows 7 y Windows Server 2008 R2 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o ambos sistemas operativos, seleccione la revisión que aparece bajo "Windows 7/Windows Server 2008 R2" en la página. Siempre consulte la sección "Aplicable a" de los artículos para determinar el sistema operativo real a la que se aplica cada revisión.
-
Los archivos que se aplican a un producto específico, SR_Level (RTM, SPn) y servicio (LDR, GDR) se pueden identificar examinando los números de versión de archivo como se muestra en la siguiente tabla.
Versión
Producto
SR_Level
Tipo de servicio
6.1.760
0. 21 xxxWindows Server 2008 R2
RTM
LDR
6.1.760
1. 21 xxxWindows Server 2008 R2
SP1
LDR
-
Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "Información para Windows Server 2008 R2 de archivo adicional". MUM y los archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son extremadamente importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x64 compatibles de Windows Server 2008 R2
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.21048 |
693,760 |
08-Sep-2011 |
05:30 |
x64 |
Nlsvc.mof |
No aplicable |
2,873 |
10-Jun-2009 |
20:47 |
No aplicable |
Netlogon.dll |
6.1.7601.21813 |
695,296 |
08-Sep-2011 |
06:33 |
x64 |
Nlsvc.mof |
No aplicable |
2,873 |
10-Jun-2009 |
20:47 |
No aplicable |
Netlogon.dll |
6.1.7600.21048 |
564,736 |
08-Sep-2011 |
04:26 |
x86 |
Nlsvc.mof |
No aplicable |
2,873 |
10-Jun-2009 |
21:29 |
No aplicable |
Netlogon.dll |
6.1.7601.21813 |
564,224 |
08-Sep-2011 |
06:19 |
x86 |
Nlsvc.mof |
No aplicable |
2,873 |
10-Jun-2009 |
21:29 |
No aplicable |
Solución alternativa
Puede utilizar uno de los dos métodos siguientes para evitar este problema:
-
Deshabilitar los cambios de contraseña de cuentas de los equipos que utilizan un RODC para su canal de seguridad.
-
Cambiar la topología del sitio, por lo que hay un RWDC en el sitio más cercano en el RODC.
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
El RODC es compatible con los cambios de contraseña para cuentas de usuario por el canal de seguridad de netlogon. El RODC reenvía la solicitud de cambio de contraseña a un RWDC cuando se cambia la contraseña de la cuenta de equipo. Cuando el cambio de contraseña es correcto, el RODC hace un intento oportunista para replicar la nueva contraseña. Sin embargo, el intento de replicación puede destino el mismo RWDC al que se reenvía la solicitud de cambio de contraseña.
Aunque el RODC tiene su propio canal de seguridad existente con un RWDC sobre la que se produce el cambio de contraseña, se selecciona el RWDC dirigida por el intento de replicación mediante el mecanismo de DClocator. En la mayoría de las topologías de sitio, este comportamiento provocará el mismo controlador de dominio que se utiliza para el intento de replicación para ser el destino de canal de seguridad actual. Sin embargo, si no hay ningún RWDC en el mismo dominio en el sitio más cercano en el RODC, el intento de replicación y el cambio de contraseña puede producirse contra RWDCs diferentes. Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft Para obtener más información acerca de cómo habilitar la autenticación selectiva en una confianza de bosque, visite el siguiente sitio Web de Microsoft:
Información general acerca de cómo habilitar la autenticación selectiva en una confianza de bosquePara obtener más información acerca de cómo configurar la autenticación selectiva, visite el siguiente sitio Web de Microsoft:
Información general acerca de cómo configurar la autenticación selectiva
Información adicional de archivos
Información adicional de archivos para Windows Server 2008 R2
Archivos adicionales para todas las versiones compatibles basadas en x64 de Windows Server 2008 R2
Nombre del archivo |
Amd64_0caf3106ff02b60b89c9d545792026c3_31bf3856ad364e35_6.1.7600.21048_none_9a893a6b7aa6f649.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1.060 |
Fecha (UTC) |
08-Sep-2011 |
Hora (UTC) |
09:44 |
Plataforma |
No aplicable |
Nombre del archivo |
Amd64_0e7e58fe08c4a3c71653acdcc4a5f0f9_31bf3856ad364e35_6.1.7601.21813_none_1a842e21757b81df.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
709 |
Fecha (UTC) |
08-Sep-2011 |
Hora (UTC) |
09:44 |
Plataforma |
No aplicable |
Nombre del archivo |
Amd64_d0d81f110ea917a2a3131f5317a03ed1_31bf3856ad364e35_6.1.7601.21813_none_825a6a5ddaa496d5.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1.060 |
Fecha (UTC) |
08-Sep-2011 |
Hora (UTC) |
09:44 |
Plataforma |
No aplicable |
Nombre del archivo |
Amd64_dc11db02cc633a9f065ad3f21d62956a_31bf3856ad364e35_6.1.7600.21048_none_ffab83fd2ef937aa.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
709 |
Fecha (UTC) |
08-Sep-2011 |
Hora (UTC) |
09:44 |
Plataforma |
No aplicable |
Nombre del archivo |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_5a6467e36aa5900e.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
35,547 |
Fecha (UTC) |
08-Sep-2011 |
Hora (UTC) |
06:01 |
Plataforma |
No aplicable |
Nombre del archivo |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_5c665cff67b7f359.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
35,547 |
Fecha (UTC) |
08-Sep-2011 |
Hora (UTC) |
07:31 |
Plataforma |
No aplicable |
Nombre del archivo |
Update.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
3.215 |
Fecha (UTC) |
08-Sep-2011 |
Hora (UTC) |
09:44 |
Plataforma |
No aplicable |
Nombre del archivo |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_64b912359f065209.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
16,596 |
Fecha (UTC) |
08-Sep-2011 |
Hora (UTC) |
04:42 |
Plataforma |
No aplicable |
Nombre del archivo |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_66bb07519c18b554.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
16,596 |
Fecha (UTC) |
08-Sep-2011 |
Hora (UTC) |
06:38 |
Plataforma |
No aplicable |