Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona una solución a un problema por el que el evento 4624 y una dirección IP de cliente y un número de puerto no válidos se generan cuando un equipo cliente intenta acceder a un equipo host que ejecuta RDP 8.0.
Se aplica a: Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1
Número de KB original: 3097467
Síntomas
Supongamos que la actualización del Protocolo de escritorio remoto (RDP) 8.0 para Windows 7 y Windows Server 2008 R2 (KB2592687) está instalada y habilitada a través de la configuración de directiva. Cuando el escritorio remoto de un usuario inicia sesión en ese equipo, se registra el identificador de evento de seguridad 4624 y se muestra una dirección IP de cliente y un número de puerto no válidos, como se indica a continuación:
Nombre de registro: Seguridad
Origen: Microsoft-Windows-Security-Auditing
Fecha: 14/9/2015 6:10:36 p. m.
Identificador de evento: 4624
Categoría de tarea: Inicio de sesión
Nivel: Información
Palabras clave: Audit SuccessUser: N/A
Equipo: <computerFQDN>
Descripción:
Se inició sesión correctamente en una cuenta.Tema:
Identificador de seguridad: SYSTEM
Nombre de cuenta: < MachineName>$
Dominio de cuenta: <DomainName>
Id. de inicio de sesión: 0x3e7Tipo de inicio de sesión: 10
Nuevo inicio de sesión: Id. de seguridad: < DomainName>\<username>
Nombre de cuenta: < UserName>
Dominio de cuenta: <DomainName>
Id. de inicio de sesión: 0x35137
GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000}Información del proceso:
Id. de proceso: 0x7cc
Nombre del proceso: C:\Windows\System32\winlogon.exeInformación de red:
Nombre de estación de trabajo:<nombreDeEquipo>
Dirección de red de origen: 244.230.0.0
Puerto de origen: 0Información detallada de autenticación:
Proceso de inicio de sesión: User32
Paquete de autenticación: Negociar
Servicios transitados: -
Nombre del paquete (solo NTLM): -
Longitud de la clave: 0Este evento se genera cuando se crea una sesión de inicio de sesión. Se genera en el equipo al que se ha accedido.
Los campos de asunto indican la cuenta en el sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio servidor o un proceso local, como Winlogon.exe o Services.exe. El campo tipo de inicio de sesión indica el tipo de inicio de sesión que se produjo. Los tipos más comunes son 2 (interactivos) y 3 (red). El campo tipo de inicio de sesión indica el tipo de inicio de sesión que se produjo. Los tipos más comunes son 2 (interactivos) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, la cuenta en la que se inició sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. El nombre de la estación de trabajo no siempre está disponible y puede dejarse en blanco en algunos casos.Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
- El GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
- Los servicios transitados indican qué servicios intermedios han participado en esta solicitud de inicio de sesión.
- El nombre del paquete indica qué subprotocolo se usó entre los protocolos NTLM.
- La longitud de la clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó ninguna clave de sesión.
Causa
Este problema se produce debido a un cambio de código en RDP 8.0. En RDP 8.0, la dirección IP del cliente se almacena en una estructura de WTS_SOCKADDR. Esto difiere de RDP 7.0 (la versión predeterminada de RDP en Windows 7 y Windows Server 2008 R2).
En Windows 8 y Windows Server 2012 (y versiones posteriores de Windows), la lógica de código para registrar este evento se vuelve a escribir en función del nuevo diseño. Esto impide que se produzca este problema.
Solución
Para resolver este problema, actualice el equipo de destino de RDP a Windows 8 o Windows Server 2012 (o posterior). O bien, deshabilite RDP 8.0 en Windows 7 o Windows Server 2008 R2.
Más información
También puede encontrar este problema si usa un componente RDP de terceros para iniciar sesión en Windows 7 o Windows Server 2008 R2 cuando ese componente de terceros usa la misma estructura de WTS_SOCKADDR. En esta situación, considere la posibilidad de actualizar el sistema operativo o póngase en contacto con el proveedor de componentes para obtener ayuda.