Los usuarios no pueden iniciar sesión en el dominio después de que cambie la contraseña en un controlador de dominio remoto

En este artículo se proporciona una solución a un problema por el que los usuarios no pueden iniciar sesión en el dominio después de que cambie la contraseña en un controlador de dominio remoto.

Se aplica a: Windows 2000
Número de KB original: 318364

Síntomas

Después de cambiar una contraseña de cuenta de usuario en un controlador de dominio remoto que contiene el rol de operación de maestro único flexible (PDC) del controlador de dominio principal (PDC), es posible que el usuario no pueda iniciar sesión en un controlador de dominio local escribiendo la nueva contraseña. Sin embargo, es posible que el usuario todavía pueda iniciar sesión en el dominio mediante su contraseña anterior.

Causa

Este comportamiento puede producirse cuando se cumplen las condiciones siguientes:

• El controlador de dominio remoto aún no se ha replicado con el controlador de dominio local.

• Kerberos está configurado para usar el protocolo Protocolo de datagramas de usuario (UDP) (la configuración predeterminada).

• El token de seguridad del usuario es demasiado grande para caber en un mensaje de Kerberos UDP.

  Nota:

  El token de seguridad del usuario puede ser grande si ese usuario es miembro de muchos grupos.

Este problema se debe a la característica anti-reproducción de la autenticación Kerberos en el controlador de dominio local. Los pasos siguientes muestran este comportamiento:

1. La contraseña de la cuenta de usuario se cambia en el controlador de dominio remoto, pero ese cambio aún no se ha replicado en el controlador de dominio local.
2. El usuario intenta iniciar sesión en el dominio mediante la nueva contraseña. El mensaje de Exchange del servicio de autenticación Kerberos (KRB_AS_REQ) se envía al controlador de dominio local mediante UDP.
3. El controlador de dominio local produce un error en la autenticación porque aún no tiene la nueva información de contraseña.
4. El controlador de dominio local reenvía la solicitud al PDC remoto (KDCSVC!FailedLogon).
5. En la FailedLogon función , se escribe una entrada para la solicitud en la tabla de detección de reproducción y el mensaje KRB_AS_REQ se envía al PDC remoto.
6. El PDC remoto autentica correctamente la solicitud y, a continuación, devuelve una respuesta positiva al controlador de dominio local.
7. El controlador de dominio local detecta que la respuesta es demasiado grande para un paquete UDP y por eso envía una solicitud al equipo cliente para volver a enviar la solicitud mediante el Protocolo de control de transmisión (TCP).
8. El equipo cliente vuelve a enviar la solicitud de autenticación mediante TCP.
9. El controlador de dominio local produce un error en la autenticación porque aún no tiene la nueva información de contraseña (como en el paso 3).
10. El controlador de dominio local reenvía la solicitud al controlador de dominio PDC remoto () (KDCSVC!FailedLogoncomo en el paso 4).
11. La comprobación de detección de reproducción en la FailedLogon función devuelve un mensaje de KRB_AP_ERR_REPEAT porque una entrada de esta solicitud ya está presente en la tabla de detección de reproducción. Esta es la entrada que se creó en el paso 5.

Se produce un error en el intento de autenticación.

Solución

Para resolver este problema, obtenga el Service Pack más reciente para Windows 2000.

La versión en inglés de esta corrección tiene los atributos de archivo (o posterior) que se enumeran en la tabla siguiente. Las fechas y horas de estos archivos se enumeran en la hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, use la pestaña Zona horaria de la herramienta Fecha y hora en Panel de control.

Date Time Version Size File name
-----------------------------------------------------------
22-Mar-2002 23:55 5.0.2195.4959 123,664 Adsldp.dll
30-Jan-2002 00:52 5.0.2195.4851 130,832 Adsldpc.dll
30-Jan-2002 00:52 5.0.2195.4016 62,736 Adsmsext.dll
22-Mar-2002 23:55 5.0.2195.5201 356,624 Advapi32.dll
22-Mar-2002 23:55 5.0.2195.4985 135,952 Dnsapi.dll
22-Mar-2002 23:55 5.0.2195.4985 95,504 Dnsrslvr.dll
22-Mar-2002 23:56 5.0.2195.5013 521,488 Instlsa5.dll
22-Mar-2002 23:55 5.0.2195.5246 145,680 Kdcsvc.dll
22-Mar-2002 23:50 5.0.2195.5246 199,952 Kerberos.dll
07-Feb-2002 19:35 5.0.2195.4914 71,024 Ksecdd.sys
02-Mar-2002 21:32 5.0.2195.5013 503,568 Lsasrv.dll
02-Mar-2002 21:32 5.0.2195.5013 33,552 Lsass.exe
08-Dec-2001 00:05 5.0.2195.4745 107,280 Msv1_0.dll
22-Mar-2002 23:55 5.0.2195.4917 306,960 Netapi32.dll
22-Mar-2002 23:55 5.0.2195.4979 360,208 Netlogon.dll
22-Mar-2002 23:55 5.0.2195.5221 917,264 Ntdsa.dll
22-Mar-2002 23:55 5.0.2195.5201 386,832 Samsrv.dll
30-Jan-2002 00:52 5.0.2195.4874 128,784 Scecli.dll
22-Mar-2002 23:55 5.0.2195.4968 299,792 Scesrv.dll
30-Jan-2002 00:52 5.0.2195.4600 48,400 W32time.dll
06-Nov-2001 19:43 5.0.2195.4600 56,592 W32tm.exe
22-Mar-2002 23:55 5.0.2195.5011 125,712 Wldap32.dll

Solución alternativa

Para solucionar este problema, realice cambios de contraseña de cuenta de usuario en el controlador de dominio local o obligue a Kerberos a usar TCP (Protocolo de control de transmisión) en lugar de UDP (Protocolo de datagrama de usuario).

Para obtener más información, consulte Cómo forzar a Kerberos a usar TCP en lugar de UDP en Windows.

Estado

Microsoft ha confirmado que es un problema en los productos de Microsoft que aparecen al principio de este artículo. Este problema se corrigió por primera vez en Windows 2000 Service Pack 3.

Más información

La característica de reproducción anti-reproducción de Kerberos impide que el servidor de autenticación reciba dos veces el mismo paquete. Un ataque de reproducción es un ataque en el que una transmisión de datos válida se repite de forma malintencionada o fraudulenta, ya sea por el originador o por un adversario que intercepta los datos y lo retransmite. Un atacante puede intentar "reproducir" el nombre de usuario y la contraseña de un usuario válido en un intento de autenticarse mediante las credenciales de ese usuario.