Cursos
Módulo
Explore name resolution - Training
This module focuses on name resolution in Windows client and the methods used to resolve device names to addresses.
Mensaje de error al intentar obtener acceso a un servidor localmente mediante su FQDN o su alias CNAME después de instalar Windows Server 2003 Service Pack 1: Acceso denegado o Ningún proveedor de red aceptó la ruta de acceso de red dada.
En este artículo se proporciona una solución a un error que se produce al intentar acceder a un servidor localmente mediante su FQDN o su alias CNAME.
Número de KB original: 926642
Nota
En este artículo se incluye información que le muestra cómo reducir la configuración de seguridad o cómo desactivar las características de seguridad en un equipo. Puede hacer estos cambios para solucionar de manera alternativa un problema concreto. Pero antes de realizarlos, recomendamos que evalúe los riesgos asociados a esta solución alternativa en su entorno concreto. Si implementa esta solución alternativa, realice los pasos adicionales adecuados para ayudar a proteger el sistema.
Considere el siguiente escenario: Instale Microsoft Windows Server 2003 Service Pack 1 (SP1) en un equipo basado en Windows Server 2003. Después de hacerlo, experimenta problemas de autenticación al intentar acceder a un servidor localmente mediante su nombre de dominio completo (FQDN) o su alias CNAME en la ruta de acceso de la Convención de nomenclatura universal (UNC): \\servername sharename\.
En este escenario, experimentará uno de los síntomas siguientes:
- Recibirá ventanas de inicio de sesión repetidas.
- Recibirá un mensaje de error "Acceso denegado".
- Recibe un mensaje de error "No hay proveedor de red aceptado la ruta de acceso de red determinada".
- El identificador de evento 537 se registra en el registro de eventos de seguridad.
Nota
Puede acceder al servidor mediante su FQDN o su alias CNAME desde otro equipo de la red que no sea este equipo en el que instaló Windows Server 2003 SP1. Además, puede acceder al servidor en el equipo local mediante las siguientes rutas de acceso:
- \\IPaddress-of-local-computer
- \\Netbiosname o \\ComputerName
Este problema se produce porque Windows Server 2003 SP1 incluye una nueva característica de seguridad denominada funcionalidad de comprobación de bucle invertido. De forma predeterminada, la funcionalidad de comprobación de bucle invertido está activada en Windows Server 2003 SP1 y el valor de la entrada del Registro DisableLoopbackCheck se establece en 0 (cero).
Nota
La funcionalidad de comprobación de bucle invertido se almacena en la subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.
Importante
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.
Nota
Esta solución alternativa puede hacer que el equipo o la red sean más vulnerables a ataques por usuarios malintencionados o por software malintencionado, como virus. No recomendamos esta solución alternativa, pero proporcionamos la información necesaria para que pueda decidir por sí mismo si la implementa. Use esta solución alternativa bajo su propia responsabilidad.
Para resolver este problema, establezca la entrada del Registro DisableStrictNameChecking en 1. A continuación, use cualquiera de los métodos siguientes, según corresponda para su situación.
Método 1 (recomendado): cree los nombres de host de la entidad de seguridad local a los que se puede hacer referencia en una solicitud de autenticación NTLM.
Para ello, siga estos pasos para todos los nodos del equipo cliente:
Haga clic en Inicio, en Ejecutar, escriba regedit& y, después, haga clic en Aceptar.
Busque la siguiente subclave del registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0Haga clic con el botón derecho en MSV1_0, seleccione Nuevoy, a continuación, haga clic en Valor de cadena múltiple.
En la columna Nombre , escriba BackConnectionHostNames y presione ENTRAR.
Haga clic con el botón derecho en BackConnectionHostNames y, a continuación, haga clic en Modificar.
En el cuadro Datos de valor, escriba el CNAME o el alias DNS, que se usa para los recursos compartidos locales del equipo y, a continuación, haga clic en Aceptar.
Nota
- Escriba cada nombre de host en una línea independiente.
- Si la entrada del Registro BackConnectionHostNames existe como un tipo de REG_DWORD, debe eliminar la entrada del Registro BackConnectionHostNames.
Cierre el Editor del Registro y reinicie el equipo.
Vuelva a habilitar el comportamiento que existe en Windows Server 2003 estableciendo la entrada del Registro DisableLoopbackCheck en la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry subclave en 1. Para establecer la entrada del Registro DisableLoopbackCheck en 1, siga estos pasos en el equipo cliente:
Haga clic en Inicio, en Ejecutar, escriba regedit& y, después, haga clic en Aceptar.
Busque la siguiente subclave del registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaHaga clic con el botón derecho en Lsa, seleccione Nuevo y, a continuación, haga clic en Valor DWORD .
Escriba DisableLoopbackCheck y presione ENTRAR.
Haga clic con el botón derecho en DisableLoopbackChecky, a continuación, haga clic en Modificar.
En el cuadro datos Valor, escriba 1 y haga clic en Aceptar.
Salga del Editor del Registro.
Reinicie el equipo.
Nota
Debe reiniciar el servidor para que este cambio surta efecto. De forma predeterminada, la funcionalidad de comprobación de bucle invertido está activada en Windows Server 2003 SP1 y la entrada del Registro DisableLoopbackCheck está establecida en 0 (cero). La seguridad se reduce al deshabilitar la comprobación de bucle invertido de autenticación y abre el servidor de Windows Server 2003 para ataques de tipo "man in the middle" (MITM) en NTLM.
Microsoft ha confirmado que se trata de un problema en los productos de Microsoft que aparecen al principio de este artículo.
Después de instalar la actualización de seguridad 957097, las aplicaciones como SQL Server o Internet Information Services (IIS) pueden producir un error al realizar solicitudes de autenticación NTLM locales.
Para obtener más información sobre cómo resolver este problema, consulte la sección "Problemas conocidos con esta actualización de seguridad" del artículo de KB 957097.
Recursos adicionales
Documentación
-
Solución de problemas de errores de Kerberos - Internet Information Services
Proporciona síntomas y varios pasos que puede seguir para resolverlos, en función del escenario.