Relación de confianza interrumpida entre un dispositivo unido a un dominio y su dominio debido a problemas de canal seguro

En este artículo se proporcionan instrucciones sobre cómo solucionar problemas comunes de canal seguro detectados en máquinas cliente o servidores miembro dentro de un dominio durante los intentos de inicio de sesión.

Síntomas

Cuando los problemas de canal seguro provocan una relación de confianza interrumpida entre un dispositivo unido a un dominio y su dominio, observará los siguientes síntomas en el equipo:

• No puede iniciar sesión en el equipo mediante credenciales de dominio o Active Directory. Se produce el siguiente mensaje de error:

  Error en la relación de confianza entre esta estación de trabajo y el dominio principal.

  Puede iniciar sesión con un usuario local o credenciales almacenadas en caché.

• Verá un evento 3210 del origen NETLOGON en el registro de System Visor de eventos:

  

  Log name: System  
  Source: NETLOGON  
  Level: Error  
  Description: This computer could not authenticate with \\DCName.contoso.com, a Windows domain controller for domain CONTOSO, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
  

• Si el registro de Netlogon está habilitado, verá algo similar a este ejemplo:

  Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
  Date Time [CRITICAL] CORP: NlSessionSetup: new password is bad, try old one
  Date Time [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetServerAuthenticate3: 1761 (may be legitimate for 0xc0000022)
  Date Time [SESSION] CORP: NlSessionSetup: Negotiated flags with server are 0x612fffff
  Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
  Date Time [MISC] Eventlog: 3210 (1) "CORP" "\\DCName.Contoso.com" 2f8270f1 5bc8d5e7 34c3e164 6665df64   .p./...[d..4d.ef
  Date Time [SESSION] CORP: NlSetStatusClientSession: Set connection status to c0000022
  Date Time [SESSION] CORP: NlSetStatusClientSession: Unbind from server \\DCName.Contoso.com (TCP) 0.
  Date Time [SESSION] CORP: NlSessionSetup: Session setup Failed
  

• Si intenta probar el estado del canal seguro, recibirá un error de "Acceso denegado":

  C:\>nltest /sc_query:contoso.com
  
  Flags: 0
  Trusted DC Name
  Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED
  The command completed successfully
  

Escenarios frecuentes

Estos son los escenarios más comunes y sus causas:

• El equipo cliente o el servidor miembro tiene una contraseña anterior a la base de datos de Active Directory.
• La base de datos de Active Directory tiene una contraseña anterior a la máquina cliente o al servidor miembro. (El controlador de dominio se restaura a un estado anterior o problemas de replicación de Active Directory).

Solución

Para solucionar el problema, siga estos pasos:

1. Recopile los datos para determinar la causa del problema.

2. En función del escenario que encuentre, consulte el artículo correspondiente para ver las soluciones:

   • Active Directory tiene un valor de contraseña más reciente que el dispositivo cliente
   • El dispositivo cliente tiene un valor de contraseña más reciente que Active Directory

Otras consideraciones

Asegúrese de que las siguientes claves del Registro contienen el nombre real del equipo (no el nombre de dominio completo (FQDN)):

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\hostname

Puede consultar esas claves mediante la ejecución de los siguientes comandos:

Reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName /v ComputerName
Reg query HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters /v hostname

Nota:

Algunos técnicos o administradores de TI volverán a unir la máquina al dominio para resolver el problema del canal seguro roto, que es una solución válida. Sin embargo, si necesita encontrar la causa de problemas constantes o repetitivos, este artículo le ayudará a averiguar la causa principal en el entorno.

Más información

• PsExec
• Nltest
• Habilitación del registro de depuración para el servicio Netlogon
• Credenciales y validación almacenadas en caché

Terminología

• Secreto de la Autoridad de seguridad local (LSA): un almacenamiento protegido especial usado por la autoridad de seguridad local en Windows para almacenar datos importantes. En esta serie de artículos, el secreto de LSA hace referencia a la contraseña del equipo para un dispositivo unido a un dominio.
• Cupdtime: hace referencia a la hora de la última actualización del secreto de LSA, en esta serie de artículos, la contraseña del equipo. Esta información se almacena en el Registro de Windows en HKEY_LOCAL_MACHINE/Security/Policy/Secrets$MACHINE.ACC/cupdtime.
• pwdLastSet (PasswordLastSet):un atributo de objeto de equipo almacenado en Active Directory.