Compartir a través de

Recopilación de datos para solucionar problemas de canal seguro

La información de este artículo funciona como referencia y le ayuda a solucionar problemas cuando se interrumpe el canal seguro.

Para determinar la causa de problemas de canal seguro, recopile la siguiente información.

Obtención de la información del dispositivo cliente

En el dispositivo afectado, compruebe si hay eventos de cambio de contraseña correctos en el registro de System Visor de eventos (id. de evento 5823 - Origen: NETLOGON). Esto le ayudará a averiguar la última vez que el sistema cambió la contraseña y la usará como un valor de referencia (si está presente, considere que los eventos más recientes podrían sobrescribirla):

Captura de pantalla del identificador de evento 5823. 

Log name: System  
Source: NETLOGON  
Description: The system successfully changed its password on the domain controller \\DCName.domain.com. This event is logged when the password for the computer account is changed by the system. It is logged on the computer that changed the password.

Si el registro de Netlogon está habilitado, también debería ver un comportamiento con evidencia del cambio de contraseña del identificador de evento 5823 anterior:

08/22 07:32:23 [SESSION] [4128] CONTOSO: NlChangePassword: Doing it.
08/22 07:32:23 [SESSION] [4128] CONTOSO: NlChangePassword: Successful response from DC \\DC1-CONT.contoso.com
08/22 07:32:24 [SESSION] [4128] CONTOSO: NlChangePassword: Flag password changed in LsaSecret
08/22 07:32:24 [SESSION] [4128] CONTOSO: NlChangePassword: Flag password updated on DC
08/22 07:32:24 [MISC] [4128] Eventlog: 5823 (4) "\\DC1-CONT.contoso.com" 
08/22 07:32:24 [MISC] [4128] NlWksScavenger: Can be called again in # days (0x5265c00) --> The number of days here will match the "Maximum machine account password age" value defined on the computer changing the password.

Compare la cuenta pwdLastSet de equipo (la última vez que el equipo conocido por Active Directory cambió la contraseña) con el valor cupdtime del secreto de la autoridad de seguridad local (LSA) (la última vez que cambió la contraseña según el equipo cliente o el conocimiento del servidor) en el equipo local:

Obtener el valor del secreto de LSA en el equipo o servidor afectados

Siga estos pasos para buscar el cupdtime valor del Registro.

Nota:

De forma predeterminada, solo la cuenta "Sistema" tiene acceso a la clave HKLM\SECURITYdel Registro, por lo que tiene dos opciones:

  • Use la herramienta PsExec para ejecutar los pasos siguientes en el contexto del sistema.
  • Conceda a los usuarios permisos completos deseados a la clave HKLM\SECURITY del Registro (recuerde quitarlos cuando ya no sean necesarios):

  1. Ejecute reg query "HKLM\SECURITY\Policy\Secrets\$MACHINE.ACC\CupdTime".

    Captura de pantalla de la ejecución del comando para recuperar el valor cupdtime.

    En este ejemplo, recibirá el valor 26A38C1AA0F4DA01. El valor debe convertirse mediante w32tm para poder entenderlo. El valor hexadecimal debe convertirse en decimal, pero debe revertir el orden de cada par de bits a partir del último.

    • El valor 26A38C1AA0F4DA01 original se convierte en 01DAF4A01A8CA326.
    • Convierta el valor hexadecimal en decimal (puede usar la calculadora en modo programador). El resultado es 133688107438220070.

  2. Ejecute el siguiente comando:

    w32tm /ntte 133688107438220070

    Recibirá la siguiente respuesta:

    Captura de pantalla de la salida del comando w32tm.

    El valor es 154731 14:32:23.8220070 - 8/22/2024 7:32:23 AM.

Obtener el valor pwdLastSet de Active Directory

  1. Abra la consola de Usuarios y equipos de Active Directory, vaya a la unidad organizativa donde pertenece el objeto de equipo y busque el pwdLastSet atributo para ver el valor:

    Captura de pantalla del atributo pwdLastSet en las propiedades de unidad organizativa.

  2. Ejecute el siguiente comando desde un símbolo del sistema de Windows. Reemplace el nombre distintivo del equipo afectado real que está solucionando y expórtelo a un archivo (es más fácil comprobar la información si tiene un número considerable de controladores de dominio (CONTROLADORES de dominio)):

    repadmin /showobjmeta * "CN=ComputerName,OU=Computers,DC=domain,DC=com" > c:\temp\ComputerName_Metadata.txt

    Como alternativa, ejecute el siguiente comando desde un símbolo del sistema de Windows PowerShell (se requiere el módulo de Active Directory):

    Get-ADComputer '<ComputerName>' -properties PasswordLastSet | Format-List

    Captura de pantalla del comando Get-ADComputer PasswordLastSet de PowerShell.

  3. Abra el archivo y busque los valores del pwdLastSet atributo (obtendrá los metadatos del objeto de todos los controladores de dominio disponibles en el entorno) y los comparará. En un buen escenario, los datos del atributo deben ser coherentes en todos los controladores de dominio. Verá información sobre otros atributos en la salida. Céntrese solo en el atributo necesario. Este es un ejemplo de la salida:

    Captura de pantalla de un ejemplo de los metadatos del nombre del equipo.

  4. La información anterior proporciona el valor de un único controlador de dominio (el al que está conectado a través de la consola o al ejecutar los comandos). Considere la posibilidad de recopilar los metadatos del objeto de equipo afectado de Active Directory para que pueda confirmar que el valor es coherente en todos los controladores de dominio del entorno.