Relación de confianza con el dominio (Secure Channel)

El "Secure Channel" es utilizado para validar la membresía de las estaciones de trabajo y servidores a un dominio especifico, basado en una contraseña encriptada. Este canal de comunicación discreta provee una comunicación más segura entre las estaciones de trabajo y servidores con los controladores de dominio.


Cuando unes un equipo a un dominio, se crea un cuenta de equipo en el mismo y se asigna una contraseña que se guarda en la cuenta de equipo del dominio y en la estación de trabajo. Por defecto, esta contraseña
se cambia cada 30 días en la cuenta de equipo del dominio y se notifica a través del "Secure Channel" a la estación de trabajo. En consecuencia, cada vez que una estación de trabajo inicia su sistema operativo, el servicio de Netlogon, intenta descubrir un Controlador de Dominio que contenga una cuenta de equipo para esta estación de trabajo; una vez que la cuenta del equipo es ubicada, la estación de trabajo establece un canal seguro de comunicación con ese Controlador de Dominio a través del cual se verifica que ambas contraseñas sean idénticas.

Cabe destacar que el proceso de creación de la contraseña en la estación de trabajo y la cuenta de equipo del dominio, se realiza de forma automática y sin ninguna interacción humana.

EL PROBLEMA

Es posible que debido a diferentes factores, la contraseña de la estación de trabajo y la cuenta del equipo en el dominio NO sean idénticas; lo cual nos traería inconvenientes tales como:

Errores de replicación
  • Cuando usas la consola de Active Directory Sites and Services para forzar una replicación manual entre controladores de dominio puede que recibas uno de los siguientes errores:
    • The Target Principal Name is incorrect
    • Access Denied
  • Puede que obtengas errores de Netlogon 3210, 5722 ó errores de NTDS KCC 1925, con detalles de errores parecidos a estos:
    • Event Source: Netlogon
      Event Category: None Event ID: 3210
      User: N/A Event Description: 
      Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.
    • Event Source: Netlogon
      Event ID: 5722
      Event Category: None User: N/A Event Description:
      The session setup from the computer 1 failed to authenticate. The name of the account referenced in the security database is 2. The following error occurred: n3
    • The following error occurred during the attempt to synchronize the domain controllers.
      The naming context is in the process of being removed or is not replicated from the specified server.
Errores de logon
  • Puede que el cliente no pueda iniciar sesión en la estación de trabajo y reciba alguno de los siguientes errores:
    • “Windows cannot connect to the domain either because the domain controller is down or otherwise unavailable or because your computer account was not found.” 
    • "The system could not log you on. Make sure your username and domain are correct."
Acceso a recursos
  • Cuando intentas ingresar a un recurso compartido de una estación de trabajo o servidor, puede que recibas el siguiente error.
    • "System error 1396 - Logon Failure: The target account name is incorrect."
Ejecutando el NLTEST
    • Cuando ejecutas el siguiente comando
      • nltest /sc_query: <nombre del dominio>
    • Puede que recibas el siguiente error
      • Access is denied

    LAS CAUSAS

    Cuando las contraseñas de las estaciones de trabajo y las cuentas de equipo en el dominio no coinciden, estamos en presencia de una "pérdida de la relación de confianza" entre la estación de trabajo y el dominio.

    Pero, cuáles son las causas más comunes que generan estos mensajes en los sistemas de los clientes?

    Existen diferentes causas que generarían esta "perdida de la relación de confianza"; sin embargo las más comunes son:
    • Un mismo SID ha sido asignado a múltiples equipos (más información)
    • Errores de sincronización del tiempo (Leáse el siguiente Knowledge Base)
    • Errores de sincronización de la contraseña de la estación del trabajo (más información)
    • Otros errores menos comunes

    LA SOLUCIÓN

    Actualmente, existen dos soluciones ampliamente conocidas, que son:

    • La más común: Remover la estación de trabajo del dominio, para lo cual es necesario conocer la clave del administrador local, a fin de poder ingresar a la estación de trabajo una vez lo removamos del dominio y poder volver a unirla al dominio (es recomendable que para aplicar esta solución, se proceda a reiniciar la cuenta de equipo del dominio "Reset Account" antes de volver a unir la estación de trabajo al dominio)
    • La más efectiva (Solo para cuentas de equipo que sean Controladores de Dominio): Utilizar el comando NetDom con la siguiente sintaxis (El comando NetDom restablece la contraseña en la estación de trabajo y en la cuenta de equipo en el dominio, a fin de que ambos puedan volver a comunicarse)
      • netdom resetpwd /server:Replication_Partner_Server_Name /userd:domainname\administrator_id/passwordd:*
      • Para más información acerca de esta solución, leáse el siguiente Knowledge Base

    This posting is provided "AS IS" with no warranties, and confers no rights. Use of included script samples are subject to the terms specified at http://www.microsoft.com/info/cpyright.htm
    Por Publicado:
    Etiquetas: