El usuario no se puede autenticar o debe autenticarse dos veces

En este artículo se describen varios problemas que pueden afectar a la autenticación del usuario.

Acceso denegado, tipo de inicio de sesión restringido

En esta situación, se deniega el acceso a un usuario de Windows 10 que intenta conectarse a equipos con Windows 10 o Windows Server 2016 con el siguiente mensaje:

Conexión a Escritorio remoto:
El administrador del sistema ha restringido el tipo de inicio de sesión (red o interactiva) que pueda usar. Para obtener ayuda, ponte en contacto con el administrador del sistema o con el personal de soporte técnico.

Este problema se produce cuando se requiere autenticación a nivel de red (NLA) para las conexiones RDP y el usuario no es miembro del grupoUsuarios de escritorio remoto. También puede producirse si no se ha asignado el grupoUsuarios de escritorio remoto al derecho de usuario Tener acceso a este equipo desde la red.

Para resolver este problema, sigue uno de estos pasos:

Modificación de la asignación de permisos del usuario o la pertenencia a un grupo del usuario

Si este problema afecta a un solo usuario, la solución más sencilla consiste en agregar el usuario al grupo Usuarios de escritorio remoto.

Si el usuario ya es miembro de este grupo (o si varios miembros del grupo tienen el mismo problema), compruebe la configuración de los permisos del usuario en el equipo remoto con Windows 10 o Windows Server 2016.

  1. Abre el Editor de objetos de directiva de grupo (GPE) y conéctese a la directiva local del equipo remoto.
  2. Vete a Configuración del equipo \Configuración de Windows \Configuración de seguridad\Directivas locales\ , haz clic con el botón derecho en Tener acceso a este equipo desde la red y luego selecciona Propiedades.
  3. Consulta en la lista de usuarios y grupos Usuarios de escritorio remoto (o un grupo primario).
  4. Si en la lista no se incluye Usuarios de Escritorio Remoto o un grupo primario como Todos, tendrás que agregarlo a la lista. Si tienes más de un equipo en la implementación, usa un objeto de directiva de grupo.
    Por ejemplo, la pertenencia predeterminada de Tener acceso a este equipo desde la red incluye Todos. Si la implementación usa un objeto de directiva de grupo para quitar Todos, es posible que debas restaurar el acceso mediante la actualización del objeto de directiva de grupo para agregar Usuarios de escritorio remoto.

Acceso denegado, se ha denegado una llamada remota a la base de datos de SAM

Es muy probable que este comportamiento se produzca si el controlador de dominio utiliza Windows Server 2016, o cualquier versión o posterior, y los usuarios intentan conectarse mediante una aplicación de conexión personalizada. En concreto, se denegará el acceso a las aplicaciones que acceden a la información del perfil del usuario en Active Directory.

Este comportamiento es consecuencia de un cambio en Windows. En Windows Server 2012 R2 y versiones anteriores, cuando un usuario inicia sesión en un escritorio remoto, el Administrador de conexiones remotas (RCM) se pone en contacto con el controlador de dominio (DC) para consultar las configuraciones que son específicas de Escritorio remoto en el objeto de usuario en Active Directory Domain Services (AD DS). Esta información se muestra en la pestaña Perfil de Servicios de Escritorio remoto de las propiedades del objeto de un usuario en el complemento MMC Usuarios y equipos de Active Directory.

A partir de Windows Server 2016, RCM ya no consulta el objeto del usuario en AD DS. Si necesitas que RCM consulte AD DS porque usas los atributos de Servicios de Escritorio remoto, debes habilitar la consulta de forma manual.

Importante

Sigue meticulosamente los pasos que se describen en esta sección. Pueden producirse problemas graves si modifica el Registro de manera incorrecta. Antes de modificarlo, haz una copia de seguridad del registro para restaurarlo, por si se produjeran problemas.

Para habilitar el comportamiento heredado de RCM en un servidor host de sesión de Escritorio remoto, configura las siguientes entradas del Registro y reinicia el servicio Servicios de Escritorio remoto:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
    • Nombre: fQueryUserConfigFromDC
    • Tipo: Reg_DWORD
    • Valor: 1 (decimal)

Para habilitar el comportamiento heredado de RCM en cualquier servidor que no sea el servidor host de sesión de Escritorio remoto, configura estas entradas del Registro y la siguiente entrada del Registro adicional (y reinicia el servicio):

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Para más información acerca de este comportamiento, consulta el KB 3200967 Cambios en el Administrador de conexiones remotas en Windows Server.

El usuario no puede iniciar sesión con una tarjeta inteligente

En esta sección se abordan tres escenarios comunes en los que un usuario no puede iniciar sesión en un escritorio remoto con una tarjeta inteligente.

No se puede iniciar sesión con una tarjeta inteligente en una sucursal con un controlador de dominio de solo lectura (RODC)

Este problema se produce en las implementaciones que incluyen un servidor RDSH en un sitio de sucursal que usa un RODC. El servidor RDSH está hospedado en el dominio raíz. Los usuarios del sitio de rama pertenecen a un dominio secundario y usan tarjetas inteligentes para la autenticación. El RODC está configurado para almacenar en la caché las contraseñas de usuario (el RODC pertenece al Grupo de replicación de contraseña RODC permitida). Cuando los usuarios intentan iniciar sesión en sesiones del servidor RDSH, reciben mensajes, como "El inicio de sesión intentado no es válido. Esto se debe a un nombre de usuario o a información de autenticación incorrectos."

Este problema se debe a la forma en que el controlador de dominio raíz y el RDOC administran el cifrado de credenciales de usuario. El controlador de dominio raíz usa una clave de cifrado para cifrar las credenciales y el RODC proporciona al cliente la clave de descifrado. Cuando un usuario recibe el error "no válido", significa que las dos claves no coinciden.

Para solucionar este problema, sigue uno de estos pasos:

  • Para cambiar la topología de controlador de dominio, desactiva el almacenamiento en caché de contraseñas en el RODC, o bien implementa un controlador de dominio grabable en el sitio de la sucursal.
  • Mueve el servidor RDSH al mismo dominio secundario en el que se encuentran los usuarios.
  • Permite a los usuarios iniciar sesión sin tarjetas inteligentes.

Recuerda que todas estas soluciones requieren compromisos en el nivel de rendimiento o de seguridad.

El usuario no puede iniciar sesión en un equipo con Windows Server 2008 SP2 con una tarjeta inteligente

Este problema se produce cuando los usuarios inician sesión en un equipo con Windows Server 2008 SP2 que se ha actualizado con KB4093227 (2018.4B). Cuando los usuarios intentan iniciar sesión mediante una tarjeta inteligente, se les deniega el acceso con mensajes como "No se encontraron certificados válidos. Comprueba que la tarjeta se ha insertado correctamente y encaja perfectamente." Al mismo tiempo, el equipo con Windows Server registra el evento de programa "Error al recuperar un certificado digital de la tarjeta inteligente insertada. Firma no válida."

Para resolver este problema, actualiza el equipo con Windows Server con el nuevo lanzamiento de 2018.06 B de 4093227 KB, Descripción de la actualización de seguridad para la vulnerabilidad de denegación de servicio de Protocolo de escritorio remoto (RDP) en Windows Server 2008: 10 de abril de 2018.

No se puede mantener la sesión iniciada con una tarjeta inteligente y el servicio Servicios de Escritorio remoto se bloquea

Este problema se produce cuando los usuarios inician sesión en un equipo con Windows o Windows Server que se ha actualizado con KB 4056446. Al principio, el usuario puede iniciar sesión en el sistema mediante el uso de una tarjeta inteligente, pero luego recibe el mensaje de error "SCARD_E_NO_SERVICE". Es posible que el equipo remoto deje de responder.

Para solucionar este problema, reinicia el equipo remoto.

Para resolver este problema, actualice el equipo remoto con la corrección adecuada:

Si se bloquea el equipo remoto, el usuario debe escribir la contraseña dos veces

Este problema se puede producir cuando un usuario intenta conectarse a un escritorio remoto en el que se ejecuta Windows 10, versión 1709, en una implementación en la que las conexiones de RDP no requieren NLA. En estas condiciones, si el escritorio remoto se ha bloqueado, el usuario debe escribir sus credenciales dos veces al conectarse.

Para resolver este problema, actualiza el equipo con Windows 10, versión 1709, con KB 4343893, 30 de agosto de 2018: KB4343893 (compilación del sistema operativo 16299.637).

El usuario no puede iniciar sesión y recibe los mensajes "error de autenticación" y "corrección de oráculo de cifrado de CredSSP"

Cuando los usuarios intentan iniciar sesión con cualquier versión de Windows a partir de Windows Vista SP2 y posteriores, o Windows Server 2008 SP2 y posteriores, se les deniega el acceso y reciben mensajes como estos:

An authentication error has occurred. The function requested is not supported.
...
This could be due to CredSSP encryption oracle remediation
...

"Corrección de oráculo de cifrado de CredSSP" es un conjunto de actualizaciones de seguridad que se lanzó en marzo, abril y mayo de 2018. CredSSP es un proveedor de autenticación que procesa solicitudes de autenticación de otras aplicaciones. Tanto la actualización "3B", de 13 de marzo de 2018, como las actualizaciones posteriores solucionaban una vulnerabilidad de seguridad en la que un atacante podría transmitir credenciales de usuario para ejecutar código en el sistema de destino.

Las actualizaciones iniciales agregaban compatibilidad con un nuevo objeto de directiva de grupo, Corrección de oráculo de cifrado, que tiene los siguientes valores posibles:

  • Vulnerable: Las aplicaciones cliente que usan CredSSP pueden revertirse a versiones no seguras, pero este comportamiento expone los escritorios remotos a ataques. Los servicios que usan CredSSP aceptan clientes que no se hayan actualizado.
  • Mitigado: las aplicaciones cliente que usan CredSSP no se pueden revertir a versiones no seguras, pero los servicios que usan CredSSP aceptan clientes que no se han actualizado.
  • Forzar clientes actualizados: las aplicaciones cliente que usan CredSSP no se pueden revertir a versiones no seguras y los servicios que usan CredSSP no aceptarán clientes sin revisiones.

    Nota

    Este valor no se debe implementar hasta que todos los hosts remotos admitan la versión más reciente.

En la actualización del 8 de mayo de 2018 se ha cambiado el valor predeterminado de Corrección de oráculo de cifrado de Vulnerable a Mitigado. Con este cambio, los clientes de Escritorio remoto que tengan las actualizaciones no se pueden conectar a servidores que no las tengan (ni a servidores actualizados que no se hayan reiniciado). Para más información sobre las actualizaciones de CredSSP, consulta KB 4093492.

Para resolver este problema, actualiza y reinicia todos los sistemas. Para ver una lista completa de las actualizaciones y más información acerca de las vulnerabilidades, consulta CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability (CVE-2018-0886 | Vulnerabilidad de ejecución de código remoto de CredSSP).

Para solucionar este problema hasta que se completen las actualizaciones, consulta en KB 4093492 los tipos de conexiones permitidos. Si no hay alternativas viables, puedes considerar la posibilidad de usar uno de los métodos siguientes:

  • Para los equipos cliente afectados, vuelve a establecer la directiva Corrección de oráculo de cifrado en Vulnerable.
  • Modifica las siguientes directivas en la carpeta de directivas de grupo Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\ Seguridad:
    • Requerir el uso de un nivel de seguridad específico para conexiones remotas (RDP) : establécelo en Habilitado y selecciona RDP.
    • Requerir la autenticación de usuario para las conexiones remotas mediante Autenticación a nivel de red: establécelo en Deshabilitado.

      Importante

      El cambio de estas directivas de grupo reduce la seguridad de la implementación. Se recomienda que solo las uses temporalmente, si las necesitas.

Para más información acerca de cómo trabajar con directivas de grupo, consulta Modificación de un GPO de bloqueo.

Después de actualizar los equipos cliente, algunos usuarios necesitan iniciar sesión dos veces

Cuando los usuarios inician sesión en Escritorio remoto con un equipo que ejecuta Windows 7 o Windows 10, versión 1709, verán inmediatamente un segundo mensaje de inicio de sesión. Este problema se produce si el equipo cliente tiene las actualizaciones siguientes:

Para resolver este problema, asegúrate de que los equipos a los que desean conectarse los usuarios (así como los servidores RDSH o RDVI) están totalmente actualizados en junio de 2018. Esto incluye las siguientes actualizaciones:

Se deniega el acceso a los usuarios en una implementación que usa Credential Guard remoto con varios agentes de conexión a Escritorio remoto

Este problema se produce en las implementaciones de alta disponibilidad que utilizan dos, o más, agentes de conexión a Escritorio remoto, siempre que Credential Guard remoto de Windows Defender esté en uso. Los usuarios no pueden iniciar sesión en escritorios remotos.

Este problema se produce porque Credential Guard remoto usa Kerberos para la autenticación y restringe NTLM. Pero en una configuración de alta disponibilidad con equilibrio de carga, los agentes de conexión a Escritorio remoto no admiten operaciones de Kerberos.

Si necesitas usar una configuración de alta disponibilidad con agentes de conexión a Escritorio remoto con equilibrio de carga, puedes solucionar el problema mediante la deshabilitación de Credential Guard remoto. Para más información acerca de cómo administrar Credential Guard remoto de Windows Defender, consulta Protección de credenciales de escritorio remoto con Credential Guard remoto de Windows Defender.