El usuario no puede autenticarse o debe autenticarse dos veces

En este artículo se abordan varios problemas que pueden causar problemas que afectan a la autenticación de usuarios.

Acceso denegado, tipo restringido de inicio de sesión

En esta situación, se deniega el acceso a un usuario Windows 10 que intenta conectarse a equipos Windows 10 o Windows Server 2016 con el siguiente mensaje:

Conexión a Escritorio remoto: el administrador del sistema ha restringido el tipo de inicio de sesión (de red o interactivo) que puede usar. Para obtener ayuda, póngase en contacto con el administrador del sistema o con el soporte técnico.

Este problema se produce cuando se requiere autenticación de nivel de red (NLA) para las conexiones RDP y el usuario no es miembro del grupo Usuarios de Escritorio remoto . También puede producirse si el grupo Usuarios de Escritorio remoto no se ha asignado al derecho Acceso a este equipo desde el derecho de usuario de red .

Para resolver este problema, realice una de las siguientes acciones:

• Modifique la pertenencia al grupo del usuario o la asignación de derechos de usuario.
• Desactive NLA (no recomendado).
• Use clientes de Escritorio remoto que no sean Windows 10. Por ejemplo, los clientes de Windows 7 no tienen este problema.

Modificar la pertenencia al grupo del usuario o la asignación de derechos de usuario

Si este problema afecta a un único usuario, la solución más sencilla a este problema es agregar el usuario al grupo Usuarios de Escritorio remoto .

Si el usuario ya es miembro de este grupo (o si varios miembros del grupo tienen el mismo problema), compruebe la configuración de derechos de usuario en el equipo remoto Windows 10 o Windows Server 2016.

1. Abra directiva de grupo Editor de objetos (GPE) y conéctese a la directiva local del equipo remoto.

2. Vaya a Configuración\ del equipoConfiguración de Windows Configuración\de seguridad Directivas\\localesAsignación de derechos de usuario, haga clic con el botón derecho en Acceder a este equipo desde la red y, a continuación, seleccione Propiedades.

3. Compruebe la lista de usuarios y grupos para usuarios de Escritorio remoto (o un grupo primario).

4. Si la lista no incluye usuarios de Escritorio remoto o un grupo primario como Todos, debe agregarla a la lista. Si tiene más de un equipo en la implementación, use un objeto de directiva de grupo.

   Por ejemplo, la pertenencia predeterminada para Acceder a este equipo desde la red incluye Todos. Si la implementación usa un objeto de directiva de grupo para quitar Todos, es posible que tenga que restaurar el acceso actualizando el objeto de directiva de grupo para agregar usuarios de Escritorio remoto.

Acceso denegado, se ha denegado una llamada remota a la base de datos SAM

Es más probable que este comportamiento se produzca si los controladores de dominio ejecutan Windows Server 2016 o posterior, y los usuarios intentan conectarse mediante una aplicación de conexión personalizada. En concreto, se denegará el acceso a las aplicaciones que acceden a la información de perfil del usuario en Active Directory.

Este comportamiento es el resultado de un cambio en Windows. En Windows Server 2012 R2 y versiones anteriores, cuando un usuario inicia sesión en un escritorio remoto, el Administrador de conexiones remoto (RCM) se pone en contacto con el controlador de dominio (DC) para consultar las configuraciones específicas de Escritorio remoto en el objeto de usuario en Servicios de dominio de Active Directory (AD DS). Esta información se muestra en la pestaña Perfil de servicios de Escritorio remoto de las propiedades de objeto de un usuario en el complemento MMC de Usuarios y equipos de Active Directory.

A partir de Windows Server 2016, RCM ya no consulta el objeto del usuario en AD DS. Si necesita RCM para consultar AD DS porque usa atributos de Servicios de Escritorio remoto, debe habilitar manualmente la consulta.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Como medida de protección, haga una copia de seguridad del registro antes de modificarlo para poder restaurarlo si se produce algún problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

Para habilitar el comportamiento de RCM heredado en un servidor host de sesión de Escritorio remoto, configure las siguientes entradas del Registro y reinicie el servicio Servicios de Escritorio remoto :

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
  • Nombre: fQueryUserConfigFromDC
  • Tipo: Reg_DWORD
  • Valor: 1 (decimal)

Para habilitar el comportamiento de RCM heredado en un servidor distinto de un servidor host de sesión de Escritorio remoto, configure estas entradas del Registro y la siguiente entrada adicional del Registro (y reinicie el servicio):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Para obtener más información sobre este comportamiento, vea Cambios en Administrador de conexiones remotos en Windows Server 2016.

El usuario no puede iniciar sesión con una tarjeta inteligente

En esta sección se abordan tres escenarios comunes en los que un usuario no puede iniciar sesión en un escritorio remoto mediante una tarjeta inteligente.

No se puede iniciar sesión con una tarjeta inteligente en una sucursal con un controlador de dominio de solo lectura (RODC)

Este problema se produce en implementaciones que incluyen un servidor RDSH en un sitio de sucursal que usa un RODC. El servidor RDSH se hospeda en el dominio raíz. Los usuarios del sitio de sucursal pertenecen a un dominio secundario y usan tarjetas inteligentes para la autenticación. El RODC está configurado para almacenar en caché las contraseñas de usuario (el RODC pertenece al grupo de replicación de contraseñas RODC permitidas). Cuando los usuarios intentan iniciar sesión en sesiones en el servidor RDSH, reciben mensajes como "El intento de inicio de sesión no es válido. Esto se debe a un nombre de usuario o a una información de autenticación incorrectos".

Este problema se debe a cómo el controlador de dominio raíz y el RDOC administran el cifrado de credenciales de usuario. El controlador de dominio raíz usa una clave de cifrado para cifrar las credenciales y el RODC proporciona al cliente la clave de descifrado. Cuando un usuario recibe el error "no válido", lo que significa que las dos claves no coinciden.

Para solucionar este problema, pruebe una de las siguientes cosas:

• Cambie la topología de controlador de dominio desactivando el almacenamiento en caché de contraseñas en el RODC o implementando un controlador de dominio que se puede escribir en el sitio de rama.
• Mueva el servidor RDSH al mismo dominio secundario que los usuarios.
• Permitir que los usuarios inicien sesión sin tarjetas inteligentes.

Tenga en cuenta que todas estas soluciones requieren riesgos en el nivel de rendimiento o de seguridad.

El usuario no puede iniciar sesión en un equipo con Windows Server 2008 SP2 con una tarjeta inteligente

Este problema se produce cuando los usuarios inician sesión en un equipo con Windows Server 2008 SP2 que se ha actualizado con KB4093227 (2018.4B). Cuando los usuarios intentan iniciar sesión con una tarjeta inteligente, se les deniega el acceso con mensajes como "No se encontraron certificados válidos. Compruebe que la tarjeta está insertada correctamente y se ajusta firmemente". Al mismo tiempo, el equipo con Windows Server registra el evento de aplicación "Error al recuperar un certificado digital de la tarjeta inteligente insertada. Firma no válida."

Para resolver este problema, actualice el equipo con Windows Server con la nueva versión 2018.06 B de KB 4093227, Descripción de la actualización de seguridad para la vulnerabilidad de denegación de servicio del Protocolo de Escritorio remoto de Windows (RDP) en Windows Server 2008: 10 de abril de 2018.

No se puede mantener la sesión iniciada con una tarjeta inteligente y el servicio Servicios de Escritorio remoto se bloquea

Este problema se produce cuando los usuarios inician sesión en un equipo Windows o Windows Server que se ha actualizado con kb 4056446. En primer lugar, es posible que el usuario pueda iniciar sesión en el sistema mediante una tarjeta inteligente, pero, a continuación, recibe un mensaje de error "SCARD_E_NO_SERVICE". El equipo remoto puede dejar de responder.

Para solucionar este problema, reinicie el equipo remoto.

Para resolver este problema, actualice el equipo remoto con la corrección adecuada:

• Windows Server 2008 SP2: KB 4090928, controladores de fugas de Windows en el proceso de lsm.exe y las aplicaciones de tarjeta inteligente pueden mostrar errores de "SCARD_E_NO_SERVICE".
• Windows Server 2012 R2: KB 4103724, 17 de mayo de 2018-KB4103724 (versión preliminar del paquete acumulativo mensual)
• Windows Server 2016 y Windows 10, versión 1607: KB 4103720, 17 de mayo de 2018-KB4103720 (compilación del sistema operativo 14393.2273)

Si el equipo remoto está bloqueado, el usuario debe escribir una contraseña dos veces.

Este problema puede producirse cuando un usuario intenta conectarse a un escritorio remoto que ejecuta Windows 10 versión 1709 en una implementación en la que las conexiones RDP no requieren NLA. En estas condiciones, si el escritorio remoto se ha bloqueado, el usuario debe escribir sus credenciales dos veces al conectarse.

Para resolver este problema, actualice el equipo de Windows 10 versión 1709 con kb 4343893, 30 de agosto de 2018-KB4343893 (compilación 16299.637 del sistema operativo).

El usuario no puede iniciar sesión y recibe los mensajes "error de autenticación" y "Corrección de oracle de cifrado CredSSP"

Cuando los usuarios intentan iniciar sesión con cualquier versión de Windows desde Windows Vista SP2 y versiones posteriores o Windows Server 2008 SP2 y versiones posteriores, se les deniega el acceso y reciben mensajes como estos:

Error de autenticación. La función solicitada no se admite. ... Esto podría deberse a la corrección del oracle de cifrado CredSSP...

"Corrección del oracle de cifrado CredSSP" hace referencia a un conjunto de actualizaciones de seguridad publicadas en marzo, abril y mayo de 2018. CredSSP es un proveedor de autenticación que procesa solicitudes de autenticación para otras aplicaciones. El 13 de marzo de 2018, "3B" y las actualizaciones posteriores abordaron una vulnerabilidad de seguridad en la que un atacante podía retransmitir las credenciales de usuario para ejecutar código en el sistema de destino.

Las actualizaciones iniciales agregaron compatibilidad con una nueva directiva de grupo Object, Encryption Oracle Remediation, que tiene la siguiente configuración posible:

• Vulnerable: las aplicaciones cliente que usan CredSSP pueden revertir a versiones no seguras, pero este comportamiento expone los escritorios remotos a ataques. Los servicios que usan CredSSP aceptan clientes que no se han actualizado.

• Mitigado: las aplicaciones cliente que usan CredSSP no pueden revertir a versiones no seguras, pero los servicios que usan CredSSP aceptan clientes que no se han actualizado.

• Forzar clientes actualizados: las aplicaciones cliente que usan CredSSP no pueden recurrir a versiones no seguras, y los servicios que usan CredSSP no aceptarán clientes no revisados.

  Nota:

  Esta configuración no debe implementarse hasta que todos los hosts remotos admitan la versión más reciente.

La actualización del 8 de mayo de 2018 cambió la configuración predeterminada de corrección de Oracle de cifrado de Vulnerable a Mitigada. Con este cambio, los clientes de Escritorio remoto que tienen las actualizaciones no pueden conectarse a servidores que no los tienen (o servidores actualizados que no se han reiniciado). Para obtener más información sobre las actualizaciones de CredSSP, consulte KB 4093492.

Para resolver este problema, actualice y reinicie todos los sistemas. Para obtener una lista completa de actualizaciones y más información sobre las vulnerabilidades, consulte CVE-2018-0886 | Vulnerabilidad de ejecución remota de código de CredSSP.

Para solucionar este problema hasta que se completen las actualizaciones, compruebe kb 4093492 para ver los tipos permitidos de conexiones. Si no hay alternativas factibles, puede considerar uno de los métodos siguientes:

• En el caso de los equipos cliente afectados, vuelva a establecer la directiva de corrección de Oracle de cifrado en Vulnerable.
• Modifique las siguientes directivas en la carpeta de directivas de grupo Configuración del equipo\Plantillas\ administrativasComponentes de Windows de\Servicios\ deEscritorio remoto de Escritorio remoto Seguridad del host\ de sesión:

  • Requerir el uso de una capa de seguridad específica para conexiones remotas (RDP): establezca en Habilitado y seleccione RDP.

  • Requerir autenticación de usuario para conexiones remotas mediante la autenticación de nivel de red: se establece en Deshabilitado.

    Importante

    El cambio de estas directivas de grupo reduce la seguridad de la implementación. Le recomendamos que solo los use temporalmente, si es que lo hace.

Para obtener más información sobre cómo trabajar con directivas de grupo, consulte Modificación de un GPO de bloqueo.

Después de actualizar los equipos cliente, algunos usuarios deben iniciar sesión dos veces

Cuando los usuarios inician sesión en Escritorio remoto con un equipo que ejecuta Windows 7 o Windows 10, versión 1709, ven inmediatamente un segundo mensaje de inicio de sesión. Este problema se produce si el equipo cliente tiene las siguientes actualizaciones:

• Windows 7: KB 4103718, 8 de mayo de 2018-KB4103718 (paquete acumulativo mensual)
• Windows 10 1709: KB 4103727, 8 de mayo de 2018-KB4103727 (compilación del sistema operativo 16299.431)

Para resolver este problema, asegúrese de que los equipos a los que los usuarios quieren conectarse (así como servidores RDSH o RDVI) estén totalmente actualizados hasta junio de 2018. Esto incluye las siguientes actualizaciones:

• Windows Server 2016: KB 4284880, 12 de junio de 2018-KB4284880 (compilación del sistema operativo 14393.2312)
• Windows Server 2012 R2: KB 4284815, 12 de junio de 2018-KB4284815 (paquete acumulativo mensual)
• Windows Server 2012: KB 4284855, 12 de junio de 2018-KB4284855 (paquete acumulativo mensual)
• Windows Server 2008 R2: KB 4284826, 12 de junio de 2018-KB4284826 (paquete acumulativo mensual)
• Windows Server 2008 SP2: KB4056564, Descripción de la actualización de seguridad de la vulnerabilidad de ejecución remota de código CredSSP en Windows Server 2008, Windows Embedded POSReady 2009 y Windows Embedded Standard 2009: 13 de marzo de 2018

A los usuarios se les deniega el acceso en una implementación que usa Remote Credential Guard con varios agentes de conexión a Escritorio remoto.

Este problema se produce en implementaciones de alta disponibilidad que usan dos o más agentes de conexión de Escritorio remoto, si Windows Defender Credential Guard remoto está en uso. Los usuarios no pueden iniciar sesión en escritorios remotos.

Este problema se produce porque Credential Guard remoto usa Kerberos para la autenticación y restringe NTLM. Sin embargo, en una configuración de alta disponibilidad con equilibrio de carga, los agentes de conexión a Escritorio remoto no pueden admitir operaciones Kerberos.

Si necesita usar una configuración de alta disponibilidad con agentes de conexión a Escritorio remoto con equilibrio de carga, puede solucionar este problema deshabilitando Remote Credential Guard. Para obtener más información sobre cómo administrar Windows Defender Remote Credential Guard, vea Proteger las credenciales de Escritorio remoto con Windows Defender Remote Credential Guard.