Para poder actualizar este controlador principal de dominio (PDC) Windows NT 4.0 antes debe deshabilitar el filtrado de identificadores de seguridad (SID) en las relaciones de confianza externas

Resumen

El filtrado de SID se aplica a una o más relaciones de confianza externas en este dominio. Windows 2000 Server y el programa de instalación de Windows Server 2003 requieren que se deshabilite el filtrado de SID para todas las relaciones de confianza establecidas desde el dominio Windows NT 4.0 para poder realizar la actualización.

Descripción

El filtrado de SID aumenta la seguridad de las comunicaciones entre dominios o bosques. El uso del filtrado de SID permite a los administradores especificar qué controladores de dominio de un determinado dominio pondrán en cuarentena un dominio de confianza. De este modo, los controladores de dominio eliminarán todos los SID que no tengan su origen en el dominio de confianza, y así se impedirá que los datos de autorización lleguen a recursos que se encuentran en el dominio de confianza. Para obtener más información acerca del filtrado de SID, lea el artículo Q289246, "Forged SID Could Result in Elevated Privileges in Windows NT 4.0" en Microsoft Knowledge Base.

Después de actualizar el PDC Windows NT 4.0, debe determinar si el filtrado de SID aún es necesario después de instalar la actualización. Para obtener más información acerca de cómo tomar esta decisión, inicie el Centro de ayuda y soporte técnico (haga clic en Inicio y en Ayuda y soporte técnico) y, en la opción Buscar, escriba Proteger confianzas externas. Para obtener más información acerca de cómo deshabilitar el filtrado de SID, vea el artículo Q811961, "Windows 2000 Server and Windows Server 2003 Setup Does Not Succeed When You Upgrade from a Windows NT 4.0-Based Primary Domain Controller" en Microsoft Knowledge Base.

Deshabilitar el filtrado de SID en confianzas externas

Para deshabilitar el filtrado SID es necesario modificar una clave del Registro del PDC Windows NT 4.0.

Precacuión
La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor que contenga el equipo.

1. Haga clic en Inicio y, a continuación, en Ejecutar.
2. Escriba Regedt32.exe y, a continuación, haga clic en Aceptar.
3. Busque el valor REG_MULTI_SZ llamado QuarantinedDomains, dentro de la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
4. Haga una copia de seguridad de la clave y, a continuación, elimínela: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\QuarantinedDomains

Notas

• Debe eliminar el valor para poder actualizar el PDC Windows NT 4.0.
• Al quitar del Registro la clave QuarantinedDomains se deshabilita el filtrado de SID para todas las confianzas externas.
• Si desea obtener el mismo resultado en los demás controladores de dominio del dominio, se recomienda eliminar del Registro la clave QuarantinedDomains en todos los controladores de dominio de reserva (BDC) del dominio actualizado.
• Si en el futuro decide aplicar el filtrado SID a las confianzas externas del dominio, deberá volver a insertar la clave QuarantinedDomains en el Registro de cada BDC y agregar a la clave el nombre de dominio NetBIOS de cada dominio filtrado.