Problemas de interoperabilidad de Windows 95 y Windows NT 4.0.
RESUMEN
Los controladores de dominio de Windows Server 2003 implementan los valores de configuración de seguridad predeterminados que ayudan a evitar los ataques y la manipulación de las comunicaciones de los controladores de dominio. Determinados sistemas de Windows de nivel inferior no son capaces de cumplir estos requisitos de seguridad y, por lo tanto, no pueden comunicarse con los controladores de dominio de Windows Server 2003 sin intervención administrativa. Asimismo, los sistemas distintos de Windows que no cumplen estos requisitos de seguridad no pueden comunicarse con los controladores de dominio de Windows Server 2003 de forma predeterminada.
Entre los sistemas de Windows afectados están los que ejecutan Windows para Trabajo en Grupo, los equipos con Windows 95 que no tienen DS Client Pack instalado, los equipos que ejecutan Windows NT 4.0 con una versión de Service Pack anterior a la 4 y los dispositivos (incluidos Pocket PC 2002 y versiones anteriores) basados en la versión 4.1 o anterior de Windows CE .NET. Los sistemas distintos de Windows afectados pueden incluir clientes de Apple Mac OS X y SAMBA.
FIRMA SMB
De manera predeterminada, los controladores de dominio de Windows Server 2003 requieren que todos los clientes firmen digitalmente las comunicaciones basadas en SMB. El protocolo SMB se utiliza para permitir que se compartan archivos e impresoras, varias funciones de administración remota y autenticación de inicio de sesión para determinados clientes de nivel inferior. Las máquinas con Windows para Trabajo en grupo y Windows 95 sin DS Client Pack, y las máquinas con Windows NT 4.0 con un Service Pack anterior al 3, así como los dispositivos (incluidos Pocket PC 2002 y versiones anteriores) basados en la versión 4.1 o anterior de Windows CE.NET, no son capaces de llevar a cabo la firma SMB y, por lo tanto, no pueden conectarse a controladores de dominio Windows Server 2003 de manera predeterminada. Asimismo, los sistemas distintos de Windows que implementan el protocolo SMB sin admitir la firma SMB no pueden conectarse a los controladores de dominio de Windows Server 2003 de forma predeterminada. Por ejemplo, los clientes de Apple Mac OS X y SAMBA no admiten la firma SMB. Consulte al proveedor del cliente SMB para determinar si se admite la firma SMB. Si estos clientes no se pueden actualizar para admitir la firma SMB, el requisito de firma SMB se puede eliminar si se deshabilita la siguiente directiva de seguridad en el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado en la unidad organizativa (OU) de controladores de dominio:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
A continuación se proporcionan instrucciones detalladas acerca de cómo modificar este valor de configuración.
Advertencia: al desactivar este valor de seguridad, expondrá todas las comunicaciones de los controladores de dominio a ataques por usuario interpuesto. Por tanto, se recomienda que actualice los clientes en lugar de deshabilitar esta opción de seguridad. DS Client Pack, que es necesario para que los clientes de Windows 95 realicen la firma SMB, se encuentra en el subdirectorio \clients\win9x del CD de Windows 2000 Server.
FIRMA DE CANAL SEGURO
De manera predeterminada, los controladores de dominio de Windows Server 2003 requieren que todas las comunicaciones estén firmadas o cifradas. Las máquinas basadas en Windows NT utilizan canales seguros para las comunicaciones entre miembros de dominios y controladores de dominios así como entre controladores de dominio que tienen una relación de confianza. Las máquinas con Windows NT 4.0 con un Service Pack anterior al 4 no son capaces de firmar ni de cifrar comunicaciones de canal seguro. Si las máquinas con Windows NT 4.0 con un SP anterior al SP4 van a unirse a este dominio o este dominio debe confiar en otros dominios que contienen controladores de dominios anteriores al SP4, el requisito de firma de canal seguro puede eliminarse siguiendo la directiva de seguridad del GPO de controlador de dominio predeterminado:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
A continuación se proporcionan instrucciones detalladas acerca de cómo modificar este valor de configuración.
Advertencia: al desactivar este valor de seguridad, expondrá las comunicaciones de canal seguro a ataques por usuario interpuesto. Por lo tanto, se recomienda que actualice las máquinas con Windows NT 4.0 en lugar de deshabilitar esta opción de seguridad.
MODIFICAR EL GPO DEL CONTROLADOR DE DOMINIO PREDETERMINADO
Para asegurar que todos los controladores de dominio están aplicando los mismos requisitos de firma SMB y de canal seguro, defina la configuración de seguridad correspondiente en el GPO de controladores de dominio predeterminados de la siguiente manera: