Métodos de autenticación de entrada

• HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  
  
• HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
  
  

• Seguridad de redes: nivel de autenticación de LAN Manager
  
  
• Seguridad de redes: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña
  
  

Proporcionar información inexacta puede interrumpir la comunicación entre equipos de la red.

Para obtener más información acerca de esta configuración de seguridad, consulte el artículo (puede estar en inglés) sobre

• Seguridad de redes: nivel de autenticación de LAN Manager (https://go.microsoft.com/fwlink/?LinkId=17765).
  
  
• Seguridad de redes: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña (https://go.microsoft.com/fwlink/?LinkId=17766)
  
  

Aparece una opción adicional cuando el rol Controlador de dominio (Active Directory) está seleccionada en la página Seleccionar roles de servidor. La siguiente opción es específica de los controladores de dominio:

Equipos que usan RAS o VPN para conectarse a servidores RAS y que no tienen Windows Server 2003 Service Pack 1 o posterior instalado

Los servidores Internet Authentication Service (IAS) y los servidores que ejecutan Enrutamiento y acceso remoto requieren Windows Server 2003 Service Pack 1 (SP1) y la compatibilidad para la autenticación únicamente de PEAP-MSCHAPv2 para autenticar los usuarios con controladores de dominio que aceptan únicamente NTLMv2.

Los servidores IAS y los servidores que ejecutan Enrutamiento y acceso remoto usan NTLM para autenticar las credenciales de dominio de sus clientes. Esto significa que los controladores de dominio que tienen que autenticar IAS o los clientes de Enrutamiento y acceso remoto no se pueden configurar para aceptar sólo la autenticación de NTLMv2. Sin embargo, comenzando por Windows Server 2003 SP1, es posible que un controlador de dominio acepte NTLM de los servidores IAS y los servidores que ejecutan el Enrutamiento y acceso remoto pero sólo aceptan NTLMv2 de todos los demás. Esto ocurre de manera predeterminada para los servidores que ejecutan Windows Server 2003 SP1 e IAS o Enrutamiento y acceso remoto, y que usan PEAP-MSCHAPv2 debido a que PEAP-MSCHAPv2 ofrece protección de seguridad equivalente a la de NTLMv2. Esta exención no se produce de manera predeterminada si el servidor que ejecuta Windows Server 2003 SP1 e IAS o Enrutamiento y acceso remoto, usa PPP-MSCHAPv2 para autenticar clientes.

Para evitar esta exención predeterminada para los servidores que ejecutan Windows Server 2003 SP1 e IAS o Enrutamiento y acceso remoto, se puede definir el siguiente valor de registro en el controlador de dominio:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Si este valor de registro se ha definido en el controlador de dominio, y el controlador de dominio está configurado para aceptar únicamente NTLMv2, el controlador de dominio no podrá autenticar los clientes de IAS o Enrutamiento y acceso remoto, incluso si todos estos servidores están ejecutando Windows Server 2003 SP1. Por tanto, si el valor de registro DisallowMsvChapv2 se ha definido en el controlador de dominio, y el controlador de dominio tiene que autenticar los clientes de IAS o Enrutamiento y acceso remoto, se debe activar la casilla Equipos que usan RAS o VPN para conectarse a servidores RAS y que no tienen Windows Server 2003 Service Pack 1 o posterior instalado en la página Métodos de autenticación de entrada, aunque todos los servidores que ejecutan IAS o Enrutamiento y acceso remoto también ejecutan Windows Server 2003 SP1. Puesto que al activar esta casilla se evita que el controlador de dominio se configure para aceptar NTLMv2 únicamente, se recomienda que el valor de registro DisallowMsvChapv2 no esté definido.