Si ha implementado Deep Freeze en máquinas unidas a un dominio y ha encontrado el mensaje "La relación de confianza entre esta estación de trabajo y el dominio principal ha fallado", no está solo. Es una de las preguntas más comunes que recibimos de los administradores de TI que gestionan entornos de Active Directory.
Aquí están las buenas noticias de antemano: este problema es completamente prevenible con una configuración adecuada, y las versiones modernas de Deep Freeze lo manejan automáticamente en la mayoría de los casos. Pero entender por qué sucede le ayuda a configurar las cosas correctamente desde el principio, y a solucionar problemas si hereda una implementación anterior.
Analicemos exactamente qué causa los problemas de confianza de dominio con las máquinas congeladas, cómo Deep Freeze maneja esto internamente y qué necesita hacer para garantizar que sus PC unidos a un dominio permanezcan saludables.
Qué causa realmente la pérdida de confianza del dominio
Para comprender el problema, necesita comprender cómo funciona la autenticación de equipos en Active Directory.
Cuando una computadora se une a un dominio de Active Directory, suceden dos cosas: se crea una cuenta de equipo en AD y se establece un secreto compartido (contraseña) entre esa computadora y el dominio. Esta contraseña se almacena tanto en Active Directory como localmente en la máquina en una ubicación protegida del registro.
Cada vez que la computadora se inicia y se conecta a la red, se autentica en AD usando esta contraseña, antes de que cualquier usuario inicie sesión. Si las contraseñas coinciden, se establece el canal seguro y todo funciona normalmente.
Aquí está la parte crucial:por defecto, Windows cambia automáticamente esta contraseña de cuenta de equipo cada 30 días. La máquina inicia el cambio, actualiza tanto la copia local como la copia de AD, y la vida continúa.
En una máquina congelada, este proceso se interrumpe.
Cuando una computadora congelada inicia un cambio de contraseña, actualiza con éxito Active Directory. AD ahora espera la nueva contraseña. Pero cuando la máquina se reinicia, Deep Freeze elimina todos los cambios, incluida la nueva contraseña almacenada localmente. La máquina vuelve a su estado base, que contiene la contraseña antigua.
Ahora tiene una discrepancia: AD tiene la nueva contraseña, la máquina local tiene la contraseña antigua y no pueden autenticarse. El inicio de sesión en el dominio falla. Ve el temido error de relación de confianza.
Esto no sucede de inmediato. AD retiene tanto la contraseña actual como la anterior (para manejar breves desfases de sincronización), por lo que las máquinas normalmente sobreviven al menos un ciclo de cambio de contraseña. Pero si una máquina congelada con una línea base desactualizada intenta autenticarse después de que AD haya pasado por dos ciclos de cambio de contraseña, la confianza se rompe.
Cómo Deep Freeze maneja esto (desde la versión 7.6)
Reconocimos este problema hace años, y Deep Freeze ha incluido manejo automático desde la versión 7.6 (lanzada en 2013). Así es como funciona:
Supresión del cambio de contraseña mientras está congelado.Cuando una máquina está en estado congelado, Deep Freeze suprime los cambios de contraseña de la cuenta de equipo. La máquina no inicia una solicitud de cambio de contraseña a AD, por lo que no puede ocurrir ninguna discrepancia. La contraseña actual en la línea base congelada permanece válida.
Sincronización de contraseñas al descongelar.Cuando la máquina entra en un estado descongelado (durante las ventanas de mantenimiento), Deep Freeze permite el comportamiento normal de cambio de contraseña. Si se debe realizar un cambio de contraseña, ocurre mientras está descongelada, se escribe tanto en AD como en la máquina local, y cuando vuelve a congelar, la nueva contraseña se captura en la línea base actualizada.
Este manejo automático significa que siempre que esté ejecutando una versión razonablemente actualizada de Deep Freeze y programando ventanas de mantenimiento regulares, no deberían ocurrir problemas de confianza de dominio. El sistema se gestiona a sí mismo.
Advertencia importante:esto solo funciona si tiene períodos de descongelación regulares. Si una máquina permanece congelada continuamente durante meses sin descongelarse nunca, la contraseña suprimida nunca tendrá la oportunidad de actualizarse, y eventualmente la discrepancia entre lo que espera AD y lo que contiene la línea base puede causar problemas cuando la máquina finalmente necesite restablecer la confianza.
Cómo prevenir problemas de confianza por completo
La prevención es sencilla. Aquí están sus opciones, aproximadamente en orden de preferencia:
Opción 1: Programar ventanas de mantenimiento regulares (recomendado).Este es el enfoque más simple y mejor. Si está descongelando máquinas al menos mensualmente para actualizaciones de Windows, lo cual debería estar haciendo de todos modos, las contraseñas de las cuentas de equipo se sincronizarán durante esos períodos de descongelación. Deep Freeze maneja el resto automáticamente.
La mayoría de las organizaciones programan mantenimiento semanal o quincenal. Eso es más que suficiente. El ciclo de cambio de contraseña de 30 días tiene muchas oportunidades para completarse con éxito.
Opción 2: Deshabilitar los cambios de contraseña de la cuenta de máquina a través de Directiva de grupo.Si tiene máquinas que rara vez o nunca se descongelan, como quioscos, puede deshabilitar los cambios automáticos de contraseña por completo. Establezca la siguiente Directiva de grupo:
Configuración del equipo → Configuración de Windows → Configuración de seguridad → Directivas locales → Opciones de seguridad → Miembro del dominio: Deshabilitar cambios de contraseña de la cuenta de máquina → Habilitado
Con esta directiva, la computadora nunca intenta cambiar su contraseña, por lo que no puede ocurrir ninguna discrepancia. La contraseña original del dominio permanece válida indefinidamente.
Consideración de seguridad:Algunos marcos de seguridad recomiendan la rotación regular de contraseñas. Deshabilitar los cambios de contraseña de la máquina técnicamente debilita esto. Para máquinas de acceso compartido en entornos de baja seguridad (laboratorios escolares, computadoras de bibliotecas), esto suele ser aceptable. Para máquinas que manejan datos confidenciales, las ventanas de mantenimiento regulares son preferibles.
Opción 3: Extender el intervalo de cambio de contraseña.En lugar de deshabilitar los cambios de contraseña por completo, puede extender el intervalo. Por defecto es de 30 días; puede establecerlo en 90, 180 o 365 días a través de Directiva de grupo:
Configuración del equipo → Configuración de Windows → Configuración de seguridad → Directivas locales → Opciones de seguridad → Miembro del dominio: Edad máxima de la contraseña de la cuenta de máquina → [días]
Esto le da más margen si las ventanas de mantenimiento son infrecuentes, al tiempo que mantiene la rotación de contraseñas.
Opción 4: Incluir la directiva en su línea base congelada.También puede establecer la deshabilitación del cambio de contraseña a través del registro antes de congelar. Agregue esto a su imagen base:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange = 1
Esto logra el mismo resultado que el enfoque de Directiva de grupo, pero está integrado en la imagen en lugar de aplicarse dinámicamente.
Mejores prácticas para la estabilidad a largo plazo
Más allá del problema específico de la contraseña, aquí hay recomendaciones más amplias para ejecutar Deep Freeze sin problemas en entornos de Active Directory:
Asegúrese de estar en una versión actual de Deep Freeze.El manejo automático de contraseñas que describimos ha estado en el producto desde la versión 7.6, y las versiones posteriores han refinado el comportamiento. Si está ejecutando algo antiguo, actualícelo. Las versiones actuales manejan la integración de dominio de manera mucho más fluida.
Programe ventanas de mantenimiento de manera consistente.El mantenimiento semanal o quincenal para las actualizaciones de Windows proporciona naturalmente los períodos de descongelación necesarios para la sincronización de contraseñas. No permita que las máquinas permanezcan meses sin descongelarse.
Actualice su línea base después del mantenimiento.Cuando las máquinas se descongelan y actualizan, deben volver a congelarse con el nuevo estado, incluidos los cambios de contraseña. Si está gestionando líneas base manualmente, asegúrese de que el estado posterior al mantenimiento se convierta en la nueva línea base.
Supervise las máquinas que se pierden el mantenimiento.Deep Freeze Cloud proporciona informes sobre la finalización de tareas de mantenimiento. Las máquinas que están apagadas durante el mantenimiento programado se pierden su ventana de descongelación. Identifique estas y asegúrese de que se pongan al día.
Documente su configuración de dominio.Registre si está utilizando la rotación de contraseñas predeterminada, contraseñas deshabilitadas o intervalos extendidos. El próximo administrador se lo agradecerá.
Pruebe con un grupo piloto.Antes del despliegue masivo, ejecute un pequeño piloto durante 60-90 días, tiempo suficiente para pasar por múltiples ciclos de cambio de contraseña. Verifique que las relaciones de confianza permanezcan saludables antes de implementarlo ampliamente.
Solución de problemas de confianza cuando ocurren
Si ya ha encontrado un error de relación de confianza, aquí le explicamos cómo resolverlo:
Paso 1: Descongele la máquina afectada.Necesitará iniciar sesión con una cuenta de administrador local (no una cuenta de dominio, ya que la autenticación de dominio está rota). Descongele la máquina para que los cambios persistan.
Paso 2: Restablezca la contraseña de la cuenta de equipo.Tiene varias opciones:
PowerShell (recomendado):Abra un símbolo del sistema de PowerShell elevado y ejecute:
Reset-ComputerMachinePassword -Server SuControladorDeDominio -Credential Dominio\Admin
O use:
Test-ComputerSecureChannel -Repair -Credential Dominio\Admin
Cualquiera de los comandos restablece la contraseña de la máquina y la sincroniza con AD. Si tiene éxito, la autenticación de dominio debería funcionar de inmediato.
Usuarios y equipos de Active Directory:Alternativamente, desde un controlador de dominio o una estación de trabajo de administración, abra ADUC, localice el objeto de la computadora, haga clic derecho y seleccione "Restablecer cuenta". Luego, vuelva a unir la máquina desde el lado del cliente.
Paso 3: Vuelva a congelar con el estado corregido.Una vez restaurada la confianza, vuelva a congelar la máquina. La nueva contraseña correcta ahora es parte de la línea base congelada.
Paso 4: Prevenga la recurrencia.Implemente una de las estrategias de prevención descritas anteriormente (ventanas de mantenimiento regulares, cambios de contraseña deshabilitados o intervalos extendidos) para que esto no vuelva a suceder.
Preguntas frecuentes
¿Con qué frecuencia sucede esto realmente?
Con las versiones actuales de Deep Freeze y ventanas de mantenimiento regulares, es raro. Principalmente lo vemos en dos escenarios: implementaciones heredadas que ejecutan versiones muy antiguas de Deep Freeze sin manejo automático de contraseñas, o máquinas que no se han descongelado durante períodos prolongados (meses). Las implementaciones modernas configuradas correctamente no experimentan este problema.
¿Es un error de Deep Freeze?
No, es una consecuencia natural de cómo la tecnología de reinicio para restaurar interactúa con el mecanismo de rotación de contraseñas de Active Directory. Cualquier sistema que revierta el estado al reiniciar enfrentaría el mismo desafío. Deep Freeze aborda esto suprimiendo los cambios de contraseña mientras está congelado y permitiéndolos durante los períodos de descongelación, lo que funciona sin problemas cuando el mantenimiento se programa regularmente.
¿Se pueden prevenir completamente los problemas de confianza?
Sí. Ya sea que programe ventanas de mantenimiento regulares (recomendado) o deshabilite los cambios de contraseña de la cuenta de máquina a través de Directiva de grupo. Cualquiera de los enfoques elimina la posibilidad de una discrepancia de contraseña. Miles de organizaciones ejecutan Deep Freeze en máquinas unidas a un dominio sin problemas de confianza porque han configurado uno de estos enfoques.
¿Esto afecta a las máquinas unidas a Azure AD?
Azure AD (ahora Entra ID) utiliza mecanismos de autenticación diferentes a los de Active Directory tradicional. El comportamiento específico de rotación de contraseñas de cuentas de máquina discutido aquí se aplica a las uniones a dominios de AD locales. Las máquinas unidas a Azure AD y las unidas híbridas tienen sus propias consideraciones. Contáctenos si está implementando en entornos de Azure AD y podemos brindarle orientación específica.
¿Qué pasa si no conozco la contraseña del administrador local?
Esta es una complicación común. Si la confianza está rota y no tiene credenciales de administrador local, puede intentar iniciar sesión con credenciales de dominio almacenadas en caché mientras está desconectado de la red. Alternativamente, necesitará usar herramientas de recuperación de contraseñas o reinstalar. Este es un buen argumento para asegurarse de que las credenciales de administrador local estén documentadas y sean accesibles, o para usar LAPS (Solución de Contraseña de Administrador Local) para administrarlas.
¿Debería deshabilitar los cambios de contraseña en todas las máquinas congeladas?
Es el enfoque más simple, pero no siempre es necesario. Si ya está programando mantenimiento regular (semanal o quincenal), las contraseñas se sincronizan de forma natural durante los períodos de descongelación y no es necesario deshabilitarlas. Deshabilitar tiene más sentido para máquinas que rara vez se descongelan, como quioscos dedicados, o en entornos donde la simplicidad prevalece sobre los requisitos estrictos de rotación de contraseñas.
La conclusión: Un problema resuelto
Los problemas de confianza de dominio con Deep Freeze son bien entendidos y completamente prevenibles. Las versiones modernas de Deep Freeze manejan la complejidad automáticamente, siempre que programe ventanas de mantenimiento regulares, la sincronización de contraseñas ocurre sin problemas en segundo plano.
Para las máquinas que rara vez se descongelan, deshabilitar los cambios de contraseña de la cuenta de máquina a través de Directiva de grupo elimina el problema por completo.
Si ha heredado una implementación con problemas de confianza, la solución es sencilla: descongele, restablezca la contraseña, vuelva a congelar e implemente la prevención adecuada en el futuro.
Miles de organizaciones ejecutan Deep Freeze en máquinas unidas a un dominio en escuelas, empresas y agencias gubernamentales sin problemas de confianza. Con la configuración adecuada, usted también lo hará.
¿Necesita ayuda con su implementación de dominio?
Nuestro equipo de soporte tiene una amplia experiencia con entornos de Active Directory. Comuníquese si necesita orientación sobre la implementación.
