3.4K
Autenticación a nivel de red (NLA) es una característica de seguridad del Servicio de Escritorio remoto que requiere que el cliente esté autenticado antes de que se establezca una sesión RDP. NLA está habilitado de forma predeterminada en todas las versiones compatibles de Windows. Al realizar la autenticación NLA en un entorno de dominio de Active Directory, se utilizan controladores de dominio para validar las credenciales de usuario.
Si el host RDP no puede acceder a DC, la autenticación de usuario fallará:
La computadora remota a la que está intentando conectarse requiere autenticación de nivel de red, pero no se puede contactar a su controlador de dominio de Windows para realizar NLA. Si es administrador en la computadora remota, puede desactivar NLA usando las opciones en la pestaña Remoto del cuadro de diálogo Propiedades del sistema.
En este caso, la NLA no se puede realizar porque:
- La computadora remota (host de escritorio remoto) no puede comunicarse con el controlador de dominio;
- El DC utilizado como servidor de inicio de sesión no está en buen estado o no funciona;
- El host de RD no puede establecer un canal de seguridad con un DC;
- La dirección IP del host RDS se especifica en el mensaje del cliente RDP en lugar del FQDN.
Para verificar la conectividad de CC y solucionar el problema subyacente, debe iniciar sesión localmente en el host de RD. Utilice uno de los siguientes métodos:
- Inicie sesión en el host RDP de forma remota utilizando la cuenta de administrador local (en lugar de la cuenta de dominio).
- Inicie sesión en el host de RD desde una consola local (por ejemplo, consola de VM, HPE iLO, Dell iDRAC, etc.).
Si ninguno de estos métodos funciona, puedes deshabilite temporalmente el requisito NLA en el host de Escritorio remoto como solución alternativa.
Nota. Por razones de seguridad, no se recomienda desactivar completamente NLA en la mayoría de los casos. Pero si está utilizando un cliente RDP alternativo (por ejemplo, en Linux o macOS) que no admite NLA, estas son las únicas formas de solucionar el problema de conexión.
Cómo deshabilitar la autenticación a nivel de red (NLA) en Windows
Deshabilitar NLA en Windows depende de si puede iniciar sesión en el host de RD de forma local o remota.
Método 1. Deshabilite NLA a través de Propiedades del sistema
Si puede iniciar sesión en el host de RD localmente, puede desactivar NLA en la configuración del sistema.
- Ejecute el sysdm.cpl comando y vaya a la Remoto pestaña;
- Deshabilitar la opción Permitir conexiones solo desde una computadora que ejecute Escritorio remoto con autenticación de nivel de red (recomendado).
En Windows 11, puede desactivar NLA desde Configuración > Sistema > Escritorio remoto. Deshabilitar la opción Requerir que los dispositivos utilicen la autenticación de nivel de red para conectarse.
Método 2. Deshabilite NLA mediante la política de grupo
La autenticación a nivel de red se puede deshabilitar en Windows a través de la Política de grupo.
- Abra la consola del Editor de políticas de grupo local (gpedit.msc);
- Vaya a Configuración de la computadora > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio remoto > Host de sesión de Escritorio remoto > Seguridad;
- Abre la opción Requerir autenticación de usuario para conexiones remotas mediante la autenticación de nivel de red y configúrelo en Desactivado;
- Ejecute el gpupdate/fuerza comando para actualizar la configuración de la política de grupo local.
Método 3. Deshabilitar la autenticación de nivel de red (NLA) RDP de forma remota
En caso de que no pueda firmar el host de Escritorio remoto, puede desactivar NLA de forma remota a través del Editor del Registro o con PowerShell:
- Abra el Editor del Registro (regedit.exe) en una computadora unida a un dominio y seleccione Archivo > Conectar el registro de red.
- Ingrese el nombre de host de RD donde desea desactivar NLA.
- Navegue hasta la clave de registro RDS1\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- Cambiar el valor del Autenticación de usuario requerida parámetro de 1 a 0.
- Esto deshabilitará NLA en el host remoto.
Además, puede verificar el estado de NLA en la computadora remota usando PowerShell:
$Computer="wks12lk22" (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -ComputerName $Computer -Filter "TerminalName="RDP-tcp"").UserAuthenticationRequired
NLA está habilitado si el valor de retorno es 1.
Para deshabilitar remotamente la autenticación a nivel de red en el host, ejecute el comando:
(Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -ComputerName $Computer -Filter "TerminalName="RDP-tcp"").SetUserAuthenticationRequired(0)
Si utiliza Azure VM, puede deshabilitar NLA mediante el script integrado en Azure Portal.
- Inicie sesión en el Portal de Azure;
- Seleccione su VM > vaya a Ejecutar comando;
- Encuentra el Deshabilitar NLA script y haga clic en Ejecutar.
Una vez que se haya habilitado NLA, puede iniciar sesión en el host de destino a través de RDP e intentar resolver problemas de conectividad que pueden estar impidiendo el acceso al DC al realizar NLA.
Solucione el problema de conectividad de CC que impide NLA
Compruebe si el host RD puede conectarse a un DC. Haga ping al DC por su nombre y verifique que el cliente pueda descubrir el DC en un dominio:
ping dc1.theitbros.loc nltest /dsgetdc:theitbros.loc
Si no se puede acceder al DC, verifique la configuración de la red y el estado del DC (verifique también Cómo solucionar el problema de no poder contactar con el controlador de dominio de Active Directory).
Asegúrese de que el cliente pueda establecer un canal de seguridad con un controlador de dominio. Verifique la relación de confianza entre una estación de trabajo y un dominio usando el comando PowerShell
Test-ComputerSecureChannel -verbose
Si este comando regresa FALSOpuedes reparar el canal de seguridad con el comando:
Test-ComputerSecureChannel -Repair -Credential corp\domain_adm
Nota. En algunos casos, se requiere una operación para desvincularse y volver a unirse al dominio para resolver este problema.
Verifique el perfil de conexión de red asignado tanto en un DC como en un cliente:
Get-NetConnectionProfile
si regresa Público o Privado en lugar de DominioAutenticadointente deshabilitar y habilitar la NIC.
Asegúrese de habilitar NLA en el host de RD después de resolver el problema de conectividad de DC. Dejarlo deshabilitado es una brecha de seguridad.