Me encontré con este problema frustrante: acceder a las carpetas SYSVOL y NETLOGON en un dominio de Windows no funciona correctamente. El síntoma clásico es que al usar \\<domain.com>\SYSVOLla dirección IP, como [ \\192.168.100.10\Netlogonnombre del dominio], se muestra el mensaje «Acceso denegado», incluso después de introducir credenciales de dominio válidas. No es la mejor experiencia de usuario, sobre todo porque se puede acceder a estas carpetas fácilmente especificando el FQDN [ nombre de dominio completo] como \\be-dc1.domain.com\sysvol[nombre del dominio completo \\be-dc1\sysvol].Es extraño cómo funciona esto, pero probablemente esté relacionado con la configuración de seguridad de Windows llamada «UNC hardening», que restringe deliberadamente el acceso para proteger contra fuentes no confiables. Parece un caso en el que Windows simplemente está complicando las cosas de más.
Si está solucionando problemas de directiva de grupo y ve errores con el EventID 1058 en el Visor de eventos, probablemente se deba a problemas de seguridad. El error suele ser similar a esto:
The processing of Group Policy failed. Windows attempted to read the file \\domain.com\sysvol\domain.cpo\Policies\{GPO GUID}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved.
Esto está relacionado con la forma en que Windows 10 y Windows Server 2016 gestionan las rutas UNC seguras, especialmente con las nuevas configuraciones de seguridad predeterminadas que utilizan autenticación mutua (Kerberos), integridad (firma SMB) y, opcionalmente, privacidad (cifrado).El problema es que, por defecto, Windows aplica:
- RequireMutualAuthentication=1 : no hay acceso a través de la dirección IP porque Kerberos necesita información del dominio.
- RequireIntegrity=1 : garantiza que las sesiones SMB no sean alteradas.
- RequirePrivacy=0 : el cifrado de datos no es obligatorio para SMB 3.0+, pero se puede configurar.
En algunas configuraciones, esto significa que no se puede acceder al controlador de dominio simplemente por su IP, especialmente si el acceso por IP no es compatible con Kerberos.¿Por qué? Debido a la configuración de seguridad predeterminada, Windows no quiere que se conecte a lo que considera una «fuente menos confiable» sin la debida autenticación mutua.
¿Cuál es la solución alternativa? Debes relajar un poco esas restricciones, pero —y aquí viene lo complicado— no deberías hacerlo a ciegas, ya que puede tener implicaciones de seguridad. Una solución común consiste en ajustar las políticas o la configuración del registro para permitir la conexión a estos recursos compartidos críticos sin forzar la autenticación Kerberos, especialmente si trabajas con clientes antiguos o controladores de dominio con versiones anteriores de Windows.
Primero, para configurar esto en Windows 10, puede ajustar las políticas de seguridad de rutas UNC reforzadas :
Cómo solucionar el endurecimiento de UNC para acceder a SYSVOL/NETLOGON
Habilitar y configurar rutas UNC reforzadas en la directiva de grupo
- Abra el Editor de políticas de grupo local escribiendo
gpedit.msc - Vaya a Configuración del equipo > Plantillas administrativas > > Red > > Proveedor de red
- Busque y habilite la política de rutas UNC reforzadas
- Haga clic en Mostrar y agregue entradas para las rutas UNC necesarias, como:
\\*\SYSVOL\\*\NETLOGON- Si desea deshabilitar el endurecimiento temporalmente para las pruebas (no se recomienda para el uso regular), puede especificar una cadena como:
RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0
Después de realizar estos cambios, ejecute gpupdate /forceun símbolo del sistema con privilegios elevados para forzar la actualización de las políticas. A veces, no se aplica de inmediato, por lo que podría ser necesario reiniciar. Además, recuerde ajustar el registro si es necesario.
Ajustes del Registro para el Fortalecimiento de UNC
- Abra PowerShell o regedit (regedit es el método más conocido para esto).
- Navegar a
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths - Agregue o edite entradas para rutas como
"\\*\SYSVOL"y establezca los datos de valor en:
RequireMutualAuthentication=0 RequireIntegrity=0 RequirePrivacy=0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0, RequireIntegrity=0" /t REG_SZ /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0, RequireIntegrity=0" /t REG_SZ /f
Esto básicamente le indica a Windows que relaje la autenticación mutua estricta solo para los recursos compartidos SYSVOL y NETLOGON, haciéndolos accesibles a través de IP o fuentes menos confiables. Porque, claro, a veces Windows tiene que complicarlo más de lo necesario.
Finalmente, tras aplicar estos cambios y actualizar las políticas, debería poder acceder a las carpetas SYSVOL y NETLOGON con menos problemas. Tenga en cuenta que ajustar estas opciones de seguridad abre algunas puertas, así que proceda con precaución si se encuentra en un entorno sensible.
En mi experiencia, esto soluciona los problemas de acceso en la mayoría de las máquinas; a veces es necesario reiniciar o cerrar sesión e iniciarla para que todo se registre correctamente. Además, si utiliza versiones muy antiguas de Windows en cualquier controlador de dominio, tenga mucho cuidado, ya que podrían aplicarse reglas diferentes.
Con suerte, esto le ahorrará algunas horas a alguien que intente solucionar el mismo problema.¡Mucha suerte!
Resumen
- Ajuste las rutas UNC reforzadas a través de la política de grupo o el registro.
- Úselo
gpupdate /forcey reinicie si es necesario. - Tenga cuidado con la configuración de seguridad: solo afloje las protecciones necesarias.
- Acceda a los documentos oficiales de Microsoft para obtener más detalles sobre la seguridad de SMB.
Resumen
Todo esto es una cuestión de seguridad y accesibilidad. Si su escenario involucra clientes heredados o servidores antiguos, simplificar estas configuraciones suele ser útil. Recuerde que Windows está diseñado para su seguridad, pero a veces implica un pequeño ajuste manual adicional. Si desactivar algunas funciones de seguridad le permite acceder, tenga en cuenta lo que sucede entre bastidores. Ojalá que esto ayude a alguien a abrir esas carpetas sin complicaciones.