Deshabilitar los cambios de contraseña de cuentas de equipo automático

Hace poco nos encontramos con el caso de 1 servidor de archivos bajo Windows 2008 SP2, virtualizado con VMWARE ESX que a la vez estaba replicado en 2 ubicaciones.

Evidentemente uno de los servidores estaba apagado. El otro día realizando unas pruebas de hacer ver que el servidor de la SEDE A había fallado y ver el tiempo de respuesta poniendo el servidor de la SEDE B en producción, observamos que el servidor había perdido la relación de confianza con el dominio (DC).

Entonces recordamos que la contraseña de equipo se renueva cada 7 días, con lo que la máquina «replicada» no iba a funcionar. La formas rápidas de poner esa máquina en producción sería quitándola del dominio y volviéndola a introducir ó restaurando el último backup de la noche anterior. Esto puede parecer correcto siempre y cuando sea un servidor sin excesiva importancia, pero son palabras mayores cuando hablamos de un servidor de Exchange por ejemplo.

Otra opción sería mediante registro deshabilitar la clave de renovación.
Para ello está bien explicado en el siguiente artículo de Microsoft.

KB154501

Nos dirigiremos a Inicio>Ejecutar

Ejecutaremos regedit.

Iremos hasta la clave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

En el registro DisablePasswordChange modificaremos el valor a «1«

Esta opción se puede hacer a nivel de DC con todas las máquinas, pero aquí podría abrirse un pequeño agujero de seguridad, con lo cual no es recomendable.

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count: