Inicio > Exchange > Por qué mi antigua contraseña y nueva funcionan despues de cambiarla en Exchange?

Por qué mi antigua contraseña y nueva funcionan despues de cambiarla en Exchange?


Cuando un usuario cambia su contraseña desde Exchange (2000, 2003, 2007 e incluso 2010), puede loguearse con su antigua y nueva contraseña por hasta 1 hora. La verdad, mi respuesta comúncuando me hacen esta pregunta es: “mmmm posible problema de replicación” o “si lo cambiaste desde el OWA espera 15 minutos y se resolverá”.

La verdad es que ninguna de las dos respuestas es correcta (voy perdiendo credibilidad 😀 ), ya que todo empieza debido a un querido protocolo llamado NTLM (o NT Lan Manager) y el cómo esta diseñado Active directory para trabajar con él.

En resumen, cuando un usuario cambia la contraseña a través del servicio web de Exchange, este último utiliza NTLM para realizarlo, por lo tanto Active Directory mantiene activa la contraseña antigua por un periodo de tiempo para asegurar que se ha realizado correctamente la replicacion de la misma a través de todo el forest.

En antiguas implementaciones mi comentario de los 15 minutos era válido (hablemos de windows 2000 y 2003 pre SP1) pero con la aparición de Windows 2003 SP1 las cosas cambian. La duración ahora es de 1 hora y puede ser controlada a través de un registro de windows llamado OldPasswordAllowedPeriod.

Si hablamos de seguridad, esto podría parecer un mal chiste, ya que si un hacker sabe tu contraseña antigua y tu administrador la cambia por seguridad, aún tendrá 1 hora para ingresar!!!!. La forma de evitar esto es habilitar en las políticas de grupo la opción “Enforce Password History” y que el administrador al cambiar la contraseña SIEMPRE OBLIGUE AL USUARIO A CAMBIARLA AL SIGUIENTE LOGIN. Con estos simples pasos aseguramos que el hacker no podrá ingresar con esta contraseña.

¿Que pasa si tenemos un dominio con 2 controladores o incluso uno, en donde la replicacion no es un problema?

Bueno, para reducir el tiempo debemos seguir los siguientes pasos:

  1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque y haga clic en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. En el menú Edición , seleccione nuevo y, a continuación, haga clic en Valor DWORD.
  4. Escriba OldPasswordAllowedPeriod como el nombre del valor DWORD y, a continuación, presione ENTRAR.
  5. Haga clic con el botón secundario del mouse en OldPasswordAllowedPeriod y, a continuación, haga clic en Modificar.
  6. En el cuadro datos del valor , escriba el valor en minutos que desea utilizar y, a continuación, haga clic en Aceptar .
    Nota Se establece el período de duración en minutos. Si no se establece este valor del registro, el valor predeterminado período de duración de una contraseña antigua es 60 minutos.

Saludos!!!!

Anuncios
Categorías:Exchange
  1. Cesar Palacio
    noviembre 30, 1999 en 12:00 am

    Excelente tu post. Una pregunta tengo instalado el Exchange 2007, el tendra una herramienta para realizar el backup de la base de datos de los correos????

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: