Cómo solucionar que no funcionen las credenciales de Escritorio remoto

avatar May 27, 2026
How to Fix Remote Desktop Credentials Not Working

El error Sus credenciales no funcionaron en Escritorio remoto no significa que su contraseña sea incorrecta. En muchos casos, el equipo que se conecta está enviando credenciales en caché obsoletas que sobrevivieron a un cambio de contraseña. En algunas configuraciones, el equipo de destino está en un estado de inicio de sesión con PIN de Windows Hello que puede bloquear el inicio de sesión por RDP con una cuenta de Microsoft. Esos son los desencadenantes más comunes, pero los fallos de credenciales tienen más de una docena de causas raíz distintas en ambos equipos.

Esta guía abarca las soluciones más fiables reportadas en la documentación y el Q&A de Microsoft, así como en hilos repetidos de solución de problemas de la comunidad.

Tabla de contenidos

12 formas de solucionar que no funcionen las credenciales de Escritorio remoto

Encuentra la causa más probable en la tabla a continuación y ve directamente a esa solución en lugar de probar cada opción.

Causa Lado Sección de solución
Credenciales en caché o desactualizadas Cliente Solución 1
Problema de inicio de sesión de la Cuenta de Microsoft relacionado con el PIN de Windows Hello Equipo de destino Solución 2
Formato de nombre de usuario incorrecto Cliente Solución 3
Usuario no en el grupo Usuarios de Escritorio remoto Equipo de destino Solución 4
Delegación de credenciales bloqueada por GPO Cliente Solución 5
Incompatibilidad de la capa de seguridad de RDP Equipo de destino Solución 6
Always prompt for password está habilitado Equipo de destino Solución 7
Perfil de red establecido en Public Equipo de destino Solución 8
Incompatibilidad del nivel de autenticación de LAN Manager Equipo de destino Solución 9
fDenyTSConnections establecido en 1 Equipo de destino Solución 10
Restricción de contraseña en blanco Equipo de destino Solución 11
La escucha de RDP no está activa Equipo de destino Solución 12
Certificado de RDP caducado Equipo de destino Casos límite
Puerto RDP no predeterminado Equipo de destino Casos límite

Solución 1: Inicie sesión una vez con su contraseña en el equipo de destino (problema con el PIN de Windows Hello)

Esta es la solución más confirmada cuando las credenciales de Escritorio remoto no funcionaban en equipos que usaban cuentas Microsoft con el PIN de Windows Hello habilitado. Según informes de usuarios, iniciar sesión localmente con la contraseña de la cuenta ha restablecido el acceso mediante RDP después de usar únicamente el PIN en el dispositivo de destino.

NOTA: Windows Hello for Business es una característica empresarial independiente que sí admite el inicio de sesión en RDP mediante una implementación basada en certificados a través de Microsoft Intune o Active Directory Certificate Services. Esto requiere infraestructura de PKI, implementación de certificados y certificados de controladores de dominio. No está disponible en configuraciones estándar de consumo o SMB y no está relacionado con el escenario de PIN para consumidores descrito aquí.

Método A: Cerrar sesión y volver a iniciar sesión con una contraseña

  1. En la máquina de destino, cierre la sesión actual.

  2. En la pantalla de inicio de sesión, haz clic en Opciones de inicio de sesión.

  3. Selecciona la opción de contraseña (el icono de la llave).

  4. Inicia sesión con la contraseña completa de tu cuenta Microsoft.

  5. Vuelva a intentar la conexión RDP desde el equipo que se conecta.

Método B: Si falta la opción de contraseña o aparece en gris

  1. En la pantalla de inicio de sesión, haz clic en Opciones de inicio de sesión, luego haz clic en Olvidé mi PIN.

  2. Autentícate con las credenciales de tu cuenta de Microsoft, incluyendo cualquier aprobación de dos factores.

  3. Cuando se te pida restablecer tu PIN, confirma el restablecimiento. Puedes volver a introducir el mismo PIN.

  4. Vuelva a intentar la conexión RDP después de que se complete el flujo de inicio de sesión basado en contraseña.

Método C: Desactivar el interruptor de inicio de sesión solo con Windows Hello (solución independiente)

Varios usuarios confirmaron que desactivar este único interruptor resolvió el problema sin necesidad de cerrar sesión y volver a iniciarla.

  1. En el equipo de destino, ve a Configuración > Cuentas > Opciones de inicio de sesión.

  2. Busca Para mejorar la seguridad, permite el inicio de sesión con Windows Hello solo para las cuentas de Microsoft en este dispositivo.

  3. Apágalo.

  4. Cierra la sesión y vuelve a iniciarla utilizando la contraseña de la cuenta Microsoft.

Solución 2: Eliminar las credenciales obsoletas del Administrador de credenciales en el equipo que se conecta

El Administrador de credenciales de Windows en el equipo que se conecta almacena en caché las entradas TERMSRV/. Después de un cambio de contraseña, envía en silencio la contraseña anterior en cada intento de conexión sin preguntar.

Método A: Eliminar entradas mediante el Administrador de credenciales

  1. En el equipo que se conecta, abra Administrador de credenciales. Búsquelo en Inicio o ejecute control /name Microsoft.CredentialManager.

  2. Haga clic en Credenciales de Windows.

    Navegando a las Credenciales de Windows en el Administrador de credenciales

  3. Busque todas las entradas que comiencen con TERMSRV/ seguido del nombre o la dirección IP de la máquina remota.

  4. Haz clic en cada entrada, luego haz clic en Eliminar.

  5. Vuelva a conectarse. Windows solicitará credenciales nuevas.

Método B: Actualizar la contraseña directamente en el cliente RDP

  1. Abra Conexión a Escritorio remoto (mstsc.exe).

  2. Introduzca el nombre del equipo remoto o la dirección IP.

  3. Haga clic en Mostrar opciones.

  4. En Configuración de inicio de sesión, haga clic en el enlace editar junto al nombre de usuario guardado.

  5. Introduce la contraseña actual y guarda.

Método C: Agregar una credencial genérica manual cuando las credenciales guardadas no persisten

Algunas configuraciones no conservan las credenciales de RDP entre sesiones. Agregar una entrada de credencial genérica directamente en el Administrador de credenciales obliga a Windows a usarla.

  1. Abra Administrador de credenciales > Credenciales de Windows.

  2. Haga clic en Agregar una credencial genérica.

    Agregar una credencial genérica en el Administrador de credenciales

  3. En la dirección de Internet o de red, introduzca TERMSRV/ seguido del nombre de host o la dirección IP de la máquina remota. Por ejemplo: TERMSRV/103.27.76.117 o TERMSRV/COMPUTERNAME.

  4. Introduzca el nombre de usuario y la contraseña.

  5. Haz clic en Aceptar, cierra el Administrador de credenciales y vuelve a conectarte.

Solución 3: Utiliza el formato correcto de nombre de usuario

El formato del nombre de usuario que escribes determina a qué proveedor de autenticación apunta Windows. Usar un formato incorrecto dirige la solicitud a la fuente de identidad equivocada y falla incluso con la contraseña correcta.

Microsoft documenta que, para un dispositivo remoto unido a Microsoft Entra, puedes iniciar sesión con user@domain.com o con AzureAD\user@domain.com, según la ruta de inicio de sesión utilizada. Si un formato falla, prueba con el otro.

Tipo de cuenta Formato correcto Notas
Cuenta local COMPUTERNAME\username</code Ejemplo: DESKTOP-AB12\john
Cuenta de dominio (NetBIOS) DOMAIN\username Ejemplo: CORP\johndoe
Cuenta de dominio (UPN) username@domain.com Ejemplo: johndoe@corp.local
Cuenta de Microsoft Dirección de correo electrónico completa Ejemplo: john@outlook.com
Unido a Microsoft Entra AzureAD\user@domain.com o user@domain.com Microsoft documenta ambos formatos para diferentes rutas de inicio de sesión. Prueba el alternativo si el primero falla.

Solución 4: Agregar al usuario al grupo Usuarios de escritorio remoto y verificar los derechos de inicio de sesión

Una cuenta debe pertenecer al grupo Usuarios de Escritorio remoto o al grupo Administradores en la máquina de destino. Event ID 4625 con el subestado 0xC000015B confirma que al usuario no se le ha concedido el tipo de inicio de sesión requerido. La pertenencia al grupo por sí sola aún puede ser bloqueada por un Denegar explícito en la Asignación de derechos de usuario.

  1. En la máquina de destino, ejecute este comando como Administrador:
    net localgroup "Remote Desktop Users" /add "DOMAIN\username" o en PowerShell:
    Add-LocalGroupMember -Group "Remote Desktop Users" -Member "DOMAIN\username"

  2. Abra Ejecutar y escriba secpol.msc.

  3. Vaya a Directivas locales > Asignación de derechos de usuario.

  4. Haga doble clic en Permitir iniciar sesión a través de Servicios de Escritorio remoto.

    Permitir el inicio de sesión a través de Servicios de Escritorio remoto en la Directiva de seguridad local

  5. Haga clic en Agregar usuario o grupo.

    Agregar usuario o grupo en la configuración de seguridad local

  6. Escriba el nombre de la cuenta y haga clic en OK.

  7. Compruebe en la misma lista si hay alguna entrada Denegar inicio de sesión a través de Servicios de Escritorio remoto que contenga al usuario o a su grupo. Elimine cualquier entrada de denegación explícita.

    Buscando entradas de Denegar el inicio de sesión a través de Servicios de Escritorio remoto en la Directiva de seguridad local

Solución 5: Corregir la Directiva de grupo de delegación de credenciales en el equipo que se conecta

Cuando las políticas de delegación de credenciales en el equipo que se conecta restringen cómo se reenvían las credenciales, el cliente de RDP no puede autenticarse ni siquiera con una contraseña correcta. Esto se aplica a todos los tipos de cuentas y es una de las causas más pasadas por alto de que las credenciales no funcionen en Escritorio remoto. La solución se realiza en el equipo cliente, no en el remoto.

  1. En el equipo que se conecta, abra Ejecutar y escriba gpedit.msc.

  2. Vaya a Configuración del equipo > Plantillas administrativas > Sistema > Delegación de credenciales.

    Navegar hasta Delegación de credenciales en el Editor de directivas de grupo local

  3. Establezca Denegar la delegación de credenciales guardadas en No configurado.

  4. Establezca Denegar la delegación de credenciales nuevas en No configurado.

    Configurando Denegar la delegación de credenciales guardadas y Denegar la delegación de credenciales nuevas como No configuradas

  5. Abra Permitir la delegación de credenciales guardadas con autenticación de servidor solo NTLM. Configúrelo en Habilitado.

    Establecer Permitir la delegación de credenciales guardadas con autenticación del servidor solo NTLM en Habilitada

  6. Haga clic en Mostrar junto a Agregar servidores a la lista e introduzca TERMSRV/*. Haga clic en Aceptar.

    Agregar servidores a la lista en el Editor de directivas de grupo local

  7. Repita el paso 5 para: Permitir la delegación de credenciales guardadas, Permitir la delegación de credenciales nuevas con autenticación de servidor solo NTLM, y Permitir la delegación de credenciales nuevas.

  8. Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio remoto > Cliente de Conexión a Escritorio remoto.

    Navegando a Cliente de Conexión a Escritorio remoto en el Editor de directivas de grupo local

  9. Establezca No permitir guardar contraseñas en No configurado.

  10.  Establezca Solicitar credenciales en el equipo cliente en No configurado.

    Configurar No permitir que se guarden las contraseñas y Solicitar credenciales en el equipo cliente en No configurada

  11. Cierre el Editor de directivas de grupo y ejecute gpupdate /force en un símbolo del sistema con privilegios de administrador.

    Actualización de la Directiva de grupo local en el Símbolo del sistema

Solución 6: Cambiar la capa de seguridad de RDP mediante la Directiva de grupo en el equipo de destino

Varios usuarios confirmaron esta corrección después de que todas las demás soluciones fallaran. Cuando la capa de seguridad negociada entre el cliente y el destino no puede llegar a un acuerdo, se rechaza la autenticación antes de que las credenciales sean evaluadas por completo.

  1. En el equipo de destino, abra Ejecutar y escriba gpedit.msc.

  2. Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio remoto > Host de sesión de Escritorio remoto > Seguridad.

    Navegación a la Seguridad del Host de sesión de Escritorio remoto en el Editor de directivas de grupo local

  3. Abra Requerir el uso de una capa de seguridad específica para las conexiones remotas (RDP).

    Apertura de la entrada Requerir el uso de una capa de seguridad específica para las conexiones remotas (RDP) en el Editor de directivas de grupo local

  4. Configúralo en Enabled. En el menú desplegable, selecciona RDP como la Capa de seguridad.

    Configurar Requerir el uso de una capa de seguridad específica para las conexiones remotas (RDP) en Habilitada y configurar la capa de seguridad en RDP

  5. Haga clic en Aceptar, luego ejecute gpupdate /force en un símbolo del sistema con privilegios elevados.

Solución 7: Desactivar “Solicitar siempre la contraseña” en el equipo de destino

Cuando esta directiva está habilitada en el equipo remoto, anula las credenciales guardadas en el cliente y obliga a una solicitud de reautenticación. Esa solicitud falla silenciosamente, produciendo el error de credenciales en lugar de un cuadro de diálogo de contraseña visible.

  1. En el equipo de destino, abra Ejecutar y escriba gpedit.msc.

  2. Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio remoto > Host de sesión de Escritorio remoto > Seguridad.

  3. Abra Solicitar siempre la contraseña al conectarse.

    Navegando hasta Solicitar siempre la contraseña al conectarse en el Editor de directivas de grupo local

  4. Configúrelo en Deshabilitado o No configurado.

    Estableciendo Siempre solicitar la contraseña al conectarse en No configurada

  5. Cierra sesión y vuelve a iniciarla, o ejecuta gpupdate /force.

Solución 8: Cambiar el perfil de red de público a privado en el equipo de destino

Cuando el perfil de red del equipo de destino está configurado en Public, Windows bloquea las conexiones RDP entrantes. La guía de solución de problemas de RDP de Microsoft considera el perfil de red y la configuración del firewall como causas válidas de fallos de conexión. Este es un hallazgo común cuando todo lo demás en la configuración parece correcto.

  1. En el equipo de destino, abra Configuración > Red e Internet > Estado.

  2. Haga clic en Cambiar propiedades de la conexión.

  3. Configura el Perfil de red en Privado.

Solución 9: Establecer el nivel de autenticación de LAN Manager en el equipo de destino

Una incompatibilidad en el nivel de autenticación entre el equipo que se conecta y el equipo remoto provoca el rechazo de las credenciales en la capa de negociación de NTLM, independientemente de si la contraseña es correcta o no.

  1. En el equipo de destino, abra Ejecutar y escriba gpedit.msc.

  2. Navegue a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad.

    Navegando a las Opciones de seguridad de Directivas locales en el Editor de directivas de grupo local

  3. Abra Seguridad de red: nivel de autenticación de LAN Manager.

    Navegación al nivel de autenticación de LAN Manager de Seguridad de red en el Editor de directivas de grupo local

  4. Configúralo en uno de estos tres valores que se sabe que funcionan: Send NTLMv2 response only, Send NTLMv2 response only. Refuse LM, o Send NTLMv2 response only. Refuse LM and NTLM. Cualquiera de los tres resuelve la discrepancia. La opción más permisiva para probar primero es Send NTLMv2 response only.

  5. Haga clic en Aceptar.

Solución 10: Comprueba la clave del Registro fDenyTSConnections y el puerto RDP

Cuando RDP aparece habilitado en Configuración, pero las conexiones siguen fallando, es posible que dos valores del registro estén anulando la configuración de la interfaz de usuario. Microsoft documenta fDenyTSConnections como la configuración que controla si los usuarios pueden conectarse de forma remota mediante los Servicios de Escritorio remoto.

  1. Abra el Editor del Registro como administrador (regedit.exe).

  2. Vaya a: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

    Buscando fDenyTSConnections en el Editor del Registro

  3. Confirme que fDenyTSConnections está establecido en 0.

  4. Comprueba también:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Si fDenyTSConnections aparece aquí establecido en 1, una Directiva de grupo está aplicando el bloqueo. Cambiar el valor local no persistirá. La GPO debe corregirse en su origen.

  5. Para verificar que el puerto RDP no se haya cambiado del valor predeterminado, navega a: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp

    Buscando PortNumber en el Editor del Registro

  6. Busque PortNumber. Cambie la base de visualización a Decimal.

    Modificar el valor PortNumber en el Editor del Registro

  7. El valor debería ser 3389. Si no lo es, su cliente RDP debe conectarse a ese puerto personalizado en su lugar, usando el formato hostname:PORT.

Después de cualquier cambio en el registro, reinicie Servicios de Escritorio remoto: abra services.msc, busque Servicios de Escritorio remoto, haga clic con el botón derecho y seleccione Reiniciar.

Solución 11: Corregir una contraseña en blanco en la cuenta de destino

Windows bloquea RDP de forma predeterminada para las cuentas sin contraseña establecida. Esta es una restricción de la directiva de seguridad local, no una configuración de RDP.

  1. Abra Ejecutar y escriba gpedit.msc.

  2. Navegue a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad.

  3. Abra Cuentas: limitar el uso de contraseñas en blanco de las cuentas locales solo al inicio de sesión en la consola.

    Navegación a Cuentas Limitar el uso de contraseñas en blanco de las cuentas locales solo al inicio de sesión en la consola en el Editor de directivas de grupo local

  4. Configúrelo en Desactivado.

    Establecer Cuentas Limitar el uso de contraseñas en blanco de cuentas locales solo al inicio de sesión en la consola a Deshabilitado en el Editor de directivas de grupo local

Establecer una contraseña en la cuenta es la solución más limpia. Permitir RDP sin contraseña es una exposición de seguridad que conviene evitar.

Solución 12: Compruebe el estado del servicio de escucha de RDP

Antes de suponer que el problema está relacionado con las credenciales, confirma que el protocolo RDP realmente está a la escucha de conexiones en el equipo de destino. Si el servicio de escucha de RDP no está activo, el servidor rechaza las conexiones a nivel de protocolo antes de que se evalúen las credenciales de Escritorio remoto. Esto produce errores que parecen fallos de autenticación.

Ejecuta este comando con privilegios administrativos en el equipo de destino, a través de PowerShell Remoting o acceso físico a la consola:

qwinsta

Busca una entrada llamada rdp-tcp con STATE establecido en Listen. Si está ausente o muestra un estado diferente, el servicio de RDP tiene un fallo de protocolo. Revisa las claves del registro en Solución 10 más arriba y el certificado de RDP en la sección de casos límite más abajo, luego reinicia Servicios de Escritorio remoto.

CONSEJO DE EXPERTO: En cada máquina que administres de forma remota, mantén una cuenta local de administrador dedicada que no utilice el inicio de sesión con una Cuenta de Microsoft. Cuando los problemas con MSA, el PIN o los certificados bloquean RDP, una cuenta local elude por completo el proceso de credenciales de MSA y te brinda una vía de acceso funcional.

Para los equipos de soporte de TI que realizan trabajo remoto en varias máquinas, HelpWire vale la pena tenerlo junto con RDP. Las sesiones comienzan con un enlace en lugar de requerir que el usuario remoto tenga que modificar ninguna configuración del sistema. Esto significa que los fallos de autenticación de RDP en la máquina remota no impiden que se inicie una sesión de soporte. Guarda las credenciales de administrador local en un administrador de contraseñas, no en caché en el Administrador de credenciales en tu propia máquina.

Correcciones de casos límite para credenciales que no funcionan en Escritorio remoto

Error del certificado autofirmado de RDP (Id. de evento 1057 o 1058)

Abra el Visor de eventos en el equipo de destino y compruebe Registros de Windows > Sistema en busca del Id. de evento 1057 o 1058 de Microsoft-Windows-TerminalServices-RemoteConnectionManager. Esos eventos indican que ha fallado la renovación del certificado autofirmado.

  1. Abra mmc.exe > Archivo > Agregar o quitar complemento > Certificados > Cuenta de equipo.

  2. Vaya a Certificados > Escritorio remoto.

  3. Eliminar el certificado autofirmado caducado.

  4. Reinicie Servicios de Escritorio remoto en services.msc. Windows regenera el certificado automáticamente.

Si no aparece ningún certificado nuevo, los permisos de la carpeta MachineKeys están mal configurados:

  1. Navegue a C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys.

  2. Toma posesión del archivo de clave relacionado con RDP.

  3. Eliminar el archivo.

  4. Reinicie los Servicios de Escritorio remoto.

Verificar DNS y segmentación de equipos

Al conectarse por nombre de host, confirme que el DNS esté resolviendo a la máquina correcta, especialmente después de una reinstalación de la máquina o un cambio de IP.

  1. En la máquina de destino, ejecute IPCONFIG /All en un símbolo del sistema con privilegios de administrador y anote la dirección IP real.

  2. En la máquina que se conecta, ejecute nslookup MACHINENAME y confirme que la IP devuelta coincida.

  3. También ejecute Test-NetConnection -ComputerName SERVER-IP -Port 3389 en PowerShell. Si TcpTestSucceeded devuelve False, el problema es de red o del firewall, no de credenciales.

  4. Si el DNS está desactualizado, conéctese directamente mediante la dirección IP o actualice el registro DNS.

Bloqueo de cuenta

Los intentos fallidos repetidos de RDP activan la directiva de bloqueo de cuenta en las máquinas unidas al dominio. Comprueba el Visor de eventos en el controlador de dominio para el ID de evento 4625 con Subestado 0xC0000234. Para una cuenta local en la máquina de destino, ejecuta:

net user USERNAME

Busca Account active: No en la salida. Para volver a habilitarla:

net user USERNAME /active:yes

Equipos unidos a Azure AD / Entra ID

Microsoft documenta que, para un dispositivo unido a Microsoft Entra de forma remota, puedes iniciar sesión con user@domain.com o AzureAD\user@domain.com, según la ruta de inicio de sesión. Si un formato falla, prueba con el otro. En cualquier caso, confirma que el usuario se ha agregado al grupo Remote Desktop Users en la máquina de destino. Además, verifica el dispositivo en el centro de administración de Entra en Devices > the specific device > Local administrators.

Cómo leer el Visor de eventos para errores de inicio de sesión de RDP

Id. de evento 4625 en los registros de seguridad de Windows registra cada intento de inicio de sesión fallido. El campo Subestado identifica el motivo exacto del fallo de autenticación, lo que elimina por completo las conjeturas en el diagnóstico.

Código de subestado Motivo del error Solución a aplicar
0xC000006A Nombre de usuario correcto, contraseña incorrecta Borrar el Administrador de credenciales, verificar la contraseña actual
0xC0000234 Cuenta bloqueada Desbloquear mediante una cuenta de administrador o esperar la directiva de bloqueo
0xC0000072 Cuenta deshabilitada Habilitar la cuenta en Administración de equipos
0xC0000071 Contraseña caducada Cambiar la contraseña de la cuenta de destino
0xC000015B El usuario no tiene el derecho de inicio de sesión por RDP Agregar al grupo Usuarios de Escritorio remoto y comprobar la Asignación de derechos de usuario

Para acceder a estos registros: abra Visor de eventos > Registros de Windows > Seguridad > filtre por Id. de evento 4625. En los detalles del evento, expanda Información de error y lea el valor hexadecimal de Subestado.

Errores comunes cometidos cuando las credenciales de Escritorio remoto de Windows no funcionaron

Lo primero que haría la mayoría cuando las credenciales de Escritorio remoto de Windows no funcionan es restablecer la contraseña de su Cuenta Microsoft. Esto no ayuda en los escenarios de PIN y credenciales en caché descritos anteriormente. El problema a menudo no es la contraseña de la cuenta en sí, sino las credenciales en caché o un estado de autenticación inconsistente entre dispositivos. Restablecer la contraseña no soluciona el problema porque el cliente sigue enviando la credencial en caché anterior hasta que se borra o reemplaza la entrada guardada TERMSRV/.

El segundo intento común es activar y desactivar NLA. Para el problema del PIN de Windows Hello y las credenciales en caché obsoletas, el estado de NLA no es el factor determinante. El problema del PIN ocurre porque la autenticación estándar del PIN de Windows Hello está vinculada al dispositivo y no se reenvía a través de los flujos de autenticación RDP estándar. Deshabilitar NLA también debilita la seguridad de la conexión sin abordar la causa raíz.

Un tercer enfoque que circula en algunos hilos de foros consiste en eliminar la clave de registro WinStations. Sin embargo, esto puede dejar la máquina inoperable y requerir una reinstalación completa del sistema operativo.

Cuando la configuración de RDP es el problema en sí, en lugar de un problema de formato de credenciales, vale la pena tener en el conjunto de herramientas una herramienta diseñada para trabajos de soporte. Por ejemplo, HelpWire inicia sesiones enviando un enlace al usuario remoto, quien ejecuta un cliente ligero. Luego te conectas sin necesidad de autenticarte con las cuentas locales de la máquina remota. Cuando necesitas acceder a una máquina cuya pila de credenciales de RDP está dañada, eso elimina la dependencia de que RDP esté configurado correctamente.

Preguntas frecuentes

Cuando veas que las credenciales de Escritorio remoto no funcionan, la razón más común es una contraseña obsoleta almacenada en caché en el Administrador de credenciales de Windows en el equipo que se conecta, que se envía automáticamente después de un cambio de contraseña sin pedir credenciales. Otra razón común es que el equipo de destino se haya autenticado por última vez localmente con un PIN de Windows Hello, lo cual puede bloquear el inicio de sesión de RDP con una cuenta de Microsoft en algunas configuraciones.

Un PIN de Windows Hello estándar está vinculado al dispositivo y no se reenvía a través de los flujos de autenticación RDP estándar. RDP requiere una credencial basada en contraseña en las configuraciones estándar de consumo y SMB.


Windows Hello for Business es una característica empresarial independiente que sí admite RDP mediante autenticación basada en certificados, pero requiere infraestructura de PKI, despliegue de certificados a través de Intune o AD CS, y certificados de los controladores de dominio. No está disponible en configuraciones estándar de consumo y SMB.

Abre el Administrador de credenciales desde el menú Inicio, haz clic en Credenciales de Windows y elimina cada entrada que comience con TERMSRV/ y que corresponda al equipo remoto. Si las credenciales no persisten entre sesiones, usa Agregar una credencial genérica en Administrador de credenciales e introduce manualmente la TERMSRV/[hostname] address junto con el nombre de usuario y la contraseña.

Sí. La configuración de Credentials Delegation en Computer Configuration > Administrative Templates > System en Group Policy del equipo que se conecta controla si las credenciales se reenvían. Deny delegating saved credentials o Deny delegating fresh credentials establecidos en Enabled bloquean la autenticación de forma silenciosa. Configurar ambos en Not Configured y habilitar TERMSRV/* en Allow delegating saved credentials with NTLM-only server authentication resuelve esto.

Borra las entradas del Administrador de credenciales en el equipo que realiza la conexión y vuelve a intentarlo. Si la conexión sigue fallando, ejecuta Test-NetConnection -ComputerName SERVER-IP -Port 3389 en PowerShell. Si TcpTestSucceeded devuelve True pero las credenciales siguen fallando, el problema está en el equipo de destino. Si devuelve False, el problema es la red o el cortafuegos. Una vez en el equipo de destino, consulta el Id. de evento 4625 en el Registro de seguridad para identificar el motivo exacto del fallo.

HelpWire
4.6

Potencia el soporte remoto con software de escritorio remoto gratuito y sencillo.

Visitar sitio
Precio: Gratis
Sistemas compatibles: Windows, macOS, Linux
HelpWire