Error de autenticación en Escritorio Remoto RDP en Windows: causas y soluciones

  • Los fallos de RDP suelen venir de NLA CredSSP, cifrado TLS FIPS, certificados o GPO.
  • En dominio, repara canal seguro, sincroniza la cuenta de equipo o reune al dominio.
  • En equipos autónomos, ajusta MinEncryptionLevel, habilita TLS y revisa FIPS.
  • Refuerza seguridad con NLA, VPN o pasarela RDP y certificados válidos.
Daniel Terrasa

8 minutos

Error de autenticacion RDP en Windows

Si usas Escritorio Remoto a diario, tarde o temprano te toparás con un mensaje de autenticación que te deja fuera. Los fallos de RDP en Windows suelen deberse a NLA, CredSSP, directivas, red o certificados, y aunque desesperan, se pueden resolver con un método claro. Consulta los requisitos de seguridad y configuración.

En esta guía práctica reunimos en un único sitio todas las causas y soluciones contrastadas por grandes proveedores y documentación oficial. Verás desde cómo tratar canales seguros de Active Directory hasta TLS, FIPS, puertos y certificados, con pasos tanto para equipos unidos a dominio como para máquinas independientes, locales o en la nube, y cómo usar el Visor de eventos para diagnosticar errores.

Síntomas habituales al conectar por RDP

  • Error de autenticación. No se puede contactar con la Autoridad de seguridad local.
  • El equipo remoto requiere Autenticación a Nivel de Red (NLA), pero no se puede contactar con el controlador de dominio para realizarla.
  • Este equipo no puede conectarse al equipo remoto. Intenta de nuevo o consulta al administrador.
  • Ha ocurrido un error interno. La conexión se corta sin más pistas.
  • Se ha producido un error de autenticación. La función solicitada no es compatible. Puede deberse a CredSSP.

Síntomas y mensajes de error RDP

Por qué ocurre: causas frecuentes

  • Comunicación con el controlador de dominio (DC) rota: canal seguro de AD dañado, contraseña de cuenta de equipo desincronizada o DC con mala salud.
  • Desajustes de cifrado: el servidor exige un nivel de cifrado más alto que el cliente, o está activada la directiva FIPS solo para RDP.
  • Protocolos TLS del servidor deshabilitados (1.0, 1.1 o 1.2) y negociación fallida.
  • NLA bloqueando el inicio de sesión porque el DC no es accesible, o por configuración que prohíbe credenciales de dominio.
  • Certificados problemáticos: caducados, no confiables o ausencia del certificado raíz en el cliente.
  • Red y firewall: reglas ausentes, DNS obsoleto, puerto 3389 ocupado, NAT o VPN que interfieren.
  • Servicios RDS detenidos o listener RDP-Tcp roto.
  • Actualizaciones de Windows que cambian políticas o compatibilidades, afectando CredSSP o NLA.

Solución de acceso rápido: desactivar NLA de forma temporal

Si necesitas entrar ya para corregir la causa real, puedes desactivar NLA en el servidor de manera provisional. Solo como puente para solucionar el origen del fallo.

Reinicia la máquina y prueba la conexión. Una vez resuelto el problema, vuelve a activar NLA con estos valores y reinicio posterior:

REG add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds /t REG_DWORD /d 0 /f
REG add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f
REM Desactiva Network Level Authentication
REG add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

Causas comunes de error RDP

Máquinas unidas a dominio: canal seguro, DC y credenciales

Abre una sesión de consola o PowerShell elevado en el servidor afectado. Primero, identifica a qué DC intenta autenticar:

set | find /i "LOGONSERVER"

Comprueba el canal seguro entre el equipo y el DC. Si está roto, arréglalo con PowerShell:

Test-ComputerSecureChannel -Verbose
Test-ComputerSecureChannel -Repair

Si sospechas desincronización de la contraseña de la cuenta de equipo, restablécela. Usa credenciales con permisos de admin de dominio:

Reset-ComputerMachinePassword -Server <NOMBRE_DC> -Credential <CUENTA_ADMIN_DOMINIO>

Si el DC está inestable, evalúa reiniciarlo o acceder a otro DC sano. Cuando nada funciona, salir y volver a unir al dominio suele resolver estados corruptos:

cmd /c "netdom remove <Equipo> /domain:<Dominio> /userD:<AdminDominio> /passwordD:<Password> /reboot:10 /Force"
cmd /c "netdom join <Equipo> /domain:<Dominio> /userD:<AdminDominio> /passwordD:<Password> /reboot:10"

Verifica que no esté prohibido usar credenciales de dominio en la máquina. Si disabledomaincreds vale 1, cambia a 0:

REG query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds

En entornos Amazon EC2 puedes forzar uso de credenciales en caché restringiendo salidas temporales desde el grupo de seguridad. Al no poder contactar el DC, el inicio usa la caché local y te permite entrar para reparar el dominio.

Máquinas autónomas: cifrado mínimo, TLS y FIPS

Comprueba el nivel mínimo de cifrado de la escucha RDP. Un valor demasiado alto bloquea clientes:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel
  • 4 FIPS: exige algoritmos FIPS. Úsalo solo si la política lo requiere.
  • 3 128 bits: si da problemas, ajusta a 2.
  • 2 Máximo posible según cliente: si falla, prueba 1 como test.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2 /f

Valida que los protocolos TLS del servidor estén habilitados. RDP depende de SCHANNEL:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled /t REG_DWORD /d 1 /f

Si hay directiva FIPS, comprueba que no te esté forzando un escenario inasumible. Desactiva FIPS si no es requisito del entorno:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled /t REG_DWORD /d 0 /f

Red, firewall, DNS y puertos

Activa las reglas de Escritorio Remoto en Windows Defender Firewall. Permite RDP en redes privadas y, si procede, también públicas.

Confirma que el puerto 3389 está libre y en escucha. Un conflicto con otro servicio produce errores raros:

netstat -ano | find "3389"
Tasklist /svc | find <PID_en_escucha>

Si otro servicio ocupa 3389, cambia su puerto o, en último recurso, ajusta el de RDP y recuerda conectarte con IP:puerto. Después, reinicia Servicios de Escritorio remoto.

Para descartar bloqueos intermedios, prueba conectividad con psping desde otro equipo. Un 100 percent loss indica que el tráfico no llega.

En redes corporativas, revisa NAT y reenvío de puertos si accedes desde Internet. Valora usar VPN (guía de errores de VPN) o una pasarela RDP en lugar de exponer 3389. Si tu perfil de red es público, cámbialo a privado cuando proceda para permitir descubrimiento y reglas de confianza.

RDP Windows

Certificados y errores SSL TLS

Si el servidor exige conexiones seguras, valida el certificado en Equipo local, Servicios de Escritorio Remoto, Certificados. Renueva si está caducado y asegúrate de que el cliente confía en la CA raíz.

Cuando el listener está corrupto, borra el certificado autofirmado de RDP y reinicia el servicio para que se regenere. Si no se crea, revisa permisos de MachineKeys:

Carpeta: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Builtin\Administrators: Control total
Everyone: lectura, escritura

Evita desactivar validaciones de seguridad salvo temporalmente en diagnóstico. Un endurecimiento correcto de TLS y certificados evita aviso tras aviso.

Cuando aparece la función solicitada no es compatible CredSSP

Este error suele indicar desajuste de parches de CredSSP entre cliente y servidor. La solución preferente es actualizar ambos lados para alinear compatibilidades.

Como atajo temporal, puedes desactivar NLA o ajustar la directiva de oráculo de cifrado. En Directiva de grupo, configura el nivel de protección a Vulnerable solo para entrar y corregir después:

Editor de directivas de grupo
Configuración del equipo > Plantillas administrativas > Sistema > Delegación de credenciales
Corrección del oráculo de cifrado: Habilitado, Nivel de protección: Vulnerable

Vía Registro, establece AllowEncryptionOracle a 2. Recuerda que 0 fuerza clientes actualizados y 1 es mitigado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
AllowEncryptionOracle = 2

Si el problema apareció tras una actualización concreta, valora desinstalar el parche conflictivo (por ejemplo KB4103727 o KB4103718) como medida temporal. Parchea correctamente en cuanto sea posible.

Si ves RDP se ha producido un error interno

Este mensaje genérico suele tapar un fallo de configuración. Revisa parámetros de RDC, autenticación y recursos compartidos que puedan estar fuera de rango.

Activa caché persistente de mapas de bits y reconexión automática en el cliente. Mejora resiliencia en enlaces inestables.

Problemas de dominio también pueden dispararlo. Salir y volver a unirse al dominio tras reiniciar soluciona políticas mal aplicadas.

Ajustar MTU de la interfaz ayuda con túneles y VPN que fragmentan. Valores como 1458 suelen ser un buen punto de partida:

netsh interface ipv4 show subinterfaces
netsh interface ipv4 set subinterface 'Ethernet' mtu=1458 store=persistent

En Seguridad de RDS, puedes forzar la capa a RDP desde GPO. Útil cuando hay desajustes de TLS o NLA:

Configuración del equipo > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio remoto > Host de sesión > Seguridad
Requerir uso de una capa de seguridad específica: Habilitado, RDP

Servicios RDP, listener y reparación del Registro

Asegúrate de que estén iniciados TermService y UmRdpService en cliente y servidor. Sin ellos, no hay sesiones ni redirección.

Comprueba el estado de rdp-tcp con qwinsta. Debe figurar como Listen:

qwinsta

Si el listener está dañado, exporta la clave RDP-Tcp de un servidor sano, haz copia de seguridad y reemplázala en el afectado; después, reinicia TermService. Es mano de santo cuando todo lo demás falla:

reg export "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp" C:\Rdp-tcp-backup.reg
Remove-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp' -Recurse -Force
regedit /s C:\<archivo_sano>.reg
Restart-Service TermService -Force

Nube: particularidades en Azure y AWS

En Azure, apóyate en Consola serie, CMD remoto o PowerShell remoto. Son clave para tocar Registro y servicios cuando RDP no entra.

En AWS, el documento de automatización AWSSupport-TroubleshootRDP y Session Manager permiten cambiar Registro para desactivar NLA. Necesitas SSM Agent y rol IAM adecuados:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f

Si la instancia está inaccesible, puedes editar el Registro sin conexión: desmonta el volumen del sistema, móntalo en una instancia de rescate, carga la colmena SYSTEM, cambia los valores y vuelve a acoplar. Procede siempre con una AMI de respaldo.

Preguntas rápidas y casos típicos

  • ¿Se puede usar RDP sin Internet? Si ambos equipos están en la misma LAN, sí. Basta con la IP local y permitir el puerto 3389 en el firewall.
  • ¿Es seguro conectarse sin VPN? No es lo ideal. Exponer 3389 te abre a ataques de fuerza bruta y exploits; usa VPN o pasarela.
  • La conexión va lenta. Ajusta vídeo, desactiva fondos y animaciones, cierra apps que consumen ancho de banda y revisa la VPN. CPU y RAM libres en el servidor ayudan mucho.

Alternativas cuando RDP se resiste

Si el entorno o las políticas te complican RDP, existen soluciones de acceso remoto más simples de desplegar. Herramientas como RealVNC Connect, AnyViewer o TeamViewer facilitan el acceso seguro sin exponer puertos ni pelearte con DNS, y también puedes usar Chrome Remote Desktop.

Para escenarios de publicación de apps y seguridad reforzada, plataformas como TSplus ofrecen pasarela, endurecimiento y control centralizado. Su objetivo es mejorar seguridad, rendimiento y experiencia de usuario con menos fricción operativa.

Con todo lo anterior deberías poder atacar el error de autenticación de RDP desde todos los frentes: dominio y NLA, cifrado y TLS, certificados, red, firewall y servicios del sistema. Empieza por identificar el síntoma, verifica dependencias clave y aplica el cambio mínimo y reversible; si necesitas entrar ya, desactiva NLA temporalmente y, una vez dentro, corrige la causa raíz, reactivando las protecciones para dejar el entorno seguro.