¿Tus usuarios de dominio reciben siempre el mensaje “Your password does not meet the requirements” cuando intentan cambiarla, aun con contraseñas largas y complejas? A continuación encontrarás una guía exhaustiva para diagnosticar y corregir este problema en entornos de Active Directory.

Descripción del problema

En muchos dominios Windows, tras actualizar la política de seguridad o migrar controladores de dominio (DC), todos los usuarios empiezan a recibir el error «Your password does not meet the requirements». El síntoma se mantiene incluso si se intenta definir contraseñas suficientemente largas, con letras mayúsculas, minúsculas, números y caracteres especiales. Cuando la totalidad de la plantilla se ve afectada, la causa suele residir en algún cambio inadvertido en la Directiva de contraseñas, en políticas granulares o en la replicación entre DCs.

Parámetros vigentes reportados por el administrador

Parámetro	Valor configurado
Longitud mínima	8 caracteres
Requisitos de complejidad	Activados
Edad mínima de contraseña	0 días
Controladores de dominio	13 (replicación continua)

Por qué se produce el error «does not meet the requirements»

El motor de validación de contraseñas de Active Directory consulta, en este orden, los siguientes elementos:

• Política de dominio (GPO) predeterminada – Define longitud mínima, complejidad, antigüedad y historial.
• Directivas de contraseñas granulares (FGPP) – Permiten parámetros distintos por grupo/usuario.
• Filtros de contraseña DLL – Extienden las reglas con listas de términos prohibidos o diccionarios de contraseñas comunes.
• Reglas de Azure AD Password Protection (si se replica a local) – Añaden vetos por reputación.
• Replicación de DC – Si los DCs no comparten el mismo valor de la política, las peticiones pueden caer en DCs con reglas más estrictas.

Un único componente fuera de línea o con un ajuste más restrictivo bloquea de inmediato cada intento, porque la llamada LSASS interpreta que la contraseña no supera la validación.

Comprobaciones preliminares rápidas

• Efectuar el cambio en un DC específico (por su nombre DNS) para descartar fallos de replicación.
• Añadir un usuario al grupo Domain Admins de forma temporal y probar; si el admin sí puede, el problema se centra en FGPP.
• Intentar un inicio de sesión interactivo con una contraseña nueva generada aleatoriamente de 20 caracteres: rm4$NwT0K%bvCF*sD2q@.
• Validar el estado de replicación con repadmin /replsummary.

Diagnóstico paso a paso

Deshabilitar temporalmente la complejidad y la longitud

1. Abrir Group Policy Management → Default Domain Policy.
2. Poner «Password must meet complexity requirements» en Disabled y «Minimum password length» en 0.
3. Ejecutar gpupdate /force en un equipo afectado.
4. Probar el cambio o restablecimiento de contraseña.
   » Resultado A – Funciona: el problema está en un parámetro de complejidad o en FGPP.
   » Resultado B – Sigue fallando: vigilar filtros DLL o replicación.

No olvides revertir la configuración al estado seguro tras la prueba.

Actualizar políticas en el cliente

gpupdate /force
gpresult /h c:\temp\resultadoGPO.html

El informe HTML mostrará la GPO efectiva y permite detectar si otra política (p. ej., una OU subordinada) está sobrescribiendo la de dominio.

Verificar replicación entre DCs

repadmin /replsummary
repadmin /showattr <DNdelDominio> -attrs minPwdAge,maxPwdAge,minPwdLength,pwdHistoryLength

Los valores deben coincidir en los 13 DCs. Cualquier atraso de más de 15 min en un DC remoto provocará respuestas obsoletas.

Probar con un perfil de usuario nuevo

• Crear un usuario de laboratorio sin pertenencias a grupos especiales.
• Intentar el cambio de contraseña desde Ctrl + Alt + Del.
• Si funciona, hay corrupción de SID o de perfil NTUSER en cuentas antiguas.

Revisar el Registro: rama ProfileList

Una entrada huérfana con State = 0x00000400 puede impedir la carga completa del perfil y con ello la verificación de políticas. Respaldar el GUID y eliminar la clave problemática, luego reiniciar.

Comprobar el cliente y la red

Aun cuando la causa suela ser server-side, equipos desactualizados o con menús de red intermitentes pueden enviar la petición al DC incorrecto (uno obsoleto). Verificar:

• Parche de seguridad mensual más reciente (Patch Tuesday).
• DNS apuntando únicamente a controladores de dominio.
• Tiempo sincronizado (desfase ≤ 5 minutos).

Analizar eventos y registros

Origen	ID de evento	Descripción clave
Security	4724 / 4723	Intento de restablecer / cambiar contraseña
Netlogon	5719	No se pudo establecer una sesión segura con un DC
Directory‑Service	1925	La replicación falló debido a autenticación

Si los eventos muestran STATUSWRONGPASSWORD o 0xC000006A aún con una nueva contraseña, casi seguro existe un filtro de contraseña bloqueando.

Validaciones avanzadas

Detectar Directivas de Contraseñas Granulares (FGPP)

Get-ADFineGrainedPasswordPolicy -Filter * | ft Name,MinPasswordLength,PasswordHistoryCount,ComplexityEnabled
Get-ADUser <usuario> -Properties msDS-ResultantPSO

Si msDS-ResultantPSO muestra una PSO inesperada, modifica el atributo de prioridad (msDS-PasswordSettingsPrecedence) o remueve la vinculación al grupo/usuario.

Comprobar filtros de contraseñas registrados

reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

DLLs como azureadpasswordfilter.dll, specopsfilter.dll o soluciones de PAM corporativas suelen insertar lógica antediccionarios prohibidos. Coordina con el equipo de ciberseguridad antes de retirarlas.

Confirmar protección híbrida (Azure AD Password Protection)

• Revisar el proxy Azure AD Password Protection Proxy en cada DC.
• Validar eventos AzureADPasswordProtection ID 30012 (contraseña en la lista global).
• Si se ejecuta en modo «AuditOnly», cambiar a «Enforced» solo tras las pruebas.

Errores comunes y cómo evitarlos

1. Historial excesivo – Un historial de 24 contraseñas bloquea cualquier variante que repita al menos 50 % de la cadena anterior. Mantén la longitud, pero reduce el número al valor realmente necesario (generalmente 5 o 10).
2. Edad mínima > 0 – Impide que el usuario cambie la contraseña justo después de un restablecimiento administrativo. Ajusta a 0 mientras dure el incidente.
3. Campo «Password never expires» – Al habilitarlo, el usuario puede intentar un cambio manual y recibir mensajes confusos del proveedor de autenticación. Usa expiración estándar cuando sea posible.
4. Desfase horario – Kerberos rechaza tickets si la diferencia es > 5 min. Configura w32tm con la misma fuente NTP en todos los equipos.
5. Modificar GPO sin replicar – Cualquier edición de la GPO de dominio se replica vía SYSVOL; conecta los DCs con ancho de banda suficiente o usa forzado de replicación cruzada.

Buenas prácticas para políticas de contraseñas saludables

• Exigir 12 caracteres como mínimo —estadísticamente duplica la seguridad frente a 8 caracteres.
• Permitir passphrases con espacios: fomentan contraseñas memorables y variadas.
• Aplicar FGPP solo a cuentas privilegiadas; evita la fragmentación para usuarios estándar.
• Adoptar Azure AD Password Protection o equivalentes para filtrar contraseñas filtradas en fugas públicas.
• Registrar auditoría de intentos fallidos (eventos 4625) para detectar ataques de fuerza bruta.
• Implementar MFA; una contraseña por sí sola ya no es un factor suficiente de protección.

Cuándo escalar a Microsoft

Si, tras aplicar los pasos anteriores, el cambio de contraseña sigue fallando y los eventos muestran el código 0xC000006F (STATUSINVALIDON_MEDIA) o errores NTSTATUS desconocidos, recopila:

•  gpresult /h
*  repadmin /replsummary
*  dcdiag /v
*  netdiag /v
*  nltest /dbflag:2080ffff
*  export del Visor de eventos (Security, System, Directory‑Service, Netlogon)

Abre un caso en Microsoft CSS adjuntando la colección de Microsoft Support Diagnostic Tool (MSDT). Indica la versión exacta de SO (Build / KB), los pasos de reproducción y la fecha/hora aproximada del fallo para una búsqueda más ágil en logs.

Conclusión

La aparente sencillez del mensaje «Your password does not meet the requirements» esconde un amplio abanico de capas de validación: políticas de dominio, FGPP, filtros de terceros y replicación AD. Seguir un enfoque sistemático —deshabilitar reglas, aislar componentes, validar replicación y auditar eventos— permite identificar la causa raíz con rapidez. Una vez resuelto, revisa tu estrategia de contraseñas para equilibrar seguridad y usabilidad, aplicando estándares modernos de longitud, filtrado dinámico y autenticación multifactor.