¿Por qué y qué sucede cuando Kerberos no logra autenticar?
Desde cómo abordar tickets de gran tamaño y SPN faltantes hasta resolver problemas de desfase horario y dolores de cabeza por doble salto, esta guía tiene las herramientas que necesita.
- El tamaño del ticket es demasiado grande y el servidor no puede manejarlo
- Drama de la desviación del reloj
- SPN desaparecido
- Blues de doble salto
- Sobrecarga de Kerberos
- El cifrado RC4 aún persiste
- SPN duplicados, doble problema
1. El tamaño del ticket es demasiado grande y el servidor no puede manejarlo:
Problema
El ticket Kerberos es demasiado grande, a menudo debido a un número excesivo de membresías de grupo.
Solución A:
Aumente el MaxTokenSize en el registro:
¿Cómo hacerlo?
- Abra el Editor del Registro ('regedit').
- Vaya a: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters".
- Si la clave " 'Parámetros' no existe, créela: haga clic derecho en 'Kerberos' > Nuevo > Clave > Asígnele el nombre 'Parámetros'".
- Haga clic derecho en el panel derecho > Nuevo > Valor DWORD (32 bits) > Nómbrelo "MaxTokenSize".
- Haga doble clic en "MaxTokenSize", seleccione Decimal y establezca el valor en "48000" o superior (hasta 65535)
- Reinicie el sistema si es necesario.
Solución B:
Evite inflar las membresías de grupos de usuarios: es un boleto, no un equipaje de mano.
¿Cómo hacerlo?
- Revisar las membresías de grupos de usuarios en Usuarios y equipos de Active Directory (ADUC).
- Eliminar usuarios de grupos innecesarios:
- Abra ADUC > Localice el usuario > Haga clic derecho > Propiedades > Ir a la pestaña Miembro de.
- Eliminar grupos no esenciales.
2. El drama del desfase horario
Problema
Los problemas de sincronización horaria entre el cliente y el servidor provocan fallas en la autenticación Kerberos.
Solución A:
Sincronizar todos los dispositivos con el mismo servidor NTP.
¿Cómo hacerlo?
- Abra un símbolo del sistema como administrador.
- Configure el servidor NTP: "w32tm /config /manualpeerlist:"time.windows.com" /syncfromflags:manual /reliable:yes /update".
- Resincronizar la hora utilizando el siguiente comando "w32tm /resync".
Solución B:
Mantenga la diferencia horaria por debajo de los cinco minutos o Kerberos hará un berrinche.
¿Cómo hacerlo?
- Abrir Administración de políticas de grupo.
- Vaya a: Configuración del equipo > Políticas > Plantillas administrativas > Sistema > Servicio de hora de Windows > Proveedores de hora.
- Habilite Configurar cliente NTP de Windows y configure el servidor NTP correcto.
3. SPN desaparecido
Problema
El servicio solicitado no tiene un SPN (nombre principal del servicio) válido registrado.
Solución A:
Utilice "setspn -a" para comprobar si el SPN existe.
¿Cómo hacerlo?
- Abra el símbolo del sistema como administrador
- Ejecutar: "setspn —a http/machinename domain\username"
Solución B:
Si falta, agréguelo con "setspn A".
¿Cómo hacerlo?
- Ejecutar: "setspn -A <SPN> <Cuenta>"
- Reemplace "<SPN>" con el nombre del servicio y "<Cuenta>" con la cuenta del servicio.
Solución C:
No olvides verificar dos veces la ortografía del SPN: Kerberos no perdona los errores tipográficos.
¿Cómo hacerlo?
- Confirme que el SPN coincida con el formato "ServiceType/HostName".
4. Blues de doble salto
Problema
La autenticación Kerberos falla cuando es necesario pasar credenciales entre varios servidores (escenario de doble salto).
Solución A:
Habilitar la delegación Kerberos para la cuenta de servicio en Active Directory.
¿Cómo hacerlo?
- Abra ADUC > Busque la cuenta de servicio > Propiedades > pestaña Delegación.
- Seleccione Confiar en este usuario solo para la delegación a servicios específicos.
- Añada los servicios necesarios.
Solución B:
Utilice la delegación restringida si le preocupa la seguridad.
¿Cómo hacerlo?
En la pestaña Delegación, elija Usar solo Kerberos y especifique los servicios permitidos.
5. Sobrecarga de Kerberos
Problema
El KDC está sobrecargado con solicitudes de autenticación.
Solución A:
Equilibre la carga de sus KDC asegurándose de que todos ellos sean funcionales y accesibles.
¿Cómo hacerlo?
- Asegúrese de que todos los controladores de dominio funcionen mediante: "dcdiag /v".
- Verifique los logs SRV de KDC en DNS: "nslookup -type=SRV _kerberos._tcp.<domain>"..
Solución B:
Reduzca los reintentos de autenticación con configuraciones de cliente adecuadas.
¿Cómo hacerlo?
- Revisar la configuración del cliente: Abrir el Editor de políticas de grupo.
- Vaya a: Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad.
- Ajustar el número de reintentos antes de bloquear la cuenta.
6. El cifrado RC4 aún persiste
Problema
Kerberos está intentando utilizar un cifrado RC4 obsoleto.
Solución A:
Compruebe y actualice los tipos de cifrado en la GPO:
¿Cómo hacerlo?
- Comprobar y actualizar los tipos de cifrado
- Abrir el Editor de políticas de grupo.
- Vaya a: Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de cuenta > Política Kerberos.
- Establezca los tipos de cifrado en AES128 o AES256.
Solución B:
Utilice AES (Estándar de cifrado avanzado) en su lugar.
7. SPN duplicados, doble problema
Problema
Dos o más cuentas tienen el mismo SPN, lo que provoca fallas en la autenticación Kerberos.
Solución A:
Utilice "setspn X" para detectar SPN duplicados.
Cómo hacerlo
- Utilice "setspn -X" para detectar duplicados
- Abra el símbolo del sistema como administrador.
- Ejecutar: "setspn -X".
- Elimina los extras con "setspn D".
- Ejecutar: "setspn -D <SPN> <Cuenta>"
- Reemplace "<SPN>" y "<Cuenta>" según corresponda.