Los vales Kerberos emiten aunque la diferencia horaria entre el reloj del cliente y el reloj del controlador de dominio es mayor que el valor "Tolerancia máxima para la sincronización de los relojes de los equipos"

Seleccione idioma Seleccione idioma
Id. de artículo: 956627 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

INTRODUCCIÓN

Este artículo describe en qué Kerberos vales se emiten aunque la diferencia horaria entre un reloj de cliente y un reloj de controlador de dominio es mayor que el valor "Tolerancia máxima para la sincronización de los relojes de equipo" de comportamiento.

Por ejemplo, suponga que ha configurado la configuración de sincronización del reloj tolerancia máxima para el equipo la directiva de grupo en un entorno de dominio. Un controlador de dominio basado en Windows Server 2003 puede emitir un vale Kerberos en un equipo cliente, aunque la diferencia horaria entre el reloj del cliente y el reloj del controlador de dominio es más que el valor configurado para esta configuración de directiva de grupo.

Nota El valor predeterminado para la configuración de sincronización del reloj tolerancia máxima para el equipo es cinco minutos.

Más información

Si un equipo cliente envía una marca de hora cuyo valor es diferente desde el marca de tiempo el servidor ?s más que el valor configurados en la configuración de sincronización del reloj tolerancia máxima para el equipo , el controlador de dominio devuelve un código de error de "KRB_AP_ERR_SKEW" en su paquete de respuesta. En este paquete, el controlador de dominio también incluye una marca de hora de su propio reloj. Cuando el equipo cliente recibe este paquete, utiliza la marca de tiempo del controlador de dominio junto con el valor de la configuración de sincronización del reloj tolerancia máxima para el equipo para calcular el tiempo válido. A continuación, el equipo cliente utiliza la hora válida para reintentar la solicitud. En este segundo intento, se emite el vale Kerberos para el equipo cliente.

Este comportamiento se documenta en Request for Comments (RFC) 4430, "Kerberized Internet negociación de claves (KINK)". Para ver RFC 4430, visite los siguientes solicitud de sitio Web:
ftp://ftp.rfc-editor.org/in-notes/rfc4430.txt
Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Si el reloj del equipo cliente es más rápido que la hora del controlador de dominio más la duración de vale Kerberos, el vale de Kerberos no es válida. En este escenario, el inicio de sesión falla.

De forma predeterminada, la duración de un vale Kerberos es de 10 horas (600 minutos). Para modificar el valor de duración, establezca la siguiente configuración de GPO:
  • equipo Configuración de Windows de seguridad o cuenta directivas/Kerberos directiva/máxima duración de vale de servicio
  • equipo Configuración de Windows de seguridad o cuenta directivas/Kerberos directiva/máxima duración de vale de usuario
Para obtener más información acerca de la configuración de sincronización del reloj tolerancia máxima para el equipo la directiva de grupo, visite el siguiente sitio Web:
http://technet.microsoft.com/en-us/library/cc779260.aspx

Propiedades

Id. de artículo: 956627 - Última revisión: martes, 2 de septiembre de 2008 - Versión: 1.1
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbmt kbexpertiseadvanced kbinfo KB956627 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 956627

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com