Vales de Kerberos se emiten aunque la diferencia horaria entre el reloj del cliente y el reloj del controlador de dominio es mayor que el valor "Tolerancia máxima para la sincronización del reloj de equipos"

INTRODUCCIÓN

Este artículo describe el comportamiento de que Kerberos vales se emiten aunque la diferencia horaria entre el reloj de un cliente y un reloj de controlador de dominio es mayor que el valor "Tolerancia máxima para la sincronización de reloj del equipo".

Por ejemplo, suponga que ha configurado la configuración de directiva de grupo de sincronización del reloj tolerancia máxima para el equipo en un entorno de dominio. Un controlador de dominio basado en Windows Server 2003 puede emitir un vale Kerberos en un equipo cliente, aunque la diferencia horaria entre el reloj del cliente y el reloj del controlador de dominio es mayor que el valor que ha configurado para esta configuración de directiva de grupo.

Nota: El valor predeterminado para la configuración de sincronización del reloj tolerancia máxima para el equipo es de cinco minutos.

Más información

Si un equipo cliente envía una marca de hora cuyo valor es diferente del de la marca de tiempo del servidor por algo más que el valor que ha configurado en la configuración de sincronización del reloj tolerancia máxima para el equipo , el controlador de dominio devuelve un código de error "KRB_AP_ERR_SKEW" en su paquete de respuesta. En este paquete, el controlador de dominio también incluye una marca de tiempo de su propio reloj. Cuando el equipo cliente recibe este paquete, utiliza la marca de tiempo del controlador de dominio junto con el valor de la configuración de sincronización del reloj tolerancia máxima para la computadora para calcular el tiempo válido. A continuación, el equipo cliente utiliza la hora válida para reintentar la solicitud. En este segundo intento, se emitió el vale Kerberos en el equipo cliente.

Este comportamiento se documenta en Request for Comments (RFC) 4430, "Internet aptas negociación de claves (TORCEDURAS)". Para ver RFC 4430, visite la siguiente solicitud para el sitio Web de comentarios:Microsoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de terceros.


Si el reloj del equipo cliente es más rápido que la hora del reloj del controlador de dominio más la duración de vale Kerberos, el vale Kerberos no es válido. En este escenario, el inicio de sesión falla.

De forma predeterminada, la duración de un vale Kerberos es de 10 horas (600 minutos). Para modificar el valor de duración, configurar las siguientes opciones de directiva de grupo:
  • Equipo Configuración de Windows Configuración de seguridad Configuración/cuenta directivas/Kerberos directiva/duración de vale de servicio máximo
  • Equipo Configuración de Windows Configuración de seguridad Configuración/cuenta directivas/Kerberos directiva/duración del vale de usuario máximo
Para obtener más información acerca de la configuración de sincronización del reloj tolerancia máxima para el equipo de directiva de grupo, visite el siguiente sitio Web de Microsoft:
Propiedades

Id. de artículo: 956627 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios