Mensaje de error cuando un usuario visita el sitio Web que se publica mediante Microsoft ISA Server junto con la autenticación de certificado de cliente: "Error código: 403 Prohibido"

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 947124
Importante: Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de hacer copia de seguridad del registro antes de modificarlo. Asegúrese de que sabe cómo restaurarlo si ocurre algún problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro en Windows XP y Windows Vista
Síntomas
Considere el siguiente escenario:
  • Tiene configurada para utilizar la autenticación de certificado de cliente en un sitio Web de la delegación restringida de Kerberos.
  • Este sitio Web se publica mediante Microsoft ISA Server junto con la autenticación de certificado de cliente.
En este escenario, cuando un usuario visita el sitio Web, el usuario puede recibir el siguiente mensaje de error:
Código de error: 403 Prohibido.
El servidor denegó el localizador uniforme de recursos (URL) especificado. Póngase en contacto con el administrador del servidor. (12202)
Además, se registrará la entrada siguiente en el registro de aplicación de ISA Server:
Type: ErrorDate: 10/29/2007Time: 22:59:16Event ID: 21315Source: Microsoft ISA Server Web ProxyUser: N/AComputer: ISA2K6Details: ISA Server failed to delegate credentials using Kerberos constrained delegation to the Web site published by the rule YourPublishingRule. Check that the SPN: http/dc-fqdn configured in ISA Server matches the SPN in Active Directory.
Causa
Este problema se produce porque el objeto de equipo del servidor ISA no tiene permisos suficientes para leer los atributos de la cuenta de usuario en el servicio de directorio de Active Directory.
Solución
Para resolver este problema, utilice uno de los métodos siguientes:

Método 1

Agregue la cuenta de equipo del servidor ISA al grupo de acceso de autorización de Windows. Para ello, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Active Directory Users and Computers.
  2. En Usuarios y equipos de Active Directory, haga clic en Builtiny, a continuación, haga doble clic en Grupo de acceso de autorización de Windows.
  3. Haga clic en la ficha miembros y, a continuación, agregue la cuenta de equipo del servidor ISA a la lista de miembros .

Método 2

Asegúrese de que los siguientes requisitos de acceso coincide con el llamador Service-for-User (S4U).

Nota: En este caso, el llamador de S4U es el objeto de equipo del servidor ISA.
  • El objeto de usuario o el objeto de equipo.
  • La propiedad de información de acceso remoto .
  • La propiedad de Información de acceso remoto .

    Nota: El GUID de esta propiedad es 037088f8-0ae1 - 11d 2-b422-00a0c968f939. Esta propiedad incluye los siguientes atributos:
    • msNPAllowDialin
    • msNPCallingStationID
    • msRADIUSCallbackNumber
    • msRADIUSFramedIPAddress
    • msRADIUSFramedRoute
    • msRADIUSServiceType
    • TokenGroups
  • La propiedad token grupos-global-y-universal (TGGAU) .

    Nota: Artículo 331951 de Microsoft Knowledge Base describe cómo habilitar aplicaciones leer el atributo TGGAU . Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
    331951 Algunas aplicaciones y API requieren acceso a información de autorización en los objetos de cuenta
En concreto, puede intentar agregar a la entidad principal de seguridad que utiliza ISA Server para el grupo de acceso de autorización de Windows. También puede agregar el grupo todos al grupo acceso Compatible de versiones anteriores de Windows 2000.
Más información
Advertencia pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.

Para asegurarse de que se produce este problema, puede recopilar seguimientos de red desde el equipo basado en ISA Server y desde un Kerberos depuración registro en el centro de distribución de claves (KDC).

Para habilitar el registro en el KDC de Kerberos, siga estos pasos:
  1. Instalar la compilación comprobada de módulos de Kerberos (Kerberos.dll y Kdcsvc.dll). Para ello, siga estos pasos:
    1. Reinicie el controlador de dominio en modo seguro.
    2. Realizar una copia de los archivos .dll de Kerberos.
    3. Copie la compilación comprobada de módulos de Kerberos.
  2. Agregue las siguientes entradas del registro:
    • Subclave del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

      Valor: KdcDebugLevel
      Tipo de valor: REG_DWORD
      Datos de valor: 0xffffffff
    • Subclave del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro\Lsa\Kerberos\Parameters

      Valor: LogToFile
      Tipo de valor: REG_DWORD
      Datos de valor: 1 (habilitado)
    • Subclave del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

      Valor: KdcExtraLogLevel
      Tipo de valor: REG8DWORD
      Valor de datos: 0 x 4
  3. Reinicie el servidor KDC.
El archivo de registro Lsass.log se crea en la carpeta %Systemroot%\System32.

Si se produce este problema, pueden anotarse entradas similares a los siguientes en el archivo Lsass.log:
392.1728> KDC-Error: GroupExpansion AuthZAC failed 5, lvl 0392.1728> KDC-Error: Failed Authz check 392.1728> KDC-(null): Entering FreeTicketInfo392.1728> KDC-(null): Exiting FreeTicketInfo392.1728> KDC-Error: KdcGetS4UTicketINfo failed - 6392.1728> KDC-(null): Entering FreeTicketInfo392.1728> KDC-(null): Exiting FreeTicketInfo392.1728> KDC-(null): Entering KdcFreeInternalTicket392.1728> KDC-(null): Exiting KdcFreeInternalTicket392.1728> KDC-PAPI: I_GetTGSTicket returning 0x6
En las trazas de red, puede ver entradas similares a los siguientes:
10.10.10.1  10.10.10.10 KerberosV5  KerberosV5:AS Request Cname: username@domain.fqdn Realm: kcd.domain.fqdn Sname: krbtgt/kcd.domain.fqdn 10.10.10.10 10.10.10.1  KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_PREAUTH_REQUIRED (25)10.10.10.1  10.10.10.10 KerberosV5  KerberosV5:TGS Request Realm: domain.fqdn 10.10.10.10 10.10.10.1  KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_C_PRINCIPAL_UNKNOWN (6)

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 947124 - Última revisión: 06/11/2016 06:40:00 - Revisión: 5.0

Microsoft Internet Security and Acceleration Server 2004 Standard Edition, Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2006 Standard Edition, Microsoft Internet Security and Acceleration Server 2000 Standard Edition, Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition

  • kbexpertiseinter kbtshoot kbprb kbmt KB947124 KbMtes
Comentarios