Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Columna De voz de soporte técnico de IIS para desarrolladores

Autenticación Kerberos y solución de problemas de delegación

Para personalizar esta columna según sus necesidades, queremos invitarle a que envíe sus ideas sobre temas que le interesan y sobre los problemas que desea ver tratados en futuros artículos de Knowledge Base y columnas Soporte de voz. Puede enviar sus ideas y comentarios mediante el formulario Solicitarlo. También hay un vínculo al formulario en la parte inferior de esta columna.

Mi nombre es <nombre> y estoy con el grupo de resolución de problemas críticos de Microsoft Internet Information Services (IIS) de Microsoft. He estado con Microsoft nueve años y he estado con el equipo de IIS durante los nueve años. He compilado información de varias ubicaciones en
http://msdn.microsoft.com y
http://www.microsoft.com sobre Kerberos y cómo solucionar problemas de delegación.

IIS 6.0

Las notas del producto siguientes describen cómo configurar la delegación en Microsoft Windows Server 2003. Las notas del producto contienen información específica sobre Network Load Balancing (NLB), pero incluyen excelentes detalles sobre cómo configurar un escenario delegado sin usar NLB. Para ver este documento, visite el siguiente sitio Web de Microsoft:

http://technet.microsoft.com/en-us/library/cc757299.aspxNota Use nombres principales de servicio HTTP (SPN), especialmente cuando use NLB.

Otro problema popular de Kerberos recientemente ha sido la necesidad de permitir que varios grupos de aplicaciones usen el mismo nombre DNS. Lamentablemente, cuando se usa Kerberos para delegar credenciales, no se puede enlazar el mismo nombre principal de servicio (SPN) a grupos de aplicaciones diferentes. Esto no se puede hacer debido al diseño de Kerberos. El protocolo Kerberos requiere varios secretos compartidos para que el protocolo funcione correctamente. Al usar el mismo SPN para diferentes grupos de aplicaciones, eliminamos uno de estos secretos compartidos. El servicio de directorio de Active Directory no admitirá esta configuración del protocolo Kerberos debido al problema de seguridad.

La configuración de los SPNs de esta manera hace que la autenticación Kerberos falle. Una posible solución alternativa para este problema sería usar la transición de protocolos. La autenticación inicial entre el cliente y el servidor que ejecuta IIS se controlaría mediante el protocolo de autenticación NTLM. Kerberos controlaría la autenticación entre IIS y el servidor de recursos back-end.

Microsoft Internet Explorer 6 o posterior

El explorador cliente puede experimentar problemas, como recibir mensajes de error de inicio de sesión repetidos para credenciales o mensajes de error "Acceso denegado 401" del servidor que ejecuta IIS. Hemos encontrado los siguientes dos problemas que pueden ayudar a resolver estos problemas:

  • Comprueba que Habilitar autenticación integrada de Windows está seleccionada en las propiedades del explorador.
     

  • Si la configuración de seguridad mejorada de Internet Explorer está habilitada en Agregar o quitar programas, debe agregar un sitio que use delegación a la
    listaSitios de confianza. Si desea obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    815141 La modificación de la configuración de la seguridad mejorada de Internet Explorer cambia la experiencia de la exploración
     

IIS 5.0 e IIS 6.0

Después de actualizar de IIS 4.0 a IIS 5.0 o IIS 6.0, es posible que la delegación no funcione correctamente o que alguien o una aplicación haya modificado la propiedad de metabase NTAuthenticationProviders.

 

Puede ocurrir un área específica de problemas al establecer el SPN

Determinar el nombre del servidor

Determine si se está conectando al sitio web mediante el nombre real de NetBIOS del servidor o mediante un nombre de alias, como un nombre DNS (por ejemplo, www.microsoft.com). Si obtiene acceso al servidor web mediante un nombre que no sea el nombre real del servidor, debe haber registrado un nuevo nombre de entidad de servicio (SPN) mediante la herramienta Setspn del Kit de recursos de Windows 2000 Server. Dado que el servicio de directorio de Active Directory no conoce este nombre de servicio, el servicio de concesión de vales (TGS) no le ofrece un vale para autenticar al usuario. Este comportamiento obliga al cliente a usar el siguiente método de autenticación disponible, que es NTLM, para renegociar. Si el servidor web responde a un nombre DNS de www.microsoft.com pero el servidor se denomina webserver1.development.microsoft.com, debe registrar www.microsoft.com en Active Directory en el servidor que ejecuta IIS. Para ello, debe descargar la herramienta Setspn e instalarla en el servidor que ejecuta IIS.


Para determinar si se está conectando usando el nombre real, intente conectarse al servidor usando el nombre real del servidor en lugar del nombre DNS. Si no puede conectarse al servidor, consulte la sección "Comprobar que el equipo es de confianza para la delegación".

Si puede conectarse al servidor, siga estos pasos para establecer un SPN para el nombre DNS que usa para conectarse al servidor:

  1. Instala la herramienta Setspn.

  2. En el servidor que ejecuta IIS, abra un símbolo del sistema y, a continuación, abra la carpeta C:\Archivos de programa\Kit de recursos.

  3. Ejecute el siguiente comando para agregar este nuevo SPN (www.microsoft.com) a Active Directory para el servidor:

    Setspn -A HTTP/www.microsoft.com webserver1Nota En este comando, webserver1 representa el nombre NetBIOS del servidor.

Recibe una salida similar a la siguiente:
Registrar ServicePrincipalNames para CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Objeto
actualizado Para ver una lista de SPN en el servidor para ver este nuevo valor, escriba el siguiente comando en el servidor que ejecuta IIS:

Setspn -L nombredeservidor web Tenga en cuenta que no es necesario registrar todos los servicios. Muchos tipos de servicio, como HTTP, W3SVC, WWW, RPC, CIFS (acceso a archivos), WINS y fuente de alimentación ininterrumpida (UPS), se asignarán a un tipo de servicio predeterminado denominado HOST. Por ejemplo, si el software cliente usa un SPN de HTTP/webserver1.microsoft.com para crear una conexión HTTP al servidor web en el servidor webserver1.microsoft.com, pero este SPN no está registrado en el servidor, el controlador de dominio de Windows 2000 asignará automáticamente la conexión a HOST/webserver1.microsoft.com. Esta asignación solo se aplica si el servicio web se está ejecutando con la cuenta local del sistema.

Comprobar que el equipo es de confianza para la delegación

Si este servidor que ejecuta IIS es miembro del dominio pero no es un controlador de dominio, el equipo debe ser de confianza para que la delegación funcione correctamente para Kerberos. Para ello, siga estos pasos:

  1. En el controlador de dominio, haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control.

  2. En Panel de control, abra Herramientas administrativas.

  3. Haga doble clic en Usuarios y Equipos del Directorio Activo.

  4. En su dominio, haga clic en Equipos.

  5. En la lista, busque el servidor que ejecuta IIS, haga clic con el botón derecho en el nombre del servidor y, a continuación, haga clic en Propiedades.

  6. Haga clic en la pestaña General, active la
    casillaDe confianza para delegación y, a continuación, haga clic en
    Aceptar.

Tenga en cuenta que si se alcanza a varios sitios Web mediante la misma dirección URL pero en puertos diferentes, la delegación no funcionará. Para que esto funcione, debe usar diferentes nombres de host y SPN diferentes. Cuando Internet Explorer solicite cualquiera de http://www.mywebsite.com o http://www.mywebsite.com:81, Internet Explorer solicita un vale para SPN HTTP/www.mywebsite.com. Internet Explorer no agrega el puerto ni el vdir a la solicitud SPN. Este comportamiento es el mismo para http://www.mywebsite.com/app1 o http://www.mywebsite.com/app2. En este escenario, Internet Explorer solicitará un vale para spn http://www.mywebsite.com desde el Centro de distribución de claves (KDC). Cada SPN solo se puede declarar para una identidad. Por lo tanto, también recibirá un mensaje de error KRB_DUPLICATE_SPN si intenta declarar este SPN para cada identidad.

Delegación y microsoft ASP.NET

Para obtener más información sobre la configuración para delegar credenciales al usar una aplicación de ASP.NET, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

810572 Cómo configurar una aplicación de ASP.NET para un escenario

de delegación La suplantación y la delegación son dos métodos para que un servidor se autentique en nombre del cliente. Decidir cuál de estos métodos usar y su implementación puede causar cierta confusión. Debe revisar la diferencia entre estos dos métodos y examinar cuál de estos métodos puede querer usar para la aplicación. Mi recomendación sería leer las notas del producto siguientes para obtener más detalles:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Referencias



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Cómo habilitar el registro de eventos de Kerberos

Solucionar errores de Kerberos en Internet Explorer

Como siempre, no dude en enviar ideas sobre temas que desee tratar en columnas futuras o en la Knowledge Base mediante el formulario Solicitarlo.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×