Solución de fallas de autenticación por problemas con Kerberos

Los problemas de autenticación de Kerberos pueden ocurrir por varias razones. A continuación, se destacan las causas principales y las soluciones correspondientes:

Tipo de problema

Soluciones sugeridas

Problemas de SPN:

  • SPN faltantes: SPN no registrado en Active Directory

  • Entradas SPN incorrectas: Existe un SPN, pero el número de puerto es incorrecto, o bien existe en otra cuenta diferente a la cuenta de servicio SQL.

  • SPN duplicados: Existe el mismo SPN en varias cuentas de Active Directory.

Consulte “Uso de Kerberos Configuration Manager para diagnosticar y corregir problemas de delegación y de SPNen el siguiente párrafo para diagnosticar y resolver problemas de SPN.

Note: Para entender en profundidad los SPN, Kerberos y otros conceptos relacionados, consulte la información del siguiente artículo de KB:
Cómo solucionar el mensaje de error "No se puede generar el contexto SSPI"

Las cuentas de servicio SQL no son confiables para la delegación. Si está usando una cuenta de sistema local, se debe confiar en el servidor intermedio para la delegación en Active Directory

Use la pestaña de delegación de Kerberos Configuration Manager para confirmar y trabajar con el administrador de Active Directory a fin de habilitar la delegación para la cuenta. Consulte “Uso de Kerberos Configuration Manager para diagnosticar y corregir problemas de delegación y de SPN” en el siguiente párrafo para ver más detalles

Resolución incorrecta de nombre: El nombre del servidor puede estar resolviendo problemas en una dirección IP diferente de la que está registrada en el servidor DNS de la red.

ping -a <your_target_machine> (use -4 y -6 para IPv4 y IPv6 respectivamente)
ping -a <Your_remote_IPAddress> nslookup (introduzca el nombre de su equipo local y remoto y la dirección IP varias veces)

Busque discrepancias y disparidades en los resultados devueltos. La exactitud de la configuración DNS en la red es fundamental para la conexión SQL. Una entrada DNS incorrecta podría causar todo tipo de problemas de conectividad más adelante. Consulte este enlace para ver un ejemplo, “Mensaje de error: “No se puede generar el contexto SSPI”, DNS dañado.

Firewalls y otros dispositivos de red que impiden conexiones del cliente al controlador del dominio: Los SPN se almacenan en Active Directory y, si los clientes no pueden contactarse con el AD, la conexión no puede continuar).

Verifique los siguientes vínculos para obtener información adicional

Nota:

  1. Cuando una instancia del motor de base de datos de SQL Server se inicia, SQL Server intenta registrar el SPN para el servicio de SQL Server. Cuando se detiene una instancia, SQL Server intenta anular el registro del SPN. Para que esto suceda, la cuenta del servicio SQL requiere los derechos relacionados con leerElNombreDeEntidadDeSeguridadDeServicio y escribirElNombreDeEntidadDeSeguridadDeServicio en Active Directory. Sin embargo, si la cuenta de servicio no posee estos derechos, el registro SPN automático no se realizará y deberá trabajar con el administrador de Active Directory para registrar estas instancias SQL a fin de permitir la autenticación de Kerberos. En este escenario, si está usando una instancia con nombre, será más conveniente que utilice un puerto estático para esa instancia. Si utiliza puertos dinámicos, el número de puerto puede cambiar cada vez que el servicio se reinicie y el SPN registrado manualmente para la instancia ya no será válido. Para obtener más información, consulte el tema siguiente en los libros en pantalla de SQL Server:
    Registre un nombre de entidad de servicio para conexiones Kerberos

  2. En los entornos donde SQL se agrupa en clústeres, no se recomienda el registro automático de SPN porque puede llevar más tiempo anular el registro del SPN y volver a registrarlo en Active Directory que el tiempo que tarda SQL en conectarse. Si el registro de SPN no se realiza a tiempo, puede evitar la conexión de SQL se conecte porque el administrador de clústeres no podrá conectarse a SQL Server.

Uso de Kerberos Configuration Manager para diagnosticar y corregir problemas de delegación y de SPN

  1. Descargue Microsoft® Kerberos Configuration Manager para SQL Server® e instálelo en un equipo cliente.

  2. Inicie la herramienta con una cuenta de dominio, preferentemente una cuenta que tenga suficientes privilegios para crear SPN en Active Directory. Consulte la siguiente imagen:

    KerberosConfigManager

  3. Conéctese al SQL Server que desee utilizar para recopilar la información del error de Kerberos:

    ConnectKerberosConfigManager

  4. Una vez conectado, podrá ver las diferentes pestañas, como se muestra a continuación:

    Sistema: Tiene la información básica del sistema.
    KerConfigManager_System

    SPN: Proporciona la información de SPN sobre las instancias de cada una de las instancias SQL encontradas en el servidor de destino y brinda varias opciones, como se muestra a continuación. Utilice esta pestaña para buscar los SPN que falten o que estén mal configurados y los botones Generar o Reparar para corregir estos problemas.
    KerConfigManager_SPN

    • La opciónGenerar permite crear el script de generación de SPN. Al hacer clic en el botón Generar, se inicia el siguiente diálogo:
      KerConfigManager_GenerateSPN

      Esta opción crea el archivo cmd que se puede ejecutar desde el símbolo del sistema para generar el SPN.

      El contenido de los SPN generados será similar al siguiente:

                          :: This script is generated by the Microsoft(c) SQL Server(c) Kerberos Configuration Manager tool.
      :: The script may update the system information, SPN settings and Delegation configurations of a given server.
      :: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
      :: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
      :: Please contact Microsoft Support if Kerberos connection problem persists.
      :: The file is intended to be run in domain "<DomainName>.com"
      :: Corrections for MSSQLSvc/<HostName>.<DomainName>.com
      SetSPN -s MSSQLSvc/<HostName>.<DomainName>.com UserName

      Simplemente utiliza la opción SetSPN para crear un SPN en la cuenta de servicio para SQL Server.

    • La opciónCorregir agregará el SPN siempre que tenga derecho a añadir SPN y aparecerá la siguiente información sobre la herramienta:

      KerbConfigManager_Fix 

      Nota:

      La herramienta solo proporciona las opciones Corregir y Generar para las instancias predeterminadas y con nombre que usan puertos estáticos. Para las instancias con nombre que usan puertos dinámicos, la recomendación es cambiar de un puerto dinámico a uno estático o brindar los permisos necesarios para que la cuenta de servicio pueda registrar y anular el registro de SPN cada vez que se inicie el servicio. De lo contrario, tendrá que registrar y anular el registro de los SPN correspondientes manualmente cada vez que se inicie el servicio SQL.

    • Pestaña Delegación La pestaña identifica cualquier problema con la configuración de la cuenta de servicio para la delegación. Esto es especialmente útil para solucionar problemas relacionados con problemas del servidor. Por ejemplo, si la verificación de SPN se comprobó correctamente, pero aún tiene problemas con las consultas del servidor vinculado, podría ser una indicación de que la cuenta de servicio no está configurada para delegar credenciales. Para obtener información adicional, revise el tema correspondiente en los libros de pantalla en Configurar servidores vinculados para la delegación.

      KerbConfigManger_Delegation 

  5. Una vez que haya corregido los SPN, vuelva a ejecutar la herramienta Kerberos Configuration Manager y asegúrese de que las pestañas SPN y Delegación ya no contengan ningún mensaje de error. Luego, reintente conectarse desde su aplicación.

Para obtener información adicional, revise los siguientes vínculos:

¿Solucionó esta medida el problema?

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×