none
kerberos - secure channel broken - windows server 2012 r2 RRS feed

  • Pregunta

  • Hola,

    tengo un servidor Windows server 2012 r2.

    Primero cree un dominio y cree los servicios para acceder a escritorio remoto via web. Deshize el directorio y cree de nuevo el directorio con otro nombre. Despues cambie el nombre del pc ya que no era correcto. He borrado todas las trazas que he encontrado del nombre antiguo.

    El active directory funciona pero no funciona el secure channel. Si uso el interfaz grafica instalar "servicios de escritorio remoto", seleccionar "inicio rapido", "implementacion de escritorio basada en sesion", selecciono el directorio y pulso en siguiente me dice que hay problemas de compatibilidad con el servidor y no puedo continuar.

    Mirando el registro y activando la depuración de kerberos me pone:

     Hora del cliente:
     Hora del servidor: 11:20:30.0000 2/22/2017 Z
     Código de error: 0x29 KRB_AP_ERR_MODIFIED
     Error extendido:
     Dominio kerberos del cliente:
     Nombre del cliente:
     Dominio kerberos del servidor: MANTENIMIENTO.DOMINION.ES
     Nombre del servidor: ftpdii$
     Nombre del destino:
     Texto del error:
     Archivo: 3
     Línea: 587
     Los datos del error se encuentran en el registro.

    El cliente Kerberos recibió un error KRB_AP_ERR_MODIFIED del servidor ftpdii$. El nombre de destino usado es HTTP/ftpdii.mantenimiento.dominion.es. Esto indica que el servidor de destino no descifró el vale proporcionado por el cliente. Esto puede suceder cuando el nombre de entidad de seguridad del servidor (SPN) de destino está registrado en una cuenta distinta de la que usa el servicio de destino. Asegúrese de que el SPN de destino esté registrado únicamente en la cuenta usada por el servidor. Este error también puede producirse si la contraseña de la cuenta de servicio de destino es diferente de la configurada en el centro de distribución de claves (KDC) Kerberos para el servicio de destino. Asegúrese de que se hayan configurado el servicio del servidor y el KDC de modo que usen la misma contraseña. Si el nombre de servidor no es completo y el dominio de destino (MANTENIMIENTO.DOMINION.ES) es distinto del dominio del cliente (MANTENIMIENTO.DOMINION.ES), compruebe si estos dos dominios tienen

    He mirado en internet y aplicado muchas soluciones : recrear contraseña equipo, recrear tal servicio (HTTP/),.. y unas cuantas mas y ninguna solucion me funciona.

    aporto de salida de  varios comandos a ver si alguien me da una pista de la posible solución:

    klist:

    El id. de inicio de sesi¢n actual es 0:0x7aa07

    Vales almacenados en cach‚: (2)

    #0>    Cliente: administrador @ MANTENIMIENTO.DOMINION.ES
        Servidor: krbtgt/MANTENIMIENTO.DOMINION.ES @ MANTENIMIENTO.DOMINION.ES
        Tipo de cifrado de vale Kerberos: AES-256-CTS-HMAC-SHA1-96
        Marcas de vale 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Hora de inicio: 2/22/2017 10:52:54 (local)
        Hora de finalizaci¢n:   2/22/2017 20:52:54 (local)
        Hora de renovaci¢n: 3/1/2017 10:52:54 (local)
        Tipo de clave de sesi¢n: RSADSI RC4-HMAC(NT)
        Marcas de cach‚: 0x1 -> PRIMARY
        KDC llamado: FTPDII

    #1>    Cliente: administrador @ MANTENIMIENTO.DOMINION.ES
        Servidor: HTTP/ftpdii.mantenimiento.dominion.es @ MANTENIMIENTO.DOMINION.ES
        Tipo de cifrado de vale Kerberos: RSADSI RC4-HMAC(NT)
        Marcas de vale 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Hora de inicio: 2/22/2017 12:29:25 (local)
        Hora de finalizaci¢n:   2/22/2017 20:52:54 (local)
        Hora de renovaci¢n: 3/1/2017 10:52:54 (local)
        Tipo de clave de sesi¢n: RSADSI RC4-HMAC(NT)
        Marcas de cach‚: 0
        KDC llamado: FTPDII

    setspn -Q HTTP/ftpdii.mantenimiento.dominion.es

    Comprobando el dominio DC=mantenimiento,DC=dominion,DC=es
    CN=Administrador,CN=Users,DC=mantenimiento,DC=dominion,DC=es
        krbtgt/ftpdii.mantenimiento.dominion.es
        WSMAN/ftpdii.mantenimiento.dominion.es
        WSMAN/ftpdii
        http/ftpdii.mantenimiento.dominion.es

    Se encontró un SPN existente.

    setspn -Q krbtgt/MANTENIMIENTO.DOMINION.ES
    Comprobando el dominio DC=mantenimiento,DC=dominion,DC=es

    No se encontró ese SPN.

    La otra solucion seria reinstalar de nuevo el sistema operativo pero no es viable. Tampoco puedo recrear de nuevo el directorio ya que hay muchos usuarios y permisos definidos y habria que recrearlos de nuevo.

    Necesito implementar el active directory, la pasarela segura de escritorio remoto y el interfaz web de escritorio remoto en el mismo servidor.

    miércoles, 22 de febrero de 2017 11:41

Respuestas

  • Hola,

    gracias Guillermo por la respuesta.

    Al final, al cabo de batallar unos cuantos días he podido solucionar el problema.

    He renombrado en el registro las referencias al anterior dominio al nuevo dominio.

    He borrado todos los roles relacionados con el escritorio remoto.

    He borrado el rol de "windows internal database".

    Y alguna cosa mas que ya no recuerdo.

    Ahora ya tengo creado los servicios de escritorio remoto. Creado interfaz web para acceder, configurada puerta de enlace, y publicado aplicación para hacer tests.

    Ahora solo me queda o instalar en mi pc el certificado creado con el asistente o crear un certificado con openssl para hacer mis pruebas.

    Un saludo.

    • Marcado como respuesta Moderador M lunes, 27 de febrero de 2017 16:03
    lunes, 27 de febrero de 2017 9:51

Todas las respuestas

  • Hola,

    tengo un servidor Windows server 2012 r2.

    Primero cree un dominio y cree los servicios para acceder a escritorio remoto via web. Deshize el directorio y cree de nuevo el directorio con otro nombre. Despues cambie el nombre del pc ya que no era correcto. He borrado todas las trazas que he encontrado del nombre antiguo.

    El active directory funciona pero no funciona el secure channel. Si uso el interfaz grafica instalar "servicios de escritorio remoto", seleccionar "inicio rapido", "implementacion de escritorio basada en sesion", selecciono el directorio y pulso en siguiente me dice que hay problemas de compatibilidad con el servidor y no puedo continuar.

    Hola david develop, se han hecho dos operaciones de cuidado y que hay que evitar, por los riesgos, aunque por supuesto son posibles, pero que en general requieren pasos adicionales

    Evidentemente en alguna de ellas ha habido problemas

    Un Dominio se puede renombrar, pero si se deshizo hay que asegurarse que no han quedado restos del anterior, por el tipo de error me da para pensar que el error viene de este procedimiento

    Por otra parte, también se puede renombrar un Controlador de Dominio, pero no es sólo cambiar el nombre de máquina, hay un paso adiconal

    Dejo enlaces con paso a paso sobre ambos temas

    Cambiar Nombre a un Dominio Active Directory (Parte 1 de 2) | WindowServer:
    https://windowserver.wordpress.com/2015/07/14/cambiar-nombre-a-un-dominio-active-directory-parte-1-de-2/

    Cambiar Nombre a un Dominio Active Directory (Parte 2 de 2) | WindowServer:
    https://windowserver.wordpress.com/2015/07/21/cambiar-nombre-a-un-dominio-active-directory-parte-2-de-2/

    Windows Server 2012: Renombrar un Controlador de Dominio | WindowServer:
    https://windowserver.wordpress.com/2013/08/02/windows-server-2012-renombrar-un-controlador-de-dominio/ 

    Si recién estás creando el ambiente, yo pensaría si no conviene comenzar todo desde el principio sin problemas; sólo piensa que cualquier error que pueda quedar, y luego construir sobre eso, con el tiempo puede ser más difícil de solucionar

    Con respecto al tema de nombres, y si me permites un poco de humor, un amigo dice "Pienso dos veces, trabajo una" :D
    Y hablando en serio, cualquier ambiente de Dominio lleva tres pasos y que se debe respetar el roden: diseño, planificación e implementación

    Dejo también un enlace a una serie de notas, por si te sirve, para crear el ambiente de Escritorio Remoto con las opciones que nombras

    Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1) | WindowServer:
    https://windowserver.wordpress.com/2016/03/01/remote-desktop-escritorio-remoto-de-principio-a-fin-nota-1/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 22 de febrero de 2017 15:34
    • Votado como útil Moderador M lunes, 27 de febrero de 2017 16:03
    miércoles, 22 de febrero de 2017 12:17
    Moderador
  • Hola,

    gracias Guillermo por la respuesta.

    Al final, al cabo de batallar unos cuantos días he podido solucionar el problema.

    He renombrado en el registro las referencias al anterior dominio al nuevo dominio.

    He borrado todos los roles relacionados con el escritorio remoto.

    He borrado el rol de "windows internal database".

    Y alguna cosa mas que ya no recuerdo.

    Ahora ya tengo creado los servicios de escritorio remoto. Creado interfaz web para acceder, configurada puerta de enlace, y publicado aplicación para hacer tests.

    Ahora solo me queda o instalar en mi pc el certificado creado con el asistente o crear un certificado con openssl para hacer mis pruebas.

    Un saludo.

    • Marcado como respuesta Moderador M lunes, 27 de febrero de 2017 16:03
    lunes, 27 de febrero de 2017 9:51
  • Me alegro solucionaras :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 27 de febrero de 2017 14:02
    Moderador