none
MENSAJE ERROR KERBEROS EN WIN 2003 SERVER RRS feed

  • Pregunta

  •  

    Hola,

     

    Tengo dos DC,s con windows 2003 server standard y aproximadamente 300 clientes con windows 2000 profesional sp4, desde hace 3 semanas me aparece sistemáticamente un error en el visor de sucesos (sistema), de kerberos, cada 15 minutos:

     

    como ejemplo, esto es lo que me dicen las lineas del visor:

     

    Type              date            time          source      Category         event        user        computer

    error            07/10/2008    9:56:56    kerberos       none                 3            N/A         mi servidor

    error            07/10/2008    9:41:56    kerberos       none                 3            N/A         mi servidor

    error            07/10/2008    9:26:56    kerberos       none                 3            N/A         mi servidor

    error            07/10/2008    9:11:56    kerberos       none                 3            N/A         mi servidor

     

    descripción errores kerberos:

     

    Se recibió un mensaje de error de Kerberos:

    en el inicio de sesión

    Hora del cliente:

    Hora del servidor: 7:26:56.0000 10/7/2008 Z

    Código de error: 0xd KDC_ERR_BADOPTION

    Error extendido: 0xc00000bb KLIN(0)

    Dominio del cliente:

    Nombre del cliente:

    Dominio del servidor: MI DOMINIO

    Nombre del servidor: host/mi servidor

    Nombre del destino: host/mi servidor@MI DOMINIO

    Texto del error:

    Archivo: 9

    Línea: ae0

    Los datos del error se encuentran en el registro.

     

    He probado reinstalando el SP2 en los dos DC,s pero el error me siguen apareciendo, por favor si alguien me puede ayudar se lo agradecería mucho.

    miércoles, 8 de octubre de 2008 7:48

Todas las respuestas

  • Buenas de nuevo, veo que aun sigues con problema de kerberos, no me he encontrado en una situacion asi, pero, por lo que he leido por ahi puede ser que no tengas establecida una relacion de confianza entre los dos DC's, no se si te servira de algo pero echale un vistazo a estas dos paginas:

    http://blogs.technet.com/tristank/archive/2007/06/18/kdc-err-badoption-when-attempting-constrained-delegation.aspx

    http://www.eventid.net

    Espero que te sirva, Saludos!
    jueves, 9 de octubre de 2008 17:32
  • ¿Que tal amigo?

     

    Pues sí, efectivamente, sigo teniendo el problema persistente de Kerberos, he comprobado en los dos DC,s el tema de la relación de confianza y en ambos está habilitada; también he estado mirando las dos páginas que me has dado y debo confesarte en primer lugar que mi inglés es bastante cortito y de lo poco que he podido deducir no se como aplicar la solución a mi caso, he ejecutado el comando setsnp -L en los dos servidores y todo está aparentemente bien. 

    A lo mejor digo una tontería, pero ¿tú crees que puede tener algo que ver la SQL?, tengo instalada la versíon 2000

    en otro servidor independiente, creo que en algún sitio he leido que puede estar relacionado.

    Lo cierto es que ahora mismo estoy perdido, te agradezco el interés.

     

    Por cierto, sobre el problema w32time, de momento funcionado perfectamente.

    viernes, 10 de octubre de 2008 8:44
  • Buenas de nuevo, en primer lugar me alegro que de momento funcione bien lo del w32time y gracias por comentarlo.

    En cuanto al error de kerberos, dices que tienes una maquina con SQL 2000 que no es uno de los dos DC's, pero el error lo recibes en los dos DC's, es asi?

    En todo caso, cuando echas un vistazo a la información del evento, donde pone "domino\hostname" entiendo que aparece tu nombre de dominio y la maquina en la que estas recibiendo el error, no es así?

    Ya se que la pregunta puede parecer tonta, pero si el nombre de host que envia o recibe la validación es el del SQL 2000 seguramente venga por ahi...

    La verdad no se por donde cogerlo pero si me confirmas todo esto igual te puedo echar un cable.

    Saludos!
    viernes, 10 de octubre de 2008 10:40
  • Hola otra vez,

     

    De los dos DC,s que tengo, uno tiene el rol de PDC y catalogo global, el otro tiene los otros 4 roles y también es catálogo global, es en éste solamente donde recibo el mensaje de error.

     

    En la información del evento aparece efectivamente el nombre de mi dominio y el de ese DC que da el error, perdóname pero por seguridad en la descripción del evento no quise poner el nombre del dominio ni de mi servidor, el nombre de la máquina donde tengo SQL no aparece por ningún sitio.

     

    Un abrazo.

    viernes, 10 de octubre de 2008 12:00
  • Haz verificado que la cuenta de computadora tenga el derecho de Trust for Delegation como dice el link que te han enviado ?

     

    Slds
    Sebastian del Rio

     

    viernes, 10 de octubre de 2008 12:47
    Moderador
  • Buenos días Sebastian,

     

    Como decía anteriormente, no entiendo bien el link, te agradecería me guiaras para decirme en qué máquina y donde tengo que mirar eso exactamente. MUCHAS GRACIAS.

    lunes, 13 de octubre de 2008 7:04
  • Hola otra vez,

     

    Disculpa, creo que lo he encontrado, efectivamente en los dos DC,s está marcada la opción de confiar en el equipo para la delegación. SALUDOS

     

    lunes, 13 de octubre de 2008 7:10
  • Buenas,

     

    Disculpad, pero sigo estando abierto a cualquier idea para intentar solucionar este problema de kerberos. GRACIAS.

    jueves, 16 de octubre de 2008 10:13