none
Errores Kerberos del tipo KDC_ERR_* RRS feed

  • Pregunta

  • Buenas a todos.

    Desde hace un mes están apareciendo este tipo de errores en uno de los DC que tengo. El escenario que tengo actualmente son 2 DC W2003 formando un dominio W2000 nativo.

    Lo extraño es que solo aparece en uno de los dc. Ya he leido que debo autorizar a kerberos a utilizar la cuenta/servicio, pero como tengo un dominio w2000 nativo no me aparece la pestaña para poder autorizar.

    Entonces, me surgen 2 dudas:

    - ¿Por que puede ser que están apareciendo estos mensajes sin haber realizado cambios en los dc?

    - ¿Que supone a nivel funcional (máquinas, usuarios, directivas, etc...) "elevar el nivel funcional del dominio" a w2003? Ambos dc son W2003.

    Tengo que decir que los dc están desactualizados ya que acabo de llegar a la empresa y no he tenido autorización para hacerles un update y reiniciar los dc, entonces por eso también dudo un poco el hacer lo de elevar el nivel funcional.

    Saludos y muchas gracias.

    miércoles, 6 de febrero de 2013 8:07

Respuestas

  • Hola,

    El evento primero (BAD_OPTION) no parece grave y me da la sensación que tienes el modo debugging de kerberos activa. Revisa

    este enalce y comprueba en base a lo que comenta si está activo. Prueba a desactivarlo para que no muestre errores de este tipo.

    Respecto al segundo, entiendo que como dice el KDC no existe un SPN para el servicio solicitado. Puedes solicitarlo con setspn desde linea de comandos.

    Revisa http://technet.microsoft.com/en-us/library/cc772897%28WS.10%29.aspx

    En teoria deberías añadir el SPN que no existe con:

    setspn -a HOST/TermServLicensing

    En cualquier caso revísate el enlace y verifica previamente que no haya SPN duplicados u otro tipo de error. Lo siento, pero los errores de kerberos son muy específicos y es dificl tratarlos desde este foro con total seguridad.

    Saludos

    • Marcado como respuesta Mortenol2 viernes, 8 de febrero de 2013 7:35
    jueves, 7 de febrero de 2013 7:58

Todas las respuestas

  • Hola,

    Estos errores suelen ir asociados a un codigo HEX que proporciona más información del error en cuestión. ¿Puedes aclarar por otro lado si a parte de los errores en el visor se producen errores funcionales de autenticación a tus usuarios? Esto nos dará más información para corregir el problema.

    Por otro lado, es verdad que tus DCs están algo desactualizados, son W2000 :-). Subir el nivel funcional a W2003 aportará nuevas funcionalidades a tus bosque/dominio que ahora no dispones pero no debe generar ningún error. Eso si, el proceso no es reversible a nivel de GUI con lo que realiza un backup de un DC previamente por si necesitas hacer un rollback (muy poco probable pasando de un modo nativo a otro).

    En el caso específico de kerberos, en el nivel funcional 2003 se introduce la delegación de credenciales, algo básico para facilitar procesos de autenticación o Single Sign on. Revísate este enlace para conocer los cambios entre diferentes niveles funcionales:

    http://technet.microsoft.com/en-us/library/cc771294.aspx 

    Saludos

    Julio Rosua


    miércoles, 6 de febrero de 2013 8:21
  • Los errores que están apareciendo son siempre los mismos:

    0xd KDC_ERR_BADOPTION

    0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN.

    Los usuarios no están teniendo problemas de autenticación. Ahora que nombras el Single Sign on...... Tenemos un par de linux haciendo de proxy con squid+ad+kerberos+Single Sign on, pero están montados unos meses antes de que apareciera el primer error de kerberos en Dc.


    • Editado Mortenol2 miércoles, 6 de febrero de 2013 11:14
    miércoles, 6 de febrero de 2013 10:54
  • Perdona, me olvidé comentarte que normalmente estos errores en la descripción del evento te especifican los equipos origenes y destino sobre el que se generan. 

    ¿Puedes confirmar que ocurren siempre sobre las mismas cuentas?

    Postea un error completo del event viewer con todos los detalles por favor.

    Saludos

    Julio Rosua

    miércoles, 6 de febrero de 2013 12:10
  • Tipo de suceso:    Error
    Origen del suceso:    Kerberos
    Categoría del suceso:    Ninguno
    Id. suceso:    3
    Fecha:        06/02/2013
    Hora:        13:02:41
    Usuario:        No disponible
    Equipo:    SERVER1
    Descripción:
    Se recibió un mensaje de error de Kerberos:
             en el inicio de sesión  
     Hora del cliente:  
     Hora del servidor: 12:2:41.0000 2/6/2013 Z
     Código de error: 0xd KDC_ERR_BADOPTION
     Error extendido: 0xc00000bb KLIN(0)
     Dominio del cliente:  
     Nombre del cliente:  
     Dominio del servidor: DOMINIO.ES
     Nombre del servidor: host/server1.dominio.es
     Nombre del destino: host/server1.dominio.es@DOMINIO.ES
     Texto del error:  
     Archivo: 9
     Línea: b22

    ==============================================================================
     
    Tipo de suceso:    Error
    Origen del suceso:    Kerberos
    Categoría del suceso:    Ninguno
    Id. suceso:    3
    Fecha:        06/02/2013
    Hora:        13:21:33
    Usuario:        No disponible
    Equipo:    SERVER1
    Descripción:
    Se recibió un mensaje de error de Kerberos:
             en el inicio de sesión  
     Hora del cliente:  
     Hora del servidor: 12:21:33.0000 2/6/2013 Z
     Código de error: 0x7  KDC_ERR_S_PRINCIPAL_UNKNOWN
     Error extendido:  
     Dominio del cliente:  
     Nombre del cliente:  
     Dominio del servidor: DOMINIO.ES
     Nombre del servidor: TermServLicensing
     Nombre del destino: TermServLicensing@DOMINIO.ES
     Texto del error:  
     Archivo: 9
     Línea: b22
    miércoles, 6 de febrero de 2013 13:15
  • Hola,

    El evento primero (BAD_OPTION) no parece grave y me da la sensación que tienes el modo debugging de kerberos activa. Revisa

    este enalce y comprueba en base a lo que comenta si está activo. Prueba a desactivarlo para que no muestre errores de este tipo.

    Respecto al segundo, entiendo que como dice el KDC no existe un SPN para el servicio solicitado. Puedes solicitarlo con setspn desde linea de comandos.

    Revisa http://technet.microsoft.com/en-us/library/cc772897%28WS.10%29.aspx

    En teoria deberías añadir el SPN que no existe con:

    setspn -a HOST/TermServLicensing

    En cualquier caso revísate el enlace y verifica previamente que no haya SPN duplicados u otro tipo de error. Lo siento, pero los errores de kerberos son muy específicos y es dificl tratarlos desde este foro con total seguridad.

    Saludos

    • Marcado como respuesta Mortenol2 viernes, 8 de febrero de 2013 7:35
    jueves, 7 de febrero de 2013 7:58