Discussion:
Servicio krbtgt Kerberos
(demasiado antiguo para responder)
Vicente
2006-10-27 09:01:01 UTC
Permalink
He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes en el visor
de suceso de preautenticación de servidores en el controlador de dominio,
como que el PAC ha sido modificado.

Realmente todo sigue funcionando, pero aparece reiteradamente el mensaje.

Alguna idea?

Gracias de antemano
Guillermo Delprato [MS-MVP]
2006-10-27 11:42:04 UTC
Permalink
Me parece que la haz hecho fea fea :-)))

La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
internamente por el sistema, y más específicamente por el protocolo de
autenticación Kerberos
De la contraseña de esa cuenta se deriva la clave de cifrado de los tickets
de servicio

Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que proporciona
los Tickets para acceder al servicio de distribución de tickets. Es una
cuenta deshabilitada *que no se debe tocar*

Si esperas, quizás cuando la información se replique se solucione sólo. El
tema va a ser si este cambio no impide la replicación, ya que los DCs se
deben autenticar para replicar

Por lo que entiendo yo, o se soluciona solo, o "no va a andar"

Quizás a algún compañero se le ocurra algo más
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.
------------------------------------------------
Post by Vicente
He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes en
el visor de suceso de preautenticación de servidores en el
controlador de dominio, como que el PAC ha sido modificado.
Realmente todo sigue funcionando, pero aparece reiteradamente el mensaje.
Alguna idea?
Gracias de antemano
Vicente
2006-10-27 11:49:02 UTC
Permalink
Sólo hay un DC en el dominio.
Post by Guillermo Delprato [MS-MVP]
Me parece que la haz hecho fea fea :-)))
La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
internamente por el sistema, y más específicamente por el protocolo de
autenticación Kerberos
De la contraseña de esa cuenta se deriva la clave de cifrado de los tickets
de servicio
Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que proporciona
los Tickets para acceder al servicio de distribución de tickets. Es una
cuenta deshabilitada *que no se debe tocar*
Si esperas, quizás cuando la información se replique se solucione sólo. El
tema va a ser si este cambio no impide la replicación, ya que los DCs se
deben autenticar para replicar
Por lo que entiendo yo, o se soluciona solo, o "no va a andar"
Quizás a algún compañero se le ocurra algo más
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.
Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.
------------------------------------------------
Post by Vicente
He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes en
el visor de suceso de preautenticación de servidores en el
controlador de dominio, como que el PAC ha sido modificado.
Realmente todo sigue funcionando, pero aparece reiteradamente el mensaje.
Alguna idea?
Gracias de antemano
Guillermo Delprato [MS-MVP]
2006-10-27 13:22:27 UTC
Permalink
Entonces la veo todavía peor. Con Kerberos hay que obtener un Ticket, que es
el que permite contactar al Servicio de Distribución de Tickets.
Esto es así, para evitar exponer reiteradamente datos que son función de la
contraseña de usuario. Si la clave de cifrado de esos tickets intermedios no
es conocida por una de las partes involucradas...
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.
------------------------------------------------
Post by Vicente
Sólo hay un DC en el dominio.
Post by Guillermo Delprato [MS-MVP]
Me parece que la haz hecho fea fea :-)))
La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
internamente por el sistema, y más específicamente por el protocolo
de autenticación Kerberos
De la contraseña de esa cuenta se deriva la clave de cifrado de los
tickets de servicio
Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que
proporciona los Tickets para acceder al servicio de distribución de
tickets. Es una cuenta deshabilitada *que no se debe tocar*
Si esperas, quizás cuando la información se replique se solucione
sólo. El tema va a ser si este cambio no impide la replicación, ya
que los DCs se deben autenticar para replicar
Por lo que entiendo yo, o se soluciona solo, o "no va a andar"
Quizás a algún compañero se le ocurra algo más
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.
Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.
------------------------------------------------
Post by Vicente
He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes en
el visor de suceso de preautenticación de servidores en el
controlador de dominio, como que el PAC ha sido modificado.
Realmente todo sigue funcionando, pero aparece reiteradamente el mensaje.
Alguna idea?
Gracias de antemano
Vicente
2006-10-30 10:09:01 UTC
Permalink
Los servidores se apagaron este fin de semana y hoy todo ha funcionado
correctamente. El mensaje de error de preautenticación sigue apareciendo pero
todos los usuarios se han conectado sin problemas. Acceden a los recursos. Ha
funcionado el DHCP. Se les mapean unidades.

A qué debería afectar este servicio de Kerberos?

Gracias Guillermo por contestar
Post by Guillermo Delprato [MS-MVP]
Entonces la veo todavía peor. Con Kerberos hay que obtener un Ticket, que es
el que permite contactar al Servicio de Distribución de Tickets.
Esto es así, para evitar exponer reiteradamente datos que son función de la
contraseña de usuario. Si la clave de cifrado de esos tickets intermedios no
es conocida por una de las partes involucradas...
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.
Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.
------------------------------------------------
Post by Vicente
Sólo hay un DC en el dominio.
Post by Guillermo Delprato [MS-MVP]
Me parece que la haz hecho fea fea :-)))
La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
internamente por el sistema, y más específicamente por el protocolo
de autenticación Kerberos
De la contraseña de esa cuenta se deriva la clave de cifrado de los
tickets de servicio
Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que
proporciona los Tickets para acceder al servicio de distribución de
tickets. Es una cuenta deshabilitada *que no se debe tocar*
Si esperas, quizás cuando la información se replique se solucione
sólo. El tema va a ser si este cambio no impide la replicación, ya
que los DCs se deben autenticar para replicar
Por lo que entiendo yo, o se soluciona solo, o "no va a andar"
Quizás a algún compañero se le ocurra algo más
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.
Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.
------------------------------------------------
Post by Vicente
He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes en
el visor de suceso de preautenticación de servidores en el
controlador de dominio, como que el PAC ha sido modificado.
Realmente todo sigue funcionando, pero aparece reiteradamente el mensaje.
Alguna idea?
Gracias de antemano
Guillermo Delprato [MS-MVP]
2006-10-30 15:33:31 UTC
Permalink
Como te comenté antes, la cuenta krbtgt se utiliza para acceder al servicio
de distribución de tickets de Kerberos, que es el protocolo de autenticación
en dominios 2000/3
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.
------------------------------------------------
Post by Vicente
Los servidores se apagaron este fin de semana y hoy todo ha funcionado
correctamente. El mensaje de error de preautenticación sigue
apareciendo pero todos los usuarios se han conectado sin problemas.
Acceden a los recursos. Ha funcionado el DHCP. Se les mapean unidades.
A qué debería afectar este servicio de Kerberos?
Gracias Guillermo por contestar
Post by Guillermo Delprato [MS-MVP]
Entonces la veo todavía peor. Con Kerberos hay que obtener un
Ticket, que es el que permite contactar al Servicio de Distribución
de Tickets.
Esto es así, para evitar exponer reiteradamente datos que son
función de la contraseña de usuario. Si la clave de cifrado de esos
tickets intermedios no es conocida por una de las partes
involucradas...
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.
Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.
------------------------------------------------
Post by Vicente
Sólo hay un DC en el dominio.
Post by Guillermo Delprato [MS-MVP]
Me parece que la haz hecho fea fea :-)))
La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
internamente por el sistema, y más específicamente por el protocolo
de autenticación Kerberos
De la contraseña de esa cuenta se deriva la clave de cifrado de los
tickets de servicio
Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que
proporciona los Tickets para acceder al servicio de distribución de
tickets. Es una cuenta deshabilitada *que no se debe tocar*
Si esperas, quizás cuando la información se replique se solucione
sólo. El tema va a ser si este cambio no impide la replicación, ya
que los DCs se deben autenticar para replicar
Por lo que entiendo yo, o se soluciona solo, o "no va a andar"
Quizás a algún compañero se le ocurra algo más
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.
Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.
------------------------------------------------
Post by Vicente
He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes
en el visor de suceso de preautenticación de servidores en el
controlador de dominio, como que el PAC ha sido modificado.
Realmente todo sigue funcionando, pero aparece reiteradamente el mensaje.
Alguna idea?
Gracias de antemano
Loading...