Servicio krbtgt Kerberos

Me parece que la haz hecho fea fea :-)))

La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
internamente por el sistema, y más específicamente por el protocolo de
autenticación Kerberos
De la contraseña de esa cuenta se deriva la clave de cifrado de los tickets
de servicio

Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que proporciona
los Tickets para acceder al servicio de distribución de tickets. Es una
cuenta deshabilitada *que no se debe tocar*

Si esperas, quizás cuando la información se replique se solucione sólo. El
tema va a ser si este cambio no impide la replicación, ya que los DCs se
deben autenticar para replicar

Por lo que entiendo yo, o se soluciona solo, o "no va a andar"

Quizás a algún compañero se le ocurra algo más

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


Vicente wrote:

He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes en
el visor de suceso de preautenticación de servidores en el
controlador de dominio, como que el PAC ha sido modificado.

Realmente todo sigue funcionando, pero aparece reiteradamente el
mensaje.

Alguna idea?

Gracias de antemano

Sólo hay un DC en el dominio.

"Guillermo Delprato [MS-MVP]" wrote:

Me parece que la haz hecho fea fea :-)))

La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
internamente por el sistema, y más específicamente por el protocolo de
autenticación Kerberos
De la contraseña de esa cuenta se deriva la clave de cifrado de los tickets
de servicio

Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que proporciona
los Tickets para acceder al servicio de distribución de tickets. Es una
cuenta deshabilitada *que no se debe tocar*

Si esperas, quizás cuando la información se replique se solucione sólo. El
tema va a ser si este cambio no impide la replicación, ya que los DCs se
deben autenticar para replicar

Por lo que entiendo yo, o se soluciona solo, o "no va a andar"

Quizás a algún compañero se le ocurra algo más

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


Vicente wrote:
> He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes en
> el visor de suceso de preautenticación de servidores en el
> controlador de dominio, como que el PAC ha sido modificado.
>
> Realmente todo sigue funcionando, pero aparece reiteradamente el
> mensaje.
>
> Alguna idea?
>
> Gracias de antemano

Entonces la veo todavía peor. Con Kerberos hay que obtener un Ticket, que es
el que permite contactar al Servicio de Distribución de Tickets.
Esto es así, para evitar exponer reiteradamente datos que son función de la
contraseña de usuario. Si la clave de cifrado de esos tickets intermedios no
es conocida por una de las partes involucradas...

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


Vicente wrote:

Sólo hay un DC en el dominio.

"Guillermo Delprato [MS-MVP]" wrote:

Me parece que la haz hecho fea fea :-)))

La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
internamente por el sistema, y más específicamente por el protocolo
de autenticación Kerberos
De la contraseña de esa cuenta se deriva la clave de cifrado de los
tickets de servicio

Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que
proporciona los Tickets para acceder al servicio de distribución de
tickets. Es una cuenta deshabilitada *que no se debe tocar*

Si esperas, quizás cuando la información se replique se solucione
sólo. El tema va a ser si este cambio no impide la replicación, ya
que los DCs se deben autenticar para replicar

Por lo que entiendo yo, o se soluciona solo, o "no va a andar"

Quizás a algún compañero se le ocurra algo más

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.


Vicente wrote:

He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes en
el visor de suceso de preautenticación de servidores en el
controlador de dominio, como que el PAC ha sido modificado.

Realmente todo sigue funcionando, pero aparece reiteradamente el
mensaje.

Alguna idea?

Gracias de antemano

Los servidores se apagaron este fin de semana y hoy todo ha funcionado
correctamente. El mensaje de error de preautenticación sigue apareciendo pero
todos los usuarios se han conectado sin problemas. Acceden a los recursos. Ha
funcionado el DHCP. Se les mapean unidades.

A qué debería afectar este servicio de Kerberos?

Gracias Guillermo por contestar

"Guillermo Delprato [MS-MVP]" wrote:

Entonces la veo todavía peor. Con Kerberos hay que obtener un Ticket, que es
el que permite contactar al Servicio de Distribución de Tickets.
Esto es así, para evitar exponer reiteradamente datos que son función de la
contraseña de usuario. Si la clave de cifrado de esos tickets intermedios no
es conocida por una de las partes involucradas...

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


Vicente wrote:
> Sólo hay un DC en el dominio.
>
> "Guillermo Delprato [MS-MVP]" wrote:
>
>> Me parece que la haz hecho fea fea :-)))
>>
>> La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
>> internamente por el sistema, y más específicamente por el protocolo
>> de autenticación Kerberos
>> De la contraseña de esa cuenta se deriva la clave de cifrado de los
>> tickets de servicio
>>
>> Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que
>> proporciona los Tickets para acceder al servicio de distribución de
>> tickets. Es una cuenta deshabilitada *que no se debe tocar*
>>
>> Si esperas, quizás cuando la información se replique se solucione
>> sólo. El tema va a ser si este cambio no impide la replicación, ya
>> que los DCs se deben autenticar para replicar
>>
>> Por lo que entiendo yo, o se soluciona solo, o "no va a andar"
>>
>> Quizás a algún compañero se le ocurra algo más
>>
>> Guillermo Delprato
>> MVP - MCT - MCSE
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos.
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> clase,
>> y no otorga ningún derecho. Ud. asume los riesgos This posting is
>> provided "AS IS" with no warranties, and confers no rights. You
>> assume all risk for your use.
>>
>>
>> Vicente wrote:
>>> He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes en
>>> el visor de suceso de preautenticación de servidores en el
>>> controlador de dominio, como que el PAC ha sido modificado.
>>>
>>> Realmente todo sigue funcionando, pero aparece reiteradamente el
>>> mensaje.
>>>
>>> Alguna idea?
>>>
>>> Gracias de antemano

Como te comenté antes, la cuenta krbtgt se utiliza para acceder al servicio
de distribución de tickets de Kerberos, que es el protocolo de autenticación
en dominios 2000/3

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


Vicente wrote:

Los servidores se apagaron este fin de semana y hoy todo ha funcionado
correctamente. El mensaje de error de preautenticación sigue
apareciendo pero todos los usuarios se han conectado sin problemas.
Acceden a los recursos. Ha funcionado el DHCP. Se les mapean unidades.

A qué debería afectar este servicio de Kerberos?

Gracias Guillermo por contestar

"Guillermo Delprato [MS-MVP]" wrote:

Entonces la veo todavía peor. Con Kerberos hay que obtener un
Ticket, que es el que permite contactar al Servicio de Distribución
de Tickets.
Esto es así, para evitar exponer reiteradamente datos que son
función de la contraseña de usuario. Si la clave de cifrado de esos
tickets intermedios no es conocida por una de las partes
involucradas...

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume
all risk for your use.


Vicente wrote:

Sólo hay un DC en el dominio.

"Guillermo Delprato [MS-MVP]" wrote:

Me parece que la haz hecho fea fea :-)))

La cuenta Krbtgt, es usada una cuenta pre-definida (builtin) usada
internamente por el sistema, y más específicamente por el protocolo
de autenticación Kerberos
De la contraseña de esa cuenta se deriva la clave de cifrado de los
tickets de servicio

Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que
proporciona los Tickets para acceder al servicio de distribución de
tickets. Es una cuenta deshabilitada *que no se debe tocar*

Si esperas, quizás cuando la información se replique se solucione
sólo. El tema va a ser si este cambio no impide la replicación, ya
que los DCs se deben autenticar para replicar

Por lo que entiendo yo, o se soluciona solo, o "no va a andar"

Quizás a algún compañero se le ocurra algo más

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.


Vicente wrote:

He cambiado la contraseña de la cuenta krbtgt y aparecen mensajes
en el visor de suceso de preautenticación de servidores en el
controlador de dominio, como que el PAC ha sido modificado.

Realmente todo sigue funcionando, pero aparece reiteradamente el
mensaje.

Alguna idea?

Gracias de antemano