GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

ADUC, Trust computer for delegation, y la pestaña Delegation, en Windows Server 2003


Recientemente, he tenido que pegarme con varias configuraciones de Kerberos, relativas a los Service Principal Name (SPN) de Directorio Activo, tanto en entornos de SQL Server como en entornos de Aplicaciones Web con IIS. En ambos casos, he acabado utilizando la herramienta setspn.exe. Sin embargo, es posible utilizar la herramienta administrativa Active Directory Users and Computers (ADUC) para realizar este tipo de configuraciones, pero ¿Cómo utilizar ADUC para configuraciones SPN de Kerberos? ¿Cómo mostrar la pestaña Delegation en el diálogo de propiedades de una cuenta de equipo en ADUC?

Últimamente, no sé que pasa, que me está tocando lidiar con configuraciones Kerberos de Service Principal Name (SPN) en Directorio Activo, tanto con SQL Server (ej: error Cannot generate SSPI context), como con IIS (ej: Autenticación Integrada y Delegación de Kerberos, especialmente en entornos de Balanceo de Carga NLB). Me ha sorprendido, que ya varias veces cuando he intentado hablarlo con los especialistas en Directorio Activo del correspondiente cliente, o no conocen eso de los Service Principal Name (SPN), o incluso me han llegado a soltar que eso es algo muy complicado y que es mejor no hacerlo en producción por los efectos colaterales que puede llegar a tener (¿Qué efectos colaterales? ¿El cambio climático, quizás?).

El caso, es que al final, me ha tocado configurarlo, para lo cual he recurrido a la herramienta setspn.exe (disponible en Kit de Recursos de Windows 2000 Server o en las Windows Support Tools de Windows Server 2003), para la configuración de los Service Principal Name (SPN) necesarios en Directorio Activo, consiguiendo así el funcionamiento deseado (y sin cambio climático, jeje ;-). O al menos, parecía que funcionaba (lo de configurar los Service Principal Name, me ha llegado de rebote, la verdad, que me sonaba algo pero poco y de lejos...).

Sin embargo, setspn.exe es una herramienta de línea de comandos, que la verdad, al principio se hace un poco dura, aunque tampoco sea para tanto. Lo bueno, es que es posible utilizar la herramienta administrativa Active Directorio Users and Computers (ADUC) para realizar este tipo de configuraciones de Kerberos y SPN en Directorio Activo. Al menos, en algunos casos. La ventaja principal, disponer de una interfaz gráfica para realizar o revisar este tipo de configuraciones.

Esto es posible, gracias a que ADUC incorpora la pestaña Delegation, a través de la cual, se puede llevar a cabo estas configuraciones de Kerberos y de los Service Principal Name (SPN) en Directorio Activo. Y aquí llega la pregunta del millón de céntimos ¿Dónde está la pestaña Delegation en ADUC? ¿Por qué no aparece la pestaña Delegation en ADUC? ¿Cómo mostrar la pestaña Delegation en ADUC para configurar Kerberos y SPN?

El tema es que hay truco. Para empezar, estoy hablando de un Directorio Activo de Windows Server 2003 R2 SP2, recién instaladito. Por otro lado, la pestaña Delegation debe aparecer en las propiedades de una cuenta de equipo (bueno, esto no es del todo cierto, como ahora después veremos...). Sin embargo, en este escenario, la pestaña Delegation no aparece. ¿Por qué? A priori parece que no hay ningún motivo en esto, pero no es así. La pestaña Delegation de ADUC, aparece sólo cuando el Dominio está en Modo Funcional Windows Server 2003. Muy importante.

En una ocasión, me contó un personaje (consultor con traje que aparenta y vende motos), que la pestaña Delegation venía en la versión del AdminPack que te descargas de la Web de Microsoft. Hombre, algo de razón tenía. Si tienes tu dominio de Directorio Activo en el Modo Funcional de Windows Server 2003, y te bajas las herramientas administrativas de la Web de Microsoft, podrás ver la pestaña Delegation. Efectivamente. Como se nota que había estudiado una carrera de cinco años...

Para verlo de forma gráfica, he utilizado uno de mis entornos de Laboratorios (dios salve a Virtual Server), que tengo en uno mis portátiles, que casualmente tenía con un Dominio de Directorio Activo en Modo Funcional Windows 2000 mixed. A través del mismo, he aprovechado a tomar los pantallazos, paso a paso (sin trampa ni cartón).

Lo primero, comprobar el Modo Funcional del Dominio de Directorio Activo. Esto lo haremos, haciendo click con el botón derecho sobre el dominio (en la imagen siguiente, sobre mobile.local), y seguidamente, click en Properties. Como se puede ver, en estos momentos estamos en un Dominio con Modo Funcional Windows 2000 mixed.

Visto esto, vamos a mostrar las propiedades de una cuenta de equipo. Como podemos ver, en la pestaña General aparece la opción Trust computer for delegation, y además, la pestaña Delegation no aparece por ningún lado.

Bien. Ahora voy a subir el Modo Funcional de mi Dominio, a Windows Server 2003. Ojo, que esta tarea no es reversible. Para subir el Modo Funcional de un Dominio, en el menú Actions de ADUC, seleccionar la opción Raise Domain Functional Level (ADUC -> Actions -> Raise Domain Functional Level).

En el diálogo Raise Domain Functional Level, seleccionamos la opción Windows Server 2003, y click en Raise. Ojo, que no he probado con el Nivel Funcional Windows 2000 Nativo (quizás así también aparezca la pestaña Delegation, pero la verdad, no lo he probado y tengo la duda).

Si ahora comprobamos el Nivel Funcional de nuestro Dominio de Directorio Activo desde ADUC, podremos evidenciar que ya estamos en el Nivel Funcional Windows Server 2003, como puede apreciarse en la siguiente pantalla capturada.

Genial. Ahora ya sólo queda la prueba del algodón. El siguiente paso es mostrar las Propiedades de una Cuenta de Equipo. Como se puede mostrar en la siguiente pantalla captuda, para empezar la opción Trust computer for delegation ya no aparece en la pestaña General. Ademá, aparece una nueva pestaña, la pestaña Delegation de ADUC que estábamos buscando.

Por ultimo, quería aprovechar para mostrar un pantallazo del aspecto de la pestaña Delegation de ADUC.

Del mismo modo, si observamos las propiedades de un usuario en ADUC, en principio no veremos la pestaña Delegation, como se muestra en el siguiente ejemplo:

Pos va a ser que no. A continuación, se muestran las propiedades de una cuenta de usuario, que fue utilizada anteriormente con el comando setspn.exe, para asociar a dicha cuenta de usuario un Service Principal Name (SPN). A continuación se muestra el aspecto del diálogo de propiedades de dicha cuenta de usuario, que muestra la pestaña Delegation:

Y con esto, acabamos este breve artículo, a través del cual, quería conseguir dos objetivos: dar a conocer la existencia de la pestaña Delegation de ADUC, y además mostrar la problemática existente para poder acceder a dicha pestaña, que como hemos visto, depende del Modo Funcional del Dominio de Directorio Activo.

Como siempre, espero que os resulte de interés.


Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Copyright © 2007 GuilleSQL, todos los derechos reservados.