Recientemente revisando los visores de eventos de mis servidores me he encontrado con el id de evento 11 el cual indica el siguiente error «El KDC encontró nombres duplicados durante el procesamiento de una solicitud de autenticación Kerberos», este error es producido por duplicidad de SPN en Active Directory. En esta entrada voy a explicaros como identificar y solucionar el error de forma definitiva.
El KDC encontró nombres duplicados durante el procesamiento de una solicitud de autenticación Kerberos. El nombre duplicado es MSSQLSvc/servidor1.tutorialesit.com:1433 (de tipo DS_SERVICE_PRINCIPAL_NAME). Esto puede producir errores de autenticación o degradaciones a NTLM. Para evitar que esto ocurra, quite las entradas duplicadas de MSSQLSvc/servidor1.tutorialesit.com:1433 en Active Directory.
¿Qué es un SPN?
Un SPN es un identificador único para un servicio en una red que utiliza la autenticación Kerberos. Este atributo se encuentran en los distintos objetos de Active Directory como pueden ser equipos o usuarios.
Cada atributo SPN debe contener una única cadena ya que cuando se realiza una conexión Kerberos el cliente realiza una consulta basada en esa cadena y si está se encuentra duplicada en varios objetos es cuando podemos empezar a tener problemas de autenticación o degradaciones NTLM.
Localizar los registros SPN duplicados
El primer paso será identificar que registros SPN se encuentran duplicados en nuestro Active Directory, para ello abrimos una consola MS-DOS con permisos de administrador en nuestro servidor de dominio y ejecutaremos el siguiente comando:
C:\Windows\system32>setspn -X
Comprobando el dominio DC=tutorialesit,DC=com
Procesando entrada 3
MSSQLSvc/SERVIDOR1.tutorialesit.com:1433 está registrado en estas cuentas:
CN=SERVIDOR1,OU=Servidores,DC=tutorialesit,DC=com
CN=Administrador,CN=Users,DC=tutorialesit,DC=com
En el ejemplo podemos ver como tenemos 2 cadenas distinta para el SPN MSSQLSvc/SERVIDOR1.tutorialesit.com:1433, una asociada al servidor cuyo nombre es SERVIDOR1 y otra asociada a la cuenta del usuario de dominio Administrador.
Localizados los duplicados el siguiente paso será eliminar el que es invalido pero claro ahora surgirá la siguiente duda, ¿cuál de las 2 registros es el que debo eliminar?.
Dependerá el caso pero normalmente si por ejemplo alguna de las entradas hace referencia a algún servidor o usuario que ya no exista en el dominio pues entonces tendremos claro cual es el que hay que eliminar pero también puede darse el caso, como mi ejemplo, en el cual tanto el servidor como el usuario existe por lo que en este caso mantendríamos la cuenta del usuario Administrador ya que es el usuario que se utiliza para iniciar el servicio de SQL Server por lo que la entrada a eliminar sería CN=SERVIDOR1,OU=Servidores,DC=tutorialesit,DC=com
Eliminar entrada duplicada SPN
Para eliminar la entrada duplicada debemos ejecutar el siguiente comando:
C:\Windows\system32>Setspn –D MSSQLSvc/SERVIDOR1.tutorialesit.com:1433 SERVIDOR1
Cancelando registro de valores de ServicePrincipalName para CN=SERVIDOR1,OU=Servidores,DC=tutorialesit,DC=com
MSSQLSvc/SERVIDOR1.tutorialesit.com:1433
Objeto actualizado
Y listo, con esto habremos eliminado la entrada duplicada y solventado el problema.
Nota: Si queréis podéis lanzar nuevamente el siguiente comando para comprobar que efectivamente ya no aparece el registro duplicado.
C:\Windows\system32>setspn -X
Espero os haya sido de utilidad.
Entradas relacionadas
- Como solucionar el evento 1008 en Windows Server – Error del procedimiento de apertura para el servicio BITS
- Como solucionar el evento 2001 «No se puede leer el valor de First Counter en la clave usbperf\Perfomance» en Windows Server
- Windows Server: Solucionar el error «El operador o administrador ha rehusado la solicitud» al intentar iniciar un monitor de rendimiento
Me dedico a la Administración de Sistemas y he creado este blog para compartir mis conocimientos con toda la comunidad y así aportar mi granito de arena y ayudar a todo el que lo necesite.