Saltar al contenido
TSplus Documentación ®
Historial de cambios

Habilitar la autenticación integrada de Windows en un dominio de Active Directory

Esta guía se proporciona para configurar la Autenticación Integrada de Windows (Kerberos/NTLM) con una Cuenta de Servicio Administrada por Grupo (gMSA) en el Portal Web.

Debido a la naturaleza única de la red y la arquitectura de cada empresa, no podemos proporcionar soporte para problemas que surjan de seguir esta documentación. Cumple con los requisitos técnicos para el Portal Web con Autenticación Integrada de Windows, pero la implementación es bajo su propia responsabilidad.

Configuración de dominio

El entorno de Active Directory debe soportar la autenticación Kerberos o NTLM.

Configurar una Cuenta de Servicio Administrado (gMSA)

Instale el servicio del Portal Web y ejecútelo con un cuenta de servicio administrada de dominio en lugar de una cuenta de administrador de dominio.

Requisitos

  • Nivel del esquema de Active Directory: Windows Server 2012 o más tarde (requerido para gMSA)
  • Al menos un controlador de dominio en ejecución Windows Server 2012 o más tarde
  • Clave raíz de KDS creada (configuración única)
  • Membresía en Administradores de dominio o Operadores de cuenta crear la cuenta

Cree la clave raíz KDS (si aún no se ha creado)

Ejecutar en un controlador de dominio en una sesión de PowerShell elevada:

Ventana de terminal 
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

Esto hace que la clave raíz esté disponible de inmediato.

Crear el gMSA

Usar Nuevo-ADServiceAccount :

Ventana de terminal 
New-ADServiceAccount `
  -Name "WebPortalSvc" `
  -DNSHostName "WebPortalSvc.domain.local" `
  -PrincipalsAllowedToRetrieveManagedPassword "YourServerGroup" `
  -Enabled $true
  • Nombre nombre de cuenta gMSA
  • NombreDelHostDNS FQDN para la cuenta
  • Principales autorizados para recuperar la contraseña gestionada computadoras/grupo permitido para usar este gMSA

Conceder derechos administrativos (opcional / según sea necesario)

Por defecto, un gMSA no tiene privilegios especiales.

Para otorgar acceso a nivel de dominio (opcional):

Ventana de terminal 
Add-ADGroupMember -Identity "Domain Admins" -Members "WebPortalSvc$"

Para otorgar capacidad de administrador local/inicio de sesión (si es necesario):

Ventana de terminal 
Add-ADGroupMember -Identity "Administrateurs" -Members "WebPortalSvc$"

Importante: el final $ es necesario para las referencias de cuenta gMSA en AD.

Requisito de reinicio

Se requiere un reinicio antes de continuar e instalar/utilizar la cuenta de servicio. También actualice las políticas.

Instalar el gMSA en los servidores de destino

Ejecutar en cada servidor que utilizará el gMSA:

Ventana de terminal 
Install-ADServiceAccount -Identity "WebPortalSvc"

Instalación de prueba:

Ventana de terminal 
Test-ADServiceAccount -Identity "WebPortalSvc"

Configurar servicios para usar el gMSA

  1. Conceder Iniciar sesión como un servicio a la cuenta:

    • Abrir el Editor de directivas de grupo
    • Ir a: Configuración del ordenador > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario
    • Abrir Iniciar sesión como un servicio
    • Agregar DOMINIO\WebPortalSvc$

  2. Asegure los permisos NTFS en los archivos/carpetas del Portal Web:

    • Haga clic derecho en la carpeta de la aplicación/ejecutable > Propiedades > Seguridad
    • Agregar DOMINIO\WebPortalSvc$
    • Conceder al menos Leer y ejecutar o Control total si es necesario para su implementación

  3. Configurar la identidad del servicio:

    • Cuenta: DOMINIO\WebPortalSvc$
    • Contraseña: dejar en blanco

Configurar el nombre principal del servicio (SPN)

El servicio web debe estar registrado en Kerberos.

Ejecutar en un controlador de dominio:

Ventana de terminal 
setspn -A HTTP/webserver.domain.com DOMAIN\WebPortalSvc

Reemplace con su FQDN de servidor y cuenta.

Si el servidor de alojamiento del Portal Web utiliza HTTP.sys, registre SPN contra la cuenta de la máquina:

Ventana de terminal 
setspn -S HTTP/portal.hiyoko.com:8008 WIN-HLBO0AGABB7
setspn -S HTTP/portal.hiyoko.com:8009 WIN-HLBO0AGABB7

Configurar la red en la máquina cliente

Para colocar un cliente unido a un dominio en la subred correcta:

  1. Identificar la interfaz de red correcta
  2. Eliminar IP estática existente (si es incorrecta)
  3. Asignar IP estática, máscara de subred y puerta de enlace predeterminada que coincida con la subred DNS/DC
  4. Establecer direcciones del servidor DNS

Importante: asigne direcciones IP estáticas al controlador de dominio y a los clientes. La sincronización de políticas de seguridad requiere que las máquinas estén en la misma subred en este contexto.

Permitir la conectividad del cliente requerida

UDP/TCP 53 puede ser bloqueado, lo que impide las consultas DNS.

Pasos de solución de problemas

Verificar el estado del servidor DNS

En el controlador de dominio:

Ventana de terminal 
net start DNS

Verifique que el servicio DNS esté en funcionamiento.

Verificar la IP del servidor DNS

En cliente:

Ventana de terminal 
ipconfig /all

Confirme que la IP del servidor DNS coincide con la IP del controlador de dominio.

Prueba de conectividad básica

En cliente:

Ventana de terminal 
ping <DC_IP_Address>

Si el ping falla, soluciona problemas de enrutamiento de red/firewall.

Verificar reglas del firewall

Asegúrese de que se permita UDP/TCP 53 entrante/saliente en el cliente y el servidor.

Prueba con nslookup

Ventana de terminal 
nslookup domain.com <DC_IP_Address>

Si esto funciona, el servidor DNS predeterminado puede estar mal configurado o ser inalcanzable.

Revisar el Visor de Eventos

En el controlador de dominio, verifica los errores relacionados con DNS.

Configurar Mozilla Firefox para la autenticación integrada de Windows

Firefox no utiliza WIA de forma predeterminada.

Paso 1: negociar URIs de confianza

  1. Abrir Firefox
  2. Ir a sobre:config
  3. Aceptar advertencia
  4. Conjunto network.negotiate-auth.trusted-uris a tus dominios, por ejemplo:
    • intranet.dominio.com, dominio.com

Paso 2: URIs NTLM de confianza

Conjunto red.automatic-ntlm-auth.uris-de-confianza a la misma lista de dominios.

Paso 3: URIs de delegación de Kerberos (si es necesario)

Conjunto network.negotiate-auth.delegation-uris por ejemplo:

  • domain.com

Paso 4: reiniciar el navegador

Reinicie Firefox para aplicar los cambios.

Configurar Google Chrome para la Autenticación Integrada de Windows

Chrome utiliza la configuración de autenticación del sistema de Windows.

  1. Descargar plantillas ADMX de Chrome:
  2. Copiar chrome.admx y chrome.adml a:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\es-ES
  3. Abrir gpedit.msc
  4. Ir a:
    • Configuración del ordenador > Plantillas administrativas > Google > Google Chrome
  5. Habilitar la autenticación integrada para sitios de intranet y configurar sitios de confianza:
    • intranet.dominio.com, dominio.com
  6. Aplicar política:
Ventana de terminal 
gpupdate /force

Otros métodos

Otros métodos (conmutadores y banderas de la línea de comandos de Chrome) no tuvieron éxito en este contexto.

Configurar Microsoft Edge para la autenticación integrada de Windows

Edge utiliza las políticas de Microsoft Edge y la configuración de zonas de seguridad de Windows.

Habilitar inicio de sesión automático en la zona de intranet

  1. Abrir Opciones de Internet
  2. Seguridad tab > Intranet local > Nivel Personalizado
  3. Debajo Autenticación de usuario , conjunto:
    • Inicio de sesión automático solo en la zona de Intranet

Configurar políticas de Edge a través de GPO

Paso 1: instalar plantillas ADMX de Edge
  1. Descargar:
  2. Copiar msedge.admx y msedge.adml a:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\es-ES
Paso 2: editar la configuración de la política
  1. Abrir gpedit.msc
  2. Ir a:
    • Configuración del ordenador > Plantillas administrativas > Microsoft Edge
  3. Habilitar:
    • Configurar la lista de servidores a los que Microsoft Edge puede delegar credenciales
  4. Configurar servidores de confianza:
    • intranet.dominio.com, dominio.com
Paso 3: aplicar políticas
Ventana de terminal 
gpupdate /force

Otros métodos

Otros métodos (conmutadores y banderas de línea de comandos de Edge) no tuvieron éxito en este contexto.

Solución de problemas de autenticación integrada

Verificar tickets de Kerberos

En el cliente de Windows:

Ventana de terminal 
klist

Deberías ver un ticket para HTTP/webserver.domain.com .

Borrar credenciales/tickets en caché

Ventana de terminal 
klist purge

Verificar el registro de SPN

En el controlador de dominio:

Ventana de terminal 
setspn -L serviceaccount

Asegúrate HTTP/webserver.domain.com está listado.

Depurar Kerberos en Firefox

Iniciar Firefox con registro:

Ventana de terminal 
set NSPR_LOG_MODULES=negotiateauth:5
set NSPR_LOG_FILE=%USERPROFILE%\Desktop\firefox.log
start firefox.exe

Revisión firefox.log por errores de autenticación.

Verificar políticas de Chrome

En Chrome, abre: 

chrome://policy

Asegúrate AuthServerWhitelist y AuthNegotiateDelegateWhitelist se aplican.

Verificar políticas de Edge

En Edge, abre: 

edge://policy

Asegúrate AuthServerWhitelist y AuthNegotiateDelegateWhitelist se aplican.

¿Te gustaría ver el sitio en un idioma diferente?

Español
English Español Deutsch Italiano Português Français 简体中文 العربية 日本語 한국어
Cambiar idioma