
Comprendiendo la Autenticación Kerberos en Active Directory
Kerberos es la columna vertebral de la autenticación en cada dominio Windows. Entender cómo funciona y cómo falla es conocimiento esencial para cualquier administrador de AD.
Adrian Garcia
Publicado 29 de junio de 2026
¿Qué es Kerberos?
Kerberos es un protocolo de autenticación de red que utiliza criptografía de clave secreta para proporcionar autenticación robusta. En un entorno de Active Directory de Windows, ha sido el protocolo predeterminado desde Windows 2000.
Los Tres Principales
Cliente: el usuario o máquina que solicita acceso
KDC: un controlador de dominio que ejecuta el servicio Kerberos
Servicio: el recurso al que el cliente quiere acceder
Por Qué Falla Kerberos
Desajuste de reloj: tolerancia de 5 minutos. Más diferencia causa
KRB_AP_ERR_SKEW.SPNs faltantes: sin SPN registrado, los clientes no pueden obtener un ticket.
Fallos de DNS: Kerberos depende en gran medida del DNS.
Comandos de Diagnóstico
klist
klist purge
nltest /sc_query:TUDOMINIO
setspn -L NOMBRECUENTAConclusión
Mantén la sincronización horaria correcta, los SPNs bien configurados y el DNS saludable, y Kerberos raramente te dará problemas.