Solucionar problemas de inicio de sesión de Windows
Este artículo describe los registros y mensajes de error que Windows proporciona cuando un usuario inicia sesión mediante certificados o tarjetas inteligentes, o ambos. Estos registros proporcionan información que puedes usar para solucionar problemas de autenticación.
-
Certificados e infraestructura de clave pública
-
Windows Active Directory mantiene varios almacenes de certificados que administran certificados para los usuarios que inician sesión.
-
Almacén de certificados NTAuth: Para autenticarse en Windows, la autoridad de certificación que emite inmediatamente los certificados de usuario (es decir, no se admite el encadenamiento) debe colocarse en el almacén NTAuth. Para ver estos certificados, desde el programa certutil, introduce:
certutil –viewstore –enterprise NTAuth - Almacenes de certificados raíz e intermedios: Normalmente, los sistemas de inicio de sesión con certificados solo pueden proporcionar un único certificado, por lo que si se utiliza una cadena, el almacén de certificados intermedios en todas las máquinas debe incluir estos certificados. El certificado raíz debe estar en el Almacén de raíces de confianza, y el certificado penúltimo debe estar en el almacén NTAuth.
- Extensiones de certificado de inicio de sesión y Directiva de grupo: Windows se puede configurar para aplicar la verificación de EKU y otras directivas de certificado. Consulta la documentación de Microsoft: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff404287(v=ws.10).
| Directiva de registro | Descripción |
|---|---|
| AllowCertificatesWithNoEKU | Cuando está deshabilitada, los certificados deben incluir el uso de clave extendido (EKU) de inicio de sesión con tarjeta inteligente. |
-
AllowSignatureOnlyKeys De forma predeterminada, Windows filtra las claves privadas de los certificados que no permiten el descifrado RSA. Esta opción anula ese filtro. AllowTimeInvalidCertificates De forma predeterminada, Windows filtra los certificados caducados. Esta opción anula ese filtro. EnumerateECCCerts Habilita la autenticación de curva elíptica. X509HintsNeeded Si un certificado no contiene un nombre principal de usuario (UPN) único, o es ambiguo, esta opción permite a los usuarios especificar manualmente su cuenta de inicio de sesión de Windows. UseCachedCRLOnlyAnd, IgnoreRevocationUnknownErrors Deshabilita la comprobación de revocación (establecida en el controlador de dominio). - Certificados del controlador de dominio: Para autenticar conexiones Kerberos, todos los servidores deben tener los certificados de “Controlador de dominio” adecuados. Estos se pueden solicitar utilizando el menú del complemento MMC “Almacén personal de certificados del equipo local”.
Nombre UPN y asignación de certificados
Se recomienda que los certificados de usuario incluyan un nombre principal de usuario (UPN) único en la extensión Nombre alternativo del sujeto.
Nombres UPN en Active Directory
De forma predeterminada, cada usuario en Active Directory tiene un UPN implícito basado en el patrón <samUsername>@<domainNetBios> y <samUsername>@<domainFQDN>. Los dominios y FQDN disponibles se incluyen en la entrada RootDSE para el bosque. Un solo dominio puede tener varias direcciones FQDN registradas en el RootDSE.
Además, cada usuario en Active Directory tiene un UPN explícito y altUserPrincipalNames. Estas son entradas LDAP que especifican el UPN para el usuario.
Al buscar usuarios por UPN, Windows busca primero en el dominio actual (basado en la identidad del proceso que busca el UPN) los UPN explícitos, luego los UPN alternativos. Si no hay coincidencias, busca el UPN implícito, que puede resolverse en diferentes dominios del bosque.
Servicio de asignación de certificados
Si un certificado no incluye un UPN explícito, Active Directory tiene la opción de almacenar un certificado público exacto para cada uso en un atributo “x509certificate”. Para resolver dicho certificado a un usuario, un equipo puede consultar este atributo directamente (de forma predeterminada, en un solo dominio).
Se proporciona una opción para que el usuario especifique una cuenta de usuario que acelera esta búsqueda, y también permite que esta característica se use en un entorno entre dominios.
Si hay varios dominios en el bosque, y el usuario no especifica explícitamente un dominio, el rootDSE de Active Directory especifica la ubicación del Servicio de asignación de certificados. Este se encuentra en una máquina de catálogo global, y tiene una vista en caché de todos los atributos x509certificate en el bosque. Este equipo se puede usar para encontrar eficientemente una cuenta de usuario en cualquier dominio, basándose únicamente en el certificado.
Controlar la selección del controlador de dominio para el inicio de sesión
Cuando un entorno contiene varios controladores de dominio, es útil ver y restringir qué controlador de dominio se usa para la autenticación, de modo que se puedan habilitar y recuperar los registros.
Controlar la selección del controlador de dominio
Para forzar a Windows a usar un controlador de dominio de Windows específico para el inicio de sesión, puedes establecer explícitamente la lista de controladores de dominio que usa una máquina Windows configurando el archivo lmhosts: \Windows\System32\drivers\etc\lmhosts.
Normalmente hay un archivo de ejemplo llamado “lmhosts.sam” en esa ubicación. Simplemente incluye una línea:
1.2.3.4 dcnetbiosname #PRE #DOM:mydomai
Donde “1.2.3.4” es la dirección IP del controlador de dominio llamado dcnetbiosname en el dominio mydomain.
Después de un reinicio, la máquina Windows usa esa información para iniciar sesión en mydomain. Esta configuración debe revertirse cuando la depuración haya finalizado.
Identificar el controlador de dominio en uso
Al iniciar sesión, Windows establece una variable de entorno MSDOS con el controlador de dominio que inició la sesión del usuario. Para verlo, inicia el símbolo del sistema con el comando: echo %LOGONSERVER%.
Los registros relacionados con la autenticación se almacenan en el equipo devuelto por este comando.
Habilitar eventos de auditoría de cuenta
Por defecto, los controladores de dominio de Windows no habilitan los registros completos de auditoría de cuenta. Esto se puede controlar a través de las políticas de auditoría en la configuración de seguridad del editor de directivas de grupo. Para abrir el editor de directivas de grupo, ejecuta gpedit.msc en el controlador de dominio. Una vez habilitadas las políticas de auditoría, el controlador de dominio produce información adicional de registro de eventos en el registro de seguridad.
Registros de validación de certificados
Comprobar la validez del certificado
- Si se exporta un certificado de tarjeta inteligente como certificado DER (no se requiere clave privada), puedes validarlo con el comando: certutil –verify user.cer
- ### Habilitar el registro CAPI
En el controlador de dominio y en la máquina de los usuarios, abre el visor de eventos y habilita el registro para Microsoft/Windows/CAPI2/Operational Logs.
-
En el controlador de dominio y la máquina VDA, abre el Visor de eventos y navega hasta Registros de aplicaciones y servicios > Microsoft > Windows > CAPI2 > Operativo. Haz clic con el botón derecho en Operativo y selecciona Habilitar registro.
-
Además, ajusta la configuración de registro de CAPI con los valores de registro en: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32. Los siguientes valores no existen de forma predeterminada. Debes crearlos. Elimina los valores si quieres revertir a la configuración de registro de CAPI2 predeterminada.
| Valor | Descripción |
|---|---|
| DiagLevel (DWORD) | Nivel de detalle (0 a 5) |
| DiagMatchAnyMask (QUADWORD) | Filtro de eventos (usa 0xffffff para todos) |
| DiagProcessName (MULTI_SZ) | Filtrar por nombre de proceso (por ejemplo, LSASS.exe) |
Registros de CAPI
| Mensaje | Descripción |
|---|---|
| Crear cadena | LSA llamó a CertGetCertificateChain (incluye el resultado) |
| Verificar revocación | LSA llamó a CertVerifyRevocation (incluye el resultado) |
| Objetos X509 | En modo detallado, los certificados y las listas de revocación de certificados (CRL) se vuelcan en AppData\LocalLow\Microsoft\X509Objects |
| Verificar política de cadena | LSA llamó a CertVerifyChainPolicy (incluye los parámetros) |
Mensajes de error
| Código de error | Descripción |
|---|---|
| Certificado no de confianza | No se pudo crear el certificado de la tarjeta inteligente utilizando certificados de los almacenes de certificados intermedios y de raíz de confianza del equipo. |
| Error de comprobación de revocación de certificado | No se pudo descargar la CRL de la tarjeta inteligente desde la dirección especificada por el punto de distribución de CRL del certificado. Si la comprobación de revocación es obligatoria, esto impide que el inicio de sesión se realice correctamente. Consulta la sección Certificados e infraestructura de clave pública. |
| Errores de uso de certificado | El certificado no es adecuado para el inicio de sesión. Por ejemplo, podría ser un certificado de servidor o un certificado de firma. |
Registros de Kerberos
Para habilitar el registro de Kerberos, en el controlador de dominio y en la máquina del usuario final, crea los siguientes valores de registro:
| Hive | Nombre del valor | Valor [DWORD] |
|---|---|---|
| CurrentControlSet\Control\Lsa\Kerberos\Parameters | LogLevel | 0x1 |
| CurrentControlSet\Control\Lsa\Kerberos\Parameters | KerbDebuglevel | 0xffffffff |
| CurrentControlSet\Services\Kdc | KdcDebugLevel | 0x1 |
| CurrentControlSet\Services\Kdc | KdcExtraLogLevel | 0x1f |
El registro de Kerberos se envía al registro de eventos del sistema.
- Los mensajes como certificado no de confianza deben ser fáciles de diagnosticar.
- Dos códigos de error son informativos y se pueden ignorar de forma segura:
- KDC_ERR_PREAUTH_REQUIRED (se usa para la compatibilidad con versiones anteriores de controladores de dominio)
- Error desconocido 0x4b
Registros del controlador de dominio y de la estación de trabajo
Esta sección describe las entradas de registro esperadas en el controlador de dominio y la estación de trabajo cuando el usuario inicia sesión con un certificado.
- Registro CAPI2 del controlador de dominio
- Registros de seguridad del controlador de dominio
- Registro de seguridad del Virtual Delivery Agent (VDA)
- Registro CAPI del VDA
- Registro del sistema del VDA
Registro CAPI2 del controlador de dominio
Durante un inicio de sesión, el controlador de dominio valida el certificado del emisor, lo que produce una secuencia de entradas de registro con el siguiente formato.
El mensaje final del registro de eventos muestra que lsass.exe en el controlador de dominio construye una cadena basada en el certificado proporcionado por el VDA y lo verifica para comprobar su validez (incluida la revocación). El resultado se devuelve como “ERROR_SUCCESS”.
Registro de seguridad del controlador de dominio
El controlador de dominio muestra una secuencia de eventos de inicio de sesión, siendo el evento clave el 4768, donde el certificado se usa para emitir el Ticket de Concesión de Tickets (krbtgt) de Kerberos.
Los mensajes anteriores a este muestran la cuenta de máquina del servidor autenticándose en el controlador de dominio. Los mensajes posteriores a este muestran la cuenta de usuario perteneciente al nuevo krbtgt usándose para autenticarse en el controlador de dominio.
Registro de seguridad del VDA
Los registros de auditoría de seguridad del VDA correspondientes al evento de inicio de sesión son la entrada con el ID de evento 4648, originada en winlogon.exe.
Registro CAPI del VDA
Este ejemplo de registro CAPI del VDA muestra una única secuencia de construcción y verificación de cadena desde lsass.exe, validando el certificado del controlador de dominio (dc.citrixtest.net).
Registro del sistema del VDA
Cuando el registro de Kerberos está habilitado, el Registro del sistema muestra el error KDC_ERR_PREAUTH_REQUIRED (que puedes ignorar) y una entrada de Inicio de sesión de Windows que indica que el inicio de sesión de Kerberos fue exitoso.
Supervisión de FAS mediante el registro de eventos de Windows
Todos los eventos de FAS se escriben en el registro de eventos de Aplicación de Windows. Puedes usar productos como System Center Operations Manager (SCOM) para supervisar el estado de tu servicio FAS usando los procesos y eventos descritos aquí.
¿Está ejecutándose el servicio FAS?
Para determinar si el servicio FAS se está ejecutando, supervisa el proceso Citrix.Authentication.FederatedAuthenticationService.exe.
En esta sección se describen solo los eventos más importantes para supervisar el servicio FAS. Para obtener la lista completa de códigos de evento de FAS, consulta Registros de eventos de FAS.
Eventos de estado de FAS
Los siguientes eventos muestran si tu servicio FAS está en buen estado.
El origen del evento es Citrix.Authentication.FederatedAuthenticationService.
| Event | Event text | Explanation | Notes |
|---|---|---|---|
| [S003] | El administrador [{0}] establece el modo de mantenimiento en [{1}] | El servicio FAS se puso o se quitó del modo de mantenimiento. | Mientras está en modo de mantenimiento, el servidor FAS no se puede usar para el inicio de sesión único. |
| [S022] | El administrador [{0}] establece el modo de mantenimiento en Desactivado | El servicio FAS se quitó del modo de mantenimiento. | Disponible a partir de FAS 10.7 / Citrix Virtual Apps and Desktops 2109. |
| [S023] | El administrador [{0}] establece el modo de mantenimiento en Activado | El servicio FAS se puso en modo de mantenimiento. | Disponible a partir de FAS 10.7 / Citrix Virtual Apps and Desktops 2109. |
| [S123] | Error al emitir un certificado en cualquier CA para [upn: {0} rol: {1}] [excepción: {2}] | Este evento ocurre después de [S124] si ninguna de las CA con las que FAS está configurado emitió correctamente un certificado de usuario. El inicio de sesión único fallará para ese usuario. | Este evento indica que todas las CA configuradas no funcionan. Si FAS está configurado para usar un HSM, también puede indicar que el HSM no funciona. |
| [S124] | Error al emitir un certificado para [upn: {0} rol: {1}] en [autoridad de certificación: {2}] [excepción: {3}] | Se produjo un error cuando FAS intentó solicitar un certificado de usuario a la CA dada. Si FAS está configurado con más de una CA, FAS intenta la solicitud en otra CA. | Este evento puede indicar que la CA no funciona o no es contactable. Si FAS está configurado para usar un HSM, también puede indicar que el HSM no funciona. La excepción se puede usar para ayudar a identificar la causa del problema. |
| [S413] | El certificado de autorización caducará pronto (quedan {0} días). Detalles del certificado: {1} | Este evento se genera periódicamente cuando el certificado de autorización de FAS está cerca de caducar. De forma predeterminada, el evento se genera todos los días si el certificado de autorización caduca en un plazo de 30 días. | La configuración predeterminada se puede ajustar mediante el cmdlet Set-FasRaCertificateMonitor; consulta Cmdlets de PowerShell. |
| [S414] | El certificado de autorización ha caducado. Detalles del certificado: {0} | Este evento se genera periódicamente cuando el certificado de autorización de FAS ha caducado. De forma predeterminada, el evento se genera todos los días. | Una vez caducado, FAS no puede generar nuevos certificados de usuario y el inicio de sesión único comienza a fallar. |
Eventos de FAS conectados a la nube
Si usas FAS con Citrix Cloud™, los siguientes eventos muestran si tu servicio FAS está en buen estado.
El origen del evento es Citrix.Fas.Cloud.
| Event | Event text | Explanation | Notes |
|---|---|---|---|
| [S012] | El servicio FAS está disponible para el inicio de sesión único desde Citrix Cloud | Este evento indica que el inicio de sesión único desde Workspace (es decir, Citrix Cloud) debería funcionar. | Antes de emitir este evento, FAS comprueba (1) que está configurado, (2) que no está en modo de mantenimiento y (3) que está conectado a Citrix Cloud. |
| [S013] | El servicio FAS no está disponible para el inicio de sesión único desde Citrix Cloud. [{0}] Puedes encontrar más detalles en la consola de administración. | Este evento indica que FAS no puede proporcionar un inicio de sesión único desde Workspace (es decir, Citrix Cloud). El mensaje incluye el motivo por el que el inicio de sesión único no funciona. | FAS mantiene una conexión persistente con Citrix Cloud. De vez en cuando, esta conexión puede terminar por varias razones (como un fallo de red o una política de duración de la conexión en un servidor proxy). Cuando esto sucede, el texto del evento contiene “El servicio no está conectado a la nube”. Este es un comportamiento normal, y FAS intenta inmediatamente restablecer una conexión con Citrix Cloud. |
Eventos de seguridad
Los siguientes eventos indican que una entidad no autorizada intentó usar FAS.
El origen del evento es Citrix.Authentication.FederatedAuthenticationService.
| Event | Event text | Explanation |
|---|---|---|
| [S001] | ACCESO DENEGADO: El usuario [{0}] no es miembro del grupo Administradores | Se intentó ver o cambiar la configuración de FAS, pero la persona que llamó no era un administrador de FAS. |
| [S002] | ACCESO DENEGADO: El usuario [{0}] no es administrador del rol [{1}] | Se intentó ver o cambiar la configuración de una regla de FAS, pero la persona que llamó no era un administrador de FAS. |
| [S101] | El servidor [{0}] no está autorizado para afirmar identidades en el rol [{1}] | Se intentó afirmar identidades de usuario, pero la persona que llamó no tiene permiso para hacerlo. Solo los servidores StoreFront™, a los que se les ha permitido en la configuración de la regla de FAS (y Workspace, si corresponde), pueden afirmar identidades de usuario. |
| [S104] | El servidor [{0}] no pudo afirmar el UPN [{1}] (UPN no permitido por la regla [{2}]) | Se intentó afirmar una identidad de usuario, pero la cuenta del usuario no está permitida según la configuración de la regla de FAS. |
| [S205] | Acceso denegado a la parte que confía: la cuenta que llama [{0}] no es una parte que confía permitida de la regla [{1}] | Un VDA intentó realizar un inicio de sesión único con FAS, pero el VDA no está permitido según la configuración de la regla de FAS. |
Registros de eventos de FAS
Las siguientes tablas enumeran las entradas del registro de eventos generadas por FAS.
Eventos de administración [Servicio de autenticación federada]
[Event Source: Citrix.Authentication.FederatedAuthenticationService]
Estos eventos se registran en respuesta a un cambio de configuración en el servidor FAS.
| Códigos de registro |
|---|
| [S001] ACCESO DENEGADO: El usuario [{0}] no es miembro del grupo de administradores |
| [S002] ACCESO DENEGADO: El usuario [{0}] no es administrador del rol [{1}] |
| [S003] El administrador [{0}] establece el modo de mantenimiento en [{1}] |
| [S004] El administrador [{0}] solicita un certificado de autorización a la CA [{1}] usando las plantillas [{2} y {3}] |
| [S005] El administrador [{0}] quita la autorización de FAS [ID de certificado RA: {1}] |
| [S006] El administrador [{0}] crea la definición de certificado [{1}] |
| [S007] El administrador [{0}] actualiza la definición de certificado [{1}] |
| [S008] El administrador [{0}] elimina la definición de certificado [{1}] |
| [S009] El administrador [{0}] crea la regla [{1}] |
| [S010] El administrador [{0}] actualiza la regla [{1}] |
| [S011] El administrador [{0}] elimina la regla [{1}] |
| [S012] El administrador [{0}] crea el certificado [upn: {1} sid: {2} regla: {3}]Definición de certificado: {4} Contexto de seguridad: {5}] |
| [S013] El administrador [{0}] elimina los certificados [upn: {1} rol: {2} Definición de certificado: {3} Contexto de seguridad: {4}] |
| [S015] El administrador [{0}] crea la solicitud de certificado [TPM: {1}] |
| [S016] El administrador [{0}] importa el certificado de autorización [Referencia: {1}] |
| [S022] El administrador [{0}] establece el modo de mantenimiento en Desactivado |
| [S023] El administrador [{0}] establece el modo de mantenimiento en Activado |
| [S024] El administrador [{0}] establece el monitor de estado del sistema |
| [S025] El administrador [{0}] establece el monitor de estado del sistema |
| [S026] El administrador [{0}] establece el monitor de certificado RA |
| [S027] El administrador [{0}] restablece el monitor de certificado RA |
| [S028] El administrador [{0}] establece la configuración de clave para el certificado [{1}] en [{2}] |
| [S029] El administrador [{0}] restablece la configuración de clave para el certificado [{1}] a los valores predeterminados [{2}] |
| [S030] El administrador [{0}] establece las propiedades del servicio en [{1}] |
| [S031] El administrador [{0}] desautoriza la CA [ID de certificado RA: {1}] |
| [S050] El administrador [{0}] crea la configuración en la nube: [{1}] |
| [S051] El administrador [{0}] actualiza la configuración en la nube: [{1}] |
| [S052] El administrador [{0}] quita la configuración en la nube |
| [S060] El administrador [{0}] solicita el registro en la nube. Instancia: {1} |
| [S060] El administrador [{0}] solicita el registro de confianza directa en la nube. Instancia: {1} CloudServiceUrlFormat: {2} |
| [S061] El administrador [{0}] completa el registro en la nube. Ubicación del recurso: {1}, Nombre de la regla: {2} |
| [S062] El administrador [{0}] completó el registro en la nube. Ubicación del recurso: {1} ({2}), Nombre de la regla: {3}, Cliente: {4} ({5}) |
| [S063] Se produjo un error de KRS durante el registro en la nube. La excepción fue {0} |
| [S064] Se produjo un error desconocido durante el registro en la nube. La excepción fue {0} |
| [S065] El administrador [{0}] solicita el registro de confianza directa en la nube. Instancia: {1} CloudServiceUrlFormat: {2} |
| Códigos de registro |
| [S401] Realizando actualización de la configuración - [De la versión {0} a la versión {1}] |
| [S402] ERROR: El servicio Citrix Federated Authentication Service debe ejecutarse como Servicio de red [actualmente ejecutándose como: {0}] |
| [S404] Borrando forzosamente la base de datos de Citrix Federated Authentication Service |
| [S405] Se produjo un error al migrar datos del registro a la base de datos: [{0}] |
| [S406] La migración de datos del registro a la base de datos se ha completado (nota: los certificados de usuario no se migran) |
| [S407] Los datos basados en el registro no se migraron a una base de datos porque ya existía una |
| [S408] No se puede degradar la configuración – [De la versión {0} a la versión {1}] |
| [S409] Configuración de ThreadPool correcta: MinThreads ajustados de [trabajadores: {0} finalización: {1}] a: [trabajadores: {2} finalización: {3}] |
| [S410] Error en la configuración de ThreadPool: no se pudieron ajustar los MinThreads de [trabajadores: {0} finalización: {1}] a: [trabajadores: {2} finalización: {3}]; esto puede afectar la escalabilidad del servidor FAS |
| [S411] Error al iniciar el servicio FAS: [{0}] |
| [S412] Actualización de la configuración completada – [De la versión {0} a la versión {1}] |
| [S413] El certificado de autorización caducará pronto (quedan {0} días). Detalles del certificado: {1} |
| [S414] El certificado de autorización ha caducado. Detalles del certificado: {0} |
| [S415] Comprobaciones del certificado de autorización completadas. Se registraron {0} problemas. La próxima comprobación se realizará en {1} |
Creación de aserciones de identidad [Federated Authentication Service]
[Event Source: Citrix.Authentication.FederatedAuthenticationService]
Estos eventos se registran en tiempo de ejecución en el servidor FAS cuando un servidor de confianza afirma el inicio de sesión de un usuario.
| Códigos de registro |
|---|
| [S101] El servidor [{0}] no está autorizado para afirmar identidades en el rol [{1}] |
| [S102] El servidor [{0}] no pudo afirmar el UPN [{1}] (Excepción: {2}{3}) |
| [S103] El servidor [{0}] solicitó el UPN [{1}] SID {2}, pero la búsqueda devolvió el SID {3} |
| [S104] El servidor [{0}] no pudo afirmar el UPN [{1}] (el UPN no está permitido por la regla [{2}]) |
| [S105] El servidor [{0}] emitió la aserción de identidad [upn: {1}, rol {2}, Contexto de seguridad: [{3}]] |
| [S120] Emitiendo certificado a [upn: {0} rol: {1} Contexto de seguridad: [{2}]] |
| [S121] Certificado emitido a [upn: {0} rol: {1}] por [autoridad de certificación: {2}] |
| [S122] Advertencia: El servidor está sobrecargado [upn: {0} rol: {1}][Solicitudes por minuto {2}]. |
| [S123] No se pudo emitir un certificado en ninguna CA para [upn: {0} rol: {1}] [excepción: {2}] |
| [S124] No se pudo emitir un certificado para [upn: {0} rol: {1}] en [autoridad de certificación: {2}] [excepción: {3}] |
| [S125] La llamada agotó el tiempo de espera después de {0} segundos esperando que se completara la solicitud de certificado pendiente [upn: {1} rol: {2} Contexto de seguridad: [{3}]] |
| [S126] El servidor [{0}] intentó afirmar una identidad usando una regla no definida [{1}] |
| [S127] FAS no pudo solicitar un certificado para [upn: {0} rol: {1} definición: {2}] porque el servidor está en modo de mantenimiento; usa el cmdlet de PowerShell Set-FasServer para cambiar el comportamiento mientras está en modo de mantenimiento |
Actuando como parte que confía [Federated Authentication Service]
[Event Source: Citrix.Authentication.FederatedAuthenticationService]
Estos eventos se registran en tiempo de ejecución en el servidor FAS cuando un VDA inicia sesión de un usuario.
| Códigos de registro |
|---|
| [S201] La parte de confianza [{0}] no tiene acceso a una contraseña. |
| [S202] La parte de confianza [{0}] no tiene acceso a un certificado. |
| [S203] La parte de confianza [{0}] no tiene acceso al proveedor de inicio de sesión |
| [S204] La parte de confianza [{0}] accede al proveedor de inicio de sesión para [upn: {1}] en el rol: [{2}] [Operación: {3}] según lo autorizado por [{4}] |
| [S205] Acceso denegado a la parte de confianza: la cuenta de llamada [{0}] no es una parte de confianza permitida de la regla [{1}] |
| [S206] La cuenta de llamada [{0}] no es una parte de confianza |
| [S208] Error en la operación de clave privada [Operación: {0} upn: {1} rol: {2} definición de certificado {3} Error {4} {5}]. |
| [S209] Certificado en caché no encontrado. [Llamador: {0}] [upn: {1}] [rol: {2}] [definición de certificado: {3}] [Operación: {4}] |
Servidor de certificados en sesión [Servicio de autenticación federada]
[Origen del evento: Citrix.Authentication.FederatedAuthenticationService]
Estos eventos se registran en el servidor FAS cuando un usuario utiliza un certificado en sesión.
-
Códigos de registro -
[S301] Acceso denegado: El usuario [{0}] no tiene acceso a una tarjeta inteligente virtual [S302] El usuario [{0}] solicitó una tarjeta inteligente virtual desconocida [huella digital: {1}] [S303] Acceso denegado: El usuario [{0}] no coincide con la tarjeta inteligente virtual [upn: {1}] [S304] El usuario [{0}] ejecuta el programa [{1}] en el equipo [{2}] utilizando la tarjeta inteligente virtual [upn: {3} rol: {4} huella digital: {5}] para la operación de clave privada [{6}] [S305] Error en la operación de clave privada [Operación: {0}] [upn: {1} rol: {2} nombre del contenedor {3} Error {4} {5}].
Complemento de aserción de FAS [Servicio de autenticación federada]
-
[Origen del evento: Citrix.Authentication.FederatedAuthenticationService]
-
Estos eventos son registrados por el complemento de aserción de FAS.
-
Códigos de registro [S500] No hay ningún complemento de aserción de FAS configurado [S501] No se pudo cargar el complemento de aserción de FAS configurado [excepción:{0}] [S502] Complemento de aserción de FAS cargado [pluginId={0}] [assembly={1}] [location={2}] [S503] El servidor [{0}] no pudo asertar el UPN [{1}] (se proporcionó evidencia de inicio de sesión, pero el complemento [{2}] no la admite) [S504] El servidor [{0}] no pudo asertar el UPN [{1}] (se proporcionó evidencia de inicio de sesión, pero no hay ningún complemento de FAS configurado) [S505] El servidor [{0}] no pudo asertar el UPN [{1}] (el complemento [{2}] rechazó la evidencia de inicio de sesión con el estado [{3}] y el mensaje [{4}]) [S506] El complemento [{0}] aceptó la evidencia de inicio de sesión del servidor [{1}] para el UPN [{2}] con el mensaje [{3}] [S507] El servidor [{0}] no pudo asertar el UPN [{1}] (el complemento [{2}] lanzó la excepción [{3}] durante el método [{4}]) [S507] El servidor [{0}] no pudo asertar el UPN [{1}] (el complemento [{2}] lanzó la excepción [{3}]) [S508] El servidor [{0}] no pudo asertar el UPN [{1}] (se proporcionó la disposición de acceso, pero el complemento [{2}] no la admite) [S509] El servidor [{0}] no pudo asertar el UPN [{1}] (se proporcionó la disposición de acceso, pero no hay ningún complemento de FAS configurado) [S510] El servidor [{0}] no pudo asertar el UPN [{1}] (la disposición de acceso fue considerada no válida por el complemento [{2}])
FAS habilitado para Workspace [Servicio de autenticación federada]
[Origen del evento: Citrix.Fas.Cloud]
Estos eventos se registran cuando se usa FAS con Workspace.
| Códigos de registro |
|---|
| [S001] Clave de autorización de Citrix Cloud rotada [id de FAS: {0}] [id de clave antigua:{1}] [id de clave nueva:{2}] |
| [S002] El módulo de asistencia en la nube se está iniciando. URL del servicio en la nube de FasHub: {0} |
| [S003] FAS registrado en la nube [id de FAS: {0}] [id de transacción: {1}] |
| [S004] FAS no pudo registrarse en la nube [id de FAS: {0}] [id de transacción: {1}] [excepción: {2}] |
| [S005] FAS envió su configuración actual a la nube [id de FAS: {0}] [id de transacción: {1}] |
| [S006] FAS no pudo enviar su configuración actual a la nube [id de FAS: {0}] [id de transacción: {1}] [excepción: {2}] |
| [S007] FAS se dio de baja de la nube [id de FAS: {0}] [id de transacción: {1}] |
| [S009] FAS no pudo darse de baja de la nube [id de FAS: {0}] [id de transacción: {1}] [excepción: {2}] |
| [S010] El servicio FAS está conectado a la URL de mensajería en la nube: {0} |
| [S011] El servicio FAS no está conectado a la nube |
| [S012] El servicio FAS está disponible para el inicio de sesión único desde Citrix Cloud |
| [S013] El servicio FAS no está disponible para el inicio de sesión único desde Citrix Cloud. [{0}] Puedes encontrar más detalles en la consola de administración. |
[S014] Una llamada al servicio en la nube <service name> falló [id de FAS: {0}] [id de transacción: {1}] [excepción: {2}] |
| [S015] Se bloqueó un mensaje de Citrix Cloud porque el autor de la llamada no tiene permiso [ID de mensaje {0}] [ID de transacción {1}] [autor de la llamada {2}] |
[S016] Una llamada al servicio en la nube <service name> se realizó correctamente [id de FAS: {0}] [id de transacción: {1}] |
| [S019] FAS descargó su configuración de la nube [id de FAS: {0}] [id de transacción: {1}] |
| [S020] FAS no pudo descargar su configuración de la nube [id de FAS: {0}] [id de transacción: {1}] [excepción: {2}] |
| [S021] El módulo de asistencia en la nube no pudo iniciarse. Excepción: {0} |
| [S022] El módulo de asistencia en la nube se está deteniendo |
| [S023] No se pudo rotar la clave de autorización de Citrix Cloud [id de FAS: {0}] [id de clave actual:{1}] [id de clave nueva:{2}] [claves en la nube:{3}] |
| [S024] Iniciando la rotación de la clave de autorización de Citrix Cloud [id de FAS: {0}] [id de clave actual:{1}] [id de clave nueva:{2}] |
| [S025] La clave de autorización de este servicio está presente en Citrix Cloud [clave actual: {0}] [claves en la nube: {1}] |
| [S026] La clave de autorización de este servicio no está presente en Citrix Cloud [clave actual: {0}] [claves en la nube: {1}] |
| [S027] Se actualizó el formato de almacenamiento de la clave de autorización de Citrix Cloud [id de FAS: {0}] |
| [S028] FAS envió su telemetría actual a la nube [id de FAS: {0}] [id de transacción: {1}] |
| [S029] FAS no pudo enviar su telemetría actual a la nube [id de FAS: {0}] [id de transacción: {1}] [excepción: {2}] |
Inicio de sesión [VDA]
[Origen del evento: Citrix.Authentication.IdentityAssertion]
Estos eventos se registran en el VDA durante la fase de inicio de sesión.
| Códigos de registro |
|---|
| [S101] Error en el inicio de sesión de aserción de identidad. Índice de GPO del Servicio de autenticación federada no reconocido [índice: {0}] [nombre de registro: {1}] |
| [S102] Error en el inicio de sesión de aserción de identidad. Error en la búsqueda de SID para {0} [Excepción: {1}{2}] |
| [S103] Error en el inicio de sesión de aserción de identidad. El usuario {0} tiene el SID {1}, pero el SID esperado es {2} |
| [S104] Error en el inicio de sesión de aserción de identidad. La llamada a {0} devolvió [Error: {1} {2}] |
| [S105] Inicio de sesión de aserción de identidad. Iniciando sesión [Nombre de usuario: {0} Dominio: {1}] |
| [S106] Inicio de sesión de aserción de identidad.\n\nServicio de autenticación federada: {0}\n\nIniciando sesión [Certificado: {1}] |
| [S107] Error en el inicio de sesión de aserción de identidad. [Excepción: {0}{1}] |
| [S108] Subsistema de aserción de identidad. ACCESO_DENEGADO [Autor de la llamada: {0}] |
Certificados en sesión [VDA]
[Origen del evento: Citrix.Authentication.IdentityAssertion]
Estos eventos se registran en el VDA cuando un usuario intenta usar un certificado en sesión.
| Códigos de registro |
|---|
| [S201] Acceso a tarjeta inteligente virtual autorizado por [{0}] para [PID: {1} Nombre de programa: {2}Huella digital del certificado: {3}] |
| [S203] Subsistema de tarjeta inteligente virtual. Acceso denegado [autor de la llamada: {0}, sesión {1}] |
| [S204] Subsistema de tarjeta inteligente virtual. Compatibilidad con tarjeta inteligente deshabilitada |
Solicitud de certificado y generación de par de claves [Servicio de autenticación federada]
[Origen del evento: Citrix.Fas.PkiCore]
Estos eventos se registran cuando el servidor FAS realiza operaciones criptográficas de bajo nivel.
| Códigos de registro |
|---|
| [S001] TrustArea::TrustArea: Certificado instalado [TrustArea: {0} Certificado {1}TrustAreaJoinParameters {2}] |
| [S014] Pkcs10Request::Create: Solicitud PKCS10 creada [Nombre distintivo: {0}] [Motivo: {1}] |
| [S016] PrivateKey::Create [Identificador: {0}] [MachineWide: {1}] [Proveedor: {2}] [Tipo de proveedor: {3}] [Curva elíptica: {4}] [Longitud de clave: {5}] [esExportable: {6}] [Motivo de creación: {7}] |
| [S017] PrivateKey::Delete [Proveedor: {0}] [Identificador {1}] [Gemelo: {2}] |
| [S018] PrivateKey::Create falló [Identificador: {0}] [MachineWide: {1}] [Proveedor: {2}] [Tipo de proveedor: {3}] [Curva elíptica: {4}] [Longitud de clave: {5}] [esExportable: {6}] [Motivo de creación: {7}] [Excepción: {8}] |
| Códigos de registro |
| [S104] FAS recibió un certificado de autorización de la CA {0} |
| [S105] MicrosoftCertificateAuthority::SubmitCertificateRequest Error al enviar la respuesta [{0}] |
| [S106] MicrosoftCertificateAuthority::SubmitCertificateRequest Certificado emitido [{0}] |
| [S112] MicrosoftCertificateAuthority::SubmitCertificateRequest - Esperando aprobación [CR_DISP_UNDER_SUBMISSION] [Referencia: {0}] |
Mensajes de error para el usuario final
Esta sección enumera los mensajes de error comunes que se muestran a un usuario en la página de inicio de sesión de Windows.
| Mensaje de error mostrado | Descripción y referencia |
|---|---|
| Nombre de usuario o contraseña no válidos | El equipo cree que tienes un certificado y una clave privada válidos, pero el controlador de dominio de Kerberos ha rechazado la conexión. Consulta la sección Registros de Kerberos de este artículo. |
| El sistema no pudo iniciar tu sesión. No se pudieron verificar tus credenciales. / La solicitud no es compatible | No se puede contactar con el controlador de dominio, o el controlador de dominio no se ha configurado con un certificado para admitir la autenticación con tarjeta inteligente. Inscribe el controlador de dominio para un certificado de “Autenticación Kerberos”, “Autenticación de controlador de dominio” o “Controlador de dominio”. Vale la pena intentarlo, incluso si el certificado existente parece ser válido. |
| El sistema no pudo iniciar tu sesión. El certificado de tarjeta inteligente utilizado para la autenticación no era de confianza. | Los certificados intermedios y raíz no están instalados en el equipo local. Consulta Certificados e infraestructura de clave pública. |
| Solicitud incorrecta | Esto suele indicar que las extensiones del certificado no están configuradas correctamente, o que la clave RSA es demasiado corta (<2048 bits). |
Rastreo siempre activo de FAS
Con el rastreo siempre activo, FAS registra su actividad en el sistema de archivos. Esto puede ayudar con la solución de problemas, eliminando potencialmente la necesidad de reproducir un incidente que haya ocurrido.
El rastreo siempre activo se habilita al instalar o actualizar FAS mediante cualquiera de estos métodos:
- El instalador de Citrix Virtual Apps and Desktops™: desde el botón Federated Authentication Service en la pantalla de inicio automático cuando se inserta el ISO
-
XenDesktopFasSetup.exe: Se encuentra en el ISO de Citrix Virtual Apps and Desktops enx64\XenDesktop Setup\XenDesktopFasSetup.exe -
FasSetup_xxxx.exe: el archivo de instalación independiente de FAS, disponible en Citrix Downloads.
Nota:
El rastreo siempre activo no está disponible si instalas o actualizas usando el archivo MSI del instalador de FAS,
FederatedAuthenticationService_x64.msi.
Recopilación del rastreo siempre activo
Usa Citrix Scout para recopilar el rastreo siempre activo y otros datos de diagnóstico de tu servidor FAS. Citrix Scout se instala cuando instalas FAS mediante cualquiera de los métodos anteriores.
Deshabilitación del rastreo siempre activo
Si por alguna razón deseas deshabilitar el rastreo siempre activo, detén y deshabilita el Citrix Telemetry Service en tu servidor FAS.
Información relacionada
- Configuración de un dominio para el inicio de sesión con tarjeta inteligente
- Directivas de inicio de sesión con tarjeta inteligente
- Habilitación del registro CAPI
- Habilitación del registro de Kerberos
- Directrices para habilitar el inicio de sesión con tarjeta inteligente con entidades de certificación de terceros
En este artículo
- Certificados e infraestructura de clave pública
- Nombre UPN y asignación de certificados
- Controlar la selección del controlador de dominio para el inicio de sesión
- Habilitar eventos de auditoría de cuenta
- Registros de validación de certificados
- Registros de Kerberos
- Registros del controlador de dominio y de la estación de trabajo
- Supervisión de FAS mediante el registro de eventos de Windows
- Registros de eventos de FAS
- Mensajes de error para el usuario final
- Rastreo siempre activo de FAS
- Información relacionada