Cuando un entorno obliga al uso de credenciales basadas en chip criptográfico la curva de aprendizaje se dispara. A continuación encontrarás una guía exhaustiva, práctica y 100 % en español para eliminar los dos avisos más temidos al desplegar autenticación por tarjeta inteligente en Windows Server 2019 y estaciones Windows 10/11.
Escenario resumido
Dispones de una PKI corporativa que ya emite certificados de tipo Smart Card Logon (ECC P‑256) y de un dominio Windows Server 2019. Tras personalizar la plantilla y grabar el certificado en el token, el usuario:
- Introduce la tarjeta e intenta iniciar sesión en el equipo ya unido, y el sistema responde:
«Signing in with a smart card isn’t supported for your account. Contact your admin.» - O bien quiere unir un equipo nuevo al mismo dominio y se muestra:
«Smartcard logon is required and was not used»
Ambos sucesos se deben casi siempre a un desajuste de políticas, certificados o flujo de unión. La tabla siguiente resume la vía rápida de comprobaciones; los apartados posteriores profundizan en cada concepto, añaden comandos, advertencias de seguridad y FAQ.
Paso a paso condensado
| Paso | Qué comprobar / hacer | Motivo — Cómo ayuda |
|---|---|---|
| Verificar estado de pertenencia al dominio | Confirma que el equipo ya sea miembro. La adhesión inicial no soporta Smart Card; emplea credenciales de dominio o djoin.exe /Provision. | Evita el bucle «se exige tarjeta inteligente pero aún no hay credenciales Kerberos». |
| Revisar directivas de Grupo | En el DC: GPMC ▸ Security Options → desactiva temporalmente «Interactive logon: Require smart card». Propaga con gpupdate /force. | Impedir que la GPO bloquee la unión mientras se configura la PKI. |
| Certificados y plantillas | El certificado del token debe incluir EKU Client Auth y Smart Card Logon; el UPN ha de coincidir con la cuenta; el DC necesita su propio certificado Kerberos Authentication. | Sin EKU o ruta de confianza correcta Kerberos rechaza la autenticación. |
| Configuración de la cuenta | En ADUC activa «Smart card is required» solo cuando todo lo anterior funcione y publica el certificado en el atributo userCertificate. | Asegura que el usuario no quede fuera si la tarjeta falla. |
| DNS y conectividad | Usa solo DNS del dominio.ipconfig /flushdns y nltest /dsgetdc:DOMINIO. | Kerberos depende de DNS; un fallo genera el mensaje genérico «Smartcard logon is required…». |
| Registros y diagnóstico | Visor de eventos ▸ Seguridad 4768/4769 y Sistema (Kdc). Cliente: habilita CAPI2. | Revela si el problema es mapeo de certificado, cadena de confianza o política. |
Cómo funciona realmente Smart Card Logon
Durante el arranque interactivo el equipo cliente solicita un Ticket Granting Ticket (TGT) al KDC:
- El PIN desbloquea la clave privada del certificado de la tarjeta.
- El certificado se envía al DC dentro de la petición AS‑REQ (RFC 4556).
- El DC valida la firma, la cadena de confianza y que el UPN del certificado exista en AD.
- Si todo es correcto emite el TGT. Si algo falla, los errores anteriores aparecen.
Para la unión al dominio (Domain Join) el cliente aún no posee cuenta de equipo, por tanto no puede intercambiar Kerberos y Microsoft fuerza el uso de NTLM con usuario/contraseña —o la alternativa offline djoin.exe /Provision— antes de permitir GPO que exigen tarjeta inteligente.
Requisitos previos obligatorios
- PKI Windows o compatible: la CA debe emitir certificados con Plantilla v2 o v3 que incluya EKU
1.3.6.1.4.1.311.20.2.2y1.3.6.1.5.5.7.3.2. - Certificado de DC: plantilla «Kerberos Authentication» con la misma raíz que la tarjeta.
- Lector y minidriver firmados: desde Windows 10 1903 la mayoría de lectores USB son Inbox, pero los tokens ECC requieren minidriver actualizado.
- Compatibilidad ECC: Server 2019 soporta P‑256, P‑384 y P‑521. Tokens antiguos RSA 2048 a veces evitan cuellos de botella si tu parque de lectores no es FIPS‑201‑2.
Secuencia recomendada de despliegue
- Preparar el equipo: instalar lector, minidriver y parche de seguridad más reciente.
- Unir al dominio con contraseña o blob
djoin.exe. - Comprobar replicación de GPO:
gpresult /r /scope computer. - Emitir tarjeta inteligente: grabar certificado y verificar en
certutil -scinfo. - Publicar certificado en AD:
certutil -dsUsero desde MMC Usuarios/Equipos. - Activar la GPO “Require smart card” y la casilla en la cuenta del usuario.
- Probar inicio de sesión y revisar eventos 4768/4769.
Herramientas de diagnóstico avanzadas
Registro CAPI2
wevtutil sl Microsoft-Windows-CAPI2/Operational /e:true
Permite inspeccionar la validación paso a paso, ideal para errores de confianza entre CA intermedias.
Monitoreo Kerberos
klist sessions
klist -li 0x3e7
Previo a introducir la tarjeta, abre una consola con privilegios elevados y deja el comando a la espera. Tras el fallo, revisa el código de error Hex; los más frecuentes son 0xc0000388 (KSIGN) y 0x0 (cadena no confiable).
Auditoría de Servicios de Tarjeta Inteligente
Activa Smart Card Diagnostic (scardsvr) para capturar trazas detalladas en %windir%\System32\LogFiles\SmartCard. Ten presente eliminar los logs después: suelen contener información sensible.
Preguntas frecuentes
¿Puedo usar tarjetas inteligentes en controladores de dominio en modo núcleo?
Sí, pero el Credential Guard debe estar deshabilitado o configurado para permitir minidriver de terceros. Microsoft no soporta tarjetas físicas en DC Core que actúen como usuarios interactivos.
¿Es obligatorio desactivar la casilla “Password never expires” en usuarios con Smart Card?
No, la contraseña puede expirar: cuando el atributo Smart card is required está activo, Windows ignora el factor “pasword” y solicita solo la tarjeta.
¿Por qué funciona en Windows 10 y falla en Windows 11?
Windows 11 incorpora Windows Hello for Business Hybrid de forma más restrictiva. Si la configuración híbrida está a medias, la máquina intentará el flujo WHfB‑Cert y tu tarjeta se considerará método secundario. Desactiva WHfB o completa el aprovisionamiento.
¿Cuál es el tamaño óptimo de clave para tarjetas ECC?
P‑256 es el mínimo soportado y vale para la mayoría de entornos. P‑384 ofrece mayor seguridad al coste de un 15 % más de tiempo de firma; P‑521 solo se recomienda si tus tokens y lector cumplen FIPS 186‑4 y no penalizan rendimiento.
Buenas prácticas de seguridad
- PIN de al menos 6 dígitos y bloqueo tras 5 intentos fallidos.
- Política de bloqueo de pantalla automática a los 5 minutos si el token se retira.
- Tarjetas de administración separadas para reversión de GPO en caso de emergencia.
- Auditoría completa de plantillas duplicadas; no permitas EKU sobrantes como EFS si no se usan.
Escenarios avanzados
Despliegue masivo con SCCM o Intune
Si gestionas portátiles remotos, distribuye antes el paquete de minidriver mediante Configuration Manager. Asegura que la colección de equipo reciba la GPO certutil –pulse inmediatamente tras la unión.
Fallback a contraseña en estaciones críticas
Para servidores que ejecutan servicios desatendidos es habitual dejar una cuenta local administrativa con contraseña aleatoria almacenada en LAPS. En caso de corrupción de token podrás acceder físicamente sin deshabilitar políticas globales.
Conclusiones
La autenticación por tarjeta inteligente sigue siendo el método preferido en entornos de alta seguridad porque combina certificación, PIN local y resistencia a phishing. Sin embargo, su puesta en marcha implica al menos cuatro pilares (PKI, Kerberos, GPO y hardware) donde un solo eslabón débil basta para provocar los mensajes de error aquí descritos. Adelantarse mediante la secuencia propuesta —unión inicial con contraseña, validación de certificados, publicación en AD y activación progresiva de GPO— garantiza una migración estable y reversible hacia un entorno passwordless.
En palabras de Microsoft: «La clave para un inicio de sesión sin contraseñas es la confianza mutua entre dispositivo, identidad y controlador de dominio». Siguiendo los pasos de esta guía, esa confianza queda cimentada y tu organización podrá disfrutar de autenticación robusta, auditable y transparente para el usuario final.