Наша система единого входа для установки WAC (через делегирование на основе ресурсов) перестала работать на прошлой неделе по неизвестным причинам, и это сводит меня с ума. На сервере WAC регистрируется следующее событие при попытке подключения к управляемому клиенту (любому из них) в WebUI:
Получено сообщение об ошибке Kerberos:
при входе в систему
Время клиента:
Время сервера: 19:6:29.0000 29.11.2021 Z
Код ошибки: 0x29 KRB_AP_ERR_MODIFIED
Расширенная ошибка: 0xc00000bb КЛИН(0)
Клиентская область:
Имя клиента:
Область сервера: DOMAIN.COM
Имя сервера: HTTP/accounting-02-m.domain.com
Целевое имя: HTTP/[email protected]
Текст ошибки:
Файл: onecore\ds\security\protocols\kerberos\client2\kerbtick.cxx
Линия: 128d
Данные об ошибке находятся в данных записи.
Соответствующая ошибка 0x29 также регистрируется на целевом KDC.
Доступ к веб-интерфейсу WAC отлично работает для пользователей, а удаленная оболочка PowerShell для целевых машин вне WAC также работает для тех же пользователей.Когда в WAC отказано в доступе к целевой машине и запрашиваются учетные данные, ввод моих учетных данных вручную разрешает доступ. WebUI непосредственно на сервере WAC позволяет использовать его по назначению для доступа к целевым машинам через SSO. Это исключает проблемы с разрешениями и, по-видимому, указывает на проблему делегирования двойного перехода.
Захват сетевого трафика показывает TGS-REQ/REP для моего доступа к машине WAC$, а затем я вижу TGS-REQ для службы целевой машины (т.е. HTTP/accounting-02-m.domain.com) с KRB- ОПЦИЯ "ограниченное делегирование: True", за которой следует KRB-ERROR для KRB5KRB_AP_ERR_MODIFIED...
Я проверил делегирование для образца машины, и оно выглядит так, как ожидалось:
Доступ владельца пути
---- ----- ------
BUILTIN\Администраторы DOMAIN\WAC$ Разрешить
Я убедился, что безопасный канал работает между сервером/целью и контроллером домена (в любом случае я сбросил машинный пароль)
PS C:\> Test-ComputerSecureChannel
истинный
Я проверяю наличие проблем с SPN:
PS C:\> setspn -L Accounting-02-m Зарегистрированные ServicePrincipalNames для CN=ACCOUNTING-02-M,OU=Workstations,OU=Domain Computers,DC=domain,DC=com:
WSMAN/БУХГАЛТЕРИЯ-02-М
WSMAN/БУХГАЛТЕРИЯ-02-M.domain.com
УСЛОВИЯ РВ/БУХГАЛТЕРИЯ-02-М
УСЛОВИЯ RV/УЧЕТ-02-M.domain.com
ОграниченныйKrbHost/БУХГАЛТЕРИЯ-02-M
ХОЗЯИН/БУХГАЛТЕРИЯ-02-М
RestrictedKrbHost/ACCOUNTING-02-M.domain.com
ХОСТ/ОТЧЕТ-02-M.domain.com
PS C:\> setspn -Q HTTP/accounting-02-m
Проверка домена DC=domain,DC=com
Такой SPN не найден.
Я считаю, что отображение SPN должно заботиться об эквивалентности HOST-> HTTP:
host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent, plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www, http, w3svc, iisadmin
я использую клист очистка -li 0x3e7 для очистки машинных билетов перед любым тестированием.
Сервер WAC — Win2019, служба работает как «Сетевая служба», KDC — Win2019, а клиенты — сочетание Win10 и Win2012R2/2016/2019. Разница во времени составляет не более 1 с на всех задействованных машинах (KDC, сервер, цель). У нас есть один доменный лес.
Я подозревал KB5008380 из-за этой ошибки, зарегистрированной в KDC:
Во время обработки TGS KDC не удалось проверить подпись в PAC от WAC$. Это указывает на то, что PAC был изменен.
Но нигде в домене не удалось найти раздел реестра (и обновление, установленное на KDC).
Насколько я понимаю RFC Kerberos, либо происходит сбой контрольной суммы из-за измененного билета в пути (маловероятно), либо служба не может расшифровать билет из-за проблемы с безопасным каналом или неправильной конфигурации SPN, но все они выглядят правильно настроенными.
Что мне здесь не хватает? Что сломано?
