SSO cài đặt WAC của chúng tôi (thông qua ủy quyền dựa trên tài nguyên) đã ngừng hoạt động vào tuần trước mà không rõ lý do và điều đó khiến tôi phát điên. Sự kiện sau được ghi trên máy chủ WAC khi cố gắng kết nối với máy khách được quản lý (bất kỳ máy khách nào) trong WebUI:
Đã nhận được thông báo lỗi Kerberos:
trong phiên đăng nhập
Thời gian khách hàng:
Thời gian máy chủ: 19:6:29.0000 29/11/2021 Z
Mã lỗi: 0x29 KRB_AP_ERR_MODIFIED
Lỗi mở rộng: 0xc00000bb KLIN(0)
Lĩnh vực khách hàng:
Tên khách hàng:
Vương quốc máy chủ: DOMAIN.COM
Tên máy chủ: HTTP/accounting-02-m.domain.com
Tên mục tiêu: HTTP/[email protected]
Văn bản lỗi:
Tệp: onecore\ds\security\protocols\kerberos\client2\kerbtick.cxx
Dòng: 128d
Dữ liệu Lỗi nằm trong dữ liệu bản ghi.
Lỗi 0x29 tương ứng cũng được ghi vào KDC được nhắm mục tiêu.
Quyền truy cập vào WAC WebUI hoạt động tốt đối với người dùng và PowerShell từ xa để nhắm mục tiêu các máy bên ngoài WAC cũng hoạt động đối với cùng người dùng.Khi quyền truy cập vào máy đích trong WAC bị từ chối và thông tin xác thực được nhắc, việc nhập thông tin xác thực của tôi theo cách thủ công sẽ cho phép truy cập. WebUI trực tiếp trên máy chủ WAC cho phép sử dụng nó như dự định để truy cập các máy mục tiêu thông qua SSO. Điều này loại trừ các vấn đề về quyền và dường như chỉ ra vấn đề ủy quyền hai bước.
Bản chụp lưu lượng mạng hiển thị TGS-REQ/REP để tôi truy cập vào máy WAC$ và sau đó tôi thấy TGS-REQ cho dịch vụ máy được nhắm mục tiêu (tức là HTTP/accounting-02-m.domain.com) với KRB- TÙY CHỌN "ủy quyền hạn chế: Đúng", theo sau là KRB-ERROR cho KRB5KRB_AP_ERR_MODIFIED...
Tôi đã kiểm tra ủy quyền cho một máy mẫu và có vẻ như mong đợi:
Quyền truy cập của chủ sở hữu đường dẫn
---- ----- ------
BUILTIN\Quản trị viên MIỀN\WAC$ Cho phép
Tôi đảm bảo rằng kênh bảo mật đang hoạt động giữa máy chủ/mục tiêu và DC (dù sao tôi cũng đặt lại mật khẩu máy)
PS C:\> Test-ComputerSecureChannel
thật
Tôi kiểm tra các sự cố SPN:
PS C:\> setspn -Laccount-02-m Registered ServicePrincipalNames for CN=ACCOUNTING-02-M,OU=Workstations,OU=Domain Computers,DC=domain,DC=com:
WSMAN/KẾ TOÁN-02-M
WSMAN/KẾ TOÁN-02-M.domain.com
TERMSRV/KẾ TOÁN-02-M
TERMSRV/KẾ TOÁN-02-M.domain.com
Bị hạn chếKrbHost/KẾ TOÁN-02-M
HOST/KẾ TOÁN-02-M
Bị hạn chếKrbHost/KẾ TOÁN-02-M.domain.com
MÁY CHỦ/KẾ TOÁN-02-M.domain.com
PS C:\> setspn -Q HTTP/accounting-02-m
Kiểm tra tên miền DC=domain,DC=com
Không tìm thấy SPN như vậy.
Tôi tin rằng ánh xạ SPN sẽ quan tâm đến tính tương đương của HOST-> HTTP:
máy chủ=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent, plugplay,protectedstorage, rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,up,time,wins,www, http,w3svc,iisadmin
tôi sử dụng klist thanh lọc -li 0x3e7 để xóa vé máy trước bất kỳ thử nghiệm nào.
Máy chủ WAC là Win2019, dịch vụ chạy dưới dạng "Dịch vụ mạng", KDC là Win2019 và các máy khách là sự kết hợp giữa Win10 và Win2012R2/2016/2019. Đồng bằng thời gian tối đa là 1 giây trên tất cả các máy liên quan (KDC, Máy chủ, Mục tiêu). Chúng tôi có một khu rừng tên miền duy nhất.
Tôi nghi ngờ KB5008380 do lỗi này được đăng nhập trên KDC:
Trong quá trình xử lý TGS, KDC không thể xác minh chữ ký trên PAC từ WAC$. Điều này cho biết PAC đã được sửa đổi.
Nhưng không thể tìm thấy khóa đăng ký ở bất kỳ đâu trong miền (cũng như bản cập nhật được cài đặt trên KDC).
Theo hiểu biết của tôi về Kerberos RFC, tổng kiểm tra không thành công do vé bị thay đổi trong quá trình vận chuyển (không chắc) hoặc dịch vụ không thể giải mã vé do sự cố kênh bảo mật hoặc cấu hình sai SPN nhưng tất cả những thứ đó đều có vẻ được định cấu hình chính xác.
Tôi đang thiếu gì ở đây? Cái gì bị hỏng?
