SSO การติดตั้ง WAC ของเรา (ผ่านการมอบหมายตามทรัพยากร) หยุดทำงานเมื่อสัปดาห์ที่แล้วโดยไม่ทราบสาเหตุ และมันทำให้ฉันคลั่งไคล้ เหตุการณ์ต่อไปนี้ถูกบันทึกบนเซิร์ฟเวอร์ WAC เมื่อพยายามเชื่อมต่อกับไคลเอนต์ที่มีการจัดการ (ใดๆ ในนั้น) ใน WebUI:
ได้รับข้อความแสดงข้อผิดพลาด Kerberos:
ในเซสชันการเข้าสู่ระบบ
เวลาของลูกค้า:
เวลาเซิร์ฟเวอร์: 19:6:29.0000 29/11/2021 Z
รหัสข้อผิดพลาด: 0x29 KRB_AP_ERR_MODIFIED
ข้อผิดพลาดเพิ่มเติม: 0xc00000bb KLIN(0)
พื้นที่ของลูกค้า:
ชื่อลูกค้า:
พื้นที่เซิร์ฟเวอร์: DOMAIN.COM
ชื่อเซิร์ฟเวอร์: HTTP/accounting-02-m.domain.com
ชื่อเป้าหมาย: HTTP/[email protected]
ข้อความแสดงข้อผิดพลาด:
ไฟล์: onecore\ds\security\protocols\kerberos\client2\kerbtick.cxx
สาย: 128d
ข้อมูลข้อผิดพลาดอยู่ในบันทึกข้อมูล
ข้อผิดพลาดที่สอดคล้องกัน 0x29 จะถูกบันทึกบน KDC เป้าหมายด้วย
การเข้าถึง WAC WebUI นั้นใช้งานได้ดีสำหรับผู้ใช้ และ PowerShell จากระยะไกลไปยังเครื่องเป้าหมายที่อยู่นอก WAC ก็ใช้งานได้เช่นกันสำหรับผู้ใช้รายเดียวกันเมื่อการเข้าถึงเครื่องเป้าหมายถูกปฏิเสธใน WAC และข้อมูลประจำตัวได้รับพร้อมท์ ให้ป้อน my creds ด้วยตนเองเพื่ออนุญาตการเข้าถึง WebUI โดยตรงบนเซิร์ฟเวอร์ WAC อนุญาตให้ใช้เพื่อเข้าถึงเครื่องเป้าหมายผ่าน SSO สิ่งนี้ตัดปัญหาการอนุญาตและดูเหมือนว่าจะชี้ไปที่ปัญหาการมอบหมายสองครั้ง
การบันทึกการรับส่งข้อมูลเครือข่ายแสดง TGS-REQ/REP สำหรับตัวฉันเองเพื่อเข้าถึงเครื่อง WAC$ จากนั้นฉันเห็น TGS-REQ สำหรับบริการเครื่องเป้าหมาย (เช่น HTTP/accounting-02-m.domain.com) ด้วย KRB- ตัวเลือก "การมอบหมายที่มีข้อจำกัด: จริง" ตามด้วย KRB-ERROR สำหรับ KRB5KRB_AP_ERR_MODIFIED...
ฉันตรวจสอบการมอบสิทธิ์สำหรับเครื่องตัวอย่างแล้ว และดูเหมือนว่าจะเป็นตามที่คาดไว้:
การเข้าถึงเจ้าของเส้นทาง
----- ----- ------
BUILTIN\Administrators DOMAIN\WAC$ อนุญาต
ฉันแน่ใจว่าช่องทางที่ปลอดภัยทำงานระหว่างเซิร์ฟเวอร์/เป้าหมายและ DC (ฉันรีเซ็ตรหัสผ่านเครื่องอยู่แล้ว)
PS C:\> ทดสอบ-ComputerSecureChannel
จริง
ฉันตรวจสอบปัญหา SPN:
PS C:\> setspn -L accounts-02-m Registered ServicePrincipalNames for CN=ACCOUNTING-02-M,OU=Workstations,OU=Domain Computers,DC=domain,DC=com:
WSMAN/การบัญชี-02-ม
WSMAN/บัญชี-02-M.domain.com
TERMSRV/การบัญชี-02-ม
TERMSRV/บัญชี-02-M.domain.com
ถูกจำกัดKrbHost/ACCOUNTING-02-M
โฮสต์/การบัญชี-02-ม
จำกัดKrbHost/ACCOUNTING-02-M.domain.com
โฮสต์/บัญชี-02-M.domain.com
PS C:\> setspn -Q HTTP/accounting-02-m
กำลังตรวจสอบโดเมน DC=domain,DC=com
ไม่พบ SPN ดังกล่าว
ฉันเชื่อว่าการทำแผนที่ SPN ควรดูแลความเท่าเทียมกันของ HOST->HTTP:
host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent, plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,กำหนดการ,tapisrv,trksvr,trkwks,ups,เวลา,ชนะ,www, http,w3svc,iisadmin
ฉันใช้ klist ล้าง -li 0x3e7 เพื่อล้างตั๋วเครื่องก่อนการทดสอบใด ๆ
เซิร์ฟเวอร์ WAC คือ Win2019 บริการที่ทำงานในชื่อ "Network Service" KDC คือ Win2019 และไคลเอนต์ผสมกันระหว่าง Win10 และ Win2012R2/2016/2019 เดลต้าเวลาสูงสุด 1 วินาทีในทุกเครื่องที่เกี่ยวข้อง (KDC, เซิร์ฟเวอร์, เป้าหมาย) เรามีฟอเรสต์โดเมนเดียว
ฉันสงสัยว่า KB5008380 เนื่องจากข้อผิดพลาดนี้เข้าสู่ระบบ KDC:
ระหว่างการประมวลผล TGS KDC ไม่สามารถตรวจสอบลายเซ็นบน PAC จาก WAC$ ได้ สิ่งนี้บ่งชี้ว่า PAC ถูกแก้ไข
แต่ไม่พบคีย์รีจิสทรีที่ใดก็ได้ในโดเมน (หรืออัปเดตที่ติดตั้งบน KDC)
จากความเข้าใจของฉันเกี่ยวกับ Kerberos RFCs การตรวจสอบอาจล้มเหลวเนื่องจากมีการเปลี่ยนแปลงตั๋วระหว่างการขนส่ง (ไม่น่าจะเป็นไปได้) หรือบริการไม่สามารถถอดรหัสตั๋วได้เนื่องจากปัญหาช่องทางที่ปลอดภัยหรือการกำหนดค่า SPN ผิดพลาด แต่สิ่งเหล่านั้นทั้งหมดดูได้รับการกำหนดค่าอย่างถูกต้อง
ฉันพลาดอะไรไปที่นี่? อะไรเสีย?
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
