Делегирование на основе ресурсов Центра администрирования Windows перестало работать из-за ошибки KRB_AP_ERR_MODIFIED
Наша установка единого входа WAC (через делегирование на основе ресурсов) перестала работать на прошлой неделе по неизвестным причинам, и это сводит меня с ума. Следующее событие регистрируется на сервере WAC при попытке подключения к управляемому клиенту (любому из них) в веб-интерфейсе:
A Kerberos error message was received:
on logon session
Client Time:
Server Time: 19:6:29.0000 11/29/2021 Z
Error Code: 0x29 KRB_AP_ERR_MODIFIED
Extended Error: 0xc00000bb KLIN(0)
Client Realm:
Client Name:
Server Realm: DOMAIN.COM
Server Name: HTTP/accounting-02-m.domain.com
Target Name: HTTP/accounting-02-m.domain.com@DOMAIN.COM
Error Text:
File: onecore\ds\security\protocols\kerberos\client2\kerbtick.cxx
Line: 128d
Error Data is in record data.
Соответствующая ошибка 0x29 также регистрируется на целевом KDC.
Доступ к веб-интерфейсу WAC работает нормально для пользователей, и удаленный PowerShell для целевых компьютеров за пределами WAC также работает для тех же пользователей. Когда доступ к целевой машине в WAC запрещен и запрашиваются учетные данные, ввод моих учетных данных вручную разрешает доступ. Веб-интерфейс непосредственно на сервере WAC позволяет использовать его по назначению для доступа к целевым машинам через единый вход. Это исключает проблемы с разрешениями и, похоже, указывает на проблему делегирования двойного прыжка.
Захват сетевого трафика показывает TGS-REQ/REP для меня для доступа к машине WAC$, а затем я вижу TGS-REQ для целевой службы машины (т. е. HTTP/accounting-02-m.domain.com) с KRB- ОПЦИЯ «ограниченное делегирование: True», за которой следует KRB-ERROR для KRB5KRB_AP_ERR_MODIFIED...
Я проверил делегирование на образце машины, и все выглядит так, как ожидалось:
Path Owner Access
---- ----- ------
BUILTIN\Administrators DOMAIN\WAC$ Allow
Я убедился, что безопасный канал между сервером/целью и контроллером домена работает (я все равно сбрасываю пароль компьютера)
PS C:\> Test-ComputerSecureChannel
true
Я проверяю наличие проблем с SPN:
PS C:\> setspn -L accounting-02-m Registered ServicePrincipalNames for CN=ACCOUNTING-02-M,OU=Workstations,OU=Domain Computers,DC=domain,DC=com:
WSMAN/ACCOUNTING-02-M
WSMAN/ACCOUNTING-02-M.domain.com
TERMSRV/ACCOUNTING-02-M
TERMSRV/ACCOUNTING-02-M.domain.com
RestrictedKrbHost/ACCOUNTING-02-M
HOST/ACCOUNTING-02-M
RestrictedKrbHost/ACCOUNTING-02-M.domain.com
HOST/ACCOUNTING-02-M.domain.com
PS C:\> setspn -Q HTTP/accounting-02-m
Checking domain DC=domain,DC=com
No such SPN found.
Я считаю, что сопоставление SPN должно обеспечивать эквивалентность HOST->HTTP:
host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,w3svc,iisadmin
я использую
Сервер WAC — Win2019, служба работает как «Сетевая служба», KDC — Win2019, а клиенты — смесь Win10 и Win2012R2/2016/2019. Разница во времени составляет максимум 1 секунду на всех задействованных компьютерах (KDC, Сервер, Цель). У нас есть один доменный лес.
Я подозревал KB5008380 из-за этой ошибки, зарегистрированной в KDC:
During TGS processing, the KDC was unable to verify the signature on the PAC from WAC$. This indicates the PAC was modified.
Но нигде в домене не удалось найти ключ реестра (ни обновление, установленное на KDC).
Насколько я понимаю в RFC Kerberos, либо контрольная сумма не удалась из-за изменения билета при передаче (маловероятно), либо служба не может расшифровать билет из-за проблемы с безопасным каналом или неправильной конфигурации SPN, но все они выглядят правильно настроенными.
Что мне здесь не хватает? Что сломано?