Nuestro SSO de instalación de WAC (a través de delegación basada en recursos) dejó de funcionar la semana pasada por razones desconocidas y me está volviendo loco. El siguiente evento se registra en el servidor WAC al intentar conectarse a un cliente administrado (cualquiera de ellos) en la WebUI:
A Kerberos error message was received:
on logon session
Client Time:
Server Time: 19:6:29.0000 11/29/2021 Z
Error Code: 0x29 KRB_AP_ERR_MODIFIED
Extended Error: 0xc00000bb KLIN(0)
Client Realm:
Client Name:
Server Realm: DOMAIN.COM
Server Name: HTTP/accounting-02-m.domain.com
Target Name: HTTP/[email protected]
Error Text:
File: onecore\ds\security\protocols\kerberos\client2\kerbtick.cxx
Line: 128d
Error Data is in record data.
El error correspondiente 0x29 también se registra en el KDC de destino.
El acceso a WAC WebUI funciona bien para los usuarios y PowerShell remoto para apuntar a máquinas fuera de WAC también funciona para los mismos usuarios. Cuando se deniega el acceso a la máquina de destino en WAC y se solicitan las credenciales, ingresar mis credenciales manualmente permite el acceso. La WebUI directamente en el servidor WAC permite usarlo según lo previsto para acceder a las máquinas de destino a través de SSO. Esto descarta problemas de permisos y parece apuntar hacia un problema de delegación de doble salto.
Una captura del tráfico de red muestra el TGS-REQ/REP para que yo pueda acceder a la máquina WAC$ y luego veo el TGS-REQ para el servicio de la máquina objetivo (es decir, HTTP/accounting-02-m.domain.com) con KRB- OPCIÓN "delegación restringida: Verdadero", seguida del KRB-ERROR para KRB5KRB_AP_ERR_MODIFIED...
Revisé la delegación de una máquina de muestra y tiene el aspecto esperado:
Path Owner Access
---- ----- ------
BUILTIN\Administrators DOMAIN\WAC$ Allow
Me aseguré de que el canal seguro funcione entre el servidor/destino y DC (de todos modos restablezco la contraseña de la máquina)
PS C:\> Test-ComputerSecureChannel
true
Compruebo si hay problemas con SPN:
PS C:\> setspn -L accounting-02-m Registered ServicePrincipalNames for CN=ACCOUNTING-02-M,OU=Workstations,OU=Domain Computers,DC=domain,DC=com:
WSMAN/ACCOUNTING-02-M
WSMAN/ACCOUNTING-02-M.domain.com
TERMSRV/ACCOUNTING-02-M
TERMSRV/ACCOUNTING-02-M.domain.com
RestrictedKrbHost/ACCOUNTING-02-M
HOST/ACCOUNTING-02-M
RestrictedKrbHost/ACCOUNTING-02-M.domain.com
HOST/ACCOUNTING-02-M.domain.com
PS C:\> setspn -Q HTTP/accounting-02-m
Checking domain DC=domain,DC=com
No such SPN found.
Creo que el mapeo SPN debería encargarse de la equivalencia HOST->HTTP:
host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,w3svc,iisadmin
Utilizo klist purge -li 0x3e7para borrar los tickets de la máquina antes de cualquier prueba.
El servidor WAC es Win2019, el servicio se ejecuta como "Servicio de red", los KDC son Win2019 y los clientes son una combinación de Win10 y Win2012R2/2016/2019. El delta de tiempo es máximo de 1 segundo en todas las máquinas involucradas (KDC, servidor, destino). Tenemos un bosque de dominio único.
Sospeché KB5008380 debido a este error registrado en el KDC:
During TGS processing, the KDC was unable to verify the signature on the PAC from WAC$. This indicates the PAC was modified.
Pero no pude encontrar la clave de registro en ninguna parte del dominio (ni la actualización instalada en los KDC).
Según tengo entendido sobre los RFC de Kerberos, la suma de verificación falla debido a un boleto alterado en tránsito (poco probable) o el servicio no puede descifrar el boleto debido a un problema de canal seguro o una mala configuración del SPN, pero todos parecen configurados correctamente.
¿Que me estoy perdiendo aqui? ¿Qué está roto?
Respuesta1
Ok, resulta que KB5007206 es el culpable, aunque las notas iniciales no mencionaron el problema potencial... no estoy arriesgando la actualización OOB, por lo que desinstalar KB5007206 en los DC resolvió el problema.