Windows Admin Center 리소스 기반 위임이 KRB_AP_ERR_MODIFIED 오류로 인해 작동이 중지되었습니다.

WAC 설치 SSO(리소스 기반 위임을 통해)가 알 수 없는 이유로 지난주 작동을 중단했고 이로 인해 화가 났습니다. WebUI에서 관리되는 클라이언트(모두)에 연결하려고 하면 WAC 서버에 다음 이벤트가 기록됩니다.

A Kerberos error message was received:
 on logon session 
 Client Time: 
 Server Time: 19:6:29.0000 11/29/2021 Z
 Error Code: 0x29 KRB_AP_ERR_MODIFIED
 Extended Error: 0xc00000bb KLIN(0)
 Client Realm: 
 Client Name: 
 Server Realm: DOMAIN.COM
 Server Name: HTTP/accounting-02-m.domain.com
 Target Name: HTTP/[email protected]
 Error Text: 
 File: onecore\ds\security\protocols\kerberos\client2\kerbtick.cxx
 Line: 128d
 Error Data is in record data.

해당 오류 0x29도 대상 KDC에 기록됩니다.

WAC WebUI에 대한 액세스는 사용자에게 적합하며, 동일한 사용자에 대해서도 WAC 작업 외부의 대상 컴퓨터에 대한 원격 PowerShell이 ​​작동합니다. WAC에서 대상 컴퓨터에 대한 액세스가 거부되고 자격 증명이 표시되면 내 자격 증명을 수동으로 입력하면 액세스가 허용됩니다. WAC 서버에서 직접 WebUI를 사용하면 SSO를 통해 대상 시스템에 액세스할 수 있습니다. 이는 권한 문제를 배제하고 이중 홉 위임 문제를 가리키는 것으로 보입니다.

네트워크 트래픽 캡처에는 WAC$ 시스템에 액세스하기 위한 TGS-REQ/REP가 표시되고 KRB-를 사용하여 대상 시스템 서비스(예: HTTP/accounting-02-m.domain.com)에 대한 TGS-REQ가 표시됩니다. 옵션 "제한된 위임: True", KRB5KRB_AP_ERR_MODIFIED에 대한 KRB-ERROR...

샘플 머신에 대한 위임을 확인했는데 예상한 대로 보입니다.

Path Owner                    Access  
---- -----                     ------ 
     BUILTIN\Administrators   DOMAIN\WAC$ Allow

서버/대상과 DC 간에 보안 채널이 작동하는지 확인했습니다. (어쨌든 컴퓨터 비밀번호를 재설정했습니다.)

PS C:\> Test-ComputerSecureChannel
true

SPN 문제를 확인합니다.

PS C:\> setspn -L accounting-02-m Registered ServicePrincipalNames for CN=ACCOUNTING-02-M,OU=Workstations,OU=Domain Computers,DC=domain,DC=com:
WSMAN/ACCOUNTING-02-M
WSMAN/ACCOUNTING-02-M.domain.com
TERMSRV/ACCOUNTING-02-M
TERMSRV/ACCOUNTING-02-M.domain.com
RestrictedKrbHost/ACCOUNTING-02-M
HOST/ACCOUNTING-02-M
RestrictedKrbHost/ACCOUNTING-02-M.domain.com
HOST/ACCOUNTING-02-M.domain.com

PS C:\> setspn -Q HTTP/accounting-02-m
Checking domain DC=domain,DC=com

No such SPN found.

나는 SPN 매핑이 HOST->HTTP 동등성을 처리해야 한다고 생각합니다.

host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,w3svc,iisadmin

나는 klist purge -li 0x3e7테스트 전에 기계 티켓을 지우는 데 사용합니다.

WAC 서버는 Win2019, "네트워크 서비스"로 실행되는 서비스, KDC는 Win2019, 클라이언트는 Win10과 Win2012R2/2016/2019의 혼합입니다. 시간 델타는 관련된 모든 시스템(KDC, 서버, 대상)에서 최대 1초입니다. 단일 도메인 포리스트가 있습니다.

KDC에 기록된 다음 오류로 인해 KB5008380이 의심되었습니다.

During TGS processing, the KDC was unable to verify the signature on the PAC from WAC$. This indicates the PAC was modified.

그러나 도메인 어디에서나 레지스트리 키를 찾을 수 없습니다(KDC에 설치된 업데이트도 마찬가지).

Kerberos RFC에 대해 제가 이해한 바에 따르면 전송 중 변경된 티켓으로 인해 체크섬이 실패하거나(가능성 없음) 보안 채널 문제 또는 SPN 구성 오류로 인해 서비스가 티켓을 해독할 수 없지만 모두 올바르게 구성된 것으로 보입니다.

내가 여기서 무엇을 놓치고 있는 걸까요? 무엇이 깨졌나요?