问题[windows-authentication](server)

从客户端连接时，我收到了众所周知的 WCF 服务错误。

服务器已拒绝客户端凭据。登录尝试失败。

如this question中所述。

我的问题是我只从 Windows 域中两台特定计算机的一个用户帐户中收到错误。 从具有相同用户帐户的其他计算机，或从具有问题用户帐户的那两台特定计算机，一切正常。有问题的用户帐户是 WCF 服务器上的本地管理员，并且以任何方式登录到 RDP 或共享都没有问题。用户帐户最近已移至 AD 中的另一个 OU。

当我使用 RDP 连接到具有特定用户名的特定计算机时，问题消失并且一切正常 - 直到重新启动。

有什么想法可能导致这样一个奇怪的问题吗？

  <system.serviceModel>
    <bindings>
      <netTcpBinding>
        <binding name="ESTCPEndpoint" sendTimeout="00:15:00" closeTimeout="0:15:00" receiveTimeout="0:15:00" openTimeout="00:15:00" maxBufferPoolSize="512000000" maxBufferSize="512000000" maxReceivedMessageSize="512000000">
          <readerQuotas maxDepth="32" maxStringContentLength="512000000" maxArrayLength="512000000" maxBytesPerRead="512000000" maxNameTableCharCount="512000000" />
          <security mode="Transport">
            <transport clientCredentialType="Windows" />
          </security>
        </binding>
      </netTcpBinding>
    </bindings>
    <client>
      <endpoint address="net.tcp://xxxxxx/ESService" binding="netTcpBinding" bindingConfiguration="ESTCPEndpoint" contract="ESS.IESService" name="ESTCPEndpoint" behaviorConfiguration="ESClientBehavior">
        <identity>
          <dns value="localhost" />
        </identity>
      </endpoint>
    </client>
    <behaviors>
      <endpointBehaviors>
        <behavior name="ESClientBehavior">
          <dataContractSerializer maxItemsInObjectGraph="2147483647" />
        </behavior>
      </endpointBehaviors>
    </behaviors>
  </system.serviceModel>

我们遇到无法安装软件应用程序的情况，因为安装期间使用的管理员帐户在先决条件检查期间被锁定。经过一番调查，我们找到了原因：先决条件检查通过RPC调用服务器的IP地址而不是其FQDN来查看其他服务器的远程注册表设置，并且由于某种原因导致身份验证失败并锁定帐户。

我们通过执行以下操作验证了这一点：

• 使用 regedit 并尝试使用服务器的 FQDN 连接到另一个 AD 服务器的注册表时，它可以毫无问题地连接。
• 当我们使用服务器的 IP 地址尝试相同的连接时，它会提示输入新凭据。
• 所有 AD 凭据都将失败并最终锁定正在使用的帐户，但使用本地管理员帐户没有问题。

我们也在环境中的其他服务器上执行了此测试，但它们在通过 IP 连接和身份验证方面没有问题。我们比较了 NIC/DNS/WINS 设置，但没有显着差异。我们正在交叉检查 GPO 设置，但我们不希望找到任何东西。

我们显然可以只使用本地管理员帐户，但我们想了解为什么使用 IP 地址而不是 FQDN 的 RPC 调用会导致 AD 身份验证失败并锁定 AD 帐户。有任何想法吗？

Windows ID（例如 MyDomain\someuser ）将具有唯一的SID（例如 S-1-5-21-1695517229-881958489-217698969-1001）

该ID在登录期间使用，这证实了它在本质上也是唯一的。

那么SID的目的是什么？

对我来说似乎是一个多余的主键！

是否可以在根 AD 域和子 AD 域之间共享 UPN？我们正在考虑有关如何构建 Active Directory 域的选项，并在业务被出售时选择拆分子域。

理想情况下，如果他们可以位于不同的域中但共享一个 UPN，这将大大加快我们在需要时做出响应并开辟环境的速度。

我有一个 Yubikey 5 NFC，我正在尝试在测试台上配置它以进行 Windows 登录身份验证。我似乎无法获得注册 Yubikey 的证书。我遵循了 Yubikey 智能卡部署指南，但似乎没有按预期工作。

到目前为止，我有：

• 创建域控制器 (Windows Server 2012 R2) 并使用 Active Directory 和证书颁发机构对其进行配置
• 我创建了一个 Windows 10 工作站并将其连接到域控制器
• 为智能卡身份验证配置的 CA
• 确认智能卡迷你驱动程序已正确安装在 Windows 10 上
• 为自我注册创建了智能卡登录模板
• 发布模板并将其添加到 GPO“默认域策略”

当我以新用户身份登录 Windows 10 机器时，它会提示用户配置证书。注册证书向导创建证书并将其颁发给 MMC --> 控制台根目录 --> 证书 - 当前用户 --> 个人 --> 证书

它不要求提供 Yubikey PIN，它只是完成了设置向导。我似乎无法获得前往 Yubikey 的证书。我尝试了一种解决方法，即导出证书和私钥，然后手动将其添加到 Yubikey 上的插槽中，但是当我将其插入 Windows 10 机器时，尝试使用智能卡登录时出现错误，提示“否在此智能卡上找到了有效的证书。请尝试其他智能卡或联系您的管理员”。

任何帮助或指导将不胜感激！

我正在阅读有关IIS7 中的 Windows 身份验证的信息

我从经验中知道，Windows 身份验证在技术上使用 IIS 在 Internet 上可以正常工作——这意味着用户面临 401 未授权的挑战，并且大多数浏览器（Chrome、FF、IE、Safari）都会提示输入 Windows 域\用户和密码，如果身份验证成功，如果授权，用户将获得请求的页面。

但后来我读到了这个：

Windows 身份验证不适合在 Internet 环境中使用，因为该环境不需要或加密用户凭据。

HTTPS 可用于加密，但我正在寻求另一部分的澄清。

“不需要用户凭据”是什么意思？

基于此，真正的问题是：除了使用 HTTPS 进行加密之外，我如何以安全的方式实现 Windows 身份验证以在 Internet 环境中使用？

微软的说法似乎没有根据。我知道如果使用 NTLM 而不是 Kerberos，您将失去与受信任的第三方身份提供者的直接连接，但这并不能向我解释为什么如果实施得当则不需要凭据。求那个方法。谢谢。

我想为我为公司创建的数据库使用 MSSQL 身份验证。

问题是，由于公司政治，IT部门不会分配任何虚拟服务器空间给我们。

使用坐在办公室某处的笔记本电脑作为服务器似乎也不明智，因为这是一台不安全的机器。

所以现在，我将使用远程主机。

这使得 SQL 身份验证成为一种可能的解决方案，但客户不希望他们必须使用另一个登录名来登录。他们希望能够使用公司域中已有的登录名。

这让我想到了我的问题：有没有办法让 MSSQL 服务器远程对域进行身份验证？

我的第一直觉是虚拟专用网络。我们通过我们的 IT 部门拥有这样一个系统，但这需要主机和 IT 部门（一直不合作）的额外合作。

有人有什么建议吗？

我已经为我们的 iPad MDM 设置 Cisco Meraki 有一段时间了，它非常棒。我现在正试图通过在注册时添加 AD 身份验证来进一步设置。

我已经按照Cisco Meraki 的这个操作指南，我正在使用第三个选项Active Directory via SM Agent。

从 Meraki 的角度来看，一切似乎都很好。我刚刚在状态列下添加的域控制器旁边出现了绿色复选标记。

在 iPad 上，注册时，它会要求输入用户名和密码，但我尝试的任何用户名、电子邮件地址等组合都不起作用。

服务器上的 Windows 防火墙已关闭，我已经仔细检查了 Meraki 的防火墙信息页面。我所有需要的端口似乎都已正确打开。我还在 Meraki 客户端控制台中获得了良好的 Windows 服务器连接状态。

我错过了一步？

我有两台服务器。两者都运行 IIS7.5。

它们都运行相同版本的基于 Web 的应用程序，该应用程序占用多个应用程序池（它作为许多小服务等运行）。

我有一个连接到该应用程序并可以提取数据的 excel 插件。

我所知道的两台机​​器之间的唯一区别是，工作的那台使用标准帐户、localsystem、apppoolidentity 等运行其所有应用程序池。

失败的一个对其大多数应用程序池（主要是 Web 应用程序使用的）使用特定的服务帐户。

问题的症结似乎是在工作机器上的交换如下 -

POST /Service/Hierarchy.svc - 80 - 10.100.69.49 - 200 0 0 0
GET /Application/login/login.dll - 80 DOM\Account 10.100.69.49 - 200 0 0 140

在失败的服务器上 -

POST /Service/Hierarchy.svc - 80 - 10.100.69.49 - 200 0 0 0
GET /Application/login/login.dll - 80 - 10.100.69.49 - 401 2 5 358

请注意该帐户没有通过。

我可以看到的所有其他设置都是相同的，除了....在那个 application/login/login.dll 身份验证设置上，在工作服务器上它是 Negotiate 然后是 NTLM，在失败的服务器上，如果我这样说的话应用程序的其他部分停止处理需要凭据的 401 挑战。

任何人都可以就如何调试这个提供任何建议吗？

谢谢

编辑：这是对失败尝试的精简wireshark 捕获。

GET /Application/login/login.dll HTTP/1.1
Authorization: Negotiate YIILwgYGKwYBBQUCoIILtjCCC7KgM...etc
Host: MachineName

HTTP/1.1 401 Unauthorized
Content-Type: text/html
Server: Microsoft-IIS/7.5
WWW-Authenticate: Negotiate oYGNMIGKoAMKAQGhC...etc
WWW-Authenticate: NTLM
X-Powered-By: ASP.NET
Date: Wed, 20 Apr 2016 05:42:58 GMT
Content-Length: 1293

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
...html
<title>401 - Unauthorized: Access is denied due to invalid credentials.</title>
...html
<div id="header"><h1>Server Error</h1></div>
  <h2>401 - Unauthorized: Access is denied due to invalid credentials.</h2>
  <h3>You do not have permission to view this directory or page using the credentials that you supplied.</h3>
...html



GET /Application/login/login.dll HTTP/1.1
Authorization: Negotiate oYILiTCCC4WgAwoBAa...etc
Host: MachineName

HTTP/1.1 401 Unauthorized
Content-Type: text/html
Server: Microsoft-IIS/7.5
WWW-Authenticate: Negotiate oX8wfaADCgEBonYEdGByBgk...etc
WWW-Authenticate: NTLM
X-Powered-By: ASP.NET
Date: Wed, 20 Apr 2016 05:42:58 GMT
Content-Length: 1293

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
...html
<title>401 - Unauthorized: Access is denied due to invalid credentials.</title>
...html
<div id="header"><h1>Server Error</h1></div>
...html
  <h2>401 - Unauthorized: Access is denied due to invalid credentials.</h2>
  <h3>You do not have permission to view this directory or page using the credentials that you supplied.</h3>
...html

我知道有问题的用户可以访问请求中的 url，所以我可以手动调用 /Application/login/login.dll。

是

GET /Application/login/login.dll HTTP/1.1
Authorization: Negotiate YIILwgYGKwYBBQUCoIILtjCCC7KgM...etc
Host: MachineName 

它试图在哪里传递用户名？这可能会失败，这就是为什么我没有看到用户被通过？

再次感谢

编辑：

我在 Wireshark 中看到了以前不存在的 KRB5KRB_AP_ERR_MODIFIED，在详细信息中它还列出了运行 AppPool 的 ServiceAccount。

所以我认为这可能与此有关-Windows Authentication KRB5KRB_AP_ERR_MODIFIED

我想清除用户在远程机器上存储的凭据。无需让用户登录并打开 Cred 管理器 GUI 或在他们登录的情况下运行 CMDKEY。

用户配置文件下的文件系统上是否有存储凭据的位置？我可以以这种方式将它们从文件系统中删除以清除另一个用户的缓存凭据吗？