JulioQc's questions

我们的 WAC 安装 SSO（通过基于资源的委派）上周因未知原因停止工作，这让我发疯。尝试连接到 WebUI 中的托管客户端（其中任何一个）时，WAC 服务器上会记录以下事件：

A Kerberos error message was received:
 on logon session 
 Client Time: 
 Server Time: 19:6:29.0000 11/29/2021 Z
 Error Code: 0x29 KRB_AP_ERR_MODIFIED
 Extended Error: 0xc00000bb KLIN(0)
 Client Realm: 
 Client Name: 
 Server Realm: DOMAIN.COM
 Server Name: HTTP/accounting-02-m.domain.com
 Target Name: HTTP/[email protected]
 Error Text: 
 File: onecore\ds\security\protocols\kerberos\client2\kerbtick.cxx
 Line: 128d
 Error Data is in record data.

相应的错误 0x29 也会记录在目标 KDC 上。

对 WAC WebUI 的访问适用于用户，而远程 PowerShell 对 WAC 之外的目标计算机也适用于相同的用户。当 WAC 中的目标计算机被拒绝访问并提示凭据时，手动输入我的凭据允许访问。直接在 WAC 服务器上的 WebUI 允许按预期使用它通过 SSO 访问目标机器。这排除了权限问题，似乎指向双跳委托问题。

网络流量捕获显示了我自己访问 WAC$ 机器的 TGS-REQ/REP，然后我看到目标机器服务（即 HTTP/accounting-02-m.domain.com）的 TGS-REQ 和 KRB-选项“约束委托：真”，后跟 KRB5KRB_AP_ERR_MODIFIED 的 KRB-ERROR...

我检查了一个示例机器的委托，它看起来符合预期：

Path Owner                    Access  
---- -----                     ------ 
     BUILTIN\Administrators   DOMAIN\WAC$ Allow

我确保安全通道在服务器/目标和 DC 之间工作（无论如何我都重置了机器密码）

PS C:\> Test-ComputerSecureChannel
true

我检查 SPN 问题：

PS C:\> setspn -L accounting-02-m Registered ServicePrincipalNames for CN=ACCOUNTING-02-M,OU=Workstations,OU=Domain Computers,DC=domain,DC=com:
WSMAN/ACCOUNTING-02-M
WSMAN/ACCOUNTING-02-M.domain.com
TERMSRV/ACCOUNTING-02-M
TERMSRV/ACCOUNTING-02-M.domain.com
RestrictedKrbHost/ACCOUNTING-02-M
HOST/ACCOUNTING-02-M
RestrictedKrbHost/ACCOUNTING-02-M.domain.com
HOST/ACCOUNTING-02-M.domain.com

PS C:\> setspn -Q HTTP/accounting-02-m
Checking domain DC=domain,DC=com

No such SPN found.

我相信 SPN 映射应该注意 HOST->HTTP 等价性：

host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,w3svc,iisadmin

我用来klist purge -li 0x3e7在任何测试之前清除机器票。

WAC 服务器是 Win2019，服务作为“网络服务”运行，KDC 是 Win2019，客户端是 Win10 和 Win2012R2/2016/2019 的混合。所有涉及的机器（KDC、服务器、目标）上的时间增量最大为 1 秒。我们有一个单一的域森林。

由于在 KDC 上记录了此错误，我怀疑 KB5008380：

During TGS processing, the KDC was unable to verify the signature on the PAC from WAC$. This indicates the PAC was modified.

但是在域中的任何地方都找不到注册表项（也找不到安装在 KDC 上的更新）。

根据我对 Kerberos RFC 的理解，校验和由于传输中的票证更改而失败（不太可能），或者由于安全通道问题或 SPN 配置错误，服务无法解密票证，但所有这些看起来都已正确配置。

我在这里想念什么？什么坏了？

试图让脚本在我的域中运行以删除用户配置单元中包含的注册表值。

这是它将定位的路径：HKCU:\Software\Microsoft\OfficeCompat\Outlook\AddinCleanLoad\
和
HKCU:\Software\Microsoft\OfficeCompat\Outlook\AddinUsage\

HKEY_USERS + SID显然，当作为另一个用户或远程运行时，这需要更改。但我不会搜索所有现有的 SID。

这是因用户而异的注册表值：C:\Users\USERNAME\AppData\Roaming\ZeroSpam\adxloader.dll

因此，在配置单元中找到值我可以在 powershell 中使用 $env:APPDATA 变量，但是由于我要删除该值，所以我将以管理员身份运行，所以这不起作用（变量将返回管理员的路径） .

那么我将如何在 Powershell 中搜索所有（注意 SID 中的通配符）HKEY_USERS\S-1-5-21-*\Software\Microsoft\OfficeCompat\Outlook\AddinCleanLoad\并HKEY_USERS\S-1-5-21-\Software\Microsoft\OfficeCompat\Outlook\AddinUsage\查找和删除 的任何值*\AppData\Roaming\ZeroSpam\adxloader.dll？（dll之前的路径很重要，因为程序文件中存在另一个，我不想删除那个）

我试过没有运气： Get-ChildItem -Path "REGISTRY::HKEY_USERS\" -Recurse -Include *\AppData\Roaming\ZeroSpam\* -ErrorAction SilentlyContinue

我正在尝试转移我的公共 DNS 提供商，但我有疑问，因为我当前的设置似乎很奇怪。

首先，我的注册商（一些小公司）提供我的域名注册，但没有 DNS 托管。仅用于指定 NS 主机名的选项。我的 DNS 托管是我的 ISP，没有 Web 门户访问区域文件进行修改（因此希望移动）。

其次，我需要切换到另一个允许我管理我的区域文件的提供商（即 dns.he.net、cloudfare 等）。有人告诉我，一旦我使用新提供者创建了区域文件，我需要确保我的 NS 记录指向新提供者的 NS。我认为这需要在注册商处完成。

我的问题是我是否只需要通过注册商更改我的 NS 并等待传播，还是我需要同时更改注册商和 ISP 上的 NS？另外，我应该对 SOA 记录做些什么吗？

请注意，我也可以转移注册商（即使用 GoDaddy 转移服务），但问题仍然存在，如果我还需要为我的域更改 ISP 区域文件中的 NS。谢谢！