如何解决在 WAP 中代表用户检索 Kerberos 票证的问题
How to Fix Issue with Retrieve Kerberos Ticket on behalf of the User in WAP
我有一个本地 Sharepoint 2019 运行 Kerberos 身份验证通过 ADFS 非声明感知 WAP 背后的依赖方信任。我已经更新了所有 sharepoint 服务器场以及 ADFS 和 WAP 上的 SSL 证书,现在如果我通过 WAP 和 ADFS 我可以进行身份验证,但是在身份验证之后 sharepoint 会抛出 500 错误。
谁能告诉我如何在 WAP 和 ADFS 以及 Sharepoint 上正确更新证书。
- 我在 SP19 之前使用 ADFS(非声明感知依赖方信任)和 WAP,并且 ADFS 和 WAP 安装了新证书,我能够使用新证书从 ADFS 获取登录屏幕。
- 如果我使用 Windows 身份验证弹出窗口直接指向共享点 IP 登录,SharePoint 页面将正常工作。
疑难解答:-
- WAP 和 ADFS 代理之间的连接工作正常。
- ADFS 能够通过我的 DC 进行身份验证,
- 身份验证完成后,我在下面的屏幕上收到错误 500,
- 浏览器检查没有显示任何有用信息
- 在 WAP 服务器上发现事件 ID 为 12027 的事件错误无法检索用户的 Kerberos 票证。
此 Kerberos 票证问题是由于域控制器上的 Windows 十一月补丁更新。
“安装 2021 年 11 月 9 日在您的域控制器 (DC) 上发布的 11 月安全更新后 运行 Windows 以下在受影响平台中列出的服务器版本,您的身份验证可能会失败与 Kerberos 票证相关的服务器
受影响的环境可能使用以下内容:
- Azure Active Directory (AAD) 应用程序代理集成Windows 使用 Kerberos 约束委派 (KCD) 的身份验证 (IWA)
- Web 应用程序代理 (WAP) 集成Windows 身份验证 (IWA) 单点登录 (SSO)
- Active Directory 联合服务 (ADFS)
- 微软SQL服务器
- 使用集成 Windows 身份验证 (IWA) 的 Internet 信息服务 (IIS)
- 中间设备,包括执行委派身份验证的负载均衡器
解决方案:此问题已在 2021 年 11 月 14 日发布的带外更新 KB5008602 中解决。它是一个累积更新,因此您无需应用任何安装之前的先前更新。要获取 KB5008602 的独立程序包,请在 Microsoft 更新目录中搜索它。您可以手动将此更新导入 Windows 服务器更新服务 (WSUS)。有关说明,请参阅 Microsoft 更新目录。 注意 Windows 更新中不提供 KB5008602,并且不会自动安装。
我有一个本地 Sharepoint 2019 运行 Kerberos 身份验证通过 ADFS 非声明感知 WAP 背后的依赖方信任。我已经更新了所有 sharepoint 服务器场以及 ADFS 和 WAP 上的 SSL 证书,现在如果我通过 WAP 和 ADFS 我可以进行身份验证,但是在身份验证之后 sharepoint 会抛出 500 错误。
谁能告诉我如何在 WAP 和 ADFS 以及 Sharepoint 上正确更新证书。
- 我在 SP19 之前使用 ADFS(非声明感知依赖方信任)和 WAP,并且 ADFS 和 WAP 安装了新证书,我能够使用新证书从 ADFS 获取登录屏幕。
- 如果我使用 Windows 身份验证弹出窗口直接指向共享点 IP 登录,SharePoint 页面将正常工作。
疑难解答:-
- WAP 和 ADFS 代理之间的连接工作正常。
- ADFS 能够通过我的 DC 进行身份验证,
- 身份验证完成后,我在下面的屏幕上收到错误 500,
- 浏览器检查没有显示任何有用信息
- 在 WAP 服务器上发现事件 ID 为 12027 的事件错误无法检索用户的 Kerberos 票证。
此 Kerberos 票证问题是由于域控制器上的 Windows 十一月补丁更新。
“安装 2021 年 11 月 9 日在您的域控制器 (DC) 上发布的 11 月安全更新后 运行 Windows 以下在受影响平台中列出的服务器版本,您的身份验证可能会失败与 Kerberos 票证相关的服务器
受影响的环境可能使用以下内容:
- Azure Active Directory (AAD) 应用程序代理集成Windows 使用 Kerberos 约束委派 (KCD) 的身份验证 (IWA)
- Web 应用程序代理 (WAP) 集成Windows 身份验证 (IWA) 单点登录 (SSO)
- Active Directory 联合服务 (ADFS)
- 微软SQL服务器
- 使用集成 Windows 身份验证 (IWA) 的 Internet 信息服务 (IIS)
- 中间设备,包括执行委派身份验证的负载均衡器
解决方案:此问题已在 2021 年 11 月 14 日发布的带外更新 KB5008602 中解决。它是一个累积更新,因此您无需应用任何安装之前的先前更新。要获取 KB5008602 的独立程序包,请在 Microsoft 更新目录中搜索它。您可以手动将此更新导入 Windows 服务器更新服务 (WSUS)。有关说明,请参阅 Microsoft 更新目录。 注意 Windows 更新中不提供 KB5008602,并且不会自动安装。