1

我有一个 Sharepoint 2019 内部部署,通过 WAP 背后的 ADFS 非声明感知依赖方信任运行 Kerberos 身份验证。我已经更新了所有共享点服务器场以及 ADFS 和 WAP 上的 SSL 证书,现在如果我通过 WAP 和 ADFS,我能够进行身份验证,但身份验证共享点后会引发 500 错误。

任何人都可以告诉如何在 WAP 和 ADFS 以及 Sharepoint 上正确更新证书。

  1. 我在 SP19 前使用 ADFS(非声明感知依赖方信任)和 WAP,并且 ADFS 和 WAP 安装了新证书,我能够使用新证书从 ADFS 获取登录屏幕。
  2. 如果我使用 Windows 身份验证弹出窗口直接指向共享点 IP 登录,则 SharePoint 页面正在工作。

疑难解答:-

  1. WAP 和 ADFS 代理之间的连接工作正常。
  2. ADFS 能够通过我的 DC 进行身份验证,
  3. 身份验证完成后,我在下面的屏幕上收到错误 500,
  4. 浏览器检查显示没有任何用处
  5. 在 WAP 服务器上发现事件 ID 为 12027 的事件错误无法检索用户的 Kerberos 票证。
4

1 回答 1

1

此 Kerberos 票证问题是由于域控制器上的 Novemeber Windows 补丁更新造成的。

“在受影响平台中运行下列 Windows Server 版本的域控制器 (DC) 上安装 2021 年 11 月 9 日发布的 11 月安全更新后,您可能会在与 Kerberos 票证相关的服务器上出现身份验证失败”

受影响的环境可能正在使用以下内容:

  • 使用 Kerberos 约束委派 (KCD) 的 Azure Active Directory (AAD) 应用程序代理集成 Windows 身份验证 (IWA)
  • Web 应用程序代理 (WAP) 集成 Windows 身份验证 (IWA) 单点登录 (SSO)
  • Active Directory 联合服务 (ADFS)
  • 微软 SQL 服务器
  • 使用集成 Windows 身份验证 (IWA) 的 Internet 信息服务 (IIS)
  • 包括执行委托身份验证的负载均衡器在内的中间设备

解决方法:此问题已在 2021 年 11 月 14 日发布的带外更新 KB5008602 中得到解决。它是一个累积更新,因此您无需在安装之前应用任何以前的更新。要获取 KB5008602 的独立包,请在 Microsoft 更新目录中搜索它。您可以手动将此更新导入 Windows Server Update Services (WSUS)。有关说明,请参阅 Microsoft 更新目录。注意KB5008602 在 Windows 更新中不可用,并且不会自动安装。

来源 - https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1809-and-windows-server-2019#issue-details

于 2021-11-27T15:52:36.497 回答