Obrigado por todas as suas opiniões, pessoal. Temos a Microsoft a bordo e eles nos ajudaram a depurar o processo de autenticação no lado AD. Tudo funcionou como deveria, mas falhou depois de trinta minutos.
Enquanto estávamos fazendo uma sessão de depuração remota, um dos participantes notou que o UPN / SPN da conta de serviço foi repotado de repente de HTTP/[email protected] para < strong> [email protected] . Depois de um monte de pesquisas, incluindo a depuração do AD, encontramos o culpado:
Alguém fez um script que era executado periodicamente (ou provavelmente por evento, já que eram exatamente trinta minutos depois de executar o ktpass.exe), que atualizou o UPN / PSN para "garantir a conectividade da nuvem" . Eu não tenho nenhuma informação suplementar sobre as razões para isso.
O script foi alterado para permitir que os valores UPN / SPN existentes terminassem em @ mycorp.com , solucionando efetivamente o problema.
Dicas para depurar problemas como este:
- Assegure-se de que todos os participantes na autenticação suportem os mesmos tipos de criptografia. Evite DES - está desatualizado e inseguro.
- Certifique-se de ativar a criptografia AES-128 e AES-256 na conta de serviço
- Lembre-se de que habilitar o DES na conta de serviço significa "usar APENAS DES para esta conta" , mesmo se você ativou alguma das criptografias AES. Faça uma pesquisa por UF_USE_DES_KEY_ONLY para obter detalhes sobre isso.
- Verifique se o valor de UPN / SPN está ativo e corresponde ao valor no arquivo keytab emitido (por exemplo, por meio de uma consulta LDAP)
- Certifique-se de que o KVNO (Key Version Number) no arquivo keytab corresponde ao on no servidor
- Inspecionar o tráfego entre o servidor e o cliente (ou seja, com tcpdump e / ou WireShark)
- Ativar a depuração da autenticação no lado do AD - inspecionar registros
- Ative a depuração da replicação no lado do AD - inspecione os registros
Mais uma vez, obrigado pela sua contribuição.