如何在 WAP 中代表用户解决检索 Kerberos 票证的问题答案

【问题标题】：How to Fix Issue with Retrieve Kerberos Ticket on behalf of the User in WAP如何在 WAP 中代表用户解决检索 Kerberos 票证的问题
【发布时间】：2022-01-03 03:15:22
【问题描述】：

我有一个内部部署的 Sharepoint 2019，通过 WAP 背后的 ADFS 非声明感知依赖方信任运行 Kerberos 身份验证。我已经更新了所有共享点服务器场以及 ADFS 和 WAP 上的 SSL 证书，现在如果我通过 WAP 和 ADFS，我能够进行身份验证，但身份验证后共享点会引发 500 错误。

谁能告诉我如何在 WAP 和 ADFS 以及 Sharepoint 上正确更新证书。

我在 SP19 前使用 ADFS（非声明感知依赖方信任）和 WAP，ADFS 和 WAP 安装了新证书，我能够使用新证书从 ADFS 获取登录屏幕。
如果我使用 Windows 身份验证弹出窗口直接指向共享点 IP 登录，则 SharePoint 页面正在工作。

疑难解答：-

WAP 和 ADFS 代理之间的连接工作正常。
ADFS 能够通过我的 DC 进行身份验证，
身份验证完成后，我在下面的屏幕上收到错误 500，
Browser Inspect 显示没有任何用处
在 WAP 服务器上发现事件 ID 为 12027 的事件错误无法检索用户的 Kerberos 票证。

【问题讨论】：

能否请您看一下 WAP 服务器日志，我认为这可能与 Kerberos 票证有关，然后让我知道事件 ID 为 12027 的错误（如果有）
你是对的，我可以看到事件错误 ID 12027。并且与 Kerberos Ticket 问题有关。

标签： sharepoint sharepoint-2019

【解决方案1】：

此 Kerberos 票证问题是由于域控制器上的 Novemeber Windows 补丁更新造成的。

“在受影响平台中运行下列 Windows Server 版本的域控制器 (DC) 上安装 2021 年 11 月 9 日发布的 11 月安全更新后，您可能会在与 Kerberos 票证相关的服务器上出现身份验证失败”

受影响的环境可能正在使用以下内容：

使用 Kerberos 约束委派 (KCD) 的 Azure Active Directory (AAD) 应用程序代理集成 Windows 身份验证 (IWA)
Web 应用程序代理 (WAP) 集成 Windows 身份验证 (IWA) 单点登录 (SSO)
Active Directory 联合服务 (ADFS)
Microsoft SQL Server
使用集成 Windows 身份验证 (IWA) 的 Internet 信息服务 (IIS)
中间设备，包括执行委托身份验证的负载均衡器

解决方案：此问题已在 2021 年 11 月 14 日发布的带外更新 KB5008602 中得到解决。它是累积更新，因此您无需在安装之前应用任何以前的更新.要获取 KB5008602 的独立包，请在 Microsoft 更新目录中搜索它。您可以手动将此更新导入 Windows Server Update Services (WSUS)。有关说明，请参阅 Microsoft 更新目录。注意 KB5008602 不适用于 Windows 更新，并且不会自动安装。

来源 - https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1809-and-windows-server-2019#issue-details

【讨论】：

这行得通，一旦我用提到的 KB 更新了 DC，我就可以从 DC 获得 Kerberos 票证并能够进行身份验证，谢谢