使用 Ansible 重新加入 AD 域的计算机的 Kerberos 票证问题

使用 Ansible 重新加入 AD 域的计算机的 Kerberos 票证问题

我们的 Windows 域分布在多个站点,我们正在使用 Ansible 来协调 Windows 重建过程。在重建过程中,我们观察到一些与 Kerberos 相关的问题,我们怀疑这些问题可能与我们的工作流程有关

重建过程如下:

  • 由于这是重建,计算机对象已存在于 AD 中
  • Kerberos 票证已创建
  • 重建过程正在启动,磁盘被擦除,Windows 安装完毕,计算机重新加入 Active Directory
  • 当计算机启动并运行时,Ansible 会生成新的 Kerberos 票证来连接到这台计算机。

但是在某些情况下,我们可以看到 Ansible 无法连接到重建的服务器。
我试图了解在此阶段可能发生的问题。我看到的过程如下:

  • 我们在 Ansible 游戏开始时创建 TGT 票证
  • 服务器重建并重新加入域
  • AD 复制正在进行中,新创建的计算机帐户未复制到所有 KDC (DC)
  • Ansible 连接到尚未收到有关计算机重新加入更新的 KDC 之一,并使用 TGT 接收服务票证,以通过 WinRM 连接到新服务器。结果,它使用旧计算机帐户的密码获得 WinRM 服务票证签名
  • Ansible 尝试使用此票证连接到新服务器,但连接失败并出现错误“WINRM 连接错误:服务器拒绝指定的凭据”

为了隔离复制问题,我们正在配置 Ansible kerberos 客户端以使用客户端站点 DC 作为 KDC。这确实改善了流程,但我们仍然偶尔会看到错误。

有人可以评论一下我们的假设和修复是否正确吗?

相关内容