16/12/2024

Actu CybersécuritéLogiciel - OS

Novembre 2022 – Problèmes avec Kerberos : Microsoft a publié des mises à jour correctives !

Voilà, Microsoft a mis en ligne de nouvelles mises à jour hors bandes pour venir corriger les problèmes liés à l'authentification Kerberos en environnement Active Directory. Pour rappel, ce sont les mises à jour du Patch Tuesday de Novembre 2022 qui sont à l'origine de ce nouvel effet de bord.

Depuis plusieurs jours, les équipes de Microsoft étaient en train d'investiguer sur ce problème lié à Kerberos. Sur le site de Microsoft, on pouvait lire : "Après avoir installé des mises à jour publiées le 8 novembre 2022 sur des serveurs Windows avec le rôle de contrôleur de domaine, vous pouvez rencontrer des problèmes avec l'authentification Kerberos." - Puisque l'on parle de l'authentification Kerberos, les conséquences peuvent être nombreuses....

Comme je l'ai précisé dans un précédent article, Microsoft avait listé quelques cas concrets susceptibles de générer cette erreur Kerberos :

  • La connexion des utilisateurs du domaine peut échouer. Cela peut également affecter l'authentification ADFS
  • Les comptes de service gérés par gMSA utilisés pour des services tels que IIS Web Server peuvent ne pas s'authentifier
  • Les connexions Remote Desktop utilisant des utilisateurs du domaine peuvent échouer.
  • Il se peut que vous ne puissiez pas accéder aux dossiers partagés sur les stations de travail et aux partages de fichiers sur les serveurs.
  • L'impression qui nécessite l'authentification de l'utilisateur du domaine peut échouer.

La liste des mises à jour correctives

Désormais, il y a une solution à ce problème et cette solution passe par l'installation d'une nouvelle mise à jour ! Dans le cas où votre infrastructure est affectée par ce bug, la mise à jour doit être installée sur l'ensemble des contrôleurs de domaine Active Directory. Par contre, ce n'est pas nécessaire d'installer la mise à jour sur les autres serveurs ni sur les postes de travail.

Pour ceux qui auraient effectué des modifications dans le but de corriger ce problème temporairement, voici ce que recommande Microsoft : "Si vous avez utilisé une solution de contournement ou des mesures d'atténuation pour ce problème, elles ne sont plus nécessaires et nous vous recommandons de les supprimer."

Puisqu'il s'agit de mises à jour hors bandes, elles ne seront pas distribuées via Windows Update ! Rendez-vous sur le catalogue Microsoft Update (ce qui ne vous empêche pas d'importer la mise à jour dans WSUS).

Voici la liste des mises à jour publiées par Microsoft :

Pour le moment, il manque un correctif pour Windows Server 2008 R2 comme le montre la liste ci-dessus. Ce correctif sera mis en ligne la semaine prochaine.

Vous pouvez retrouver l'annonce officielle sur le site de Microsoft.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

2 commentaires sur “Novembre 2022 – Problèmes avec Kerberos : Microsoft a publié des mises à jour correctives !

  • Bonjour,
    J’ai installé ce correctif kb5021653, mais j’ai encore des pb du à la mise à jour KB5020023.

    Devrais-je désinstaller la KB5020023 ?

    MErci.

    Répondre
  • Bonjour,

    Alors personnellement depuis la MAJ de Novembre 2022, et la MAJ de Décembre 2022 n’a pas corrigé le soucis. Si j’installe la MAJ de Novembre ou Décembre 2022 sur mes contrôleurs de domaine qui sont en 2016, tous mes serveurs en 2012 et 2016 n’arrivent plus à communiquer via le protocole samba sur les serveurs en 2003. J’ai un message d’erreur. Si désinstalle ces MAJ sur mes DC, le problème est corrigé. Du coup depuis 2 mois mes DC ne sont plus à jour … .

    Je ne sais pas si je suis le seul dans ce cas ?

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.