Novembre 2022 – Problèmes avec Kerberos : Microsoft a publié des mises à jour correctives !
Voilà, Microsoft a mis en ligne de nouvelles mises à jour hors bandes pour venir corriger les problèmes liés à l'authentification Kerberos en environnement Active Directory. Pour rappel, ce sont les mises à jour du Patch Tuesday de Novembre 2022 qui sont à l'origine de ce nouvel effet de bord.
Depuis plusieurs jours, les équipes de Microsoft étaient en train d'investiguer sur ce problème lié à Kerberos. Sur le site de Microsoft, on pouvait lire : "Après avoir installé des mises à jour publiées le 8 novembre 2022 sur des serveurs Windows avec le rôle de contrôleur de domaine, vous pouvez rencontrer des problèmes avec l'authentification Kerberos." - Puisque l'on parle de l'authentification Kerberos, les conséquences peuvent être nombreuses....
Comme je l'ai précisé dans un précédent article, Microsoft avait listé quelques cas concrets susceptibles de générer cette erreur Kerberos :
- La connexion des utilisateurs du domaine peut échouer. Cela peut également affecter l'authentification ADFS
- Les comptes de service gérés par gMSA utilisés pour des services tels que IIS Web Server peuvent ne pas s'authentifier
- Les connexions Remote Desktop utilisant des utilisateurs du domaine peuvent échouer.
- Il se peut que vous ne puissiez pas accéder aux dossiers partagés sur les stations de travail et aux partages de fichiers sur les serveurs.
- L'impression qui nécessite l'authentification de l'utilisateur du domaine peut échouer.
La liste des mises à jour correctives
Désormais, il y a une solution à ce problème et cette solution passe par l'installation d'une nouvelle mise à jour ! Dans le cas où votre infrastructure est affectée par ce bug, la mise à jour doit être installée sur l'ensemble des contrôleurs de domaine Active Directory. Par contre, ce n'est pas nécessaire d'installer la mise à jour sur les autres serveurs ni sur les postes de travail.
Pour ceux qui auraient effectué des modifications dans le but de corriger ce problème temporairement, voici ce que recommande Microsoft : "Si vous avez utilisé une solution de contournement ou des mesures d'atténuation pour ce problème, elles ne sont plus nécessaires et nous vous recommandons de les supprimer."
Puisqu'il s'agit de mises à jour hors bandes, elles ne seront pas distribuées via Windows Update ! Rendez-vous sur le catalogue Microsoft Update (ce qui ne vous empêche pas d'importer la mise à jour dans WSUS).
Voici la liste des mises à jour publiées par Microsoft :
- Windows Server 2022 : KB5021656
- Windows Server 2019 : KB5021655
- Windows Server 2016 : KB5021654
- Windows Server 2012 R2 : KB5021653
- Windows Server 2012 : KB5021652
- Windows Server 2008 SP2 : KB5021657
Pour le moment, il manque un correctif pour Windows Server 2008 R2 comme le montre la liste ci-dessus. Ce correctif sera mis en ligne la semaine prochaine.
Vous pouvez retrouver l'annonce officielle sur le site de Microsoft.
Bonjour,
J’ai installé ce correctif kb5021653, mais j’ai encore des pb du à la mise à jour KB5020023.
Devrais-je désinstaller la KB5020023 ?
MErci.
Bonjour,
Alors personnellement depuis la MAJ de Novembre 2022, et la MAJ de Décembre 2022 n’a pas corrigé le soucis. Si j’installe la MAJ de Novembre ou Décembre 2022 sur mes contrôleurs de domaine qui sont en 2016, tous mes serveurs en 2012 et 2016 n’arrivent plus à communiquer via le protocole samba sur les serveurs en 2003. J’ai un message d’erreur. Si désinstalle ces MAJ sur mes DC, le problème est corrigé. Du coup depuis 2 mois mes DC ne sont plus à jour … .
Je ne sais pas si je suis le seul dans ce cas ?