16/12/2024

Actu CybersécuritéLogiciel - OS

Windows : les mises à jour de novembre créent des problèmes avec Kerberos

Suite à l'installation des mises à jour de novembre 2022, de nombreux utilisateurs rencontrent des problèmes avec l'authentification Kerberos sur les machines intégrées à un domaine Active Directory. Que se passe-t-il ?

Ce mois-ci encore, les mises à jour Windows créent des problèmes aux administrateurs et perturbent le fonctionnement des machines intégrées à un environnement Active Directory. Cette fois-ci, c'est l'authentification Kerberos qui génère des perturbations.

La firme américaine est au courant de ce problème et des investigations sont en cours afin de proposer une solution aux entreprises. Sur le site officiel, on peut lire : "Après avoir installé des mises à jour publiées le 8 novembre 2022 sur des serveurs Windows avec le rôle de contrôleur de domaine, vous pouvez rencontrer des problèmes avec l'authentification Kerberos."

Quand ce nouveau problème se produit, un événement spécifique est généré sur le contrôleur de domaine, au sein du journal Système. Cette erreur avec l'ID 14 et nommée "Microsoft-Windows-Kerberos-Key-Distribution-Center Event" intègre le message suivant : "While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key." - C'est surtout la partie "the missing key has an ID of 1" qui correspond à ce problème en particulier.

Microsoft liste également différents scénarios susceptibles de générer cette erreur et causer un problème d'authentification Kerberos :

  • La connexion des utilisateurs du domaine peut échouer. Cela peut également affecter l'authentification ADFS
  • Les comptes de service gérés par gMSA utilisés pour des services tels que IIS Web Server peuvent ne pas s'authentifier
  • Les connexions Remote Desktop utilisant des utilisateurs du domaine peuvent échouer.
  • Il se peut que vous ne puissiez pas accéder aux dossiers partagés sur les stations de travail et aux partages de fichiers sur les serveurs.
  • L'impression qui nécessite l'authentification de l'utilisateur du domaine peut échouer.

On voit tout de même que cela fait beaucoup de cas de figure très courant... Et cela serait lié au correctif mis en place pour la faille de sécurité CVE-2022-37966 même si Microsoft ne l'a pas précisé.

Le site BleepingComputer évoque aussi un problème Kerberos lorsque l'option "Ce compte prend en charge le chiffrement AES 128 bits via Kerberos" ou "Ce compte prend en charge le chiffrement AES 256 bits via Kerberos" est cochée, ce qui n'est pas le cas par défaut. De son côté, Microsoft n'évoque pas ces options pour le moment.

Les machines non liées à un domaine Active Directory ou liées à un environnement Azure Active Directory sans hybridation ne sont pas impactées.

Quelles sont les versions de Windows concernées ?

Ce problème affecte une très grande majorité des versions de Windows puisqu'on parle de toutes les versions de Windows 7 SP1 à Windows 11, ce qui inclus Windows 10 au passage, ainsi que toutes les versions de Windows Server 2008 SP2 à Windows Server 2022.

Pour le moment, Microsoft ne donne pas de solutions de contournement même s'il est toujours possible de désinstaller les mises à jour. A suivre dans les prochains jours.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

5 commentaires sur “Windows : les mises à jour de novembre créent des problèmes avec Kerberos

  • Je pense avoir également été impacté, je ne savais pas si ça venait du déploiement de la 22H2 de Windows 10 ou des dernières mise à jour de Novembre 2022 (2012R2 et 2019).
    Les 1er ouvertures de session sur nouvelles machines prenaient environ 1h.
    J’ai vu en cause la GPP de déploiement des imprimantes, la réédition de la GPO semble solutionner le problème.
    Pareil avec RDP, lors d’un redémarrage d’une machine cliente, prends environ 30 à 45 minutes.

    Répondre
  • De mon côté :
    * soucis avec les comptes ayant AES 128/256 de coché. Solution ? décocher les cases AES
    * soucis avec un Linux qui fait de l’auth sur AD via kerberos. Solution ? je ne sais pas trop, comme j’ai bricolé, mais il semble que réinitialiser le mot de passe krbtgt ait résolu le problème

    Sur le net j’ai vu que ceux qui avaient désactivé RC4 sur leur domaine ont du le réactiver pour que cela refonctionne

    Répondre
    • Bonjour,
      Oui, reconfigurer les parametres marchent assez souvent dans windows…
      Sinon, attendre qqls avant de faire les maj…

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.