Windows : les mises à jour de novembre créent des problèmes avec Kerberos

Suite à l'installation des mises à jour de novembre 2022, de nombreux utilisateurs rencontrent des problèmes avec l'authentification Kerberos sur les machines intégrées à un domaine Active Directory. Que se passe-t-il ?

Ce mois-ci encore, les mises à jour Windows créent des problèmes aux administrateurs et perturbent le fonctionnement des machines intégrées à un environnement Active Directory. Cette fois-ci, c'est l'authentification Kerberos qui génère des perturbations.

La firme américaine est au courant de ce problème et des investigations sont en cours afin de proposer une solution aux entreprises. Sur le site officiel, on peut lire : "Après avoir installé des mises à jour publiées le 8 novembre 2022 sur des serveurs Windows avec le rôle de contrôleur de domaine, vous pouvez rencontrer des problèmes avec l'authentification Kerberos."

Quand ce nouveau problème se produit, un événement spécifique est généré sur le contrôleur de domaine, au sein du journal Système. Cette erreur avec l'ID 14 et nommée "Microsoft-Windows-Kerberos-Key-Distribution-Center Event" intègre le message suivant : "While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key." - C'est surtout la partie "the missing key has an ID of 1" qui correspond à ce problème en particulier.

Microsoft liste également différents scénarios susceptibles de générer cette erreur et causer un problème d'authentification Kerberos :

• La connexion des utilisateurs du domaine peut échouer. Cela peut également affecter l'authentification ADFS
• Les comptes de service gérés par gMSA utilisés pour des services tels que IIS Web Server peuvent ne pas s'authentifier
• Les connexions Remote Desktop utilisant des utilisateurs du domaine peuvent échouer.
• Il se peut que vous ne puissiez pas accéder aux dossiers partagés sur les stations de travail et aux partages de fichiers sur les serveurs.
• L'impression qui nécessite l'authentification de l'utilisateur du domaine peut échouer.

On voit tout de même que cela fait beaucoup de cas de figure très courant... Et cela serait lié au correctif mis en place pour la faille de sécurité CVE-2022-37966 même si Microsoft ne l'a pas précisé.

Le site BleepingComputer évoque aussi un problème Kerberos lorsque l'option "Ce compte prend en charge le chiffrement AES 128 bits via Kerberos" ou "Ce compte prend en charge le chiffrement AES 256 bits via Kerberos" est cochée, ce qui n'est pas le cas par défaut. De son côté, Microsoft n'évoque pas ces options pour le moment.

Les machines non liées à un domaine Active Directory ou liées à un environnement Azure Active Directory sans hybridation ne sont pas impactées.

Quelles sont les versions de Windows concernées ?

Ce problème affecte une très grande majorité des versions de Windows puisqu'on parle de toutes les versions de Windows 7 SP1 à Windows 11, ce qui inclus Windows 10 au passage, ainsi que toutes les versions de Windows Server 2008 SP2 à Windows Server 2022.

Pour le moment, Microsoft ne donne pas de solutions de contournement même s'il est toujours possible de désinstaller les mises à jour. A suivre dans les prochains jours.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio