La compression de SID de ressource dans Windows Server 2012 peut entraîner des problèmes d’autorisation sur les appareils qui ne prennent pas en charge la compression du SID de ressource
Cet article vous aide à résoudre un problème qui se produit lors de l’accès aux partages de fichiers hébergés sur des appareils qui ne prennent pas en charge la compression du SID de ressource.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 2774190
Symptômes
Lors de l’accès à des partages de fichiers hébergés sur des appareils qui ne prennent pas en charge la compression de SID de ressources, après le déploiement de Windows Server 2012 contrôleurs de domaine, les symptômes suivants peuvent être observés.
Connections aux lecteurs réseau mappés au format \\servername\sharename\subfolder échouent avec accès refusé.
Remarque
La connexion au même chemin à l’aide de l’adresse IP fonctionne toujours.
L’accès aux ressources contrôlées par l’appartenance au groupe de ressources échoue.
Cause
Ce problème se produit dans les conditions suivantes :
- Kerberos est utilisé pour authentifier la session de l’utilisateur sur l’appareil.
- Le ticket Kerberos utilisé dans la configuration de session a été émis par un KDC exécutant Windows Server 2012.
- L’appareil cible ne comprend pas la compression de SID de ressource, qui est une nouvelle fonctionnalité pour Kerberos dans Windows Server 2012.
- La compression du SID de ressource peut ne pas être comprise par certains périphériques NAS (périphériques de stockage d’accès réseau).
Résolution
Il existe deux façons de résoudre un problème d’interopérabilité de compression DE SID de ressource Kerberos.
Résolution 1 : (préféré)
La résolution recommandée pour l’interopérabilité de la compression SID de ressource consiste à activer le bit de désactivation de la compression du groupe de ressources (0x80000) dans l’attribut msDS-SupportedEncryptionTypes de l’objet dans Active Directory qui est le principal représentant le contexte de sécurité du service/de l’appareil cible.
Pour produire la valeur correcte, vous devez :
- Récupérez la valeur actuelle dans l’attribut msDS-SupportedEncryptionTypes du principal de sécurité.
- Effectuez une opération OR au niveau du bit sur la valeur actuelle avec 0x80000 pour calculer la nouvelle valeur.
- Stockez la nouvelle valeur sur l’attribut msDS-SupportedEncryptionTypes du principal de sécurité.
Vous pouvez également utiliser le script Windows PowerShell suivant pour désactiver la compression du SID de ressource sur le principal de sécurité donné :
DisableKerbGroupCompression.ps1
#
#Script to Disable Kerberos Group SID Compression
#param( $principalName)$newValue = 0# Get the AD principal and value
$obj = get-adobject -Filter {(cn -like $principalName)} -Properties *
if($obj -eq $null)
{
Write-Host "Cannot find $principalName in the directory"
break
}$newValue = $value = $obj."msDS-SupportedEncryptionTypes"
$msgBefore =$msgAfter = "Resource group compression status on principal {0}: " -f $principalName
if( ($value -band 0x0080000) -eq 0)
{$msgBefore += "Enabled"}
else
{$msgBefore += "Disabled"}Write-Host $msgBeforeif( ($value -band 0x00080000) -eq 0) #enable the disable bit
{$newValue = $value -bor 0x00080000}if($newValue -ne $value) #update if values are different
{
Set-ADObject $obj -Replace @{"msDS-SupportedEncryptionTypes"=$newValue}if( ($newvalue -band 0x0080000) -eq 0)
{$msgAfter += "Enabled"}
else
{$msgAfter += "Disabled"}Write-Host $msgAfter
}
else
{ Write-Host "Resource group compression did not change."}
Syntaxe
DisableKerbGroupCompression.ps1 objectName
Résolution 2
Cette résolution ne doit être utilisée que lorsque la résolution one ne peut pas être utilisée.
Cette résolution désactive la compression de SID de ressource sur un contrôleur de domaine Windows Server 2012 (KDC). Vous devez appliquer ce paramètre à chaque contrôleur de domaine Windows Server 2012 pour vous assurer que les contrôleurs de domaine n’émettent pas de tickets qui utilisent la compression SID du groupe de ressources.
La compression du SID de ressource est activée par défaut ; Toutefois, vous pouvez le désactiver. Vous désactivez la compression SID de ressource sur un KDC Windows Server 2012 à l’aide de la valeur de Registre DisableResourceGroupsFields sous la clé de HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters Registre. Cette valeur de Registre a un type de valeur de Registre DWORD. Vous désactivez complètement la compression du SID de ressource lorsque vous définissez la valeur de Registre sur 1. Le KDC lit cette configuration lors de la création d’un ticket de service. Une fois le bit activé, le KDC n’utilise pas la compression SID de ressource lors de la création du ticket de service.
Plus d’informations
Compression du SID de ressource KDC
L’authentification Kerberos insère des identificateurs de sécurité (SID) du principal de sécurité, de l’historique des SID, de tous les groupes dont l’utilisateur est membre, y compris les groupes et groupes universels du domaine de ressources. Les principaux de sécurité avec trop d’appartenances aux groupes affectent considérablement la taille des données d’authentification. Parfois, les données d’authentification sont supérieures à la taille allouée signalée par Kerberos aux applications. Cela peut entraîner un échec d’authentification dans certaines applications. Les SID du domaine de ressource partagent la même partie de domaine du SID. Ces SID peuvent être compressés en ne fournissant le SID de domaine de ressource qu’une seule fois pour tous les SID dans le domaine de ressource.
Windows Server 2012 KDCs permettent de réduire la taille du PAC en tirant parti de la compression du SID de ressource. Par défaut, un KDC Windows Server 2012 compresse toujours les SID de ressources. Pour compresser les SID de ressources, le KDC stocke le SID du domaine de ressource dont la ressource cible est membre. Ensuite, il insère uniquement la partie RID de chaque SID de ressource dans la partie ResourceGroupIds des données d’authentification.
La compression de SID de ressource réduit la taille de chaque instance stockée d’un SID de ressource, car le SID de domaine est stocké une fois plutôt qu’avec chaque instance. Sans compression de SID de ressource, le KDC insère tous les SID ajoutés par le domaine de ressource dans la partie Extra-SID de la structure PAC, qui est une liste de SID. [MS-KILE] : Extensions de protocole Kerberos
Interopérabilité
Certaines implémentations Kerberos peuvent ne pas comprendre la compression des groupes de ressources et ne sont donc pas compatibles. Dans ces scénarios, vous devrez peut-être désactiver la compression du groupe de ressources pour permettre au KDC Windows Server 2012 d’interagir avec l’implémentation Kerberos tierce.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour