CORRECTIF : Les comptes d’utilisateurs qui utilisent le cryptage pour les types d’authentification Kerberos ne peut pas être authentifiés dans un domaine Windows Server 2003 après qu’un contrôleur de domaine Windows Server 2008 R2 rejoint le domaine

Symptômes

Considérez le scénario suivant :

  • Un compte d’utilisateur est créé dans un domaine Windows Server 2003.
  • Tous les contrôleurs de domaine dans ce domaine exécutent Windows Server 2003.
  • Le compte d’utilisateur est configuré pour utiliser les types de chiffrement DES Data Encryption Standard () pour l’authentification Kerberos.
  • Un ordinateur qui exécute Windows Server 2008 R2 rejoint le domaine.
  • Active Directory est installé sur le serveur membre.
Dans ce scénario, le compte d’utilisateur ne peut pas ouvrir une session sur le domaine immédiatement après que le contrôleur de domaine Windows Server 2008 R2 commence. Vous pouvez également recevoir le message d’erreur suivant :
KDC n’a aucune prise en charge pour le type de chiffrement lors de l’obtention des informations d’identification initiales.
En outre, les événements suivants sont consignés dans le journal système du contrôleur de domaine qui exécute Windows Server 2008 R2 :
Nom du journal : système
Source : Microsoft-Windows-Kerberos-Key-Distribution-Center
Date : date
L’ID d’événement : 14
Catégorie de la tâche : aucun
Niveau : erreur
Mots clés : classique
Utilisateur : n/a
Ordinateur : nom_ordinateur
Description :
Lors du traitement d’une demande en tant que cible service krbtgt, le nom du compte n’a pas de clé appropriée pour créer un ticket Kerberos (la clé manquante a un ID 1). L’ETYPE demandée : 16 1 11 10 15 12 13. L’ETYPE de comptes disponibles : 23-133 -128. Modifier ou réinitialiser le mot de passe de user_name générera une clé correcte.

Nom du journal : système
Source : Microsoft-Windows-Kerberos-Key-Distribution-Center
Date : date
L’ID d’événement : 16
Catégorie de la tâche : aucun
Niveau : erreur
Mots clés : classique
Utilisateur : n/a
Ordinateur : nom_ordinateur
Description :
Lors du traitement d’une requête TGS pour le serveur cible nom_serveur, le compte account_name n’avait pas de clé appropriée pour créer un ticket Kerberos (la clé manquante a un ID 9). L’ETYPE demandées ont été 3 1. L’ETYPE disponibles de comptes ont été 23-133 -128. Modifier ou réinitialiser le mot de passe de nom_de_compte générera une clé correcte.

Cause

Ce problème se produit parce que les structures de données différentes sont utilisées pour enregistrer les informations de type de cryptage sur le compte d’utilisateur sur les contrôleurs de domaine Windows Server 2003 et sur les contrôleurs de domaine Windows Server 2008 R2.

Lorsqu’un compte d’utilisateur est créé sur un contrôleur de domaine Windows Server 2003, les informations de type de cryptage sont enregistrées dans une structure de données. Ensuite, ces informations sont copiées sur les contrôleurs de domaine Windows Server 2008 R2 à l’aide de la réplication AD.

Remarque Ce problème se produit également lorsque le mot de passe d’un compte d’utilisateur est réinitialisé.

Lorsqu’un contrôleur de domaine Windows Server 2008 R2 s’authentifie le compte d’utilisateur, le contrôleur de domaine lit ces informations de type de cryptage à partir de la structure de données qui est utilisée par le contrôleur de domaine Windows Server 2003. Il doit ensuite copier ces informations de type de cryptage à une structure de données différente. Toutefois, les informations ne sont pas copiées comme prévu. Par conséquent, l’authentification échoue.

Résolution

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du Service clientèle et support technique de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l'adresse suivante :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

Conditions préalables

La liste suivante contient les conditions préalables pour le correctif :
  • Vous devez disposer de Windows Server 2008 R2 est installé.
  • Avoir installé le service de rôle Service de domaine Active Directory.

Remarque sur l’installation

Installez ce correctif sur tous les contrôleurs de domaine qui exécutent Windows Server 2008 R2 dans un domaine Windows Server 2003. Ce correctif logiciel ne doit pas être appliqué aux serveurs Windows Server 2003 qui se trouvent dans le domaine.

Informations concernant le Registre

Pour utiliser le correctif dans ce package, il est inutile d'apporter des modifications au Registre.

Informations sur le redémarrage

Vous devrez peut-être redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace pas un correctif précédemment publié.

Informations sur les fichiers

La version anglaise (États-Unis) de ce correctif logiciel installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Les dates et heures de ces fichiers sur votre ordinateur local sont affichées dans votre heure locale en tenant compte de l'heure d'été (DST). En outre, les dates et heures peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.
Note d’information de fichier de Windows Server 2008 R2
  • Les fichiers MANIFEST (.manifest) et MUM (.mum) qui sont installés pour chaque environnement sont répertoriés séparément dans la section « Informations de fichiers supplémentaires pour Windows Server 2008 R2 ». Les fichiers MUM et MANIFEST et les fichiers de catalogue de sécurité (.cat) associés sont extrêmement importants pour conserver l'état des composants mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.
Pour toutes les versions basées sur les x64 de Windows Server 2008 R2
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Kdcsvc.dll6.1.7600.20597429,56816-Dec-200916:18x64
Kdcsvc.mofNe s'applique pas530010-Jun-200921:01Ne s'applique pas

Solution de contournement

Pour contourner ce problème, réinitialisez le mot de passe du compte d’utilisateur qui pose problème sur le contrôleur de domaine qui exécute Windows Server 2008 R2.

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations

Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft

Informations sur les fichiers supplémentaires

Informations de fichiers supplémentaires pour Windows Server 2008 R2

Fichiers supplémentaires pour toutes les versions basées sur les x64 pris en charge de Windows Server 2008 R2
Nom de fichierAmd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
Version de fichierNe s'applique pas
Taille du fichier724
Date (UTC)17-Dec-2009
Heure (UTC)01:36
PlateformeNe s'applique pas
---
Nom de fichierAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
Version de fichierNe s'applique pas
Taille du fichier35,825
Date (UTC)16-Dec-2009
Heure (UTC)16:49
PlateformeNe s'applique pas
---
Nom de fichierUpdate.mum
Version de fichierNe s'applique pas
Taille du fichier1 700
Date (UTC)17-Dec-2009
Heure (UTC)01:36
PlateformeNe s'applique pas
Propriétés

ID d'article : 978055 - Dernière mise à jour : 13 janv. 2017 - Révision : 1

Commentaires