Derniers Articles
Vous êtes ici : Accueil / Tutoriaux / Administration Systèmes / Active Directory / ERREUR SECURITY-KERBEROS – PACKAGE SSPI KERBEROS – AUTHENTIFICATION

ERREUR SECURITY-KERBEROS – PACKAGE SSPI KERBEROS – AUTHENTIFICATION

 

1 – Identification du problème

Une fois que l’utilisateur a ouvert sa session sur le domaine, une fenêtre lui demande de s’identifier lorsque ce même utilisateur veut accéder aux ressources.

En regardant de plus près l’observateur d’événements, on peut voir un avertissement Security-Kerberos ( Le package SSPI Kerberos a généré un jeton sorti dont la taille (..) était trop volumineuse pour la mémoire tampon du jeton.



2 – Résolution du problème

Ce problème est dû au Jeton kerberos qui dépasse la taille maximale lors de l’authentification de l’utilisateur. La valeur par défaut pour des versions ultérieures à Windows 2000 est de 12 000 Octets.

Pour résoudre ce problème, il faut rajouter une clé dans la base de registre

Cliquer sur Démarrer > Exécuter


La fenêtre suivante apparait, saisir regedit puis OK


L’éditeur de registre apparait, se rendre dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters faire un clic droit Nouveau puis Valeur DWORD


Saisir MaxTokenSize puis appuyer sur [ENTREE]


Double cliquer sur la clé précédemment créée

Cocher Décimale puis saisir la valeur 65535 comme Données de la valeur puis cliquer sur Ok


Vous pouvez maintenant quitter l’éditeur de registre et redémarrer l’ordinateur.

2-2 Via GPO

Lorsque le problème se produit sur la totalité d’un parc informatique nous allons préférer passer par une GPO qui va permettre de faire la modification sur l’ensemble des ordinateurs rattachés au domaine AD.

Il est nécessaire de créer un modèle d’administration. Pour cela, avec un éditeur de texte, créer un fichier MaxTokenSize.adm et saisir le contenu ci-dessous

CLASS MACHINE

CATEGORY !!KERB

KEYNAME « SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters »

POLICY !!MaxToken

VALUENAME « MaxTokenSize »

VALUEON NUMERIC 65535

VALUEOFF NUMERIC 0

END POLICY

END CATEGORY

[strings]

KERB= »Kerberos Maximum Token Size »

MaxToken= »Kerberos MaxTokenSize »

Créer une nouvelle stratégie de groupe. Dans mon cas, elle se nomme GPO_Maxtokensize.

Faire un clic droit sur Objets de stratégie de groupe puis Nouveau


Saisir le nom de la GPO puis cliquer sur Ok



Faire un clic droit sur GPO_Mactokensize puis Modifier


Faire un clic droit sur Modèles d’administration puis Ajout/Suppression de modèles


Cliquer sur Ajouter puis aller chercher votre fichier MaxTokenSize.adm



Cliquer sur Fermer


Le modèle d’administration est maintenant ajouter, Double cliquer sur le paramètre Kerberos MaxTokenSize



Cliquer sur Activé puis Appliquer > Ok



Lier cette GPO à l’unité d’organisation contenant vos ordinateurs.

Faire un clic droit sur l’UO puis Lier un objet de stratégie de groupe existant


Sélectionner la GPO puis cliquer sur Ok


Pour forcer la mise à jour des GPO

Depuis une invite de commande MSDOS saisir gpupdate /force puis appuyer sur [ENTREE]



Répondre

Votre adresse email ne sera pas publiée.

shared on wplocker.com