ERREUR SECURITY-KERBEROS – PACKAGE SSPI KERBEROS – AUTHENTIFICATION

Sources :

 

Clients : Windows 7 Pro – Windows XP Pro.

Serveur : Windows 2008R2 x64

1 – Identification du problème

Une fois que l’utilisateur a ouvert sa session sur le domaine, une fenêtre lui demande de s’identifier lorsque ce même utilisateur veut accéder aux ressources.

En regardant de plus près l’observateur d’événements, on peut voir un avertissement Security-Kerberos ( Le package SSPI Kerberos a généré un jeton sorti dont la taille (..) était trop volumineuse pour la mémoire tampon du jeton.

2 – Résolution du problème

 

Ce problème est dû au Jeton kerberos qui dépasse la taille maximale lors de l’authentification de l’utilisateur. La valeur par défaut pour des versions ultérieures à Windows 2000 est de 12 000 Octets.

Pour résoudre ce problème, il faut rajouter une clé dans la base de registre

Cliquer sur Démarrer > Exécuter

La fenêtre suivante apparait, saisir regedit puis OK

L’éditeur de registre apparait, se rendre dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters faire un clic droit Nouveau puis Valeur DWORD

Saisir MaxTokenSize puis appuyer sur [ENTREE]

Double cliquer sur la clé précédemment créée

Cocher Décimale puis saisir la valeur 65535 comme Données de la valeur puis cliquer sur Ok

Vous pouvez maintenant quitter l’éditeur de registre et redémarrer l’ordinateur.

2-2 Via GPO

Lorsque le problème se produit sur la totalité d’un parc informatique nous allons préférer passer par une GPO qui va permettre de faire la modification sur l’ensemble des ordinateurs rattachés au domaine AD.

Il est nécessaire de créer un modèle d’administration. Pour cela, avec un éditeur de texte, créer un fichier MaxTokenSize.adm et saisir le contenu ci-dessous

CLASS MACHINE

 

CATEGORY !!KERB

 

KEYNAME « SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters »

POLICY !!MaxToken

VALUENAME « MaxTokenSize »

VALUEON NUMERIC 65535

VALUEOFF NUMERIC 0

END POLICY

 

END CATEGORY

 

[strings]

KERB= »Kerberos Maximum Token Size »

MaxToken= »Kerberos MaxTokenSize »

Créer une nouvelle stratégie de groupe. Dans mon cas, elle se nomme GPO_Maxtokensize.

Faire un clic droit sur Objets de stratégie de groupe puis Nouveau

Saisir le nom de la GPO puis cliquer sur Ok

 

Faire un clic droit sur GPO_Mactokensize puis Modifier

 

Faire un clic droit sur Modèles d’administration puis Ajout/Suppression de modèles

Cliquer sur Ajouter puis aller chercher votre fichier MaxTokenSize.adm

 

Cliquer sur Fermer

 

Le modèle d’administration est maintenant ajouter, Double cliquer sur le paramètre Kerberos MaxTokenSize

 

 

Cliquer sur Activé puis Appliquer > Ok

 

 

Lier cette GPO à l’unité d’organisation contenant vos ordinateurs.

Faire un clic droit sur l’UO puis Lier un objet de stratégie de groupe existant

 

Sélectionner la GPO puis cliquer sur Ok

Pour forcer la mise à jour des GPO

Depuis une invite de commande MSDOS saisir gpupdate /force puis appuyer sur [ENTREE]

Auteur : POMENTE Guillaume