Partager via

Les utilisateurs ne peuvent pas se connecter au domaine après les modifications de mot de passe sur un contrôleur de domaine distant

Cet article fournit une solution à un problème où les utilisateurs ne peuvent pas se connecter au domaine après les modifications de mot de passe sur un contrôleur de domaine distant.

S’applique à : Windows 2000
Numéro de base de connaissances d’origine : 318364

Symptômes

Après avoir modifié un mot de passe de compte d’utilisateur sur un contrôleur de domaine distant qui contient le rôle DDC (Flexible Single Master Operation) (FSMO), l’utilisateur peut ne pas être en mesure de se connecter à un contrôleur de domaine local en entrant le nouveau mot de passe. Toutefois, l’utilisateur peut toujours être en mesure de se connecter au domaine à l’aide de son mot de passe précédent.

Cause

Ce comportement peut se produire lorsque les conditions suivantes sont remplies :

  • Le contrôleur de domaine distant n’a pas encore été répliqué avec le contrôleur de domaine local.

  • Kerberos est configuré pour utiliser le protocole UDP (User Datagram Protocol) (configuration par défaut).

  • Le jeton de sécurité de l’utilisateur est trop volumineux pour s’adapter à un message Kerberos UDP.

    Note

    Le jeton de sécurité de l’utilisateur peut être volumineux si cet utilisateur est membre de nombreux groupes.

Ce problème est dû à la fonctionnalité de relecture anti-relecture de l’authentification Kerberos sur le contrôleur de domaine local. Les étapes suivantes illustrent ce comportement :

  1. Le mot de passe du compte d’utilisateur est modifié sur le contrôleur de domaine distant, mais cette modification n’a pas encore été répliquée sur le contrôleur de domaine local.
  2. L’utilisateur tente de se connecter au domaine à l’aide du nouveau mot de passe. Le message Exchange du service d’authentification Kerberos (KRB_AS_REQ) est envoyé au contrôleur de domaine local à l’aide d’UDP.
  3. Le contrôleur de domaine local échoue à l’authentification, car il n’a pas encore les nouvelles informations de mot de passe.
  4. Le contrôleur de domaine local transfère la requête au contrôleur de domaine distant (PDC).KDCSVC!FailedLogon
  5. Dans la FailedLogon fonction, une entrée pour la requête est entrée dans la table de détection de relecture et le message KRB_AS_REQ est envoyé au contrôleur de domaine principal distant.
  6. Le contrôleur de domaine principal distant authentifie correctement la requête, puis retourne une réponse positive au contrôleur de domaine local.
  7. Le contrôleur de domaine local détecte que la réponse est trop volumineuse pour un paquet UDP, et c’est pourquoi envoie une demande à l’ordinateur client pour renvoyer la requête à l’aide du protocole TCP (Transmission Control Protocol).
  8. L’ordinateur client soumette à nouveau la demande d’authentification à l’aide de TCP.
  9. Le contrôleur de domaine local échoue à l’authentification, car il n’a pas encore les nouvelles informations de mot de passe (comme à l’étape 3).
  10. Le contrôleur de domaine local transfère la requête au contrôleur de domaine PDC distant (KDCSVC!FailedLogoncomme à l’étape 4).
  11. La vérification de la détection de relecture dans la FailedLogon fonction retourne un message KRB_AP_ERR_REPEAT, car une entrée pour cette requête est déjà présente dans la table de détection de relecture. Il s’agit de l’entrée créée à l’étape 5.

La tentative d’authentification échoue.

Résolution

Pour résoudre ce problème, obtenez le dernier Service Pack pour Windows 2000.

La version anglaise de ce correctif contient les attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Date Time Version Size File name
-----------------------------------------------------------
22-Mar-2002 23:55 5.0.2195.4959 123,664 Adsldp.dll
30-Jan-2002 00:52 5.0.2195.4851 130,832 Adsldpc.dll
30-Jan-2002 00:52 5.0.2195.4016 62,736 Adsmsext.dll
22-Mar-2002 23:55 5.0.2195.5201 356,624 Advapi32.dll
22-Mar-2002 23:55 5.0.2195.4985 135,952 Dnsapi.dll
22-Mar-2002 23:55 5.0.2195.4985 95,504 Dnsrslvr.dll
22-Mar-2002 23:56 5.0.2195.5013 521,488 Instlsa5.dll
22-Mar-2002 23:55 5.0.2195.5246 145,680 Kdcsvc.dll
22-Mar-2002 23:50 5.0.2195.5246 199,952 Kerberos.dll
07-Feb-2002 19:35 5.0.2195.4914 71,024 Ksecdd.sys
02-Mar-2002 21:32 5.0.2195.5013 503,568 Lsasrv.dll
02-Mar-2002 21:32 5.0.2195.5013 33,552 Lsass.exe
08-Dec-2001 00:05 5.0.2195.4745 107,280 Msv1_0.dll
22-Mar-2002 23:55 5.0.2195.4917 306,960 Netapi32.dll
22-Mar-2002 23:55 5.0.2195.4979 360,208 Netlogon.dll
22-Mar-2002 23:55 5.0.2195.5221 917,264 Ntdsa.dll
22-Mar-2002 23:55 5.0.2195.5201 386,832 Samsrv.dll
30-Jan-2002 00:52 5.0.2195.4874 128,784 Scecli.dll
22-Mar-2002 23:55 5.0.2195.4968 299,792 Scesrv.dll
30-Jan-2002 00:52 5.0.2195.4600 48,400 W32time.dll
06-Nov-2001 19:43 5.0.2195.4600 56,592 W32tm.exe
22-Mar-2002 23:55 5.0.2195.5011 125,712 Wldap32.dll

Solution de contournement

Pour contourner ce problème, effectuez des modifications de mot de passe de compte d’utilisateur sur le contrôleur de domaine local ou forcez Kerberos à utiliser TCP (Protocole de contrôle de transmission) au lieu d’UDP (protocole de datagramme utilisateur).

Pour plus d’informations, consultez Comment forcer Kerberos à utiliser TCP au lieu d’UDP dans Windows.

État

Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés au début de cet article. Ce problème a d’abord été corrigé dans Windows 2000 Service Pack 3.

Plus d’informations

La fonctionnalité de relecture Kerberos empêche la réception du même paquet deux fois par le serveur d’authentification. Une attaque de relecture est une attaque dans laquelle une transmission de données valide est malveillante ou frauduleusement répétée, par l’expéditeur ou par un adversaire qui intercepte les données et les retransmit. Un attaquant peut tenter de « relire » le nom d’utilisateur et le mot de passe d’un utilisateur valide dans une tentative d’authentification à l’aide des informations d’identification de cet utilisateur.

  • Last updated on