Erreur (le nom du compte cible est incorrect) lorsqu’un utilisateur de domaine accède à un partage sur un serveur de fichiers exécutant Windows Server 2012 R2

Cet article fournit une solution à un problème où les utilisateurs ne parviennent pas à accéder à un partage sur un serveur de fichiers exécutant Windows Server 2012 R2.

Numéro de la base de connaissances d’origine : 3040803

Symptômes

Lorsque les utilisateurs de domaine tentent d’accéder à un partage sur un serveur de fichiers exécutant Windows Server 2012 R2, ils ne peuvent pas accéder au partage et reçoivent le message d’erreur suivant :

Échec de connexion : le nom du compte cible est incorrect.

En outre, lorsque ce problème se produit, l’ID d’événement 4 et l’ID d’événement 1097 sont enregistrés dans le journal du serveur. Ce problème peut se produire pendant plusieurs heures ou jusqu’à un jour. Ensuite, l’utilisateur perd l’accès au partage sur le serveur.

• ID d’événement 4

  The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server server_name$. The target name used was server_name$. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Please ensure that the target SPN is registered on, and only registered on, the account used by the server. This error can also happen when the target service is using a different password for the target service account than what the Kerberos Key Distribution Center (KDC) has for the target service account. Please ensure that the service on the server and the KDC are both updated to use the current password. If the server name is not fully qualified, and the target domain (DNS_prefix.dns_suffix) is different from the client domain (DNS_prefix.dns_suffix), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
  

• ID d’événement 1097

  The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.
  

Cause

Ce problème se produit parce que le serveur de fichiers ne peut pas déchiffrer le ticket chiffré dans AES256.

Résolution

Pour résoudre ce problème, définissez la valeur de l’attribut SupportedEncryptionTypes sur 0x7fffffff. Pour ce faire, procédez comme suit :

1. Dans la console de gestion des stratégies de groupe (GPMC), développez Configuration de l’ordinateur, développez Paramètres Windows, paramètres de sécurité, stratégies locales, puis sélectionnez Options de sécurité.
2. Cliquez pour sélectionner la sécurité réseau : configurer les types de chiffrement autorisés pour l’option Kerberos .
3. Cliquez pour activer la case à cocher Définir ces paramètres de stratégie et les six cases à cocher pour les types de chiffrement.
4. Cliquez sur OK, puis fermez la console GPMC.

Note

Cette stratégie définit l’entrée de Registre SupportedEncryptionTypes sur une valeur de 0x7FFFFFFF. L’entrée de Registre SupportedEncryptionTypes se trouve à l’emplacement suivant : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters.

État

Microsoft a confirmé qu’il s’agit d’un problème dans Windows Server 2012 R2.

References

• Kerberos

• Modifications apportées à l’authentification Kerberos

• Interprétation de la clé de Registre SupportedEncryptionTypes

• Améliorations kerberos

• Vous ne pouvez pas vous connecter à un ordinateur client Windows 7 ou Windows Server 2008 R2 après avoir désactivé le chiffrement AES pour l’authentification Kerberos