Ce message d'erreur spécifique peut se produire dans plusieurs scénarios différents sur les ordinateurs des utilisateurs. Il s'agit d'un message d'erreur lié à Windows. Un scénario se produit lorsque les utilisateurs essaient d'entrer un mot de passe pour se connecter à leur compte, mais Windows refuse de l'accepter.
Kerberos utilise le protocole UDP pour échanger des tickets selon la norme RFC. UDP est un protocole élaboré et des choses comme les VPN ou les réseaux occupés génèrent des événements étranges (comme ne pas pouvoir s'authentifier). Kerberos ne peut pas tolérer que les paquets soient hors service, ce qui peut se produire en raison de la taille du MTU, de la latence, etc. Kerberos ne peut pas tolérer que les paquets soient hors service.
Microsoft vous permet d'enfreindre la norme et de forcer Windows à utiliser TCP pour l'authentification Kerberos en modifiant le registre.
Message d'erreur:
El sistema detectó un posible intento de comprometer la seguridad. Asegúrese de poder comunicarse con el serveur que lo autenticó.
Lo que sucede en segundo plano cuando un Nom d'utilisateur de un bosque requiere entrar a un recurso en un domaine de confianza remoto es el siguiente:
- le client contacta con un KDC en su propio campo.
- Le KDC fournit au client un ticket de parrainage pour le domaine distant.
- Le client envoie le ticket de parrainage à un KDC dans la forêt approuvée.
- Le KDC de confiance reconnaît la validité et l'authenticité du ticket de recommandation.
- L'utilisateur se voit attribuer un ticket de service pour le service sur le domaine distant.
KB3167679 – Solution de contournement MS16-101
- Si les modifications de mot de passe précédemment réussies échouent après l'installation de MS16-101, il est probable que les modifications de mot de passe reposaient auparavant sur le basculement NTLM en raison d'une défaillance de Kerberos. Pour modifier les mots de passe via les protocoles Kerberos, procédez comme suit :
- Configurez une communication ouverte sur le port TCP 464 entre les clients sur lesquels MS16-101 est installé et le contrôleur de domaine en attente de la réinitialisation du mot de passe.
Les contrôleurs de domaine en lecture seule (RODC) peuvent réinitialiser les mots de passe en libre-service si l'utilisateur est autorisé par la stratégie de réplication de mot de passe du RODC. Les utilisateurs qui ne sont pas autorisés par la stratégie de mot de passe RODC nécessitent une connexion réseau à un contrôleur de domaine en lecture/écriture (RWDC) dans le domaine du compte d'utilisateur.
Remarque Pour vérifier que le port TCP 464 est ouvert, procédez comme suit :
Créez un filtre d'écran identique pour votre analyseur de moniteur de réseau. Par exemple:
adresse.ipv4 == <dirección IP del cliente> && tcp.port == 464
Utilisez IPv4 dans votre réseau
IPv6 plantea muchos problemas y ha llegado a ser la causa de muchos problemas de conectividad de red. Puede intentar solucionar el problema descrito en este Publier básicamente cambiando su red a IPv4 en lugar de IPv6.
- Utilisez le raccourci clavier Windows + R, qui ouvre immédiatement la boîte de dialogue Exécuter, où vous tapez ncpa.cpl dans la barre et cliquez sur OK pour ouvrir l'élément Paramètres de connexion Internet dans le Panneau de configuration.
- Vous pouvez faire la même chose en ouvrant manuellement le Panneau de configuration. Modifiez l'affichage en cliquant sur Définir la catégorie en haut à droite de la fenêtre et en cliquant sur Réseau et Internet en haut. Cliquez sur le bouton Centre réseau et partage pour l'ouvrir. Essayez de rechercher et cliquez sur le bouton Modifier les paramètres de l'adaptateur dans le menu de gauche.
- Lorsque la fenêtre Connexion Internet s'ouvre, double-cliquez sur votre carte réseau active.
- Cliquez ensuite sur Propriétés et recherchez la version 6 du protocole Internet dans la liste. Décochez la case à côté de cette entrée et cliquez sur OK. Redémarrez votre ordinateur pour confirmer les modifications et vérifiez que le problème persiste.
