Bonjour,
Je rencontre actuellement un problème sur deux contrôleurs de domaine.
Suite à une erreur KDC 20, nous nous sommes rendu compte que le certificat de l'autorité de certification interne avait expirée. Nous en avons réinstallée une nouvelle, profitant de cette erreur pour réinstaller
le rôle sur un serveur (DC) plus approprié.
Le certificat de cette nouvelle CA s'est bien déployé sur l'ensemble du parc, dans les magasins appropriés. Nous avons regénérés de nouveaux certificats de type "Contrôleur de domaine" sur les DC, mais
ceux-ci ne semblent pas être valides pour KDC, en effet, l'exécution de la commande certutil -dcinfo verify renvoie, entre autres :
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_IS_NOT_VALID_FOR_USAGE (0x10)
SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_NOT_VALID_FOR_USAGE (0x10)
CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=10
Issuer: XXX
Subject: XXX
Serial: 13e60b73000000000011
Template: DomainController
4b 22 84 77 46 9d 9b ea 60 7f 39 61 8d 99 50 e0 1f e7 f8 bd
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_IS_NOT_VALID_FOR_USAGE (0x10)
CRL 1:
Issuer: XXX
7c bc 21 74 05 a8 e7 1e dd a8 8f 12 40 69 12 4c a3 e5 53 a1
Delta CRL 3:
Issuer: XXX
7d 99 b3 8c 7f 8b 18 89 89 45 b1 d5 b3 22 8a 29 5b 03 1e e8
Application[0] = 1.3.6.1.5.5.7.3.2 Authentification du client
Application[1] = 1.3.6.1.5.5.7.3.1 Authentification du serveur
CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: XXX
Subject: XXX
Serial: 3e26354acea8248b4d3c6fcc398d9eab
Template: CA
32 4f 8c 7d d4 cd ca d7 fe 9e 31 4b 45 8f cd e0 af 91 45 47
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Exclude leaf cert:
27 39 21 64 20 a5 0a 4c 55 c0 2b b3 1a fe 8a 80 9d be 87 aa
Full chain:
b3 b6 ac d8 0e 1e 74 01 ea a2 8d 86 77 ce 4a f5 e4 76 5a 02
Issuer: XXX
Subject: XXX
Serial: 13e60b73000000000011
Template: DomainController
4b 22 84 77 46 9d 9b ea 60 7f 39 61 8d 99 50 e0 1f e7 f8 bd
Le certificat n'est pas valide pour l'usage requis. 0x800b0110 (-2146762480)
Je ne parviens pas à comprendre pourquoi ce certificat n'est pas reconnu comme étant valide. La commande
certutil -dcinfo deletebad supprime systématiquement ces nouveaux certificats délivrés par la nouvelle autorité. Il n'y en a pas d'autres, les certificats de l'ancienne ont déjà été purgés,
et sur l'un des DC qui héberge pourtant cette nouvelle CA, l'erreur est aussi présente.
Pourtant on dirait que le problème est en partie résolu, puisqu'en effet nous ne voyons plus d'erreur KDC 20, mais, dans ce cas, pourquoi déclarer ces certificats invalides ?
Pour info, DCDiag et NETDiag ne retourne aucune erreur particulière.
Merci pour votre aide.
KDC ERROR ID 20
The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found. Smartcard logon may not function correctly if this problem is not remedied. Have the system administrator check on the state of the domain''s public key infrastructure. The chain status is in the error data.
