locked
Erreur KDC 20 et 0x800b0110 certutil RRS feed

  • Discussion générale

  • Bonjour,

    Je rencontre actuellement un problème sur deux contrôleurs de domaine.

    Suite à une erreur KDC 20, nous nous sommes rendu compte que le certificat de l'autorité de certification interne avait expirée. Nous en avons réinstallée une nouvelle, profitant de cette erreur pour réinstaller le rôle sur un serveur (DC) plus approprié.

    Le certificat de cette nouvelle CA s'est bien déployé sur l'ensemble du parc, dans les magasins appropriés. Nous avons regénérés de nouveaux certificats de type "Contrôleur de domaine" sur les DC, mais ceux-ci ne semblent pas être valides pour KDC, en effet, l'exécution de la commande certutil -dcinfo verify renvoie, entre autres :

    -------- CERT_CHAIN_CONTEXT --------
    
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    
    ChainContext.dwErrorStatus = CERT_TRUST_IS_NOT_VALID_FOR_USAGE (0x10)
    
    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    
    SimpleChain.dwErrorStatus = CERT_TRUST_IS_NOT_VALID_FOR_USAGE (0x10)
    
    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=10
    
     Issuer: XXX
    
     Subject: XXX
    
     Serial: 13e60b73000000000011
    
     Template: DomainController
    
     4b 22 84 77 46 9d 9b ea 60 7f 39 61 8d 99 50 e0 1f e7 f8 bd
    
     Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
    
     Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    
     Element.dwErrorStatus = CERT_TRUST_IS_NOT_VALID_FOR_USAGE (0x10)
    
     CRL 1:
    
     Issuer: XXX
    
     7c bc 21 74 05 a8 e7 1e dd a8 8f 12 40 69 12 4c a3 e5 53 a1
    
     Delta CRL 3:
    
     Issuer: XXX
    
     7d 99 b3 8c 7f 8b 18 89 89 45 b1 d5 b3 22 8a 29 5b 03 1e e8
    
     Application[0] = 1.3.6.1.5.5.7.3.2 Authentification du client
    
     Application[1] = 1.3.6.1.5.5.7.3.1 Authentification du serveur
    
    CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
    
     Issuer: XXX
    
     Subject: XXX
    
     Serial: 3e26354acea8248b4d3c6fcc398d9eab
    
     Template: CA
    
     32 4f 8c 7d d4 cd ca d7 fe 9e 31 4b 45 8f cd e0 af 91 45 47
    
     Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
    
     Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
    
     Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    
    Exclude leaf cert:
    
     27 39 21 64 20 a5 0a 4c 55 c0 2b b3 1a fe 8a 80 9d be 87 aa
    
    Full chain:
    
     b3 b6 ac d8 0e 1e 74 01 ea a2 8d 86 77 ce 4a f5 e4 76 5a 02
    
     Issuer: XXX
    
     Subject: XXX
    
     Serial: 13e60b73000000000011
    
     Template: DomainController
    
     4b 22 84 77 46 9d 9b ea 60 7f 39 61 8d 99 50 e0 1f e7 f8 bd
    
    Le certificat n'est pas valide pour l'usage requis. 0x800b0110 (-2146762480)

    Je ne parviens pas à comprendre pourquoi ce certificat n'est pas reconnu comme étant valide. La commande certutil -dcinfo deletebad supprime systématiquement ces nouveaux certificats délivrés par la nouvelle autorité. Il n'y en a pas d'autres, les certificats de l'ancienne ont déjà été purgés, et sur l'un des DC qui héberge pourtant cette nouvelle CA, l'erreur est aussi présente.

    Pourtant on dirait que le problème est en partie résolu, puisqu'en effet nous ne voyons plus d'erreur KDC 20, mais, dans ce cas, pourquoi déclarer ces certificats invalides ?

    Pour info, DCDiag et NETDiag ne retourne aucune erreur particulière.

    Merci pour votre aide.

    KDC ERROR ID 20

    The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found. Smartcard logon may not function correctly if this problem is not remedied. Have the system administrator check on the state of the domain''s public key infrastructure. The chain status is in the error data.
    lundi 19 juillet 2010 12:23