none
Mot de passe d'un compte de domaine incorrect avec 2 serveurs uniquement RRS feed

  • Question

  • Bonjour,

    Je viens vous exposer un problème que je subis sur deux serveurs uniquement parmi tous ceux que j'ai dans mon domaine.

    Je dispose d'un compte de domaine avec des droits d'administration qui me permet de me connecter en RDP sur tous mes serveurs.

    Ainsi, lorsque je lance la fenêtre mstsc, sur la fenêtre de sécurité Windows, après avoir rentré l'IP du serveur, je tape le domaine, l'utilisateur et le mot de passe du compte.

    • Sur la majorité des serveurs, une fenêtre RDP va se lancer et l'authentification va être validée.
    • Sur les deux serveurs problématiques, la fenêtre RDP se lance mais l'authentification est refusée ("utilisateur ou mot de passe incorrect"). Depuis la fenêtre RDP, je peux toutefois rentrer les mêmes identifiants et cette fois-ci, l'authentification est validée.

    Ces deux serveurs sont des Windows Server 2012.

    Sur deux autres Server 2012 ayant la même fonction et les mêmes stratégies de domaine appliquées, cela fonctionne.

    Je tiens à indiquer que le mot de passe du compte en question comporte plusieurs caractères spéciaux (un pipe, un slash et un double quote notamment).

    Je n'arrive pas à cibler la cause du problème, peut-être un problème d'interprétation avec ces caractères spéciaux mais je ne vois pas où cela peut être configuré et qui ferait que ça ne serait pas fonctionnel uniquement sur ces deux serveurs.

    Avez-vous déjà fait face à ce problème ?

    Merci d'avance de votre aide sur ce sujet.

    EDIT : Le problème se présente aussi bien avec la fenêtre mstsc qu'avec des outils comme mRemoteNG ou Remote Desktop Connection Manager.


    • Modifié WhiTeP0ol vendredi 19 juillet 2019 12:54 Erreur d'apostrophe
    mercredi 17 juillet 2019 13:54

Réponses

  • Bonjour tout le monde,

    Nous avons pu trouver la cause du problème : sur les deux serveurs concernés, la valeur de SecurityLayer pour la clé HKEY_L_M\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp était de 0 tandis qu'elle était de 1 sur tous les autres.

    Après l'avoir passé à l'identique, problème résolu.

    • Marqué comme réponse WhiTeP0ol vendredi 26 juillet 2019 09:50
    vendredi 26 juillet 2019 09:50

Toutes les réponses

  • Bonjour,

    Sans capture d'écran, c'est plus compliqué que répondre juste, mais vous n'auriez pas simplement enregistrer les credentials pour les deux serveurs dans mstsc.exe ?

    Ou

    Dans la première fenêtre de mstsc.exe, si vous saisissez le nom ou l'ip des serveurs problématique, pouvez vous supprimer les informations d'authentification enregistrées ?

    Cordialement


    Benoit

    jeudi 18 juillet 2019 05:34
  • Bonjour,

    Peut-être un problème de cache avec tous ces outils de RDP. Peux-tu essayer de démarrer un mstsc propre sans rien de pré-enregistré (et si c'est le cas supprime tout) pour saisir manuellement tes identifiants ? Si cela fonctionne, cela permettra de confirmer l'hypothèse.

    jeudi 18 juillet 2019 13:03
  • Bonjour,

    Merci à vous deux pour votre réponse.

    J'ai vérifié au niveau des credentials enregistrés, les ai supprimé puis remis de nouveau les bons mais toujours le même problème.

    Je ne sais pas si ça peut être lié mais quand je lance la fenêtre mstsc et que je rentre l'IP des deux serveurs problématiques, ça me lance directement une fenêtre RDP où je dois taper mes identifiants sur la fenêtre de login Windows Server 2012.
    C'est différent par rapport à tous mes autres serveurs où je suis obligé de taper les identifiants sur le prompt mstsc Windows Security afin d'avoir le lancement de la fenêtre RDP. Sur tous ces serveurs, l'authentification automatique fonctionne avec les credentials enregistrés.

    Pourtant, la configuration au niveau du NLA est la même pour tous les serveurs (c'est à dire "désactivé").

    Pensez-vous que ça pourrait être lié ?

    vendredi 19 juillet 2019 07:51
  • Bonjour,

    Quels sont les rôles des serveurs impactés ?

    Piste ici : https://www.spjeff.com/2017/09/27/fixed-rdp-requires-authentication-twice/

    vendredi 19 juillet 2019 08:44
  • Bonjour,

    Les credentials de MSTSC sont stockés dans le registre, pouvez-vous vérifier la présence des clef correspondantes aux serveurs posant problème.

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\IPouhostname

    Et supprimer les clefs si elles sont présentes.

    Concernant le NLA nous parlons bien de cette configuration coté serveur ?

    Je sais que les images alourdissent la conversations, mais j'aime bien avoir quelques printscreen afin de mieux cibler le souci et s'assurer que l'on parle bien de la même chose.

    Cordialement


    Benoit

    vendredi 19 juillet 2019 09:14
  • @Spunamo, ce sont des VDA Citrix (autrement dit des serveurs de publication de bureau à distance).
    Je vais tester et je vous tiens au courant.

    @Benoit, j'aurais du préciser cela avant mais nous sommes plusieurs collègues depuis nos postes respectifs à avoir le même problème pour les mêmes serveurs. Merci toutefois de vos réponses.

    EDIT :

    Je viens d'effectuer plusieurs petits tests en ciblant le mot de passe comme cause.

    Compte 1 = compte problématique
    Compte 2 = mon compte personnel

    - Sur le serveur qui pose problème, si j'utilise le compte 1 avec son mot de passe complexe, ça ne passe pas depuis le prompt MSTSC
    - Sur ce même serveur, j'entre l'identifiant du compte 2 sur le prompt MSTSC, aucun problème, ça passe.
    - Je change ensuite le mot de passe de ce compte 2 pour un totalement au hasard. J'entre l'identifiant du compte et le nouveau mot de passe, ça passe.
    - Je change une dernière fois le mot de passe de ce compte 2 pour mettre le mot de passe du compte 1 et ici, ça ne passe pas depuis le prompt MSTSC.
    - Pour ce même compte 2 avec le mot de passe du compte 1, ça ne fonctionne donc pas depuis le prompt MSTSC sur 2 serveurs mais ça fonctionne sur tous les autres.

    EDIT 2 :

    - Dernier test, je modifie le mot de passe du compte 2 en y enlevant tous les caractères spéciaux et en laissant le reste identique, cette fois-ci, ça fonctionne partout.

    • Modifié WhiTeP0ol vendredi 19 juillet 2019 12:52 Test caractères spéciaux
    • Proposé comme réponse ThibaultG vendredi 19 juillet 2019 17:00
    vendredi 19 juillet 2019 11:51
  • Bonjour,

    Il semblerait que dans mes derniers tests, je m'étais concentré sur la présence ou non de caractères spéciaux.

    Il se trouve en fait que si le mot de passe a une longueur de 14 caractères ou moins (caractères spéciaux ou non), l'authentification via le prompt MSTSC va fonctionner. Au delà, le problème survient.

    Avez-vous déjà entendu parler d'une telle limite pour l'authentification directe via le prompt MSTSC ?

    Merci d'avance.

    lundi 22 juillet 2019 07:47
  • Bonjour tout le monde,

    Nous avons pu trouver la cause du problème : sur les deux serveurs concernés, la valeur de SecurityLayer pour la clé HKEY_L_M\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp était de 0 tandis qu'elle était de 1 sur tous les autres.

    Après l'avoir passé à l'identique, problème résolu.

    • Marqué comme réponse WhiTeP0ol vendredi 26 juillet 2019 09:50
    vendredi 26 juillet 2019 09:50