[KB8385] - Le serveur d'authentification ESET Secure Authentication est hors ligne (mode d'intégration Active Directory)
Problème
• La console Web ESET Secure Authentication en mode d'intégration Active Directory affiche le serveur d'authentification comme hors ligne.
• L'authentification à deux facteurs échoue car les composants ESET Secure Authentication ne peuvent pas se connecter au serveur d'authentification (AS).
• Observateur d’événements Windows.
• Journaux ESET Secure Authentication.
Détails
• Après l’application de la mise à jour de novembre 2022 de Windows Server, le serveur d’authentification (AS) installé en mode d’intégration Active Directory peut apparaître comme hors ligne dans la console Web ESET Secure Authentication.
• Un durcissement personnalisé du réseau peut provoquer l'affichage du statut "Hors ligne" pour l’AS.
Solution
La mise à jour de novembre 2022 de Windows Server inclut un durcissement pour Netlogon et Kerberos. Si les administrateurs désactivent NTLM et activent uniquement des chiffrements forts pour Kerberos, ESET Secure Authentication échouera à s’authentifier si un chiffrement faible est utilisé (par exemple RC4).
Vérifier via l’observateur d’événements Windows
1. Appuyez sur Windows + R.
2. Tapez eventvwr et appuyez sur Entrée.
3. Double-cliquez sur Journaux Windows puis cliquez sur Sécurité.
4. Dans le panneau Actions, cliquez sur Filtrer le journal actuel.
5. Cochez Information comme niveau d'événement.
6. Cochez Échec d’audit dans les mots-clés et cliquez sur OK.
7. Recherchez la catégorie « Opérations de ticket de service Kerberos » dans les résultats.
8. Sélectionnez l’entrée correspondante pour plus d’informations.
Exemple de log :
TRACE EIP.Services.Connector.EipServiceFinder Server error message: SOAP security negotiation with 'net.tcp://esa.mydomain.local:8000/ApiService_Public' failed.
System.ServiceModel.Security.SecurityNegotiationException: See inner exception. ---> System.ComponentModel.Win32Exception: Either the client credential was invalid or there was an error collecting the client credentials by the SSPI.
Vérifier via les journaux ESA
Dans le fichier EsaCore.log, recherchez des entrées similaires à celles ci-dessus, où esa.mydomain.local est l’adresse du serveur ESA.
Modification de l’attribut Active Directory
1. Ouvrez la console « Utilisateurs et ordinateurs Active Directory » (ADUC).
2. Naviguez jusqu’à <votre_domaine_AD> → ESET Secure Authentication.
3. Trouvez l’utilisateur nommé ESASrv_<nom_machine> (par exemple ESASrv_PH2012R2NODC).
4. Double-cliquez sur l’utilisateur et sélectionnez l’onglet Éditeur d’attributs.
5. Trouvez l’attribut msDS-SupportedEncryptionTypes.
Solution :
définissez msDS-SupportedEncryptionTypes sur 0x3F pour activer les chiffrements AES (D, E).
Alternative : activez le support AES 128bit ou AES 256bit pour Kerberos via l’onglet Compte, ce qui revient à activer les chiffrements D et E.