Pas vraiment un TP aujourd’hui mais plus une nouveauté que j’ai découverte en réinitialisant un mot de passe utilisateur dans un Active Directory.
Le problème
En fait en faisant un changement de mot de passe je me suis rendu compte que le PC freezait pendant quelques secondes avant de réussir.
Un coup de netstat plus tard, j’avais repéré un beau SYN_SENT vers un de nos DC avec le protocole kpasswd côté port réseau.
Que ça veut dire ?
Après une rapide recherche autour de kpasswd, je suis tombé sur l’explication.
Depuis Windows 7, Microsoft implémente kpasswd (protocole et programme Opensource-KRB/MIT) qui est utilisé pour gérer les mots de passes des « principaux » (=comptes, pour simplifier) dans Kerberos.
La plupart des gens pensaient que MS avait fait ça pour des histoires de compatibilité UNIX.
QUENiNi vous dis-je !
Seven essaie systématiquement de changer le mot de passe en kpasswd (et ce, que ce soit sur domaine et DC : en 2003 ou 2008R2 ou plus).
XP lui se comporte différemment, et utilise « SAMR » (il pourra faire du ‘Rap’ comme ça) qui passe sur le 445 en « RPC-Over-SMB » (et du coup la ça passe le filtrage firewall)
Pourquoi ça marche alors ?
Parce que Seven est pas trop idiot et en cas d’échec sur kpasswd, il fait ça avec « SAMR » (oui, je sais, c’est dégouttant).
Quoi qu’il faut faire alors :
Bein ouvrir le port 464 de tous les postes et serveurs supérieur à XP/2003 vers les DCs.
Ensuite vérifier dans le KB179442 que les préconisations Microsoft de port à ouvrir sont bien respectées chez vous.
Byz,
