ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Server domain controller displaying Kerberos authentication service logs in a data center environment
Event ID 4112InformationMicrosoft-Windows-Security-KerberosWindows

ID d'événement Windows 4112 – Kerberos : Service d'authentification Kerberos (AS) démarré

L'ID d'événement 4112 indique que le service d'authentification Kerberos (AS) a démarré avec succès sur un contrôleur de domaine, permettant l'octroi de tickets d'authentification pour les utilisateurs et services du domaine.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4112Microsoft-Windows-Security-Kerberos 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4112 représente une initialisation réussie du service d'authentification Kerberos sur les contrôleurs de domaine Windows. Le service AS Kerberos est responsable de l'authentification des utilisateurs et des ordinateurs dans les environnements Active Directory, en émettant des tickets de concession de tickets qui permettent une connexion unique sur les ressources du domaine.

Lorsqu'un contrôleur de domaine démarre ou que le service Kerberos redémarre, le composant AS effectue des vérifications d'initialisation, y compris la validation des clés cryptographiques, la vérification de la configuration du domaine et la configuration de l'algorithme de chiffrement. L'événement 4112 confirme que ce processus s'est terminé avec succès et que le service est prêt à gérer les demandes d'authentification.

L'événement inclut généralement des informations sur le domaine Kerberos (généralement correspondant au nom de votre domaine AD), les types de chiffrement pris en charge (AES256, AES128, RC4) et les noms principaux de service. Ces données aident les administrateurs à vérifier la configuration correcte de Kerberos et à résoudre les problèmes d'authentification.

Dans les forêts multi-domaines, chaque contrôleur de domaine génère cet événement de manière indépendante. La surveillance de l'événement 4112 sur tous les DCs offre une visibilité sur la disponibilité du service d'authentification et aide à identifier les problèmes potentiels avant qu'ils n'affectent les connexions des utilisateurs ou l'authentification des services.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025
Analyse

Causes possibles

  • Démarrage ou achèvement du redémarrage du contrôleur de domaine
  • Redémarrage manuel du service Centre de distribution de clés Kerberos (KDC)
  • Récupération après une défaillance ou un crash du service Kerberos
  • Application de mises à jour Windows nécessitant un redémarrage du service
  • Opérations de récupération de la base de données Active Directory
  • Modifications de la stratégie de groupe affectant la configuration Kerberos
  • Modifications de la configuration de l'adaptateur réseau ou du DNS nécessitant un rafraîchissement du service
Méthodes de résolution

Étapes de dépannage

01

Vérifier les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre le contexte de démarrage du service Kerberos.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4112 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement 4112 le plus récent pour voir les détails
  5. Examinez l'onglet Général pour les informations de domaine et les types de chiffrement
  6. Vérifiez l'onglet Détails pour des données de configuration Kerberos supplémentaires

Recherchez le nom de domaine (devrait correspondre à votre domaine), les algorithmes de chiffrement pris en charge et les codes d'erreur éventuels. Les événements normaux montrent une initialisation réussie avec plusieurs types de chiffrement disponibles.

Astuce pro : Comparez les types de chiffrement listés avec la politique Kerberos de votre domaine pour assurer un support adéquat des algorithmes.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour récupérer et analyser les événements de démarrage AS Kerberos sur plusieurs contrôleurs de domaine.

# Obtenez les entrées récentes de l'ID d'événement 4112
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4112} -MaxEvents 10

# Obtenez des informations détaillées sur l'événement
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4112} -MaxEvents 5 | Format-List TimeCreated, Id, LevelDisplayName, Message

# Vérifiez les événements des dernières 24 heures
$StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4112; StartTime=$StartTime}

# Interrogez plusieurs DC (remplacez par vos noms de DC)
$DCs = @('DC01', 'DC02', 'DC03')
foreach ($DC in $DCs) {
    Write-Host "Vérification de $DC..."
    Invoke-Command -ComputerName $DC -ScriptBlock {
        Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4112} -MaxEvents 1 -ErrorAction SilentlyContinue
    }
}

Cette approche aide à identifier les modèles dans les démarrages de service Kerberos et à comparer le timing entre les contrôleurs de domaine.

03

Vérifier l'état du service Kerberos

Confirmez que le service Kerberos Key Distribution Center fonctionne correctement après avoir vu l'événement 4112.

# Vérifier l'état du service KDC
Get-Service -Name 'KDC' | Format-List Name, Status, StartType

# Vérifier les dépendances du service
Get-Service -Name 'KDC' -DependentServices
Get-Service -Name 'KDC' -RequiredServices

# Vérifier le type de démarrage et le compte du service
Get-WmiObject -Class Win32_Service -Filter "Name='KDC'" | Select Name, StartMode, StartName, State

# Examiner les événements récents du service
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Service Control Manager'} | Where-Object {$_.Message -like '*KDC*'} | Select TimeCreated, Id, LevelDisplayName, Message

De plus, vérifiez que le service écoute sur les ports corrects :

# Vérifier les ports Kerberos (88 TCP/UDP, 464 TCP/UDP)
netstat -an | findstr :88
netstat -an | findstr :464
Avertissement : Ne jamais arrêter manuellement le service KDC sur un contrôleur de domaine en production car cela interrompra l'authentification pour tous les utilisateurs du domaine.
04

Analyser la configuration Kerberos

Examinez la configuration Kerberos du domaine pour assurer une configuration correcte qui correspond aux détails de l'événement 4112.

# Vérifiez les paramètres de la politique Kerberos du domaine
Get-ADDefaultDomainPasswordPolicy | Select KerberosEncryptionType, MaxPasswordAge, MinPasswordAge

# Examinez les paramètres de la stratégie de groupe liés à Kerberos
Get-GPOReport -All -ReportType Html -Path C:\Temp\GPOReport.html

# Vérifiez le niveau fonctionnel du domaine (affecte les fonctionnalités Kerberos)
Get-ADDomain | Select DomainMode, Forest
Get-ADForest | Select ForestMode

# Vérifiez l'enregistrement SPN pour les contrôleurs de domaine
setspn -L $env:COMPUTERNAME

# Vérifiez les SPN en double qui pourraient causer des problèmes Kerberos
setspn -X

Examinez les paramètres du registre pour la configuration Kerberos :

# Vérifiez les paramètres du registre Kerberos
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -ErrorAction SilentlyContinue

Examinez la clé de registre HKLM\SYSTEM\CurrentControlSet\Services\KDC pour la configuration du service et les paramètres de démarrage.

05

Surveiller la santé et les performances de Kerberos

Implémentez une surveillance complète pour suivre la santé du service Kerberos au-delà des seuls événements de démarrage.

# Créer un script de surveillance pour les événements Kerberos
$Events = @(4112, 4768, 4769, 4771, 4625)
foreach ($EventID in $Events) {
    $Count = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$EventID; StartTime=(Get-Date).AddHours(-1)} -ErrorAction SilentlyContinue).Count
    Write-Host "Événement $EventID dans la dernière heure : $Count"
}

# Surveiller la performance de l'authentification
Get-Counter -Counter '\Kerberos v5 AS Requests/sec', '\Kerberos v5 TGS Requests/sec' -SampleInterval 5 -MaxSamples 12

# Vérifier les erreurs Kerberos
Get-WinEvent -FilterHashtable @{LogName='Security'; Level=2,3; StartTime=(Get-Date).AddDays(-1)} | Where-Object {$_.Message -like '*Kerberos*'}

Configurez une surveillance automatisée à l'aide du Planificateur de tâches Windows ou de System Center Operations Manager pour alerter sur l'absence d'événements 4112 pendant les heures de démarrage prévues. Créez une base de référence des modèles normaux de redémarrage du service Kerberos pour identifier les anomalies.

Astuce pro : Utilisez le Moniteur de performance pour suivre les compteurs d'authentification Kerberos en parallèle avec la surveillance de l'événement 4112 pour une visibilité complète de la santé du service d'authentification.

Aperçu

L'ID d'événement 4112 se déclenche lorsque le service d'authentification Kerberos (AS) démarre avec succès sur un contrôleur de domaine Windows. Cet événement apparaît dans le journal de sécurité lors du démarrage du DC ou lorsque le service Kerberos redémarre après une maintenance. Le composant AS est essentiel pour l'authentification de domaine, gérant les demandes initiales de ticket de concession de ticket (TGT) des clients de domaine.

Cet événement informatif confirme que votre contrôleur de domaine peut traiter les demandes d'authentification Kerberos. Vous le verrez généralement lors de redémarrages planifiés, de redémarrages de service ou après l'application de mises à jour de sécurité. L'événement inclut des détails sur le domaine Kerberos et les types de chiffrement pris en charge par le service.

Bien qu'il s'agisse d'un événement opérationnel normal, la surveillance de l'événement 4112 aide à suivre la disponibilité du DC et la santé du service Kerberos. Des événements 4112 manquants ou retardés lors du démarrage peuvent indiquer des problèmes de service d'authentification qui pourraient affecter les connexions de domaine dans votre environnement.

Questions Fréquentes

Que signifie l'ID d'événement 4112 et quand devrais-je le voir ?+
L'ID d'événement 4112 indique que le service d'authentification Kerberos a démarré avec succès sur un contrôleur de domaine. Vous devriez voir cet événement lors du démarrage du DC, après les redémarrages de service ou après les mises à jour de Windows. C'est un événement informatif normal qui confirme que votre contrôleur de domaine est prêt à gérer les demandes d'authentification Kerberos. L'événement apparaît dans le journal de sécurité et inclut des détails sur le domaine Kerberos et les types de chiffrement pris en charge.
Dois-je m'inquiéter si je ne vois pas l'ID d'événement 4112 après le redémarrage d'un contrôleur de domaine ?+
Oui, l'absence de l'ID d'événement 4112 après un redémarrage du DC pourrait indiquer des problèmes de démarrage du service Kerberos. Vérifiez le journal Système pour les erreurs liées aux services, vérifiez l'état du service KDC en utilisant Get-Service -Name 'KDC', et assurez-vous qu'aucune modification de la stratégie de groupe ou du registre n'empêche l'initialisation correcte de Kerberos. Les utilisateurs peuvent rencontrer des échecs d'authentification si le service AS Kerberos ne démarre pas correctement. Enquêtez immédiatement si cet événement est manquant après les temps de démarrage prévus.
L'ID d'événement 4112 peut-il aider à résoudre les problèmes d'authentification de domaine ?+
Absolument. L'événement 4112 confirme que le service d'authentification Kerberos est opérationnel, ce qui est essentiel pour l'authentification de domaine. Si des utilisateurs signalent des problèmes de connexion, vérifiez les événements 4112 récents pour confirmer que le service d'authentification est en cours d'exécution. Les détails de l'événement montrent les types de chiffrement pris en charge - des incompatibilités entre les capacités de chiffrement du client et du serveur peuvent entraîner des échecs d'authentification. Comparez les informations de domaine dans l'événement avec votre configuration de domaine pour identifier les problèmes potentiels.
À quelle fréquence devrais-je m'attendre à voir l'ID d'événement 4112 dans mon environnement ?+
La fréquence de l'ID d'événement 4112 dépend de votre calendrier de maintenance et de la stabilité du système. Attendez-vous à le voir lors de redémarrages planifiés, de cycles de correctifs mensuels ou après l'application de modifications de la stratégie de groupe affectant Kerberos. Dans des environnements stables, vous pourriez le voir chaque semaine ou chaque mois. Des événements 4112 fréquents pourraient indiquer une instabilité du service, des redémarrages inattendus ou des problèmes de configuration provoquant des redémarrages de service. Surveillez le schéma pour établir une référence pour votre environnement.
Quels types de chiffrement devrais-je voir dans l'ID d'événement 4112 pour les environnements Windows modernes ?+
Les environnements Windows modernes devraient afficher AES256-CTS-HMAC-SHA1-96 et AES128-CTS-HMAC-SHA1-96 comme types de chiffrement principaux dans l'événement 4112. Vous pouvez également voir RC4-HMAC pour la compatibilité rétroactive, mais cela devrait être désactivé dans les environnements à haute sécurité. Windows Server 2019 et versions ultérieures prennent en charge ces algorithmes de chiffrement forts par défaut. Si vous ne voyez que des types de chiffrement RC4 ou DES, examinez la politique Kerberos de votre domaine et envisagez de mettre à jour les systèmes hérités qui pourraient imposer un chiffrement plus faible.
Documentation

Références (2)

1
Microsoft Learn - Kerberos Authentication OverviewComprehensive guide to Kerberos authentication in Windows Server environments, including service configuration and troubleshooting.https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview
2
Microsoft Docs - Security Auditing EventsOfficial documentation covering Windows security events, including Kerberos authentication events and their meanings.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#domain-controller#kerberos-authentication#event-id-4112

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...