ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing certificate services and Event Viewer security logs
Event ID 4869ErrorKerberosWindows

ID d'événement Windows 4869 – Kerberos : Échec de l'opération du client des services de certificats

L'ID d'événement 4869 indique qu'une opération client des services de certificats Kerberos a échoué, généralement lors des processus d'inscription ou de renouvellement de certificats dans les environnements Active Directory.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4869Kerberos 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4869 représente une défaillance critique dans le sous-système client des services de certificats Kerberos. Cet événement se produit lorsque le client des services de certificats Windows, qui gère l'inscription et la gestion automatiques des certificats, rencontre une erreur empêchant l'achèvement réussi des opérations liées aux certificats.

Le service Kerberos génère cet événement lorsque les opérations de certificat échouent pendant le processus d'authentification. Les scénarios courants incluent des problèmes d'accès aux modèles de certificats, des problèmes de connectivité avec l'Autorité de Certification, des permissions insuffisantes pour l'inscription des certificats, ou des magasins de certificats corrompus. L'événement contient généralement des informations d'erreur détaillées, y compris des codes HRESULT, des noms de modèles de certificats, et l'opération spécifique qui a échoué.

Dans les environnements Windows modernes, les services de certificats jouent un rôle essentiel dans la sécurisation des communications et de l'authentification. Lorsque l'ID d'événement 4869 se produit, il peut affecter l'authentification des utilisateurs, la sécurité des applications, et les processus de gestion automatisée des certificats. L'événement est particulièrement significatif dans les environnements utilisant des cartes à puce, des connexions VPN basées sur des certificats, ou des applications nécessitant des certificats clients pour l'authentification.

Le moment de cet événement est souvent corrélé avec les périodes d'expiration des certificats, les modifications des modèles de certificats, ou les modifications de l'infrastructure de l'Autorité de Certification. Les administrateurs doivent enquêter rapidement sur ces événements car ils peuvent indiquer des problèmes plus larges avec l'Infrastructure à Clé Publique qui peuvent affecter plusieurs utilisateurs ou systèmes.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Le serveur de l'autorité de certification est injoignable ou rencontre des problèmes de connectivité
  • Permissions insuffisantes pour les opérations d'inscription ou de renouvellement de certificat
  • Erreurs de configuration du modèle de certificat ou modèles manquants
  • Magasin de certificats local corrompu ou base de données des services de certificats corrompue
  • Échecs d'authentification réseau empêchant l'accès aux services de certificats
  • Service de l'autorité de certification arrêté ou dysfonctionnant
  • Problèmes de synchronisation de l'heure entre le client et l'autorité de certification
  • Paramètres de stratégie de groupe bloquant l'inscription de certificats
  • Permissions de sécurité du modèle de certificat mal configurées
  • Problèmes de résolution DNS pour les serveurs de l'autorité de certification
Méthodes de résolution

Étapes de dépannage

01

Vérifier la connectivité des services de certificats

Commencez par vérifier la connectivité de base à vos serveurs d'autorité de certification et assurez-vous que les services de certificats fonctionnent.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité et localisez l'ID d'événement 4869
  2. Notez le code d'erreur et le nom du modèle de certificat à partir des détails de l'événement
  3. Testez la connectivité à votre autorité de certification :
Test-NetConnection -ComputerName "your-ca-server.domain.com" -Port 135
Test-NetConnection -ComputerName "your-ca-server.domain.com" -Port 445
  1. Vérifiez l'état du service de l'autorité de certification :
Get-Service -ComputerName "your-ca-server.domain.com" -Name "CertSvc"
  1. Vérifiez les URL d'enrôlement de certificats :
certlm.msc

Accédez à Certificats (Ordinateur local)PersonnelCertificats et vérifiez que les certificats existants ne sont pas expirés.

02

Réinitialiser le client des services de certificats

Réinitialisez le client des services de certificats pour effacer les erreurs mises en cache ou les informations d'état corrompues.

  1. Arrêtez le service de propagation des certificats :
Stop-Service -Name "CertPropSvc" -Force
  1. Effacez le cache d'inscription des certificats :
Remove-Item -Path "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\*" -Force -ErrorAction SilentlyContinue
  1. Réinitialisez la configuration du client des services de certificats :
certlm.msc

Supprimez toutes les demandes de certificat échouées ou en attente dans Demandes d'inscription de certificats.

  1. Redémarrez les services de certificats :
Start-Service -Name "CertPropSvc"
Restart-Service -Name "CryptSvc"
  1. Forcez l'actualisation de l'inscription des certificats :
gpupdate /force
certlm.msc

Cliquez avec le bouton droit sur PersonnelToutes les tâchesDemander un nouveau certificat pour tester l'inscription.

03

Examiner les autorisations du modèle de certificat

Vérifiez que l'ordinateur ou le compte utilisateur dispose des autorisations appropriées pour s'inscrire au modèle de certificat mentionné dans l'événement.

  1. Identifiez le modèle de certificat à partir des détails de l'ID d'événement 4869
  2. Sur le serveur de l'Autorité de Certification, ouvrez la console de gestion Autorité de Certification
  3. Accédez à Modèles de Certificat et localisez le modèle défaillant
  4. Cliquez avec le bouton droit sur le modèle → Propriétés → onglet Sécurité
  5. Vérifiez que l'ordinateur ou le compte utilisateur dispose des autorisations Lire et S'inscrire
  6. Vérifiez la disponibilité du modèle à l'aide de PowerShell :
Get-CATemplate | Where-Object {$_.Name -eq "YourTemplateName"}
  1. Vérifiez le déploiement du modèle de certificat par la stratégie de groupe :
gpresult /h gpresult.html

Ouvrez le fichier HTML et vérifiez Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéPolitiques de clé publique pour les affectations de modèles de certificat.

  1. Testez l'inscription au certificat manuellement :
certreq -enroll -machine -q "TemplateName"
04

Réparer le magasin de certificats et le registre

Adressez les magasins de certificats ou les entrées de registre corrompus qui peuvent empêcher les opérations de certificat réussies.

  1. Sauvegardez le magasin de certificats actuel :
Export-Certificate -Cert (Get-ChildItem Cert:\LocalMachine\My) -FilePath "C:\Temp\CertBackup.p7b" -Type p7b
  1. Vérifiez l'intégrité du magasin de certificats :
certlm.msc

Cherchez des certificats avec des marques X rouges ou des icônes d'erreur dans PersonnelCertificats.

  1. Effacez le cache de certificats corrompus :
Stop-Service -Name "CryptSvc" -Force
Remove-Item -Path "$env:WINDIR\System32\catroot2\*" -Recurse -Force
Start-Service -Name "CryptSvc"
  1. Réinitialisez les clés de registre des services de certificats :
reg delete "HKLM\SOFTWARE\Microsoft\Cryptography\AutoEnrollment" /f
reg add "HKLM\SOFTWARE\Microsoft\Cryptography\AutoEnrollment" /v "AEPolicy" /t REG_DWORD /d 7
  1. Reconstruisez la chaîne de certificats et vérifiez :
certlm.msc

Cliquez avec le bouton droit sur Autorités de certification racines de confianceToutes les tâchesImporter et réimportez votre certificat CA racine si nécessaire.

Avertissement : Sauvegardez toujours les magasins de certificats avant de faire des modifications, car des modifications incorrectes peuvent casser l'authentification.
05

Diagnostics des services de certificats avancés

Effectuer des diagnostics et des journaux complets des services de certificats pour identifier des problèmes complexes.

  1. Activer la journalisation détaillée des services de certificats :
reg add "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration" /v "DBLogLevel" /t REG_DWORD /d 5
Restart-Service -Name "CertSvc"
  1. Collecter les informations de diagnostic des services de certificats :
certutil -pulse
certutil -v -template > C:\Temp\templates.txt
certutil -cainfo > C:\Temp\cainfo.txt
  1. Analyser la chaîne de certificats et la validation :
certutil -verify -urlfetch "C:\path\to\certificate.cer"
  1. Vérifier la santé de l'Autorité de Certification :
certutil -ping "CA-Server\CA-Name"
  1. Générer un rapport complet des services de certificats :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4869} -MaxEvents 50 | Export-Csv -Path "C:\Temp\Event4869.csv"
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Microsoft-Windows-CertificateServicesClient*'} -MaxEvents 100 | Export-Csv -Path "C:\Temp\CertClient.csv"
  1. Vérifier l'intégrité de la base de données de l'Autorité de Certification :
certutil -databaselocations
certutil -v -db
Astuce pro : Utilisez Windows Performance Toolkit pour capturer les traces ETW des services de certificats pour des problèmes d'authentification complexes.

Aperçu

L'ID d'événement 4869 se déclenche lorsque le service d'authentification Kerberos rencontre un échec lors des opérations du client des services de certificats. Cet événement se produit généralement dans les environnements Active Directory où l'authentification basée sur les certificats est configurée et que le client ne peut pas terminer avec succès les processus d'inscription, de renouvellement ou de validation des certificats.

L'événement apparaît dans le journal de sécurité et indique des problèmes avec l'infrastructure des services de certificats, la connectivité réseau aux autorités de certification, ou des problèmes de stockage de certificats côté client. Cette erreur apparaît couramment lors des processus de renouvellement automatique des certificats, des tentatives d'authentification par carte à puce, ou lorsque des applications tentent d'obtenir des certificats pour des communications sécurisées.

Comprendre cet événement est crucial pour maintenir une authentification sécurisée dans les environnements d'entreprise, car les échecs de certificats peuvent affecter les connexions des utilisateurs, l'authentification des applications, et les communications sécurisées sur le réseau. L'événement fournit des informations de diagnostic sur quelle opération de certificat spécifique a échoué et inclut souvent des codes d'erreur qui aident à identifier la cause principale.

Questions Fréquentes

Que signifie spécifiquement l'ID d'événement Windows 4869 ?+
L'ID d'événement 4869 indique qu'une opération client des services de certificats Kerberos a échoué. Cela se produit généralement lors des processus d'inscription, de renouvellement ou de validation de certificats dans les environnements Active Directory. L'événement contient des codes d'erreur spécifiques et des détails sur l'opération de certificat qui a échoué, tels que des problèmes d'accès au modèle, des problèmes de connectivité avec l'autorité de certification ou des échecs de permission. Cet événement est crucial pour maintenir l'authentification basée sur les certificats et les communications sécurisées dans les réseaux d'entreprise.
Comment puis-je déterminer quel modèle de certificat provoque l'ID d'événement 4869 ?+
Le nom du modèle de certificat est généralement inclus dans les détails de l'ID d'événement 4869. Ouvrez le Visualiseur d'événements, accédez au journal de sécurité et double-cliquez sur l'événement 4869. Recherchez le champ 'Modèle de certificat' dans la description de l'événement. Vous pouvez également utiliser PowerShell pour extraire cette information : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4869} | Select-Object -ExpandProperty Message. Le nom du modèle aide à identifier quel type de certificat spécifique échoue à s'inscrire ou à se renouveler.
Pourquoi l'ID d'événement 4869 se produit-il plus fréquemment à certains moments ?+
L'ID d'événement 4869 se produit souvent plus fréquemment pendant les périodes de renouvellement de certificat, généralement lorsque les certificats approchent de leur expiration. Windows tente automatiquement de renouveler les certificats avant leur expiration, en commençant généralement 6 semaines avant l'expiration pour les certificats d'ordinateur et 2 semaines pour les certificats utilisateur. L'événement peut également augmenter pendant les heures de bureau lorsque les utilisateurs se connectent, ou lors des mises à jour planifiées de la stratégie de groupe lorsque les politiques d'inscription de certificats sont traitées. De plus, des changements d'infrastructure comme la maintenance de l'autorité de certification ou des problèmes de réseau peuvent déclencher des grappes de ces événements.
L'ID d'événement 4869 peut-il affecter l'authentification des utilisateurs et la sécurité du système ?+
Oui, l'ID d'événement 4869 peut avoir un impact significatif sur l'authentification et la sécurité. Les opérations de certificat échouées peuvent empêcher les utilisateurs de se connecter avec des cartes à puce, interrompre les connexions VPN basées sur des certificats et perturber les applications nécessitant des certificats clients. Dans les environnements utilisant l'authentification basée sur des certificats, ces échecs peuvent forcer un retour à des méthodes d'authentification moins sécurisées ou bloquer complètement l'accès aux ressources. L'événement peut également indiquer des problèmes plus larges d'infrastructure PKI pouvant affecter les communications SSL/TLS, la vérification de signature de code et la fonctionnalité de courrier électronique chiffré.
Que dois-je vérifier en premier lors du dépannage de l'ID d'événement 4869 dans un environnement de domaine ?+
Commencez par vérifier la connectivité de base à vos serveurs d'autorité de certification et assurez-vous que les services de certification sont en cours d'exécution. Utilisez Test-NetConnection pour vérifier la connectivité réseau sur les ports 135 et 445. Ensuite, vérifiez le statut du service d'autorité de certification avec Get-Service -Name 'CertSvc'. Vérifiez que la résolution DNS fonctionne pour les serveurs CA et que la synchronisation de l'heure est correcte entre les clients et le CA. Examinez également le code d'erreur spécifique dans les détails de l'événement, car cela indique souvent directement la cause principale, comme des problèmes de permission (0x80070005) ou des problèmes de modèle (0x80094800).
Documentation

Références (2)

1
Microsoft Learn - Certificate Services ClientOfficial documentation for Active Directory Certificate Services configuration and troubleshootinghttps://learn.microsoft.com/en-us/windows-server/identity/ad-cs/
2
Windows Security Auditing EventsComprehensive guide to Windows security events including certificate services eventshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#kerberos-authentication#certificate-services#event-id-4869

Événements Windows associés

Windows domain controller monitoring dashboard displaying Kerberos authentication events and security logs
Event 4870
Kerberos
Windows EventWarning

ID d'événement Windows 4870 – Kerberos : Échec du renouvellement TGT

L'ID d'événement 4870 indique un échec de renouvellement de Ticket Granting Ticket (TGT) Kerberos, se produisant généralement lorsque l'authentification de domaine rencontre des problèmes avec les opérations de rafraîchissement de ticket.

18 mars12 min
Windows Server domain controller displaying Kerberos authentication service logs in a data center environment
Event 4112
Microsoft-Windows-Security-Kerberos
Windows EventInformation

ID d'événement Windows 4112 – Kerberos : Service d'authentification Kerberos (AS) démarré

L'ID d'événement 4112 indique que le service d'authentification Kerberos (AS) a démarré avec succès sur un contrôleur de domaine, permettant l'octroi de tickets d'authentification pour les utilisateurs et services du domaine.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...