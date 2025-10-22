Microsoft a publié un nouveau document de support pour évoquer un problème rencontré par certains administrateurs depuis fin août 2025. Il s'avère qu'un changement dans la gestion des SID a été introduit et que cela peut engendrer des problèmes d'authentification sur les machines clonées. Faisons le point.

L'importance du SID

Avant d'évoquer le problème en lui-même, rappelons ce qu'est un SID : Security Identifier. Il s'agit d'une chaîne alphanumérique jouant le rôle d'identifiant de sécurité unique. Sur Windows, cette valeur est associée aux comptes utilisateurs, aux groupes, aux services, etc... Ainsi, chaque compte utilisateur d'une machine aura un SID unique, même s'il y a une base commune. Ces identifiants sont au cœur de la gestion des droits du système Windows.

Pour en savoir plus :

Ainsi, dans un contexte professionnel, quand il est question de cloner (dupliquer) une machine, qu'elle soit sous Windows ou Windows Server, il est indispensable de préparer la machine au clonage. C'est ce que l'on appelle le SYSPREP : il sert notamment à régénérer les SID pour les rendre uniques. Ainsi, même si 10 machines partagent la même image de base, elles ont des SID différents.

Si vous clonez les machines sans SYSPREP, vous risquez d'avoir des problèmes, en particulier en environnement Active Directory. Mais, désormais, un autre problème pourrait venir vous embêter…

Des échecs d’authentification liés à cause des SID

Au sein des mises à jour publiées à partir du 29 août 2025, et donc depuis le Patch Tuesday de septembre 2025, Microsoft a ajouté une vérification renforcée sur les SIDs.

"Vous pourriez rencontrer des échecs d’authentification Kerberos et NTLM sur les appareils qui possèdent des identifiants de sécurité (SID) dupliqués.", peut-on lire dans un document de support publié le 21 octobre 2025. L'entreprise américaine explique que ce changement introduit par les mises à jour bloque les échanges d’authentification entre des appareils dupliqués.

Plusieurs scénarios susceptibles de poser un problème sont d'ailleurs évoqués par Microsoft, parmi lesquels :

Échec des connexions RDP (Bureau à distance),

Erreurs "Access denied" lors de l'accès à des ressources partagées,

Erreurs d'accès refusé sur les Clusters à basculement sous Windows Server,

Tentatives de connexion échouées malgré des identifiants valides.

Dans l'Observateur d’événements, les administrateurs peuvent constater des erreurs SEC_E_NO_CREDENTIALS et des avertissements du service LSASS signalant ce qui suit : "Il y a une erreur partielle dans l'identifiant de la machine. Cela indique que le ticket a été manipulé ou qu'il appartient à une session de démarrage différente." - L'ID d'événement 6167 est associé à ce message.

La firme de Redmond précise que ce comportement est visible avec les systèmes d'exploitation suivants : Windows 11 24H2, Windows 11 25H2 et Windows Server 2025.

Quelle est la solution ?

Pour corriger le problème, les administrateurs sont invités à redescendre une image sur les systèmes affectés (ou réinitialiser), en respectant les bonnes pratiques, à savoir le SYSPREP.

"Pour une résolution permanente, les périphériques contenant des SID en double devront être reconstruits à l'aide de méthodes prises en charge pour le clonage ou la duplication d'une installation Windows afin qu'ils aient des SID uniques.", précise Microsoft. Je me souviens aussi de l'outil NewSID capable de régénérer un nouvel SID sans réinstaller, mais Microsoft n'assure pas de support sur les appareils où cet outil a été utilisé.

Par ailleurs, Microsoft évoque une solution temporaire basée sur une stratégie de groupe spécifique, disponible uniquement en contactant le support professionnel de Microsoft. Aucune indication n'est donnée à ce sujet, il pourrait s'agir d'un paquet KIR distribué sur demande.

