GMSA Authentication issues on DVLS SQL server after migration to Windows Server 2025
GMSA Authentication issues on DVLS SQL server after migration to Windows Server 2025
Bonjour à tous,
Je viens d'effectuer dans notre environnement state la migration de notre server sql de Windows 2022 à 2025. Le tout c'est très bien passé et fonctionnait bien. Mais, suite à l'installation des mises à jour mensuel de Janvier (Patch Tuesday updates) , j'obtient sur les serveur web une erreur de connexion et d'authentification au serveur SQL
I have migrated our SQL Server from Windows Server 2022 to 2025 in our state environment. Everything went very smoothly and was working perfectly. However, after installing the January monthly update (Patch Tuesday updates) , I'm getting on the web servers a connection and authentication error with the SQL Server.
Nous utilisons / we are using SQL 2022
Voici l'erreur / Here is the error:
Login failed. The login is from an untrusted domain and cannot be used with Integrated authentication.
SSPI handshake failed with error code 0x8009030c, state 14 while establishing a connection with integrated security; the connection has been closed. Reason: AcceptSecurityContext failed. The operating system error code indicates the cause of failure. The logon attempt failed 
Nous utilisons une Authentification Windows avec un compte gMSA. Leur utilisation est fastidieuse.
We use Windows Authentication with a gMSA account. Which are a pain to use.
Quelqu'un d'autres à aussi rencontré ce problème après la migration de leur serveur SQL Server vers Win2025 ?
Is anyone also encounter the same problem after the migration of their SQL server to Win 2025 ?
Après quelques recherche j'ai trouvé ceci / After some research, I found this
«The security baseline on Windows Server 2025 differed from that of Server 2022.»
«In short, Windows Server 2025 was enforcing AES only, while the gMSA was configured for AES + RC4.»
«The security baseline for Group Managed Service Accounts (gMSA) in Windows Server 2025 differs from Windows Server 2022 by enhancing cryptographic requirements, introducing Delegated Managed Service Accounts (dMSA), and strengthening Active Directory (AD) defaults.»
Êtes-vous déjà au courant de ce type de problème ou auriez-vous des pistes de solution permettant de le résoudre facilement après une migration vers Windows Server 2025 ?
Avez-vous également des recommandations, de la documentation ou un guide spécifique à la migration de DVLS vers Windows Server 2025, notamment concernant les configurations à vérifier, ajuster ou modifier ?
Une documentation à jours concernant l'utilisation des gMSA avec Windows Serveur 2025 %
Merci.
a73478a3-9ef9-4060-9b31-431b90fd1951.png
91f0f880-9d5c-4bdd-9f01-753a90f4d563.png
Recommended Answer
Solution trouvés
Le Kerberos Encryption Type du gMSA utilisé doit uniquement être AES128, AES256 et ne pas avoir RC4
Kerberos encryption bitmask values for AES-only (AES128 + AES256) = 24
To configure a gMSA (Group Managed Service Account) to use only AES128 and AES256 encryption, update the msDS-SupportedEncryptionTypes attribute on the account object to decimal 24 (or hex 0x18). This enables AES 128-bit and 256-bit encryption, explicitly disabling weaker protocols like RC4, which is crucial for security hardening.
Steps to Configure AES-Only for gMSA:
- Update gMSA Attribute: Use PowerShell to set the msDS-SupportedEncryptionTypes to 24 (AES128 + AES256).
Set-ADServiceAccount -Identity "YOUR_GMSA_NAME" -KerberosEncryptionType "AES128, AES256"
# OR by setting the integer directly
Set-ADObject -Identity "CN=YourGMSA,CN=Managed Service Accounts,DC=domain,DC=com" -Replace @{'msDS-SupportedEncryptionTypes'=24}
- Verify the Setting: Use Get-ADServiceAccount to confirm the change.
Get-ADServiceAccount -Identity "YOUR_GMSA_NAME" -Properties msDS-SupportedEncryptionTypes
- Enforce via GPO: Configure the domain-level GPO "Network security: Configure encryption types allowed for Kerberos" to AES128/AES256 only, which ensures all member servers and DCs stop requesting weaker encryption.
- Rotate Password: After changing encryption types, it is recommended to reset the gMSA password to ensure all new tickets use the new encryption
Référence .: https://peppercrew.nl/2025/08/troubleshooting-gmsa-installation-failure-caused-by-kerberos-encryption-mismatch-28-vs-24/
Voilà :-)
All Comments (3)
Bonjour,
Le comportement observé après l’installation des mises à jour sur Windows Server 2025 semble lié à des ajustements au niveau de la sécurité et de l’authentification du système, ce qui peut affecter certains scénarios d’authentification Windows et expliquer les erreurs rencontrées.
Le fait que l’authentification SQL fonctionne indique que SQL Server est opérationnel et que le problème est spécifique à l’authentification Windows.
Comme contournement, l’utilisation d’un compte AD standard avec permissions minimales ou d’une authentification SQL permet de rétablir le fonctionnement.
Concernant les dMSA, nous pourrons adresser ce point la semaine prochaine. Si ce type de compte peut être appliqué correctement aux Application Pools et au Scheduler, nous sommes confiants que la connexion à la base de données ne posera pas de problème.
Cordialement,
Carl Marien
Solution trouvés
Le Kerberos Encryption Type du gMSA utilisé doit uniquement être AES128, AES256 et ne pas avoir RC4
Kerberos encryption bitmask values for AES-only (AES128 + AES256) = 24
To configure a gMSA (Group Managed Service Account) to use only AES128 and AES256 encryption, update the msDS-SupportedEncryptionTypes attribute on the account object to decimal 24 (or hex 0x18). This enables AES 128-bit and 256-bit encryption, explicitly disabling weaker protocols like RC4, which is crucial for security hardening.
Steps to Configure AES-Only for gMSA:
- Update gMSA Attribute: Use PowerShell to set the msDS-SupportedEncryptionTypes to 24 (AES128 + AES256).
Set-ADServiceAccount -Identity "YOUR_GMSA_NAME" -KerberosEncryptionType "AES128, AES256"
# OR by setting the integer directly
Set-ADObject -Identity "CN=YourGMSA,CN=Managed Service Accounts,DC=domain,DC=com" -Replace @{'msDS-SupportedEncryptionTypes'=24}
- Verify the Setting: Use Get-ADServiceAccount to confirm the change.
Get-ADServiceAccount -Identity "YOUR_GMSA_NAME" -Properties msDS-SupportedEncryptionTypes
- Enforce via GPO: Configure the domain-level GPO "Network security: Configure encryption types allowed for Kerberos" to AES128/AES256 only, which ensures all member servers and DCs stop requesting weaker encryption.
- Rotate Password: After changing encryption types, it is recommended to reset the gMSA password to ensure all new tickets use the new encryption
Référence .: https://peppercrew.nl/2025/08/troubleshooting-gmsa-installation-failure-caused-by-kerberos-encryption-mismatch-28-vs-24/
Voilà :-)
Bonjour René,
Super, bon travail!
I marked your post as the recommended answer and tagged the thread as resolved.
Have a great weekend!
Best regards,
Marc-Antoine Dubois