> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/gateway/fr/knowledge-base/how-to-articles/use-the-devolutions-gateway-kdc-proxy.md). # Utiliser le proxy KDC de Devolutions Gateway La connexion à distance à des systèmes utilisant des jetons Kerberos est difficile sans visibilité directe. Un [proxy KDC Kerberos (Key Distribution Controller)](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-kkdcp/d688ea3a-04b0-45ea-8226-82a74cb6289e) offre une méthode permettant à un client de communiquer avec un serveur intermédiaire, Devolutions Gateway dans cet exemple, qui transmet par proxy la demande de jeton à un autre KDC résidant sur le contrôleur de domaine. Étant donné que Devolutions Gateway est un remplacement VPN léger juste-à-temps sécurisé, il constitue une excellente option pour agir en tant que proxy KDC pour les connexions RDP distantes. Devolutions Gateway propose deux options : les [jetons de courte durée](https://docs.devolutions.net/fr/gateway/kb/how-to-articles/use-nla-rdp-connection/#short-lived-tokens) et les [jetons de longue durée](https://docs.devolutions.net/fr/gateway/kb/how-to-articles/use-nla-rdp-connection/#long-lived-tokens). ### Activer l'API hooking pour RDP [L'API hooking Microsoft RDP doit être activé](https://docs.devolutions.net/fr/rdm/kb/knowledge-base/microsoft-rdp-api-hooking/?tab=windows) dans Remote Desktop Manager (activé par défaut) pour les connexions Devolutions Gateway. Cela permet de maintenir le fonctionnement en cas de rétrogradation NTLM. ![](https://cdnweb.devolutions.net/docs/RDMW4343_2025_2.png) ### Configurer le proxy KDC avec des jetons de courte durée Lors de l'utilisation d'un proxy KDC, la valeur par défaut recommandée est celle des jetons de courte durée injectés dynamiquement par Devolutions Gateway. Ces jetons sont utilisés dans RDP via NLA (Network Layer Authentication) et par les sessions web Devolutions, telles que WinRM, LDAP et LAPS. Les jetons Kerberos typiques sont limités à 10 heures par défaut. 1. Dans Devolutions Server, accédez à ***Administration*** – ***Modules*** – ***Devolutions Gateway***. Cliquez ensuite sur le bouton ***Modifier*** (icône en forme de crayon) sur l'instance Devolutions Gateway souhaitée. ![](https://cdnweb.devolutions.net/docs/DVLS4207_2025_2.png) 2. Dans la section ***Proxy KDC***, cliquez sur le bouton ***Ajouter*** (icône en forme de croix). Plusieurs serveurs KDC peuvent être ajoutés. ![](https://cdnweb.devolutions.net/docs/DVLS4208_2025_2.png)

La correspondance de connexion est basée sur le suffixe ; par exemple, avec deux domaines de serveur nommés respectivement ad.it-help.ninja et ad.contoso.com, machine.ad.it-help.ninja utilisera automatiquement le premier suffixe, tandis que machine.ad.contoso.com utilisera le second.

3. Remplissez les champs ***URL du serveur KDC*** et ***Domaine Kerberos***. Cochez ***Définir par défaut*** pour que toutes les connexions utilisent l'URL du serveur KDC. Sinon, seuls les domaines correspondants seront utilisés. Cliquez sur ***Enregistrer***. ![](https://cdnweb.devolutions.net/docs/DVLS4209_2025_2.png) 4. De retour dans la fenêtre de modification de Devolutions Gateway, accédez à la section ***Avancé*** et assurez-vous que l'option ***Forcer l'utilisation de l'adresse IP pour les connexions RDP*** est décochée. Cliquez sur ***Enregistrer*** pour terminer la configuration. ![](https://cdnweb.devolutions.net/docs/DVLS4210_2025_2.png) ### Configurer le proxy KDC avec des jetons de longue durée Des jetons spécifiques peuvent être créés pour une durée de 1, 3 ou 6 mois, ou d'un an complet. En règle générale, ces jetons de longue durée ne seraient créés que pour être installés à l'échelle du système et utilisés dans des cas particuliers où Devolutions Gateway ne peut pas injecter dynamiquement un jeton de courte durée. 1. Dans Devolutions Server, accédez à ***Administration*** – ***Modules*** – ***Devolutions Gateway***, et cliquez sur le bouton ***Plus*** (icône en forme de points de suspension verticaux). Sélectionnez ***Proxy KDC***. ![](https://cdnweb.devolutions.net/docs/DVLS4211_2025_2.png) 2. Cliquez sur le bouton ***Ajouter*** (icône en forme de croix). ![](https://cdnweb.devolutions.net/docs/DVLS4212_2025_2.png) 3. Remplissez les champs ***URL du serveur KDC*** et ***Domaine Kerberos***, et déterminez la durée de vie du jeton. Cliquez sur ***Ajouter***. ![](https://cdnweb.devolutions.net/docs/DVLS4213_2025_2.png) 4. Une fois ajouté, téléchargez un script PowerShell ou un fichier de registre pour ajouter le jeton au registre de la machine cible. Le fichier de registre et le fichier PowerShell effectuent la même opération, mais le fichier PowerShell permet également d'exécuter le paramètre `-Uninstall` pour désinstaller, si nécessaire. ![](https://cdnweb.devolutions.net/docs/DVLS4214_2025_2.png) #### Entrées de registre pour le proxy KDC Les deux scripts configurent plusieurs clés et valeurs de registre : * `HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos` * `HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters` * `HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxy\ProxyServers` Dans ces clés, le jeton généré sera placé avec les clés suivantes : * `HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxyServer_Enabled` = `1` * `HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxy\ProxyServers\{realm name}` = Token Value Pour supprimer la configuration KDC du registre, modifiez soigneusement l'***Éditeur du Registre*** Windows ou exécutez le script PowerShell précédemment utilisé avec le paramètre `-Uninstall`. ### Groupe Utilisateurs protégés d'Active Directory L'ajout d'utilisateurs au [groupe Utilisateurs protégés dans Active Directory](https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group) désactive NTLM, ce qui interrompt souvent RDP pour les sessions à distance. Devolutions Gateway résout ce problème en agissant comme proxy KDC, permettant l'authentification Kerberos même sans accès direct au contrôleur de domaine. Dans Remote Desktop Manager Windows, [l'API hooking RDP doit être activé](https://docs.devolutions.net/fr/gateway/kb/how-to-articles/use-nla-rdp-connection/#api-hooking) pour prendre en charge les jetons Kerberos de courte durée et rétablir le fonctionnement sécurisé de RDP. ### Voir aussi * [API hooking Microsoft RDP](https://docs.devolutions.net/fr/rdm/kb/knowledge-base/microsoft-rdp-api-hooking/) --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.devolutions.net/gateway/fr/knowledge-base/how-to-articles/use-the-devolutions-gateway-kdc-proxy.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.