Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les raisons les plus courantes pour lesquelles un compte utilisateur ne peut pas se connecter à un domaine managé Microsoft Entra Domain Services incluent les scénarios suivants :
- Le compte n’est pas encore synchronisé dans Domain Services.
- Domain Services ne dispose pas des hachages de mot de passe pour permettre au compte de se connecter.
- Le compte est verrouillé.
Conseil
Domain Services ne peut pas synchroniser les informations d’identification pour les comptes externes au tenant (locataire) Microsoft Entra. Les utilisateurs externes ne peuvent pas se connecter au domaine managé Domain Services.
Le compte n’est pas encore synchronisé dans Domain Services
Selon la taille de votre répertoire, la mise à disposition des comptes d’utilisateurs et des hachages d’informations d’identification dans le domaine managé peut prendre un certain temps. Pour les répertoires de grande taille, cette synchronisation unidirectionnelle initiale à partir de Microsoft Entra ID peut prendre entre quelques heures et un ou deux jours. Patientez suffisamment longtemps avant d’effectuer une nouvelle tentative d’authentification.
Pour des environnements hybrides où l’utilisateur Microsoft Entra Connect souhaite synchroniser des données de répertoire locales dans Microsoft Entra ID, vérifiez que vous exécutez la dernière version de Microsoft Entra Connect et que vous avez configuré Microsoft Entra Connect pour effectuer une synchronisation complète après l’activation de Domaine Services. Si vous désactivez Domain Services et que vous le réactivez, vous devez suivre ces étapes à nouveau.
Si les problèmes persistent avec des comptes qui ne se synchronisent pas via Microsoft Entra Connect, redémarrez le service Azure AD Sync. À partir de l’ordinateur sur lequel Microsoft Entra Connect est installé, ouvrez une fenêtre d’invite de commande et exécutez les commandes suivantes :
net stop 'Microsoft Azure AD Sync'
net start 'Microsoft Azure AD Sync'
Domain Services ne dispose pas des hachages de mot de passe
Microsoft Entra ID ne génère et ne stocke pas les hachages de mot de passe au format nécessaire pour les authentifications NTLM ou Kerberos tant que vous n’activez pas Domain Services pour votre tenant. Pour des raisons de sécurité, Microsoft Entra ID ne stocke pas non plus d’informations d’identification de mot de passe sous forme de texte en clair. Par conséquent, Microsoft Entra ID ne peut pas générer automatiquement ces hachages de mot de passe NTLM ou Kerberos en fonction des informations d’identification existantes des utilisateurs.
Environnements hybrides avec synchronisation locale
Pour les environnements hybrides utilisant Microsoft Entra Connect pour la synchronisation à partir d’un environnement AD DS local, vous pouvez générer et synchroniser localement les hachages de mots de passe NTLM ou Kerberos requis dans Microsoft Entra ID. Une fois votre domaine managé créé, activez la synchronisation du hachage de mot de passe pour Microsoft Entra Domain Services. Sans terminer cette étape de synchronisation de hachage de mot de passe, vous ne pouvez pas vous connecter à un compte à l’aide d’un domaine managé. Si vous désactivez Domain Services et que vous le réactivez, vous devez suivre à nouveau ces étapes.
Si vous souhaitez obtenir plus d’informations, consultez la rubrique concernant le Fonctionnement de la synchronisation de hachage du mot de passe pour Domain Services.
Environnements cloud uniquement sans synchronisation locale
Les domaines managés sans synchronisation locale (comptes Microsoft Entra ID uniquement) doivent également générer les hachages de mot de passe NTLM ou Kerberos requis. Si un compte cloud uniquement ne peut pas se connecter, le processus de changement de mot de passe a-t-il été correctement effectué pour le compte après l’activation de Domain Services ?
- Non, le mot de passe n’a pas été modifié.
- Modifiez le mot de passe du compte pour générer les hachages de mot de passe requis, puis attendez 15 minutes avant d’essayer de vous reconnecter.
- Si vous désactivez puis réactivez Domain Services, chaque compte doit suivre à nouveau la procédure de changement du mot de passe et de génération du hachage de mot de passe requise.
- Oui, le mot de passe a été modifié.
- Essayez de vous connecter en utilisant le format UPN, tel que
driley@aaddscontoso.com, et non pas le format SAMAccountName, tel queAADDSCONTOSO\deeriley. - Le format SAMAccountName peut être généré automatiquement pour les utilisateurs dont le préfixe UPN est trop long ou identique à un autre utilisateur sur le domaine managé. Le format UPN est unique au sein d’un tenant Microsoft Entra.
- Essayez de vous connecter en utilisant le format UPN, tel que
Le compte est verrouillé
Un compte utilisateur dans un domaine managé est verrouillé lorsqu’un seuil défini pour les tentatives de connexion infructueuses a été atteint. Ce comportement de verrouillage de compte est conçu pour vous protéger contre les tentatives répétées de connexion par force brute qui pourraient indiquer une attaque numérique automatisée.
Par défaut, si cinq tentatives de mot de passe incorrectes ont lieu en l’espace de deux minutes, le compte est verrouillé pendant 30 minutes.
Pour obtenir plus d’informations et pour savoir comment résoudre des problèmes de blocage de compte, consultez Résoudre des problèmes de verrouillage de compte dans Domain Services.
Étapes suivantes
Si vous éprouvez toujours des problèmes pour joindre votre machine virtuelle au domaine managé, demandez de l’aide et ouvrez un ticket de support pour Microsoft Entra ID.