Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : ✔️ Machine virtuelles Windows
Cet article explique comment résoudre un problème qui vous empêche de vous connecter à une machine virtuelle Windows Azure en raison d’une erreur « Accès refusé ».
Symptômes
Lorsque vous essayez de vous connecter à une machine virtuelle Windows Azure à l’aide du protocole RDP (Remote Desktop Protocol), vous recevez le message d’erreur suivant sur l’écran de connexion :
L’accès est refusé.
Vous pouvez vous connecter à la machine virtuelle en utilisant une session RDP d’administration (mstsc/admin). Vous remarquez cependant qu’une erreur de connectivité réseau est indiquée dans la zone de notification.
Cause
Ce problème peut se produire pour les raisons suivantes :
- L’utilisateur n’a pas les autorisations nécessaires pour lire les entrées du Registre de certificats sur les services terminal.
- Le profil utilisateur n’a pas été chargé. Cette situation se produit généralement en raison de certaines stratégies utilisateur qui provoquent un conflit sur le profil.
- La taille du jeton Kerberos n’est pas suffisamment grande pour contenir toutes les informations d’appartenance au groupe pour l’utilisateur. Cette situation se produit si l’utilisateur appartient à de nombreux groupes Active Directory (AD) et à des groupes AD imbriqués. Windows génère le jeton pour représenter l’utilisateur pour l’autorisation. Ce jeton (également appelé contexte d’autorisation) inclut les identificateurs de sécurité (SID) de l’utilisateur ainsi que les SID de tous les groupes auxquels appartient l’utilisateur.
Résolution
Avant de commencer la résolution des problèmes, sauvegardez le disque du système d’exploitation. Ensuite, connectez-vous à la machine virtuelle à l’aide de la console série Azure et démarrez une session PowerShell. Si la console série Azure ne fonctionne pas, connectez-vous à la machine virtuelle par PowerShell à distance. Pour plus d’informations, consultez Comment utiliser des outils distants pour résoudre les problèmes de machine virtuelle Azure.
Après vous être connecté à la machine virtuelle à l’aide de PowerShell, procédez comme suit pour résoudre les problèmes. Après chaque étape, redémarrez la machine virtuelle et vérifiez si le problème est résolu.
Vérifiez si le groupe Utilisateurs bureau à distance a la l’autorisation Lecture pour la clé suivante :
Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\SystemCertificates\Remote Desktop\Certificates" | Format-ListSi cette autorisation n’est pas accordée, exécutez les commandes suivantes pour accorder l’accès en lecture au groupe Utilisateurs bureau à distance :
$NewAcl = Get-Acl -Path " HKLM:\SOFTWARE\Microsoft\SystemCertificates\Remote Desktop\Certificates" # Set properties $identity = "BUILTIN\Remote Desktop Users" $fileSystemRights = "read" $type = "Allow" # Create new rule $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList # Apply new rule $NewAcl.SetAccessRule($fileSystemAccessRule) Set-Acl -Path " HKLM:\SOFTWARE\Microsoft\SystemCertificates\Remote Desktop\Certificates " -AclObject $NewAclDéfinissez la valeur de clé de Registre suivante pour ignorer l’erreur de chargement du profil :
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -name "IgnoreRegUserConfigErrors" 1 -Type DWord -forceDéfinissez la taille du jeton sur sa valeur maximale :
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -name "MaxTokenSize" 65535 -Type DWord -forceDéfinissez le compte approprié pour les services terminal :
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\services\termservice' -name "ObjectName" "NT Authority\NetworkService" -Type String -forceRedémarrez la machine virtuelle pour apporter les modifications du Registre.
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.