Partager via


Conseils de résolution des problèmes de jonction de domaine Active Directory

Ce guide fournit les concepts fondamentaux utilisés lors de la résolution des problèmes de jonction de domaine Active Directory.

Liste de contrôle pour la résolution des problèmes

  • Système de noms de domaine (DNS) : chaque fois que vous rencontrez un problème lors de la jonction d’un domaine, l’une des premières choses à vérifier est DNS. DNS est le cœur d’Active Directory (AD) et rend les choses correctes, y compris la jonction de domaine. Veillez à respecter les éléments suivants :

    • Les adresses de serveur DNS sont correctes.
    • L'ordre de recherche du suffixe DNS est correct si plusieurs domaines DNS sont utilisés.
    • Il n’existe aucun enregistrement DNS obsolète ou dupliqué référençant le même compte d’ordinateur.
    • Le DNS inversé ne pointe pas vers un autre nom que l’enregistrement A.
    • Le nom de domaine, les contrôleurs de domaine (DC) et les serveurs DNS peuvent être pingés.
    • Recherchez les conflits d’enregistrements DNS pour le serveur spécifique.
  • Netsetup.log : le fichier Netsetup.log est une ressource précieuse lorsque vous résolvez un problème de jointure de domaine. Le fichier netsetup.log se trouve dans C :\Windows\Debug\netsetup.log.

  • Trace réseau : pendant une jonction de domaine AD, plusieurs types de trafic se produisent entre le client et certains serveurs DNS, puis entre le client et certains contrôleurs de domaine. Si vous voyez une erreur dans l’un des trafics ci-dessus, suivez les étapes de résolution des problèmes correspondantes de ce protocole ou composant pour la limiter. Pour plus d’informations, consultez Utilisation de Netsh pour gérer les traces.

  • Modifications de renforcement de l'adhésion au domaine : les mises à jour Windows publiées à partir du 11 octobre 2022 contiennent des protections supplémentaires introduites par CVE-2022-38042. Ces protections empêchent intentionnellement les opérations de jonction de domaine de réutiliser un compte d’ordinateur existant dans le domaine cible, sauf si l'une des conditions suivantes est remplie :

    • L’utilisateur qui tente d’effectuer l’opération est le créateur du compte existant.
    • L’ordinateur a été créé par un membre d’administrateurs de domaine.

    Pour plus d’informations, consultez KB5020276 :Netjoin : modifications de renforcement des jointures de domaine.

Exigences pour les ports

Le tableau suivant répertorie les ports requis pour être ouverts entre l’ordinateur client et le contrôleur de domaine.

Port Protocole Protocole d’application Nom du service système
53 TCP Système de noms de domaine (DNS) Serveur DNS
53 UDP (User Datagram Protocol) Système de noms de domaine (DNS) Serveur DNS
389 UDP (User Datagram Protocol) Localisateur de contrôleurs de domaine LSASS
389 TCP Serveur LDAP LSASS
88 TCP Kerberos Serveur de distribution de clés Kerberos
135 TCP RPC Mappeur de point de terminaison RPC
445 TCP PME LanmanServer
1024-65535 TCP RPC Mappeur de point de terminaison RPC pour les appels DSCrackNames, SAMR et Netlogon entre le client et le contrôleur de domaine

Problèmes courants et solutions

Code d’erreur de jonction de domaine La cause Article connexe
0x569 Cette erreur se produit parce que le compte d’utilisateur d’adhésion au domaine ne dispose pas du droit utilisateur Accéder à cet ordinateur depuis le réseau, géré par le contrôleur de domaine (DC) qui assure l'opération d’adhésion au domaine. Code d’erreur de dépannage 0x569 : L’utilisateur n’a pas reçu le type de connexion demandé sur cet ordinateur
0xaac ou 0x8b0 Cette erreur se produit lorsque vous essayez d’utiliser un nom de compte d’ordinateur existant pour joindre un ordinateur à un domaine. Résolution des problèmes de code d’erreur 0xaac : Échec lorsque vous utilisez un compte d’ordinateur existant pour joindre un domaine
0x6BF ou 0xC002001C Cette erreur se produit lorsqu’un appareil réseau (routeur, pare-feu ou périphérique VPN) rejette les paquets réseau entre le client joint et le contrôleur de domaine (DC). Résolution des problèmes du code d'erreur 0x6bf ou 0xc002001c : l'appel de procédure distante a échoué et ne s'est pas exécuté
0x6D9 Cette erreur se produit lorsque la connectivité réseau est bloquée entre le client de jonction et le contrôleur de domaine (DC). Dépannage du code d’erreur 0x6D9 « Il n’y a plus de points de terminaison disponibles à partir du mappeur de points de terminaison »
0xa8b Cette erreur se produit lorsque vous joignez un ordinateur de groupe de travail à un domaine. Dépannage de l'erreur 0xa8b : une tentative de résolution du nom DNS d’un contrôleur de domaine dans le domaine en cours de jonction a échoué
0x40 Le problème est lié à l’obtention de tickets Kerberos pour une session SMB (Server Message Block). Dépannage du code d’erreur 0x40 « Le nom de réseau spécifié n’est plus disponible »
0x54b Cette erreur se produit parce que le domaine spécifié ne peut pas être contacté, ce qui indique des problèmes de localisation des contrôleurs de domaine. Dépannage du code d’erreur 0x54b
0x0000232A Cette erreur indique que le nom DNS (Domain Name System) ne peut pas être résolu. Dépannage du code d’erreur 0x0000232A
0x3a Cette erreur se produit lorsque l’ordinateur client ne dispose pas d’une connectivité réseau fiable sur le port TCP (Transmission Control Protocol) 389 entre l’ordinateur client et le contrôleur de domaine (DC). Code d’état de dépannage 0x3a : Le serveur spécifié ne peut pas effectuer l’opération demandée
0x216d Cette erreur se produit lorsque le compte d’utilisateur a dépassé la limite de 10 ordinateurs pouvant être joints au domaine, ou lorsqu’une stratégie de groupe empêche les utilisateurs de joindre des ordinateurs au domaine. Dépannage du code d’état 0x216d : Votre ordinateur n’a pas pu être joint au domaine

Autres erreurs qui se produisent lorsque vous joignez des ordinateurs Windows à un domaine

Pour plus d’informations, consultez l’article suivant :

Regroupements de données pour les problèmes de jointure de domaine

Pour résoudre les problèmes de jonction de domaine, les journaux suivants peuvent vous aider :

  • Journal Netsetup
    Ce fichier journal contient la plupart des informations sur les activités de jointure de domaine. Le fichier se trouve sur l’ordinateur client à l’adresse %windir%\debug\netsetup.log.
    Ce fichier journal est activé par défaut. Il n’est pas nécessaire de l’activer explicitement.

  • Trace réseau
    La trace réseau contient la communication entre l’ordinateur client et les serveurs relatifs, tels que les serveurs DNS et les contrôleurs de domaine sur le réseau. Il doit être collecté sur l’ordinateur client. Plusieurs outils peuvent collecter des traces réseau, telles que Wireshark, netsh.exe qui sont incluses dans toutes les éditions de Windows.

Vous pouvez recueillir chaque fichier journal séparément. Vous pouvez également utiliser certains outils fournis par Microsoft pour les collecter ensemble. Pour ce faire, suivez les étapes décrites dans les sections suivantes.

Collecter manuellement

  1. Téléchargez et installez Wireshark sur l’ordinateur client qui doit rejoindre le domaine AD.
  2. Démarrez l’application avec des privilèges d’administrateur, puis commencez à capturer.
  3. Essayez d'intégrer le domaine AD pour reproduire l’erreur. Enregistrez le message d’erreur.
  4. Arrêtez la capture dans l’application et enregistrez la trace réseau dans un fichier.
  5. Collectez le fichier netsetup.log qui se trouve à %windir%\debug\netsetup.log.

Utiliser des scripts d’authentification

Auth Scripts est un script PowerShell léger développé par Microsoft pour faciliter la collecte des journaux et résoudre les problèmes liés à l'authentification. Pour l’utiliser, procédez comme suit :

  1. Téléchargez les scripts d’authentification sur l’ordinateur client. Extrayez les fichiers dans un dossier.

  2. Démarrez une fenêtre PowerShell avec des privilèges d’administrateur. Basculez vers le dossier contenant ces fichiers extraits.

  3. Exécutez start-auth.ps1, acceptez le CLUF si vous y êtes invité(e) et autorisez l'exécution si vous êtes averti(e) d’un éditeur non approuvé.

    Remarque

    Si les scripts ne sont pas autorisés à s’exécuter en raison de stratégies d’exécution, consultez about_Execution_Policies.

  4. Une fois la commande exécutée avec succès, essayez de joindre le domaine AD pour reproduire l’erreur. Enregistrez le message d’erreur.

  5. Exécutez stop-auth.ps1 et autorisez l’exécution si vous êtes averti d’un éditeur non approuvé.

  6. Les fichiers journaux sont enregistrés dans le sous-dossier authlogs, qui inclut le journal Netsetup.log et le fichier de trace réseau (Nettrace.etl).

Utiliser l’outil TSS

L’outil TSS est un autre outil développé par Microsoft pour faciliter la collecte de journaux de logs. Pour l’utiliser, procédez comme suit :

  1. Téléchargez l’outil TSS sur l’ordinateur client. Extrayez les fichiers dans un dossier.

  2. Démarrez une fenêtre PowerShell avec des privilèges d’administrateur. Basculez vers le dossier contenant ces fichiers extraits.

  3. Exécutez la commande suivante :

    TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowait
    

    Acceptez le CLUF si vous y êtes invité et autorisez l’exécution si un avertissement concernant un éditeur non fiable s'affiche.

    Remarque

    Si les scripts ne sont pas autorisés à s’exécuter en raison de stratégies d’exécution, consultez about_Execution_Policies.

  4. La commande prend quelques minutes. Une fois la commande terminée avec succès, essayez de joindre le domaine AD pour reproduire l’erreur. Enregistrez le message d’erreur.

  5. Exécutez TSS.ps1 -stop et autorisez l’exécution si vous êtes averti d’un éditeur non approuvé.

  6. Les fichiers journaux sont enregistrés dans le sous-dossier C :\MS_DATA et sont déjà compressés. Le nom de fichier ZIP suit le format de TSS_<hostname>_<date>-<time>-ADS_AUTH.zip.

  7. Le fichier zip inclut les Netsetup.log et la trace réseau. Le fichier de trace réseau est nommé <hostname>_<date>-<time>-Netsh_packetcapture.etl.