Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce guide fournit les concepts fondamentaux utilisés lors de la résolution des problèmes de jonction de domaine Active Directory.
Liste de contrôle pour la résolution des problèmes
Système de noms de domaine (DNS) : chaque fois que vous rencontrez un problème lors de la jonction d’un domaine, l’une des premières choses à vérifier est DNS. DNS est le cœur d’Active Directory (AD) et rend les choses correctes, y compris la jonction de domaine. Veillez à respecter les éléments suivants :
- Les adresses de serveur DNS sont correctes.
- L'ordre de recherche du suffixe DNS est correct si plusieurs domaines DNS sont utilisés.
- Il n’existe aucun enregistrement DNS obsolète ou dupliqué référençant le même compte d’ordinateur.
- Le DNS inversé ne pointe pas vers un autre nom que l’enregistrement A.
- Le nom de domaine, les contrôleurs de domaine (DC) et les serveurs DNS peuvent être pingés.
- Recherchez les conflits d’enregistrements DNS pour le serveur spécifique.
Netsetup.log : le fichier Netsetup.log est une ressource précieuse lorsque vous résolvez un problème de jointure de domaine. Le fichier netsetup.log se trouve dans C :\Windows\Debug\netsetup.log.
Trace réseau : pendant une jonction de domaine AD, plusieurs types de trafic se produisent entre le client et certains serveurs DNS, puis entre le client et certains contrôleurs de domaine. Si vous voyez une erreur dans l’un des trafics ci-dessus, suivez les étapes de résolution des problèmes correspondantes de ce protocole ou composant pour la limiter. Pour plus d’informations, consultez Utilisation de Netsh pour gérer les traces.
Modifications de renforcement de l'adhésion au domaine : les mises à jour Windows publiées à partir du 11 octobre 2022 contiennent des protections supplémentaires introduites par CVE-2022-38042. Ces protections empêchent intentionnellement les opérations de jonction de domaine de réutiliser un compte d’ordinateur existant dans le domaine cible, sauf si l'une des conditions suivantes est remplie :
- L’utilisateur qui tente d’effectuer l’opération est le créateur du compte existant.
- L’ordinateur a été créé par un membre d’administrateurs de domaine.
Pour plus d’informations, consultez KB5020276 :Netjoin : modifications de renforcement des jointures de domaine.
Exigences pour les ports
Le tableau suivant répertorie les ports requis pour être ouverts entre l’ordinateur client et le contrôleur de domaine.
| Port | Protocole | Protocole d’application | Nom du service système |
|---|---|---|---|
| 53 | TCP | Système de noms de domaine (DNS) | Serveur DNS |
| 53 | UDP (User Datagram Protocol) | Système de noms de domaine (DNS) | Serveur DNS |
| 389 | UDP (User Datagram Protocol) | Localisateur de contrôleurs de domaine | LSASS |
| 389 | TCP | Serveur LDAP | LSASS |
| 88 | TCP | Kerberos | Serveur de distribution de clés Kerberos |
| 135 | TCP | RPC | Mappeur de point de terminaison RPC |
| 445 | TCP | PME | LanmanServer |
| 1024-65535 | TCP | RPC | Mappeur de point de terminaison RPC pour les appels DSCrackNames, SAMR et Netlogon entre le client et le contrôleur de domaine |
Problèmes courants et solutions
| Code d’erreur de jonction de domaine | La cause | Article connexe |
|---|---|---|
| 0x569 | Cette erreur se produit parce que le compte d’utilisateur d’adhésion au domaine ne dispose pas du droit utilisateur Accéder à cet ordinateur depuis le réseau, géré par le contrôleur de domaine (DC) qui assure l'opération d’adhésion au domaine. | Code d’erreur de dépannage 0x569 : L’utilisateur n’a pas reçu le type de connexion demandé sur cet ordinateur |
| 0xaac ou 0x8b0 | Cette erreur se produit lorsque vous essayez d’utiliser un nom de compte d’ordinateur existant pour joindre un ordinateur à un domaine. | Résolution des problèmes de code d’erreur 0xaac : Échec lorsque vous utilisez un compte d’ordinateur existant pour joindre un domaine |
| 0x6BF ou 0xC002001C | Cette erreur se produit lorsqu’un appareil réseau (routeur, pare-feu ou périphérique VPN) rejette les paquets réseau entre le client joint et le contrôleur de domaine (DC). | Résolution des problèmes du code d'erreur 0x6bf ou 0xc002001c : l'appel de procédure distante a échoué et ne s'est pas exécuté |
| 0x6D9 | Cette erreur se produit lorsque la connectivité réseau est bloquée entre le client de jonction et le contrôleur de domaine (DC). | Dépannage du code d’erreur 0x6D9 « Il n’y a plus de points de terminaison disponibles à partir du mappeur de points de terminaison » |
| 0xa8b | Cette erreur se produit lorsque vous joignez un ordinateur de groupe de travail à un domaine. | Dépannage de l'erreur 0xa8b : une tentative de résolution du nom DNS d’un contrôleur de domaine dans le domaine en cours de jonction a échoué |
| 0x40 | Le problème est lié à l’obtention de tickets Kerberos pour une session SMB (Server Message Block). | Dépannage du code d’erreur 0x40 « Le nom de réseau spécifié n’est plus disponible » |
| 0x54b | Cette erreur se produit parce que le domaine spécifié ne peut pas être contacté, ce qui indique des problèmes de localisation des contrôleurs de domaine. | Dépannage du code d’erreur 0x54b |
| 0x0000232A | Cette erreur indique que le nom DNS (Domain Name System) ne peut pas être résolu. | Dépannage du code d’erreur 0x0000232A |
| 0x3a | Cette erreur se produit lorsque l’ordinateur client ne dispose pas d’une connectivité réseau fiable sur le port TCP (Transmission Control Protocol) 389 entre l’ordinateur client et le contrôleur de domaine (DC). | Code d’état de dépannage 0x3a : Le serveur spécifié ne peut pas effectuer l’opération demandée |
| 0x216d | Cette erreur se produit lorsque le compte d’utilisateur a dépassé la limite de 10 ordinateurs pouvant être joints au domaine, ou lorsqu’une stratégie de groupe empêche les utilisateurs de joindre des ordinateurs au domaine. | Dépannage du code d’état 0x216d : Votre ordinateur n’a pas pu être joint au domaine |
Autres erreurs qui se produisent lorsque vous joignez des ordinateurs Windows à un domaine
Pour plus d’informations, consultez l’article suivant :
Regroupements de données pour les problèmes de jointure de domaine
Pour résoudre les problèmes de jonction de domaine, les journaux suivants peuvent vous aider :
Journal Netsetup
Ce fichier journal contient la plupart des informations sur les activités de jointure de domaine. Le fichier se trouve sur l’ordinateur client à l’adresse%windir%\debug\netsetup.log.
Ce fichier journal est activé par défaut. Il n’est pas nécessaire de l’activer explicitement.Trace réseau
La trace réseau contient la communication entre l’ordinateur client et les serveurs relatifs, tels que les serveurs DNS et les contrôleurs de domaine sur le réseau. Il doit être collecté sur l’ordinateur client. Plusieurs outils peuvent collecter des traces réseau, telles que Wireshark, netsh.exe qui sont incluses dans toutes les éditions de Windows.
Vous pouvez recueillir chaque fichier journal séparément. Vous pouvez également utiliser certains outils fournis par Microsoft pour les collecter ensemble. Pour ce faire, suivez les étapes décrites dans les sections suivantes.
Collecter manuellement
- Téléchargez et installez Wireshark sur l’ordinateur client qui doit rejoindre le domaine AD.
- Démarrez l’application avec des privilèges d’administrateur, puis commencez à capturer.
- Essayez d'intégrer le domaine AD pour reproduire l’erreur. Enregistrez le message d’erreur.
- Arrêtez la capture dans l’application et enregistrez la trace réseau dans un fichier.
- Collectez le fichier netsetup.log qui se trouve à %windir%\debug\netsetup.log.
Utiliser des scripts d’authentification
Auth Scripts est un script PowerShell léger développé par Microsoft pour faciliter la collecte des journaux et résoudre les problèmes liés à l'authentification. Pour l’utiliser, procédez comme suit :
Téléchargez les scripts d’authentification sur l’ordinateur client. Extrayez les fichiers dans un dossier.
Démarrez une fenêtre PowerShell avec des privilèges d’administrateur. Basculez vers le dossier contenant ces fichiers extraits.
Exécutez start-auth.ps1, acceptez le CLUF si vous y êtes invité(e) et autorisez l'exécution si vous êtes averti(e) d’un éditeur non approuvé.
Remarque
Si les scripts ne sont pas autorisés à s’exécuter en raison de stratégies d’exécution, consultez about_Execution_Policies.
Une fois la commande exécutée avec succès, essayez de joindre le domaine AD pour reproduire l’erreur. Enregistrez le message d’erreur.
Exécutez stop-auth.ps1 et autorisez l’exécution si vous êtes averti d’un éditeur non approuvé.
Les fichiers journaux sont enregistrés dans le sous-dossier authlogs, qui inclut le journal Netsetup.log et le fichier de trace réseau (Nettrace.etl).
Utiliser l’outil TSS
L’outil TSS est un autre outil développé par Microsoft pour faciliter la collecte de journaux de logs. Pour l’utiliser, procédez comme suit :
Téléchargez l’outil TSS sur l’ordinateur client. Extrayez les fichiers dans un dossier.
Démarrez une fenêtre PowerShell avec des privilèges d’administrateur. Basculez vers le dossier contenant ces fichiers extraits.
Exécutez la commande suivante :
TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowaitAcceptez le CLUF si vous y êtes invité et autorisez l’exécution si un avertissement concernant un éditeur non fiable s'affiche.
Remarque
Si les scripts ne sont pas autorisés à s’exécuter en raison de stratégies d’exécution, consultez about_Execution_Policies.
La commande prend quelques minutes. Une fois la commande terminée avec succès, essayez de joindre le domaine AD pour reproduire l’erreur. Enregistrez le message d’erreur.
Exécutez
TSS.ps1 -stopet autorisez l’exécution si vous êtes averti d’un éditeur non approuvé.Les fichiers journaux sont enregistrés dans le sous-dossier C :\MS_DATA et sont déjà compressés. Le nom de fichier ZIP suit le format de TSS_<hostname>_<date>-<time>-ADS_AUTH.zip.
Le fichier zip inclut les Netsetup.log et la trace réseau. Le fichier de trace réseau est nommé <hostname>_<date>-<time>-Netsh_packetcapture.etl.