Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit une valeur de Registre que les administrateurs peuvent utiliser pour contrôler le moment où le contrôleur de domaine principal (PDC) est contacté, ce qui peut aider à réduire les coûts de communication entre les sites et à réduire la charge sur le contrôleur de domaine principal.
Important
Cet article contient des informations sur la modification du Registre. Avant d’effectuer cette opération, veillez à sauvegarder le Registre et à bien comprendre comment le restaurer en cas de problème. Pour plus d’informations sur la sauvegarde, la restauration et la modification du Registre, consultez l’article Informations sur le Registre Windows destinées aux utilisateurs expérimentés.
Numéro de base de connaissances d’origine : 225511
Résumé
Par défaut, lorsqu’un mot de passe utilisateur est réinitialisé ou modifié, ou lorsqu’un contrôleur de domaine reçoit une demande d’authentification client à l’aide d’un mot de passe incorrect, le contrôleur de domaine Windows agissant en tant que propriétaire du rôle FSMO (Flexible Single Master Operation) PDC pour le domaine Windows est contacté. Cet article décrit une valeur de Registre que les administrateurs peuvent utiliser pour contrôler le moment où le contrôleur de domaine principal est contacté, ce qui peut aider à réduire les coûts de communication entre les sites et à réduire la charge sur le contrôleur de domaine principal.
Cette communication avec le contrôleur de domaine principal n’est pas effectuée pour les comptes d’ordinateur. Les ordinateurs réessayent l’authentification avec le mot de passe précédent le plus récent lorsque l’authentification échoue. Le long de la même ligne, les ordinateurs essaieraient le mot de passe précédent le plus récent lors du déchiffrement d’un ticket de service Kerberos qu’ils reçoivent.
Plus d’informations
Avertissement
L’utilisation incorrecte de l’Éditeur du Registre peut entraîner des problèmes graves dont la résolution peut impliquer la réinstallation du système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.
La valeur de Registre suivante peut être modifiée pour contrôler la notification de modification de mot de passe et la résolution des conflits de mot de passe, comme décrit ci-dessous :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
- Valeur du Registre : AvoidPdcOnWan
- Type de Registre : REG_DWORD
- Données de valeur de Registre : 0 (ou valeur non présente) ou 1
- 0 ou valeur non présente = FALSE (pour désactiver)
- 1 = TRUE (pour activer)
- Valeur par défaut : (la valeur n’est pas présente)
Notification de modification de mot de passe
Un contrôleur de domaine accessible en écriture Windows reçoit la demande de modification ou de réinitialisation du mot de passe de l’utilisateur. La modification du mot de passe est effectuée localement, puis envoyée immédiatement au propriétaire du rôle FSMO PDC à l’aide du service Netlogon en tant qu’appel de procédure distante (RPC). La modification du mot de passe est ensuite répliquée auprès des partenaires à l’aide du processus de réplication Active Directory par le contrôleur de domaine et le contrôleur de domaine (DC) qui assure la modification du mot de passe. Si un contrôleur de domaine En lecture seule (RODC) Windows reçoit la demande de modification de mot de passe, il fonctionne comme un proxy d’authentification qui transfère la requête à son contrôleur de domaine hub, qui agit comme s’il s’agit du premier contrôleur de domaine à recevoir la demande.
Si la valeur AvoidPdcOnWan est définie sur TRUE et que le FSMO du contrôleur de domaine principal se trouve sur un autre site, la modification du mot de passe n’est pas envoyée immédiatement au contrôleur de domaine principal. Toutefois, elle est mise à jour avec la modification par le biais de la réplication Active Directory normale. Si le FSMO du contrôleur de domaine principal se trouve sur le même site, la valeur AvoidPdcOnWan n’est pas utilisée et la modification du mot de passe est immédiatement communiquée au contrôleur de domaine principal.
Un mot de passe mis à jour peut ne pas être envoyé à l’émulateur PDC même si AvoidPdcOnWan a la valeur FALSE ou n’est pas défini, s’il existe des problèmes lors de l’envoi de la demande au contrôleur de domaine principal, par exemple une panne réseau. Aucune erreur n’est enregistrée dans ce cas. La mise à jour est ensuite distribuée à l’aide de la réplication AD normale.
Résolution des conflits de mot de passe
Par défaut, les contrôleurs de domaine Windows interrogent le propriétaire du rôle FSMO PDC si un utilisateur tente de s’authentifier à l’aide d’un mot de passe incorrect selon sa base de données locale. Si le mot de passe envoyé par le client par l’utilisateur est correct sur le contrôleur de domaine principal, le client est autorisé à accéder et le contrôleur de domaine réplique la modification du mot de passe.
La valeur AvoidPdcOnWan peut être utilisée par les administrateurs pour contrôler quand les contrôleurs de domaine Active Directory tentent d’utiliser le propriétaire du rôle FSMO PDC pour résoudre les conflits de mot de passe. Le contrôleur de domaine principal termine l’ouverture de session et l’authentification réussit pour l’utilisateur d’authentification.
Si la valeur AvoidPdcOnWan est définie sur TRUE et que le propriétaire du rôle FSMO du contrôleur de domaine est situé sur un autre site, le contrôleur de domaine n’essaie pas d’authentifier un client contre les informations de mot de passe stockées sur le FSMO du contrôleur de domaine. Notez toutefois que cela entraîne le refus d’accès à l’utilisateur. Cela peut entraîner un impact sur la productivité, car de nombreux utilisateurs ne vont pas essayer le mot de passe précédent pour s’authentifier. Dans certains scénarios, ils peuvent ne pas connaître le mot de passe précédent.
Un mot de passe incorrect peut ne pas être essayé sur l’émulateur de contrôleur de domaine principal, même si AvoidPdcOnWan a la valeur FALSE ou n’est pas défini, s’il existe des problèmes lors de l’envoi de la demande au contrôleur de domaine principal, par exemple une panne réseau. Aucune erreur n’est enregistrée dans ce cas. La tentative d’ouverture de session est refusée dans ce cas.
Le scénario est différent lorsqu’un RODC est impliqué. Si une demande d’authentification sur le contrôleur de domaine principal échoue avec un mot de passe incorrect, le contrôleur de domaine principal envoie la requête au contrôleur de domaine du hub et, à son tour, le contrôleur de domaine hub l’envoie au contrôleur de domaine principal. Si elle réussit sur le contrôleur de domaine principal, l’authentification de l’utilisateur réussit. Si le contrôleur de domaine principal est autorisé à mettre en cache le mot de passe de l’utilisateur, il demande au mot de passe de l’utilisateur d’être répliqué à partir de son contrôleur de domaine hub. Mais le contrôleur de domaine hub a toujours l’ancien mot de passe uniquement. Le rodc obtient uniquement le nouveau mot de passe via le cycle de réplication normal. Il continuera d’avoir besoin du hub ou du contrôleur de domaine principal jusqu’à ce que le nouveau mot de passe soit répliqué.
Gestion de la réplication de mot de passe
Lorsque le contrôleur de domaine accessible en écriture transfère la modification du mot de passe au contrôleur de domaine principal, le mot de passe de l’utilisateur est défini sur les deux contrôleurs de domaine. Les deux contrôleurs de domaine incluront ce nouveau mot de passe dans leur réplication sortante.
Si ces deux modifications arrivent à un contrôleur de domaine, la résolution normale des conflits AD est effectuée. La version AD des attributs sera la même, mais l’horodatage du contrôleur de domaine principal sera un peu plus ancien et le mot de passe du contrôleur de domaine initial sera utilisé.
Il ne fait aucune différence, car la charge utile des données est identique, car les deux contrôleurs de domaine ont écrit la même valeur de mot de passe.
Journalisation dans le journal des événements des services d’annuaire
Windows Server 2022 a ajouté des événements pour suivre l’activité des interactions avec l’émulateur PDC concernant les notifications de mise à jour de mot de passe.
ID d’événement 3035
L’ID d’événement 3035 est enregistré sur le contrôleur de domaine principal au niveau de journalisation quatre de la catégorie « 27 notifications de mise à jour de mot de passe PDC » dans l’entrée de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3035
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
ID d’événement 3036
L’ID d’événement 3036 est enregistré en cas d’erreur lors de la mise à jour du contrôleur de domaine principal avec les mises à jour dans un appel à partir d’un contrôleur de domaine de sauvegarde (BDC) :
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3036
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
Error: <Error Code>
Important
L’ID d’événement 3036 avec le code d’erreur 8440 peut être vu sur les PC exécutant Windows Server 2022 ou version ultérieure lors du traitement d’une notification de mise à jour de mot de passe d’un BDC exécutant Windows Server 2019 ou version antérieure. Étant donné cette combinaison plus récente de contrôleur de domaine principal et bdc plus ancienne, l’ID d’événement 3036 avec le code d’erreur 8440 se produit sur le contrôleur de domaine principal lorsque le BDC envoie une notification de mise à jour de mot de passe pour un nouveau compte d’utilisateur qui n’a pas encore été répliqué sur le contrôleur de domaine principal. Pour éviter ce problème, mettez à niveau le BDC vers Windows Server 2022 ou version ultérieure.
ID d’événement 3037
L’ID d’événement 3037 est enregistré sur le BDC au niveau de journalisation quatre de la catégorie « 27 notifications de mise à jour de mot de passe PDC » dans l’entrée de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3037
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
User: <User Name>
User RID: <RID>
ID d’événement 3038
L’ID d’événement 3038 est enregistré en cas d’erreur lors de la mise à jour du contrôleur de domaine principal avec les mises à jour dans un appel à partir d’un BDC :
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3038
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
User: <User Name>
User RID: <RID>
Error: <Error Code>
Par exemple, le code d’erreur c0000225 est mappé à STATUS_NOT_FOUND. Cette erreur est attendue lorsque l’utilisateur est nouvellement créé sur le contrôleur de domaine local et que le mot de passe de l’utilisateur est défini dans la latence de réplication du contrôleur de domaine principal.
Vous pouvez également voir les erreurs liées au réseau ou RPC dans l’ID d’événement 3038. Par exemple, lorsqu’un pare-feu bloque la communication entre le bdc et le contrôleur de domaine principal, vous pouvez recevoir cet événement.