Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution à une erreur qui se produit lorsque le contrôleur de domaine n’autorise pas l’ouverture de session interactive.
Numéro de base de connaissances d’origine : 2015518
Symptômes
Après le redémarrage, un contrôleur de domaine Windows Server 2012 R2 ne peut plus être connecté. Vous voyez cela avec une ouverture de session de console ou des services terminal/bureau à distance. L’erreur indiquée est la suivante :
La base de données de sécurité sur le serveur n’a pas de compte d’ordinateur pour cette relation d’approbation de station de travail
Si vous redémarrez l’ordinateur en mode de restauration des services d’annuaire (DSRM) et examinez le journal des événements système , vous voyez :
Nom du journal : système
Source : NETLOGON
Date : <DateTime>
ID d’événement : 5721
Catégorie de tâche : None
Niveau : Error
Mots clés : Classique
Utilisateur : N/A
Ordinateur : <ComputerName>
Description :
La configuration de session sur windows NT ou Windows 2000 Domain Controller\\2008r2spn-01.northwindtraders.compour le domaine NW VIEWERS a échoué, car le contrôleur de domaine n’a pas eu de compte 2008R2SPN-02$ nécessaire pour configurer la session par cet ordinateur 2008R2SPN-02.
DONNÉES SUPPLÉMENTAIRES
Si cet ordinateur est membre ou d’un contrôleur de domaine dans le domaine spécifié, le compte mentionné est un compte d’ordinateur pour cet ordinateur dans le domaine spécifié. Sinon, le compte est un compte d’approbation interdomaine avec le domaine spécifié.
Et
Nom du journal : système
Source : Microsoft-Windows-Security-Kerberos
Date : <DateTime>
ID d’événement : 3
Catégorie de tâche : None
Niveau : Error
Mots clés : Classique
Utilisateur : N/A
Ordinateur : <ComputerName>
Description :
Un message d’erreur Kerberos a été reçu :
lors de la session d’ouverture de session
Heure du client : Heure du serveur : 18:35:19.0000 1/27/2010 Z Code d’erreur : 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Erreur étendue : 0xc0000035 Domaine du client KLIN(0) : Nom du client : Domaine du serveur : Nom du serveur : nom du serveur : nom du serveur :NORTHWINDTRADERS.COMnom de l’hôte/2008r2spn-02.northwindtraders.com nom cible : hôte/2008r2spn-02.northwindtraders.com@NORTHWINDTRADERS.COM texte d’erreur : fichier : 9 ligne : données d’erreur efb se trouve dans les données d’enregistrement.
À chaque tentative d’ouverture de session, le journal des événements de sécurité s’affiche :
Nom du journal : Sécurité
Source : Microsoft-Windows-Security-Audit
Date : <DateTime>
ID d’événement : 4625
Catégorie de tâche : Ouverture de session
Niveau : Information
Mots clés : Échec d’audit
Utilisateur : N/A
Ordinateur : <ComputerName>
Description :
Échec de connexion d’un compte.Objet :
ID de sécurité : SYSTEM
Nom du compte : 2008SPN-02$
Domaine de compte : ADATUM
ID d’ouverture de session : 0x3e7Type d’ouverture de session : 2
Compte pour lequel l’ouverture de session a échoué :
ID de sécurité : SID NULL
Nom du compte : Administrateur
Domaine de compte : ADATUMInformations sur l’échec :
Raison de l’échec : une erreur s’est produite lors de l’ouverture de session.
État : 0xc000018b
Sous-état : 0x0Informations sur le processus :
ID de processus de l’appelant : 0x214
Nom du processus de l’appelant : C :\Windows\System32\winlogon.exeInformations réseau :
Nom de la station de travail : 2008SPN-02
Adresse réseau source : 127.0.0.1
Port source : 0Informations d’authentification détaillées :
Processus d’ouverture de session : Utilisateur32
Package d’authentification : Négocier
Services transités : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.
Les champs Objet indiquent le compte sur le système local qui a demandé l’ouverture de session. Il s’agit généralement d’un service tel que le service serveur ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session demandé. Les types les plus courants sont 2 (interactifs) et 3 (réseau).
Les champs Informations sur le processus indiquent quel compte et processus sur le système ont demandé l’ouverture de session.
Les champs Informations réseau indiquent l’origine d’une demande d’ouverture de session distante. Le nom de la station de travail n’est pas toujours disponible et peut être laissé vide dans certains cas.
Les champs d’informations d’authentification fournissent des informations détaillées sur cette demande d’ouverture de session spécifique.
- Les services transités indiquent quels services intermédiaires ont participé à cette demande d’ouverture de session.
- Le nom du package indique quel sous-protocole a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Cette valeur est 0 si aucune clé de session n’a été demandée.
Vous pouvez également voir une erreur KDC 11 pour un SPN en double dans le journal des événements système :
Nom du journal : système
Source : Microsoft-Windows-Kerberos-Key-Distribution-Center
Date : <DateTime>
ID d’événement : 11
Catégorie de tâche : None
Niveau : Error
Mots clés : Classique
Utilisateur : N/A
Ordinateur : <ComputerName>
Description :
Le KDC a rencontré des noms en double lors du traitement d’une demande d’authentification Kerberos. Le nom dupliqué est hôte/2008spn-02.adatum.com (de type DS_SERVICE_PRINCIPAL_NAME). Cela peut entraîner des échecs d’authentification ou des rétrogradations vers NTLM. Pour éviter que cela ne se produise, supprimez les entrées dupliquées pour l’hôte/2008spn-02.adatum.com dans Active Directory.
Cause
Le nom du principal du service des contrôleurs de domaine (SPN) a été dupliqué et existe désormais en tant qu’attribut sur le contrôleur de domaine ainsi que sur un autre utilisateur ou ordinateur.
Résolution
Recherchez le SPN dupliqué et supprimez-le. Cette valeur est disponible avec SETSPN.EXE ou LDIFDE.EXE. Dans cet exemple, le nom dupliqué est 2008r2spn-02.
setspn.exe -xsetspn.exe -q 2008r2spn-02*ldifde.exe -f spn.txt -d -l serviceprincipalname -r "(serviceprincipalname=*2008r2spn-02*)" -p subtree
Plus d’informations
Ce comportement diffère de Windows Server 2003 ou Windows 2000. Ces systèmes d’exploitation n’obtiennent pas les mêmes erreurs et peuvent toujours être connectés avec des SPN dc en double. À compter de Windows Vista, la restauration automatique vers NTLM n’est pas autorisée avec les journaux interactifs : il s’agit d’une fonctionnalité de sécurité permettant d’empêcher un attaquant d’endommager Kerberos, ce qui force un protocole moins sécurisé à utiliser.
Pour mettre à jour un SPN sur un utilisateur ou un ordinateur, un utilisateur doit être membre des administrateurs, administrateurs de domaine, administrateurs d’entreprise ou avoir reçu des autorisations pour modifier l’attribut servicePrincipalName sur un utilisateur ou un ordinateur. Aucun utilisateur standard ne peut modifier le nom de principal de service ( même sur eux-mêmes ou sur les ordinateurs qu’il a ajoutés au domaine). Seuls les utilisateurs à privilège élevé peuvent créer ce scénario de panne.