Relation d’approbation rompue entre un appareil joint à un domaine et son domaine en raison de problèmes de canal sécurisé

Cet article fournit des conseils sur la résolution des problèmes courants de canal sécurisé rencontrés sur des ordinateurs clients ou des serveurs membres au sein d’un domaine pendant les tentatives de connexion.

Symptômes

Lorsque des problèmes de canal sécurisé provoquent une relation d’approbation rompue entre un appareil joint à un domaine et son domaine, vous observez les symptômes suivants sur l’ordinateur :

• Vous ne pouvez pas vous connecter à l’ordinateur à l’aide d’Active Directory ou d’informations d’identification de domaine. Le message d’erreur suivant se produit :

  La relation d'approbation entre cette station de travail et le domaine principal a échoué.

  Vous pouvez vous connecter à l’aide d’un utilisateur local ou d’informations d’identification mises en cache.

• Vous voyez un événement 3210 à partir de la source NETLOGON dans le journal de l’Observateur d’événements système :

  

  Log name: System  
  Source: NETLOGON  
  Level: Error  
  Description: This computer could not authenticate with \\DCName.contoso.com, a Windows domain controller for domain CONTOSO, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
  

• Si la journalisation Netlogon est activée, vous voyez quelque chose de similaire à cet exemple :

  Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
  Date Time [CRITICAL] CORP: NlSessionSetup: new password is bad, try old one
  Date Time [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetServerAuthenticate3: 1761 (may be legitimate for 0xc0000022)
  Date Time [SESSION] CORP: NlSessionSetup: Negotiated flags with server are 0x612fffff
  Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
  Date Time [MISC] Eventlog: 3210 (1) "CORP" "\\DCName.Contoso.com" 2f8270f1 5bc8d5e7 34c3e164 6665df64   .p./...[d..4d.ef
  Date Time [SESSION] CORP: NlSetStatusClientSession: Set connection status to c0000022
  Date Time [SESSION] CORP: NlSetStatusClientSession: Unbind from server \\DCName.Contoso.com (TCP) 0.
  Date Time [SESSION] CORP: NlSessionSetup: Session setup Failed
  

• Si vous essayez de tester l’état du canal sécurisé, vous recevez une erreur « Accès refusé » :

  C:\>nltest /sc_query:contoso.com
  
  Flags: 0
  Trusted DC Name
  Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED
  The command completed successfully
  

Scénarios courants

Voici les scénarios les plus courants et leurs causes :

• La machine cliente ou le serveur membre a un mot de passe plus ancien que la base de données Active Directory.
• La base de données Active Directory a un mot de passe plus ancien que l’ordinateur client ou le serveur membre. (Le contrôleur de domaine est restauré à un état précédent ou à des problèmes de réplication Active Directory.)

Résolution

Pour résoudre le problème, procédez comme suit :

1. Collectez les données pour déterminer la cause du problème.

2. En fonction du scénario que vous rencontrez, consultez l’article correspondant pour les solutions :

   • Active Directory a une valeur de mot de passe plus récente que l’appareil client
   • L’appareil client a une valeur de mot de passe plus récente que Active Directory

Autres considérations

Vérifiez que les clés de Registre suivantes contiennent le nom réel de l’ordinateur (et non le nom de domaine complet )) :

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\hostname

Vous pouvez interroger ces clés en exécutant les commandes suivantes :

Reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName /v ComputerName
Reg query HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters /v hostname

Note

Certains techniciens ou administrateurs informatiques rejoignent la machine au domaine pour résoudre le problème de canal sécurisé rompu, qui est une solution valide. Toutefois, si vous avez besoin de trouver la cause de problèmes constants ou répétitifs, cet article vous aidera à déterminer la cause racine dans l’environnement.

Plus d’informations

• PsExec
• Nltest
• Activer la journalisation du débogage pour le service Netlogon
• Validation et informations d’identification mises en cache

Terminologie

• Secret de l’autorité de sécurité locale (LSA) : stockage protégé spécial utilisé par l’autorité de sécurité locale dans Windows pour stocker des données importantes. Dans cette série d’articles, le secret LSA fait référence au mot de passe de l’ordinateur pour un appareil joint à un domaine.
• Cupdtime : fait référence à la dernière heure de mise à jour du secret LSA, dans cette série d’articles, le mot de passe de l’ordinateur. Ces informations sont stockées dans le Registre Windows sous HKEY_LOCAL_MACHINE/Security/Policy/Secrets$MACHINE.ACC/cupdtime.
• pwdLastSet (PasswordLastSet) : attribut d’objet ordinateur stocké dans Active Directory.