Partager via


Relation d’approbation rompue entre un appareil joint à un domaine et son domaine en raison de problèmes de canal sécurisé

Cet article fournit des conseils sur la résolution des problèmes courants de canal sécurisé rencontrés sur des ordinateurs clients ou des serveurs membres au sein d’un domaine pendant les tentatives de connexion.

Symptômes

Lorsque des problèmes de canal sécurisé provoquent une relation d’approbation rompue entre un appareil joint à un domaine et son domaine, vous observez les symptômes suivants sur l’ordinateur :

  • Vous ne pouvez pas vous connecter à l’ordinateur à l’aide d’Active Directory ou d’informations d’identification de domaine. Le message d’erreur suivant se produit :

    La relation d'approbation entre cette station de travail et le domaine principal a échoué.

    Vous pouvez vous connecter à l’aide d’un utilisateur local ou d’informations d’identification mises en cache.

  • Vous voyez un événement 3210 à partir de la source NETLOGON dans le journal de l’Observateur d’événements système :

    Capture d’écran de l’ID d’événement 3210.

    Log name: System  
    Source: NETLOGON  
    Level: Error  
    Description: This computer could not authenticate with \\DCName.contoso.com, a Windows domain controller for domain CONTOSO, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
    
  • Si la journalisation Netlogon est activée, vous voyez quelque chose de similaire à cet exemple :

    Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
    Date Time [CRITICAL] CORP: NlSessionSetup: new password is bad, try old one
    Date Time [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetServerAuthenticate3: 1761 (may be legitimate for 0xc0000022)
    Date Time [SESSION] CORP: NlSessionSetup: Negotiated flags with server are 0x612fffff
    Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
    Date Time [MISC] Eventlog: 3210 (1) "CORP" "\\DCName.Contoso.com" 2f8270f1 5bc8d5e7 34c3e164 6665df64   .p./...[d..4d.ef
    Date Time [SESSION] CORP: NlSetStatusClientSession: Set connection status to c0000022
    Date Time [SESSION] CORP: NlSetStatusClientSession: Unbind from server \\DCName.Contoso.com (TCP) 0.
    Date Time [SESSION] CORP: NlSessionSetup: Session setup Failed
    
  • Si vous essayez de tester l’état du canal sécurisé, vous recevez une erreur « Accès refusé » :

    C:\>nltest /sc_query:contoso.com
    
    Flags: 0
    Trusted DC Name
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED
    The command completed successfully
    

Scénarios courants

Voici les scénarios les plus courants et leurs causes :

  • La machine cliente ou le serveur membre a un mot de passe plus ancien que la base de données Active Directory.
  • La base de données Active Directory a un mot de passe plus ancien que l’ordinateur client ou le serveur membre. (Le contrôleur de domaine est restauré à un état précédent ou à des problèmes de réplication Active Directory.)

Résolution

Pour résoudre le problème, procédez comme suit :

  1. Collectez les données pour déterminer la cause du problème.

  2. En fonction du scénario que vous rencontrez, consultez l’article correspondant pour les solutions :

Autres considérations

Vérifiez que les clés de Registre suivantes contiennent le nom réel de l’ordinateur (et non le nom de domaine complet )) :

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\hostname

Vous pouvez interroger ces clés en exécutant les commandes suivantes :

Reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName /v ComputerName
Reg query HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters /v hostname

Note

Certains techniciens ou administrateurs informatiques rejoignent la machine au domaine pour résoudre le problème de canal sécurisé rompu, qui est une solution valide. Toutefois, si vous avez besoin de trouver la cause de problèmes constants ou répétitifs, cet article vous aidera à déterminer la cause racine dans l’environnement.

Plus d’informations

Terminologie

  • Secret de l’autorité de sécurité locale (LSA) : stockage protégé spécial utilisé par l’autorité de sécurité locale dans Windows pour stocker des données importantes. Dans cette série d’articles, le secret LSA fait référence au mot de passe de l’ordinateur pour un appareil joint à un domaine.
  • Cupdtime : fait référence à la dernière heure de mise à jour du secret LSA, dans cette série d’articles, le mot de passe de l’ordinateur. Ces informations sont stockées dans le Registre Windows sous HKEY_LOCAL_MACHINE/Security/Policy/Secrets$MACHINE.ACC/cupdtime.
  • pwdLastSet (PasswordLastSet) : attribut d’objet ordinateur stocké dans Active Directory.