Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des conseils sur la résolution des problèmes courants de canal sécurisé rencontrés sur des ordinateurs clients ou des serveurs membres au sein d’un domaine pendant les tentatives de connexion.
Symptômes
Lorsque des problèmes de canal sécurisé provoquent une relation d’approbation rompue entre un appareil joint à un domaine et son domaine, vous observez les symptômes suivants sur l’ordinateur :
Vous ne pouvez pas vous connecter à l’ordinateur à l’aide d’Active Directory ou d’informations d’identification de domaine. Le message d’erreur suivant se produit :
La relation d'approbation entre cette station de travail et le domaine principal a échoué.
Vous pouvez vous connecter à l’aide d’un utilisateur local ou d’informations d’identification mises en cache.
Vous voyez un événement 3210 à partir de la source NETLOGON dans le journal de l’Observateur d’événements système :
Log name: System Source: NETLOGON Level: Error Description: This computer could not authenticate with \\DCName.contoso.com, a Windows domain controller for domain CONTOSO, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
Si la journalisation Netlogon est activée, vous voyez quelque chose de similaire à cet exemple :
Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022 Date Time [CRITICAL] CORP: NlSessionSetup: new password is bad, try old one Date Time [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetServerAuthenticate3: 1761 (may be legitimate for 0xc0000022) Date Time [SESSION] CORP: NlSessionSetup: Negotiated flags with server are 0x612fffff Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022 Date Time [MISC] Eventlog: 3210 (1) "CORP" "\\DCName.Contoso.com" 2f8270f1 5bc8d5e7 34c3e164 6665df64 .p./...[d..4d.ef Date Time [SESSION] CORP: NlSetStatusClientSession: Set connection status to c0000022 Date Time [SESSION] CORP: NlSetStatusClientSession: Unbind from server \\DCName.Contoso.com (TCP) 0. Date Time [SESSION] CORP: NlSessionSetup: Session setup Failed
Si vous essayez de tester l’état du canal sécurisé, vous recevez une erreur « Accès refusé » :
C:\>nltest /sc_query:contoso.com Flags: 0 Trusted DC Name Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully
Scénarios courants
Voici les scénarios les plus courants et leurs causes :
- La machine cliente ou le serveur membre a un mot de passe plus ancien que la base de données Active Directory.
- La base de données Active Directory a un mot de passe plus ancien que l’ordinateur client ou le serveur membre. (Le contrôleur de domaine est restauré à un état précédent ou à des problèmes de réplication Active Directory.)
Résolution
Pour résoudre le problème, procédez comme suit :
En fonction du scénario que vous rencontrez, consultez l’article correspondant pour les solutions :
Autres considérations
Vérifiez que les clés de Registre suivantes contiennent le nom réel de l’ordinateur (et non le nom de domaine complet )) :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\hostname
Vous pouvez interroger ces clés en exécutant les commandes suivantes :
Reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName /v ComputerName
Reg query HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters /v hostname
Note
Certains techniciens ou administrateurs informatiques rejoignent la machine au domaine pour résoudre le problème de canal sécurisé rompu, qui est une solution valide. Toutefois, si vous avez besoin de trouver la cause de problèmes constants ou répétitifs, cet article vous aidera à déterminer la cause racine dans l’environnement.
Plus d’informations
- PsExec
- Nltest
- Activer la journalisation du débogage pour le service Netlogon
- Validation et informations d’identification mises en cache
Terminologie
- Secret de l’autorité de sécurité locale (LSA) : stockage protégé spécial utilisé par l’autorité de sécurité locale dans Windows pour stocker des données importantes. Dans cette série d’articles, le secret LSA fait référence au mot de passe de l’ordinateur pour un appareil joint à un domaine.
- Cupdtime : fait référence à la dernière heure de mise à jour du secret LSA, dans cette série d’articles, le mot de passe de l’ordinateur. Ces informations sont stockées dans le Registre Windows sous
HKEY_LOCAL_MACHINE/Security/Policy/Secrets$MACHINE.ACC/cupdtime
. - pwdLastSet (PasswordLastSet) : attribut d’objet ordinateur stocké dans Active Directory.