Partager via

Le service KDC sur un contrôleur de domaine principal ne peut pas démarrer et génère l’erreur 1450

Cet article résout un problème dans lequel le service KDC sur un contrôleur de domaine en lecture seule (RODC) ne peut pas démarrer et vous recevez un message d’erreur qui fait référence à des ressources système insuffisantes.

S’applique à : Windows Server 2016

Symptômes

Le service KDC (Kerberos Key Distribution Center) ne démarre pas sur un contrôleur de domaine en lecture seule (RODC) et le service génère le message d’erreur suivant :

Windows n’a pas pu démarrer le service Centre de distribution de clés Kerberos sur l’ordinateur local. Erreur 1450 : Les ressources système insuffisantes existent pour terminer le service demandé.

Si vous utilisez une commande telle que repadmin /replication pour déclencher la réplication entrante vers le contrôleur de domaine source à partir d’un contrôleur de domaine source, la commande échoue et génère le message d’erreur suivant :

Échec de DsReplicaSync() avec l’état 6 (0x6) :
Le descripteur n’est pas valide.

Cause

Le compte krbtgt_##### de la rodC a été supprimé.

Chaque rodc possède son propre compte krbtgt_##### dans Active Directory. Dans le nom du compte, ##### représente un nombre qui identifie le contrôleur de domaine principal. Le rodc utilise ce compte pour fournir une isolation de chiffrement pour les tickets qu’il émet. En règle générale, vous n’avez pas besoin d’interagir avec les comptes krbtgt_##### . Lorsque vous promouvez ou rétrogradez un RODC, Windows gère automatiquement les comptes. Toutefois, si un rodc échoue et que les métadonnées ne sont pas nettoyées, un compte krbtgt_##### « orphelin » peut rester dans Active Directory.

Si un administrateur tente de nettoyer manuellement les comptes orphelins, le problème mentionné dans la section « Symptômes » peut se produire. Ce problème signifie généralement qu’un compte krbtgt_##### non orphelin a été supprimé au lieu d’un compte orphelin.

Pour plus d’informations sur l’identification des comptes de krbtgt_##### orphelins, consultez MailBag : RODCs – krbtgt_#####, Orphelins et objets de connexion RODC d’équilibrage de charge.

Résolution

La procédure que vous utilisez pour résoudre ce problème dépend de l’activation de la fonctionnalité Corbeille AD dans Active Directory. Sélectionnez l’une des méthodes suivantes :

Méthode de récupération 1 (fonctionnalité Corbeille AD non activée)

Si la fonctionnalité Corbeille AD n’a pas été activée, suivez ces étapes sur un contrôleur de domaine accessible en écriture (RWDC) ou un serveur de catalogue global (GC).

  1. Redémarrez le serveur. Pendant le processus de démarrage, appuyez sur F8, puis sélectionnez Mode de restauration des services d’annuaire.

  2. Utilisez une sauvegarde de l’état du système à partir de laquelle le compte a été supprimé pour restaurer l’état du système du serveur. Cette opération retourne le compte à la copie locale d’Active Directory sur le serveur.

  3. Ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et utilisez l’outil ntdsutil pour effectuer une restauration faisant autorité du compte. Cette opération garantit que le compte restauré peut être répliqué sur les autres contrôleurs de domaine.

    Par exemple, pour restaurer un compte qui a le nom krbtgt_23530, vous ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez la commande suivante :

    ntdsutil restore object "CN=krbtgt_23530,CN=Users,DC=EMEA,DC=Contoso,DC=com"

    Note

    L’opération de restauration faisant autorité crée un fichier LDAP Data Interchange Format (LDIF) qui contient des informations du compte restauré. Vous aurez besoin de ce fichier dans les étapes ultérieures.

  4. Redémarrez le serveur pour revenir au mode Active Directory normal.

  5. Remplissez les attributs d’indexation du compte restauré en important le fichier LDIF créé à l’étape précédente. Pour ce faire, exécutez la commande suivante dans une invite de commandes :

    ldifde -i -f <filename>.ldf

    Dans cette commande, <le nom de fichier> est le nom de fichier et le chemin d’accès du fichier LDIF créé précédemment. Cette opération lie l’objet d’ordinateur RODC dans Active Directory à son compte correspondant.

Une fois ces étapes terminées, vous devrez peut-être réinitialiser le mot de passe du compte d’ordinateur RODC (également appelé « compte d’ordinateur »). Pour ce faire, suivez les étapes décrites dans Utiliser Netdom.exe pour réinitialiser les mots de passe de compte d’ordinateur d’un contrôleur de domaine Windows Server.

Méthode de récupération 2 (fonctionnalité Corbeille AD activée)

Si la fonctionnalité Corbeille AD est activée, procédez comme suit.

  1. Dans une fenêtre d’invite de commandes avec élévation de privilèges, exécutez les commandes suivantes pour restaurer le compte :

    import-module ActiveDirectory
Get-ADObject -Filter {displayName -eq "krbtgt_<xxxxx>"} -IncludeDeletedObjects | Restore-ADObject

    Dans la deuxième commande, <xxxxx> est le numéro d’ID du RODC.

  2. Sur le rodc affecté, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges, puis exécutez la commande suivante pour répliquer les informations de compte dans le rodc :

    repadmin /replsingleobj <RODC_Name> <RWDC_Name> <DN>

    Cette commande contient les espaces réservés suivants :

    • <> RODC_Name représente le nom du serveur du contrôleur de domaine principal
    • <> RWDC_Name représente le RWDC sur lequel vous avez restauré le compte
    • <DN> représente le nom unique du compte RODC (krbgt_xxxxx)

  3. Effacez le cache Kerberos RODC en exécutant les commandes suivantes :

    klist purge
klist -li 0x3e7 purge

  4. Réinitialisez le mot de passe du compte d’ordinateur RODC (également appelé « compte d’ordinateur ») en exécutant la commande suivante :

    netdom resetpwd /server: <RWDC_Name> /USERD: administrator /PasswordD:*

    Dans cette commande, <RWDC_Name> représente le nom du serveur du RWDC.

    Note

    Cette commande vous invite à entrer le mot de passe du compte Administrateur.

  5. Redémarrez le contrôleur de domaine en lecture seule.

Références