Partager via

L’approbation entre un domaine Windows NT et un domaine Active Directory ne peut pas être établie ou elle ne fonctionne pas comme prévu

Cet article décrit les problèmes de configuration d’approbation entre un domaine Windows NT 4.0 et un domaine Basé sur Active Directory.

Numéro de la base de connaissances d’origine : 889030

Symptômes

Si vous essayez de configurer une approbation entre un domaine Microsoft Windows NT 4.0 et un domaine Basé sur Active Directory, vous pouvez rencontrer l’un des symptômes suivants :

  • L’approbation n’est pas établie.
  • L’approbation est établie, mais la confiance ne fonctionne pas comme prévu.

En outre, vous pouvez recevoir l’un des messages d’erreur suivants :

L’erreur suivante s’est produite lors de la tentative de jonction du domaine « Domain_Name » : le compte n’est pas autorisé à se connecter à partir de cette station.

L’accès est refusé.

Aucun contrôleur de domaine n’a pu être contacté.

Échec de connexion : nom d’utilisateur inconnu ou mot de passe incorrect.

Lorsque vous utilisez le sélecteur d’objets dans Utilisateurs et ordinateurs Active Directory pour ajouter des utilisateurs du domaine NT 4.0 au domaine Active Directory, vous pouvez recevoir le message d’erreur suivant :

Aucun élément ne correspond à la recherche actuelle. Vérifiez vos paramètres de recherche, puis réessayez.

Cause

Ce problème se produit en raison d’un problème de configuration dans l’une des zones suivantes :

  • Résolution de noms
  • Paramètres de sécurité
  • Droits utilisateur
  • Appartenance à un groupe pour Microsoft Windows 2000 ou Microsoft Windows Server 2003

Pour identifier correctement la cause du problème, vous devez résoudre les problèmes de configuration d’approbation.

Résolution

Si vous recevez le message d’erreur « Aucun élément ne correspond à la recherche actuelle » lorsque vous utilisez le sélecteur d’objets dans Utilisateurs et ordinateurs Active Directory, assurez-vous que les contrôleurs de domaine du domaine NT 4.0 incluent tout le monde dans l’accès à cet ordinateur à partir du droit de l’utilisateur réseau. Dans ce scénario, le sélecteur d’objets tente de se connecter anonymement dans l’approbation. Pour vérifier ces paramètres, suivez les étapes décrites dans la section « Méthode 3 : Vérifier les droits de l’utilisateur ».

Pour résoudre les problèmes de configuration d’approbation entre un domaine Windows NT 4.0 et Active Directory, vous devez vérifier la configuration correcte des zones suivantes :

  • Résolution de noms
  • Paramètres de sécurité
  • Droits utilisateur
  • Appartenance à un groupe pour Microsoft Windows 2000 ou Microsoft Windows Server 2003

Pour ce faire, utilisez les méthodes suivantes.

Méthode 1 : Vérifier la configuration correcte de la résolution de noms

Étape 1 : Créer un fichier LMHOSTS

Créez un fichier LMHOSTS sur les contrôleurs de domaine principaux pour fournir une fonctionnalité de résolution de noms inter-domaines. Le fichier LMHOSTS est un fichier texte que vous pouvez modifier avec n’importe quel éditeur de texte, tel que le Bloc-notes. Le fichier LMHOSTS sur chaque contrôleur de domaine doit contenir l’adresse TCP/IP, le nom de domaine et l’entrée \0x1b de l’autre contrôleur de domaine.

Après avoir créé le fichier LMHOSTS, procédez comme suit :

  1. Modifiez le fichier afin qu’il contienne du texte similaire au texte suivant :

    1.1.1.1 <NT_4_PDC_Name #DOM>  :<NT_4_Domain_Name>#PRE
    1.1.1.1 «< NT_4_Domain> \0x1b » #PRE
    2.2.2.2 <Windows_2000_PDC_Name #DOM>  :<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "< 2000_Domain> \0x1b"#PRE

    Note

    Il doit y avoir un total de 20 caractères et des espaces entre les guillemets ( » « ) pour l’entrée \0x1b. Ajoutez des espaces après le nom de domaine afin qu’il utilise 15 caractères. Le 16e caractère est la barre oblique inverse suivie de la valeur « 0x1b », ce qui fait un total de 20 caractères.

  2. Lorsque vous avez terminé les modifications apportées au fichier LMHOSTS, enregistrez le fichier dans le dossier %SystemRoot% \System32\Drivers\Etc sur les contrôleurs de domaine. Pour plus d’informations sur le fichier LMHOSTS, consultez l’exemple de fichier Lmhosts.sam situé dans le dossier %SystemRoot% \System32\Drivers\Etc.

Étape 2 : Charger le fichier LMHOSTS dans le cache

  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, tapez NBTSTAT -R, puis appuyez sur Entrée. Cette commande charge le fichier LMHOSTS dans le cache.

  3. À l’invite de commandes, tapez NBTSTAT -c, puis appuyez sur Entrée. Cette commande affiche le cache. Si le fichier est écrit correctement, le cache est similaire à ce qui suit :

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2-1
    W2KPDCName <00> UNIQUE 2.2.2.2-1
    W2KPDCName <20> UNIQUE 2.2.2.2-1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2-1

    Si le fichier ne remplit pas correctement le cache, passez à l’étape suivante.

Étape 3 : Vérifiez que la recherche LMHOSTS est activée sur l’ordinateur Windows NT 4.0

Si le fichier ne remplit pas correctement le cache, vérifiez que la recherche LMHOSTS est activée sur l’ordinateur Windows NT 4.0. Pour ce faire, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Paramètres, puis sur Panneau de configuration.
  2. Double-cliquez sur Réseaux, cliquez sur l’onglet Protocoles , puis double-cliquez sur PROTOCOLE TCP/IP.
  3. Cliquez sur l’onglet Adresse WINS, puis sur la case à cocher Activer la recherche LMHOSTS.
  4. Redémarrez l'ordinateur.
  5. Répétez les étapes de la section « Charger le fichier LMHOSTS dans le cache ».
  6. Si le fichier ne remplit pas correctement le cache, vérifiez que le fichier LMHOSTS se trouve dans le dossier %SystemRoot%\System32\Drivers\Etc et que le fichier est correctement mis en forme.

Par exemple, le fichier doit être mis en forme comme dans l’exemple de mise en forme suivant :

1.1.1.1 NT4PDCName #DOM :NT4DomainName#PRE
1.1.1.1 « NT4DomainName \0x1b » #PRE
2.2.2.2 W2KPDCName #DOM :W2KDomainName#PRE
2.2.2.2 « W2KDomainName \0x1b » #PRE

Note

Il doit y avoir au total 20 caractères et espaces à l’intérieur des guillemets ( » « ) pour le nom de domaine et l’entrée \0x1b.

Étape 4 : Utiliser la commande Ping pour tester la connectivité

Lorsque le fichier remplit correctement le cache sur chaque serveur, utilisez la commande sur chaque serveur pour tester la Ping connectivité entre les serveurs. Pour ce faire, procédez comme suit :

  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, tapez Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>, puis appuyez sur Entrée. Si la Ping commande ne fonctionne pas, vérifiez que les adresses IP appropriées sont répertoriées dans le fichier LMHOSTS.

  3. À l’invite de commandes, tapez net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>, puis appuyez sur Entrée. Il est prévu que vous receviez le message d’erreur suivant :

    Erreur système 5. l’accès est refusé.

    Si la commande net view retourne le message d’erreur suivant ou tout autre message d’erreur associé, vérifiez que les adresses IP appropriées sont répertoriées dans le fichier LMHOSTS :

    L’erreur système 53 s’est produite. Le chemin réseau n’a pas été trouvé.

Vous pouvez également configurer windows Internet Name Service (WINS) pour activer la fonctionnalité de résolution de noms sans utiliser de fichier LMHOSTS.

Méthode 2 : Afficher les paramètres de sécurité

En règle générale, le côté Active Directory de la configuration d’approbation a des paramètres de sécurité qui provoquent des problèmes de connectivité. Toutefois, les paramètres de sécurité doivent être inspectés des deux côtés de la confiance.

Étape 1 : Afficher les paramètres de sécurité sur Windows 2000 Server et Windows Server 2003

Dans Windows 2000 Server et Windows Server 2003, les paramètres de sécurité peuvent être appliqués ou configurés par la stratégie de groupe, une stratégie locale ou un modèle de sécurité appliqué.

Vous devez utiliser les outils appropriés pour déterminer les valeurs actuelles des paramètres de sécurité pour éviter les lectures inexactes.

Pour obtenir une lecture précise des paramètres de sécurité actuels, utilisez les méthodes suivantes :

  • Dans Windows 2000 Server, utilisez le composant logiciel enfichable Configuration et analyse de la sécurité.

  • Dans Windows Server 2003, utilisez le composant logiciel enfichable Configuration et analyse de la sécurité ou le composant logiciel enfichable RSoP (Resultant Set of Policy).

Après avoir déterminé les paramètres actuels, vous devez identifier la stratégie qui applique les paramètres. Par exemple, vous devez déterminer la stratégie de groupe dans Active Directory ou les paramètres locaux qui définissent la stratégie de sécurité.

Dans Windows Server 2003, la stratégie qui définit les valeurs de sécurité est identifiée par l’outil RSoP. Toutefois, dans Windows 2000, vous devez afficher la stratégie de groupe et la stratégie locale pour déterminer la stratégie qui contient les paramètres de sécurité :

  • Pour afficher les paramètres de stratégie de groupe, vous devez activer la sortie de journalisation pour le client de configuration de sécurité Microsoft Windows 2000 pendant le traitement de la stratégie de groupe.

  • Affichez l’Observateur d’événements de connexion d’application et recherchez l’ID d’événement 1000 et l’ID d’événement 1202.

Les trois sections suivantes identifient le système d’exploitation et répertorient les paramètres de sécurité que vous devez vérifier pour le système d’exploitation dans les informations que vous avez collectées :

Windows 2000

Vérifiez que les paramètres suivants sont configurés comme indiqué.

RestrictAnonymous :

Restrictions supplémentaires pour les connexions anonymes
 "Aucun. S’appuyer sur les autorisations par défaut »

Compatibilité LM :

Niveau d’authentification du Gestionnaire LAN « Envoyer la réponse NTLM uniquement »

Signature SMB, chiffrement SMB ou les deux :

Signer numériquement les communications clientes (toujours) DISABLED
Signer numériquement les communications clientes (quand il est possible) ENABLED
Signer numériquement les communications du serveur (toujours) DISABLED
Signer numériquement les communications du serveur (quand il est possible) ENABLED
Canal sécurisé : chiffrer numériquement ou signer des données de canal sécurisé (toujours) DISABLED
Canal sécurisé : chiffrer numériquement les données de canal sécurisé (quand il est possible) DISABLED
Canal sécurisé : signer numériquement des données de canal sécurisé (quand il est possible) DISABLED
Canal sécurisé : Exiger une clé de session forte (Windows 2000 ou ultérieure) DISABLED
Windows Server 2003

Vérifiez que les paramètres suivants sont configurés comme indiqué.

RestrictAnonymous et RestrictAnonymousSam :

Accès réseau : permet la traduction de noms/SID anonymes ENABLED
Accès réseau : ne pas autoriser l’énumération anonyme des comptes SAM DISABLED
Accès réseau : ne pas autoriser l’énumération anonyme des comptes et partages SAM DISABLED
Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s’appliquent aux utilisateurs anonymes ENABLED
Accès réseau : les canaux nommés sont accessibles anonymement ENABLED
Accès réseau : restreindre l’accès anonyme aux canaux nommés et aux partages DISABLED

Note

Par défaut, la valeur de l’accès réseau : Autoriser le paramètre de traduction siD/Nom anonyme est DÉSACTIVÉ dans Windows Server 2008.

Compatibilité LM :

Sécurité réseau : niveau d’authentification LAN Manager « Envoyer la réponse NTLM uniquement »

Signature SMB, chiffrement SMB ou les deux :

Client réseau Microsoft : communications signées numériquement (toujours) DISABLED
Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte) ENABLED
Serveur réseau Microsoft : communications signées numériquement (toujours) DISABLED
Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte) ENABLED
Membre de domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours) DISABLED
Membre du domaine : Chiffrer numériquement les données de canal sécurisé (quand il est possible) ENABLED
Membre du domaine : signer numériquement des données de canal sécurisé (quand il est possible) ENABLED
Membre de domaine : nécessite une clé de session forte (Windows 2000 ou ultérieur) DISABLED

Une fois les paramètres configurés correctement, vous devez redémarrer votre ordinateur. Les paramètres de sécurité ne sont pas appliqués tant que l’ordinateur n’est pas redémarré.

Une fois l’ordinateur redémarré, attendez 10 minutes pour vous assurer que toutes les stratégies de sécurité sont appliquées et que les paramètres effectifs sont configurés. Nous vous recommandons d’attendre 10 minutes, car les mises à jour de stratégie Active Directory se produisent toutes les 5 minutes sur un contrôleur de domaine, et la mise à jour peut modifier les valeurs des paramètres de sécurité. Après 10 minutes, utilisez la configuration et l’analyse de sécurité ou un autre outil pour examiner les paramètres de sécurité dans Windows 2000 et Windows Server 2003.

Windows NT 4.0

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft : 322756 Comment sauvegarder et restaurer le Registre dans Windows

Dans Windows NT 4.0, les paramètres de sécurité actuels doivent être vérifiés à l’aide de l’outil Regedt32 pour afficher le Registre. Pour ce faire, procédez comme suit :

  1. Cliquez sur Démarrer, sur Exécuter, tapez regedt32, puis cliquez sur OK.

  2. Développez les sous-clés de Registre suivantes, puis affichez la valeur affectée à l’entrée RestrictAnonymous :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Développez les sous-clés de Registre suivantes, puis affichez la valeur affectée à l’entrée de compatibilité LM :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Développez les sous-clés de Registre suivantes, puis affichez la valeur affectée à l’entrée EnableSecuritySignature (serveur) :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Développez les sous-clés de Registre suivantes, puis affichez la valeur affectée à l’entrée RequireSecuritySignature (serveur) :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Développez les sous-clés de Registre suivantes, puis affichez la valeur affectée à l’entrée RequireSignOrSeal :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Développez les sous-clés de Registre suivantes, puis affichez la valeur affectée à l’entrée SealSecureChannel :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Développez les sous-clés de Registre suivantes, puis affichez la valeur affectée à l’entrée SignSecureChannel :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Développez les sous-clés de Registre suivantes, puis affichez la valeur affectée à l’entrée RequireStrongKey :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Méthode 3 : Vérifier les droits de l’utilisateur

Pour vérifier les droits utilisateur requis sur un ordinateur Windows 2000, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis cliquez sur Stratégie de sécurité locale.
  2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
  3. Dans le volet droit, double-cliquez sur Accéder à cet ordinateur à partir du réseau.
  4. Cliquez pour activer la case à cocher Paramètre de stratégie locale en regard du groupe Tout le monde dans la liste Affectée, puis cliquez sur OK.
  5. Double-cliquez sur Refuser l’accès à cet ordinateur à partir du réseau.
  6. Vérifiez qu’il n’existe aucun groupe principal dans la liste Affectée à la liste, puis cliquez sur OK. Par exemple, assurez-vous que tous les utilisateurs authentifiés et d’autres groupes ne sont pas répertoriés.
  7. Cliquez sur OK, puis quittez la stratégie de sécurité locale.

Pour vérifier les droits utilisateur requis sur un ordinateur Windows Server 2003, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Stratégie de sécurité du contrôleur de domaine.

  2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

  3. Dans le volet droit, double-cliquez sur Accéder à cet ordinateur à partir du réseau.

  4. Assurez-vous que le groupe Tout le monde se trouve dans l’accès à cet ordinateur à partir de la liste réseau .

    Si le groupe Tout le monde n’est pas répertorié, procédez comme suit :

    1. Cliquez sur Ajouter un groupe ou un utilisateur.
    2. Dans la zone Noms d’utilisateur et de groupe , tapez Tout le monde, puis cliquez sur OK.

  5. Double-cliquez sur Refuser l’accès à cet ordinateur à partir du réseau.

  6. Vérifiez qu’il n’existe aucun groupe de principe dans le refus d’accès à cet ordinateur à partir de la liste réseau , puis cliquez sur OK. Par exemple, assurez-vous que tous les utilisateurs authentifiés et d’autres groupes ne sont pas répertoriés.

  7. Cliquez sur OK, puis fermez la stratégie de sécurité du contrôleur de domaine.

Pour vérifier les droits utilisateur requis sur un ordinateur Windows NT Server 4.0, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis cliquez sur Gestionnaire d’utilisateurs pour les domaines.

  2. Dans le menu Stratégies , cliquez sur Droits utilisateur.

  3. Dans la liste de droite , cliquez sur Accéder à cet ordinateur à partir du réseau.

  4. Dans la zone Accorder à , vérifiez que le groupe Tout le monde est ajouté.

    Si le groupe Tout le monde n’est pas ajouté, procédez comme suit :

    1. Cliquez sur Ajouter.
    2. Dans la liste Noms, cliquez sur Tout le monde, sur Ajouter, puis sur OK.

  5. Cliquez sur OK, puis quittez le Gestionnaire d’utilisateurs.

Méthode quatre : Vérifier l’appartenance au groupe

Si une approbation est configurée entre les domaines, mais que vous ne pouvez pas ajouter de groupes d’utilisateurs principaux d’un domaine à l’autre, car la boîte de dialogue ne localise pas les autres objets de domaine, le groupe « Accès compatible pré-Windows 2000 » peut ne pas avoir l’appartenance correcte.

Sur les contrôleurs de domaine Windows 2000 et les contrôleurs de domaine Windows Server 2003, vérifiez que les appartenances de groupe requises sont configurées.

Pour ce faire sur les contrôleurs de domaine Windows 2000, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration, et cliquez sur Utilisateurs et ordinateurs Active Directory.

  2. Cliquez sur Intégré, puis double-cliquez sur Le groupe d’accès compatible Pré-Windows 2000.

  3. Cliquez sur l’onglet Membres , puis vérifiez que le groupe Tout le monde se trouve dans la liste Membres .

  4. Si le groupe Tout le monde ne figure pas dans la liste Membres , procédez comme suit :

    1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
    2. À l’invite de commandes, tapez net localgroup "Pre-Windows 2000 Compatible Access" everyone /add, puis appuyez sur Entrée.

Pour vous assurer que les appartenances de groupe requises sont configurées sur les contrôleurs de domaine Windows Server 2003, vous devez savoir si le paramètre de stratégie « Accès réseau : Autoriser tout le monde à s’appliquer aux utilisateurs anonymes » est désactivé. Si vous ne le savez pas, utilisez l’Éditeur d’objet de stratégie de groupe pour déterminer l’état du paramètre de stratégie « Accès réseau : Autoriser tout le monde à s’appliquer aux utilisateurs anonymes ». Pour ce faire, procédez comme suit :

  1. Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.

  2. Développez les dossiers suivants :

    Stratégie d’ordinateur local
    Ordinateur configuration
    Paramètres Windows
    Paramètres de sécurité
    Stratégies locales

  3. Cliquez sur Options de sécurité, puis cliquez sur Accès réseau : Laissez toutes les autorisations s’appliquer aux utilisateurs anonymes dans le volet droit.

  4. Notez si la valeur de la colonne Paramètre de sécurité est désactivée ou activée.

Pour vous assurer que les appartenances de groupe requises sont configurées sur les contrôleurs de domaine Windows Server 2003, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration, et cliquez sur Utilisateurs et ordinateurs Active Directory.

  2. Cliquez sur Intégré, puis double-cliquez sur Le groupe d’accès compatible Pré-Windows 2000.

  3. Cliquez sur l’onglet Membres .

  4. Si l’accès réseau : Laissez tous les autorisations s’appliquer au paramètre de stratégie des utilisateurs anonymes est désactivé, assurez-vous que le groupe Tout le monde, ouverture de session anonyme se trouve dans la liste Membres . Si le paramètre de stratégie « Accès réseau : Autoriser tout le monde s’applique aux utilisateurs anonymes » est activé, vérifiez que le groupe Tout le monde se trouve dans la liste Membres .

  5. Si le groupe Tout le monde ne figure pas dans la liste Membres , procédez comme suit :

    1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
    2. À l’invite de commandes, tapez net localgroup "Pre-Windows 2000 Compatible Access" everyone /add, puis appuyez sur Entrée.

Méthode 5 : Vérifier la connectivité via des appareils réseau, tels que des pare-feu, des commutateurs ou des routeurs

Si vous avez reçu des messages d’erreur similaires au message d’erreur suivant et que vous avez vérifié que les fichiers LMHOST sont corrects, le problème peut être dû à un pare-feu, un routeur ou un commutateur qui a bloqué les ports entre les contrôleurs de domaine :

Aucun contrôleur de domaine n’a pu être contacté

Pour résoudre les problèmes liés aux appareils réseau, utilisez portQry Command Line Port Scanner version 2.0 pour tester les ports entre vos contrôleurs de domaine.

Pour plus d’informations sur PortQry version 2, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

832919 Nouvelles fonctionnalités et fonctionnalités dans PortQry version 2.0

Pour plus d’informations sur la configuration des ports, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

179442 Comment configurer un pare-feu pour les domaines et les approbations

Méthode six : Collecter des informations supplémentaires pour vous aider à résoudre le problème

Si les méthodes précédentes ne vous ont pas aidé à résoudre le problème, collectez les informations supplémentaires suivantes pour vous aider à résoudre la cause du problème :

  • Activez la journalisation Netlogon sur les deux contrôleurs de domaine. Pour plus d’informations sur la façon de terminer la journalisation Netlogon, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft : 109626 Activation de la journalisation du débogage pour le service Net Logon

  • Capturez une trace sur les deux contrôleurs de domaine en même temps que le problème se produit.

Plus d’informations

La liste suivante d’objets de stratégie de groupe fournit l’emplacement de l’entrée de Registre correspondante et la stratégie de groupe dans les systèmes d’exploitation applicables :

  • Objet de stratégie de groupe RestrictAnonymous :

    • Emplacement du Registre Windows NT : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Emplacement du Registre Windows 2000 et Windows Server 2003 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Stratégie de groupe Windows 2000 : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\ Options de sécurité Restrictions supplémentaires pour les connexions anonymes
    • Stratégie de groupe Windows Server 2003 : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Accès réseau Options de sécurité : n’autorisez pas l’énumération anonyme des comptes SAM et des partages

  • Objet de stratégie de groupe RestrictAnonymousSAM :

    • Emplacement du Registre Windows Server 2003 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Stratégie de groupe Windows Server 2003 : Configuration ordinateur\Paramètres Windows\Accès réseau des options de sécurité des paramètres de sécurité : n’autorisez pas l’énumération anonyme des comptes et partages SAM

  • Objet de stratégie de groupe EveryoneIncludesAnonymous :

    • Emplacement du Registre Windows Server 2003 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Stratégie de groupe Windows Server 2003 : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Accès réseau Options de sécurité : Autoriser tout le monde à s’appliquer aux utilisateurs anonymes

  • Objet de stratégie de groupe de compatibilité LM :

    • Emplacement du Registre Windows NT, Windows 2000 et Windows Server 2003 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Stratégie de groupe Windows 2000 : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Options de sécurité : niveau d’authentification du Gestionnaire de réseau local

    • Stratégie de groupe Windows Server 2003 : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Options de sécurité\Sécurité\Sécurité : niveau d’authentification du Gestionnaire de réseau local

  • Objet de stratégie de groupe EnableSecuritySignature (client) :

    • Emplacement du Registre Windows 2000 et Windows Server 2003 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Stratégie de groupe Windows 2000 : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité \Options de sécurité : Signer numériquement la communication du client (si possible)
    • Stratégie de groupe Windows Server 2003 : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Options de sécurité\Client réseau Microsoft : signer numériquement les communications (si le serveur accepte)

  • Objet de stratégie de groupe RequireSecuritySignature (client) :

    • Emplacement du Registre Windows 2000 et Windows Server 2003 : HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Stratégie de groupe Windows 2000 : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Options de sécurité : signer numériquement la communication du client (toujours)
    • Windows Server 2003 : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Options de sécurité\Client réseau Microsoft : Signer numériquement les communications (toujours)

  • Objet de stratégie de groupe EnableSecuritySignature (serveur) :

    • Emplacement du Registre Windows NT : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Emplacement du Registre Windows 2000 et Windows Server 2003 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Stratégie de groupe Windows 2000 : Communication du serveur de signez numériquement (le cas échéant)
    • Stratégie de groupe Windows Server 2003 : Serveur réseau Microsoft : Signer numériquement les communications (si le client accepte)

  • Objet de stratégie de groupe RequireSecuritySignature (serveur) :

    • Emplacement du Registre Windows NT : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Emplacement du Registre Windows 2000 et Windows Server 2003 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Stratégie de groupe Windows 2000 : Communication du serveur de signez numériquement (toujours)
    • Stratégie de groupe Windows Server 2003 : Serveur réseau Microsoft : Signer numériquement les communications (toujours)

  • Objet de stratégie de groupe RequireSignOrSeal :

    • Emplacement du Registre Windows NT, Windows 2000 et Windows Server2003 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Stratégie de groupe Windows 2000 : chiffrer ou signer numériquement des données de canal sécurisé (toujours)
    • Stratégie de groupe Windows Server2003 : Membre du domaine : Chiffrer ou signer numériquement des données de canal sécurisé (toujours)

  • Objet de stratégie de groupe SealSecureChannel :

    • Emplacement du Registre Windows NT, Windows 2000 et Windows Server2003 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Stratégie de groupe Windows 2000 : Canal sécurisé : Chiffrer numériquement les données de canal sécurisé (si possible)
    • Stratégie de groupe Windows Server 2003 : Membre du domaine : Chiffrer numériquement les données de canal sécurisé (le cas échéant)

  • Objet de stratégie de groupe SignSecureChannel :

    • Emplacement du Registre Windows NT, Windows 2000 et Windows Server 2003 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Stratégie de groupe Windows 2000 : Canal sécurisé : signer numériquement des données de canal sécurisé (lorsque cela est possible)
    • Stratégie de groupe Windows Server 2003 : membre du domaine : signer numériquement les données de canal sécurisé (le cas échéant)

  • Objet de stratégie de groupe RequireStrongKey :

    • Emplacement du Registre Windows NT, Windows 2000 et Windows Server 2003 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Stratégie de groupe Windows 2000 : Canal sécurisé : Exiger une clé de session forte (Windows 2000 ou ultérieure)
    • Stratégie de groupe Windows Server 2003 : Membre du domaine : Exiger une clé de session forte (Windows 2000 ou ultérieure)

Windows Server 2008

Sur un contrôleur de domaine exécutant Windows Server 2008, le comportement par défaut des algorithmes de chiffrement Autoriser compatibles avec le paramètre de stratégie Windows NT 4.0 peut entraîner un problème. Ce paramètre empêche les systèmes d’exploitation Windows et les clients tiers d’utiliser des algorithmes de chiffrement faibles pour établir des canaux de sécurité NETLOGON aux contrôleurs de domaine basés sur Windows Server 2008.

References

Pour plus d’informations, cliquez sur les numéros d’article suivants pour afficher les articles de la Base de connaissances Microsoft :

823659 les incompatibilités client, service et programme qui peuvent se produire lorsque vous modifiez les paramètres de sécurité et les attributions de droits utilisateur