Le service NetLogon échoue lorsque le canal sécurisé ne fonctionne pas

Traductions disponibles Traductions disponibles
Numéro d'article: 150518 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Le service NetLogon ne démarre pas sur un contrôleur secondaire de domaine (BDC, Backup Domain Controller) et l'erreur NetLogon 3210 ou 5721 se produit tandis que, dans les journaux des événements système du contrôleur principal de domaine (PDC, Primary Domain Controller), le service NetLogon enregistre des erreurs 5722 ou, au même moment, le Gestionnaire de contrôle des services enregistre l'erreur 7023 sur le contrôleur secondaire de domaine car le démarrage du service NetLogon a échoué.

Pour chaque contrôleur secondaire de domaine, il existe un canal de communication discret (le canal sécurisé) associé au contrôleur principal de domaine. Le service NetLogon utilise le canal sécurisé pour communiquer avec le contrôleur secondaire de domaine et le contrôleur principal de domaine.

La procédure décrite ci-dessous réinitialise le canal sécurisé du contrôleur secondaire de domaine au moyen d'une simple ligne de commande plutôt que par de nombreuses opérations au sein du Gestionnaire de serveur. Elle exige l'utilitaire NETDOM fourni avec le Supplément 2 du Kit de ressources de Windows NT 4.0.

Cause

Pour les besoins de cet article, supposons la configuration suivante :

   Domaine = DOMAIN
   PDC    = DOMAINPDC
   BDC    = DOMAINBDC
				


Lorsqu'un contrôleur secondaire de domaine fait partie d'un domaine, un compte d'ordinateur est créé (on peut l'observer à l'aide du Gestionnaire de serveur). Un mot de passe par défaut est attribué au compte d'ordinateur et le contrôleur secondaire de domaine enregistre ce mot de passe dans le LSA secret $machine.acc. Le mot de passe est ensuite modifié tous les sept jours.

Chaque contrôleur secondaire de domaine possède un LSA secret similaire utilisé par le service NetLogon afin d'établir un canal sécurisé. Si le mot de passe du compte d'ordinateur et le LSA secret ne sont pas synchronisés, le service NetLogon ne démarre pas et enregistre le message d'erreur suivant :
Événement NETLOGON 3210 :

Échec de l'authentification avec \\DOMAINPDC, contrôleur de domaine Windows NT associé au domaine DOMAINE.

Si le compte d'ordinateur a été supprimé, l'un des messages d'erreur suivants est enregistré par le service NetLogon du contrôleur secondaire de domaine :
Événement NETLOGON 5721 :

L'installation de la session sur le contrôleur de domaine Windows NT \\DOMAINPDC pour le domaine DOMAIN a échoué car le contrôleur de domaine Windows NT ne dispose pas de compte pour l'ordinateur DOMAINBDC.

- ou -
Événement NETLOGON 5723 :

L'installation de la session à partir de l'ordinateur DOMAINBDC a échoué car la base de données de sécurité ne contient pas de numéro de compte pour cet ordinateur. Le nom du compte référencé dans la base de données de sécurité est DOMAINBDC$.

De même, le service NetLogon du contrôleur principal de domaine enregistre le message d'erreur suivant lorsque le mot de passe n'est pas synchronisé :
Événement NETLOGON 5722

Échec de l'authentification de la configuration de session de l'ordinateur DOMAINBDC. Le nom du compte référencé dans la base de données de sécurité est DOMAINBDC$. L'erreur suivante s'est produite :

Accès refusé.


Dans tous les cas, les données d'événement contiennent l'erreur. Par exemple, l'erreur 0xC0000022 signifie que le mot de passe du compte d'ordinateur est non valide, tandis que l'erreur 0xC000018B signifie que le compte d'ordinateur a été supprimé, et ainsi de suite.



Pour plus d'informations sur les canaux sécurisés, reportez-vous aux articles suivants de la Base de connaissances Microsoft :

131366 Erreur d'événement 5712 avec l'état Accès refusé

142869 Les ID d'événement 3210 et 5722 apparaissent lors de la synchronisation de l'ensemble du domaine

149664 Vérification du service Netlogon du domaine

158148 Utilitaire de canal sécurisé de domaine ? NLTEST.EXE

160324 ID d'événement 5721 après suppression d'un compte d'ordinateur

Résolution

AVERTISSEMENT : la solution proposée dans cet article n'a pas été testée de manière rigoureuse dans des installations à grande échelle. Microsoft ne peut garantir que les modifications de domaine recommandées ici accompliront l'objectif décrit dans cet article dans toutes les circonstances et dans toutes les configurations.

L'utilitaire de ligne de commande NETDOM permet de réinitialiser le canal sécurisé du contrôleur secondaire de domaine. Cela peut être utile lorsque le service NetLogon du contrôleur secondaire de domaine ne démarre pas à cause d'un problème de canal sécurisé.

Le canal sécurisé du contrôleur secondaire de domaine peut être réinitialisé à l'aide de la commande suivante :

   NETDOM BDC mon_bdc /RESET
				


Vous pouvez exécuter cette commande sur le contrôleur principal de domaine, le contrôleur secondaire de domaine ou tout membre du domaine, à condition d'être connecté en tant qu'utilisateur membre du groupe Admins du domaine. La sortie ressemble à ce qui suit :

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   The computer account for \\MYBDC doesn't exist or has an invalid
   password.
   Resetting secure channel ...
   Changing computer account on PDC \\THEPDC ...
   Stopping service NETLOGON on \\MYBDC .... stopped.
   Starting service NETLOGON on \\MYBDC .... started.
   The BDC \\MYBDC secure channel was reset successfully.
   Logoff/Logon \\MYBDC to take modifications into effect.
				


La commande ci-dessus ne réinitialise les canaux sécurisés des contrôleurs secondaires de domaine que si cela est nécessaire. Si le mot de passe du canal sécurisé du contrôleur secondaire de domaine est correct, un message semblable au suivant s'affiche :

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   Secure channel checked successfully.
				

Propriétés

Numéro d'article: 150518 - Dernière mise à jour: lundi 18 décembre 2006 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Server 4.0 Standard Edition
Mots-clés : 
kbnetwork KB150518
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com