Réinitialisation du canal sécurisé d'un membre du domaine

Traductions disponibles Traductions disponibles
Numéro d'article: 175024 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Le service NetLogon d'un membre du domaine peut enregistrer l'erreur 3210 ou 5721, mais le service NetLogon enregistre l'erreur 5722 dans le journal des événements système du contrôleur de domaine.

Le message d'ouverture de session suivant peut également s'afficher lorsque vous essayez d'ouvrir une session sur votre domaine Windows NT à partir d'un ordinateur Windows NT Workstation ou Windows NT Server membre du domaine :

   Le système ne peut ouvrir de session sur ce domaine car le compte
   système de l'ordinateur dans son domaine principal est manquant ou
   le mot de passe de ce compte est incorrect.
				


Ces problèmes peuvent se produire lorsque l'une des conditions suivantes est remplie :

  • Le nom du membre du domaine a récemment été modifié.
  • La disquette de réparation d'urgence a été utilisée, mais elle contenait d'anciennes informations.
  • Le compte d'ordinateur du membre du domaine a été supprimé.
La procédure décrite dans cet article réinitialise le canal sécurisé du membre du domaine au moyen d'une simple ligne de commande plutôt que par de nombreuses opérations au sein du Gestionnaire de serveur. Elle exige l'utilitaire NETDOM fourni avec le Supplément 2 du Kit de ressources de Windows NT 4.0.

Résolution

ATTENTION : la solution proposée dans cet article n'a pas été testée de manière rigoureuse dans des installations à grande échelle. Microsoft ne peut garantir que les modifications de domaine recommandées ici accompliront l'objectif décrit dans cet article dans toutes les circonstances et dans toutes les configurations.

Pour chaque membre, il existe un canal de communication discret (le canal sécurisé) associé à un contrôleur de domaine. Le service NetLogon utilise le canal sécurisé pour communiquer avec le membre et le contrôleur de domaine. L'utilitaire de ligne de commande NETDOM permet de réinitialiser le canal sécurisé du membre.

Supposons que vous possédez un membre de domaine nommé DOMAINMEMBER. Pour réinitialiser le canal sécurisé du membre, utilisez la commande suivante :
   NETDOM MEMBER \\DOMAINMEMBER /JOINDOMAIN
				

Vous pouvez exécuter cette commande sur le membre DOMAINMEMBER ou sur n'importe quel autre membre ou contrôleur du domaine, à condition d'avoir ouvert une session sur DOMAINMEMBER avec un compte disposant des accès d'un administrateur.

La sortie de la commande doit ressembler à ceci :
   Searching PDC for domain DOMAIN ...
   Found PDC \\DOMAINPDC
   Querying domain information on PDC \\DOMAINPDC ...
   Querying domain information on computer \\DOMAINMEMBER ...
   Computer \\DOMAINMEMBER is already a member of domain DOMAIN.
   Verifying secure channel on \\DOMAINMEMBER ...
   Verifying the computer account on the PDC \\DOMAINPDC ...
   Resetting secure channel ...
   Changing computer account on PDC \\DOMAINPDC ...
   Stopping service NETLOGON on \\DOMAINMEMBER .... stopped.
   Starting service NETLOGON on \\DOMAINMEMBER .... started.
   Querying user groups of \\DOMAINMEMBER ...
   Adding DOMAIN domain groups on \\DOMAINMEMBER ...

   The computer \\DOMAINMEMBER joined the domain DOMAIN successfully.

   Logoff/Logon \\DOMAINMEMBER to take modifications into effect.
				

Plus d'informations


Supposons que vous possédez la configuration suivante :
Domaine = DOMAIN
DC = DOMAINDC (contrôleur de domaine)
MEMBRE = DOMAINMEMBER

Lorsqu'un serveur membre joint un domaine, un compte d'ordinateur est créé (on peut l'observer à l'aide du Gestionnaire de serveur). Un mot de passe par défaut est attribué au compte d'ordinateur et le membre enregistre ce mot de passe dans le LSA secret $MACHINE.ACC. Par défaut, le mot de passe est modifié tous les sept jours.

Chaque membre possède un LSA secret similaire utilisé par le service NetLogon afin d'établir un canal sécurisé. Si, pour certaines raisons, le mot de passe du compte d'ordinateur et le LSA secret ne sont pas synchronisés, le service NetLogon enregistre l'erreur suivante :
   ID d'événement NETLOGON 3210 :

   Échec de l'authentification avec \\DOMAINDC, contrôleur de domaine Windows NT
   associé au domaine DOMAIN.
				

Si le compte d'ordinateur a été supprimé, l'erreur suivante est enregistrée par le service NetLogon du membre :
   ID d'événement NETLOGON 5721 :

   L'installation de la session sur le contrôleur de domaine Windows NT <Inconnu> pour le domaine   DOMAIN a échoué car le contrôleur de domaine Windows NT ne

   dispose pas de compte pour l'ordinateur DOMAINMEMBER.
				

De même, le service NetLogon du contrôleur de domaine enregistre l'erreur suivante lorsque le mot de passe n'est pas synchronisé :
   Événement NETLOGON 5722

   Échec de l'authentification de la configuration de session de l'ordinateur DOMAINMEMBER.
   Le nom du compte référencé dans la base de données de la sécurité est
   DOMAINMEMBER$. L'erreur suivante s'est produite : Accès refusé.
				

Dans tous les cas, les données d'événement contiennent l'erreur. Par exemple, l'erreur 0xC0000022 signifie que le mot de passe du comte d'ordinateur est non valide, l'erreur 0xC000018B signifie que le compte d'ordinateur a été supprimé, et ainsi de suite.

Pour plus d'informations sur les canaux sécurisés, reportez-vous aux articles suivants de la Base de connaissances Microsoft :

N° D'ARTICLE : 131366
TITRE : Événement Erreur 5712 avec état Accès refusé

N° D'ARTICLE : 142869
TITRE : Les ID d'événement 3210 et 5722 apparaissent lors de la synchronisation de l'ensemble du domaine

N° D'ARTICLE : 149664
TITRE : Vérification de la synchronisation NetLogon du domaine

N° D'ARTICLE : 158148
TITRE : Utilitaire de canal sécurisé de domaine -- Nltest.exe

Propriétés

Numéro d'article: 175024 - Dernière mise à jour: vendredi 1 août 2003 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Server 4.0 Standard Edition
Mots-clés : 
kbprb KB175024
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com