Effets de la réplication d'un compte d'ordinateur sur un domaine

Traductions disponibles Traductions disponibles
Numéro d'article: 175468 - Voir les produits auxquels s'applique cet article
IMPORTANT : cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la procédure à suivre, consultez la rubrique d'aide en ligne "Restaurer le Registre" dans Regedit.exe ou "Restaurer une clé de Registre" dans Regedt32.exe.
Agrandir tout | Réduire tout

Sommaire

Symptômes

Pour chaque station de travail Windows NT membre d'un domaine, il existe un canal de communication discret (par exemple le canal sécurisé) associé à un contrôleur de domaine.

Le mot de passe du canal sécurisé est enregistré avec le compte d'ordinateur sur le contrôleur principal de domaine (PDC, Primary Domain Controller) et est répliqué sur tous les contrôleurs secondaires de domaine (BDC, Backup Domain Controller). Le mot de passe est également enregistré dans le LSA secret $MACHINE.ACC de la station de travail. Chaque station de travail possède des données de ce type.

Tous les sept jours, la station de travail envoie un changement de mot de passe de canal sécurisé et le mot de passe du compte d'ordinateur est mis à jour. Si le contrôleur principal de données exécute le Service Pack 3 Windows NT 4.0 ou version antérieure, les changements de mot de passe du compte d'ordinateur sont marqués comme "Annonce immédiate" et, à chaque fois qu'un mot de passe de compte d'ordinateur est changé, une réplication a lieu immédiatement. Si le contrôleur principal de données exécute le Service Pack 4 Windows NT 4.0 ou version ultérieure, le compte d'ordinateur est répliqué lors de l'impulsion de réplication suivante.

Un nouveau paramètre NetLogon est disponible en tant que correctif afin de pouvoir étendre la période de sept jours jusqu'à 1 000 000 de jours.

Pour Windows 2000, l'intervalle de changement du mot de passe du compte d'ordinateur par défaut est fixé à 30 jours.

Plus d'informations



Par exemple, si un domaine contient 1 000 stations de travail, un changement de mot de passe de compte d'ordinateur aura lieu toutes les :
   1 semaine / 1 000 = 7 x 24 x 60 / 1 000 minutes = 10 minutes
				

Si l'on prend le même exemple pour Windows 2000, on obtient le résultat suivant :
   30 jours * 24 heures/jour * 60 minutes/heure = 43 200 minutes
   43 200 minutes / 1 000 stations de travail = un changement de mot de passe toutes les 43,2
                                       minutes.
				

Par conséquent, une réplication SAM a lieu toutes les 10 minutes quel que soit l'intervalle de réplication défini sur le contrôleur principal de domaine (par exemple avec les paramètres de Registre Pulse et PulseMaximum).

Résolution

Pour résoudre ce problème, procurez-vous le dernier Service Pack Windows NT 4.0 ou Windows NT Server 4.0, Édition Terminal Server. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
152734 Procédure pour obtenir le dernier Service Pack pour Windows NT 4.0



AVERTISSEMENT : toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux pouvant vous obliger à réinstaller Windows NT. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour plus d'informations sur la procédure à suivre pour modifier le Registre, consultez la rubrique d'aide en ligne "Modification des clés et des valeurs" dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'aide en ligne "Ajout et suppression d'informations dans le Registre" et "Modification des données de Registre" dans Regedt32.exe. Pensez à sauvegarder le Registre avant de le modifier.

Ce problème peut être contourné de trois manières.

Première méthode

La première méthode consiste à ajouter le paramètre de Registre suivant sur toutes les stations de travail Windows NT :
   Clé        = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
   Valeur     = DisablePasswordChange REG_DWORD 1
   Par défaut = 0
				

Cela empêche les stations de travail de changer de mot de passe. Cette valeur de Registre peut être ajoutée après la liaison au domaine (et le redémarrage), de sorte que le mot de passe du compte d'ordinateur ait été changé de manière aléatoire au moins une fois, avec une valeur connue uniquement du système.

Deuxième méthode

La deuxième méthode consiste à refuser les mots de passe changés au niveau des contrôleurs de domaine. Ajoutez la valeur de Registre suivante sur tous les contrôleurs de domaine :
   Clé        = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
   Valeur     = RefusePasswordChange REG_DWORD 1
   Par défaut = 0
				

Pour plus d'informations, reportez-vous aux articles suivants de la Base de connaissances Microsoft :
154501 Comment faire pour désactiver les changements automatiques de mot de passe de compte d'ordinateur

Troisième méthode

Un nouveau paramètre a été ajouté comme correctif afin de modifier la fréquence de changement du mot de passe de canal sécurisé sur les stations de travail. Il peut être ajouté sur toutes les stations de travail et tous les contrôleurs secondaires de domaine.
   Clé        = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
   Valeur     = MaximumPasswordAge REG_DWORD
   Par défaut = 7 (entré en décimal)
   Plage      = de 1 à 1 000 000 (en jours)
				

Le paramètre ci-dessus est spécifié en jours. La valeur par défaut est sept et la valeur minimale est un.

Statut

Microsoft a confirmé l'existence de ce problème dans Windows NT 4.0 et Microsoft NT Server 4.0, Édition Terminal Server. Ce problème a été corrigé dans le Service Pack 4.0 Windows NT 4.0 et Windows NT Server 4.0, Édition Terminal Server.

Propriétés

Numéro d'article: 175468 - Dernière mise à jour: mercredi 14 janvier 2004 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
Mots-clés : 
kbbug kbfix KB175468
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com