Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Résumé
Pour chaque station de travail ou serveur Windows 2000 ou Windows XP qui est membre d'un domaine, il existe un canal de communication discret appelé canal sécurisé, associé à un contrôleur de domaine.
Le mot de passe du canal sécurisé est stocké avec le compte d'ordinateur sur tous les contrôleurs de domaine. Pour Windows 2000 ou Windows XP, la période de modification du mot de passe par défaut du compte d'ordinateur est fixée à 30 jours. Si, pour quelque raison que ce soit, le mot de passe du compte d'ordinateur et le secret LSA (LSA, Local Security Authority) ne sont pas synchronisés, le service Accès réseau enregistre l'un ou les deux messages d'erreur suivants :
Échec de l'authentification de la configuration de session de l'ordinateur MEMBRE_DOMAINE. Le nom du compte référencé dans la base de données de la sécurité est MEMBRE_DOMAINE$. L'erreur suivante s'est produite : Accès refusé.
ID d'événement NETLOGON 3210 :
Échec de l'authentification avec \\DOMAINECD, un contrôleur de domaine Windows NT du domaine DOMAINE.
Le service Accès réseau du contrôleur de domaine enregistre le message d'erreur suivant lorsque le mot de passe n'est pas synchronisé :
Événement NETLOGON 5722 :
Échec de l'authentification de la configuration de session de l'ordinateur %1. Le nom du compte référencé dans la base de données de la sécurité est %2. L'erreur suivante s'est produite : %n%3
Cet article décrit quatre méthodes de réinitialisation des comptes d'ordinateur dans Windows 2000 ou Windows XP qui sont les suivantes :
-
Utilisation de l'outil de ligne de commande Netdom.exe
-
Utilisation de l'outil de ligne de commande Nltest.exe
Remarque Les outils Netdom.exe et Nltest.exe sont fournis sur le CD-ROM Windows Server dans le dossier Support\Tools. Pour les installer, exécutez Setup.exe ou extrayez les fichiers à partir du fichier Support.cab. -
Utilisation de la console MMC (Microsoft Management Console) Utilisateurs et ordinateurs Active Directory.
-
Utilisation d'un script Microsoft Visual Basic
Ces outils autorisent une administration à distance ou locale. Netdom.exe et Nltest.exe sont des outils de ligne de commande qui réinitialisent un canal sécurisé établi avec succès. Vous ne pouvez pas les utiliser lorsque le canal sécurisé est rompu et que la communication ne fonctionne pas correctement.
Plus d'informations
Netdom.exe
Pour chaque membre, il existe un canal de communication discret (le canal sécurisé) associé à un contrôleur de domaine. Le canal sécurisé est utilisé par le service Accès réseau pour communiquer avec le membre et le contrôleur de domaine. Netdom permet de réinitialiser le canal sécurisé du membre. Vous pouvez réinitialiser le canal sécurisé du membre à l'aide de la commande suivante :
netdom reset 'nom_ordinateur' /domain:'nom_domaine
où 'nom_ordinateur' est le nom de l'ordinateur local et 'nom_domaine' est le domaine dans lequel le compte d'ordinateur est stocké.
Par exemple, vous disposez d'un membre de domaine nommé MEMBRE_DOMAINE dans un domaine nommé MON_DOMAINE. Vous pouvez réinitialiser le canal sécurisé du membre à l'aide de la commande suivante :
netdom reset membre_domaine /domain:mon_domaine
Vous pouvez exécuter cette commande sur le membre MEMBRE_DOMAINE ou sur n'importe quel autre membre ou contrôleur du domaine uniquement si vous avez ouvert une session avec un compte disposant de l'accès administrateur sur MEMBRE_DOMAINE .
Nltest.exe
Vous pouvez utiliser Nltest.exe pour tester la relation d'approbation entre un ordinateur Windows 2000 ou Windows XP membre d'un domaine et un contrôleur de domaine hébergeant son compte d'ordinateur.
C:\Ntreskit\Nltest.exe
Utilisation : nltest [/OPTIONS]
/SC_QUERY:nom_domaine - Demande de canal sécurisé pour domaine sur nom_serveur
/SERVER:nom_serveur
/SC_VERIFY:nom_domaine - Vérifie le canal sécurisé dans le domaine spécifié pour une station de travail, un serveur ou un contrôleur de domaine local ou distant.
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \\server.windows2000.com
Trusted DC Connection Status Status = 0 0x0 NERR_Success
La commande s'est terminée correctement
Utilisateurs et ordinateurs Active Directory
Avec Windows 2000 ou Windows XP, vous pouvez également réinitialiser le compte ordinateur à partir de l'interface graphique utilisateur. Dans la console MMC Utilisateurs et ordinateurs Active Directory (DSA, Directory System Agent), cliquez avec le bouton droit sur l'objet ordinateur du conteneur Ordinateurs ou du conteneur approprié, puis cliquez sur Réinitialiser le compte. Le compte d'ordinateur est ainsi réinitialisé. Vous n'avez pas l'autorisation d'utiliser cette méthode pour réinitialiser le mot de passe des contrôleurs de domaine. La réinitialisation d'un compte d'ordinateur interrompt la connexion de l'ordinateur vers le domaine et l'oblige à se rattacher au domaine.
Remarque Cette méthode empêche un ordinateur établi de se connecter au domaine et ne doit être utilisée que pour un ordinateur qui vient d'être reconstruit.
Script Microsoft Visual Basic
Vous pouvez utiliser un script pour réinitialiser un compte d'ordinateur. Vous devez vous connecter au compte d'ordinateur à l'aide de l'interface IADsUser. Vous pouvez ensuite utiliser la méthode SetPassword pour attribuer une valeur initiale au mot de passe. Le mot de passe initial d'un ordinateur est toujours « nom_ordinateur$ ».
Les exemples de scripts suivants peuvent ne pas fonctionner dans tous les environnements et doivent être testés avant de les implémenter. Le premier exemple concerne les comptes d'ordinateur Windows NT 4.0 et le second les comptes d'ordinateur Windows 2000 ou Windows XP.
Exemple 1
Dim objComputer
Set objComputer = GetObject("WinNT://WINDOWS2000/computername$")
objComputer.SetPassword "computername$"
Wscript.Quit
Exemple 2
Dim objComputer
Set objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "computername$"
Wscript.Quit
