Fonctionnalité de traitement des modifications de mot de passe et de résolution des conflits dans Windows

  • Article

Cet article décrit une valeur de Registre que les administrateurs peuvent utiliser pour contrôler le moment où le contrôleur de domaine principal (PDC) est contacté, ce qui peut aider à réduire les coûts de communication entre les sites et à réduire la charge sur le contrôleur de domaine principal.

Importante

Cet article contient des informations sur la modification du Registre. Avant d’effectuer cette opération, veillez à sauvegarder le Registre et à bien comprendre comment le restaurer en cas de problème. Pour plus d’informations sur la sauvegarde, la restauration et la modification du Registre, consultez l’article Informations sur le Registre Windows destinées aux utilisateurs expérimentés.

              Sʼapplique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numéro de la base de connaissances d’origine : 225511

Résumé

Par défaut, lorsqu’un mot de passe utilisateur est réinitialisé ou modifié, ou lorsqu’un contrôleur de domaine reçoit une demande d’authentification client à l’aide d’un mot de passe incorrect, le contrôleur de domaine Windows agissant en tant que propriétaire du rôle FSMO (Flexible Single Master Operation) PDC pour le domaine Windows est contacté. Cet article décrit une valeur de Registre que les administrateurs peuvent utiliser pour contrôler le moment où le contrôleur de domaine principal est contacté, ce qui peut aider à réduire les coûts de communication entre les sites et à réduire la charge sur le contrôleur de domaine principal.

Cette communication avec le contrôleur de domaine principal n’est pas effectuée pour les comptes d’ordinateur. Les ordinateurs effectuent une nouvelle tentative d’authentification avec le mot de passe précédent le plus récent en cas d’échec de l’authentification. Sur la même ligne, les ordinateurs essayaient le mot de passe précédent le plus récent lors du déchiffrement d’un ticket de service Kerberos qu’ils recevaient.

Plus d’informations

Avertissement

Toute mauvaise utilisation de l’Éditeur du Registre risque de générer de graves problèmes, pouvant vous obliger à réinstaller votre système d’exploitation. Microsoft ne peut garantir que les problèmes résultant d’une mauvaise utilisation de l’Éditeur du Registre puissent être résolus. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil.

La valeur de Registre suivante peut être modifiée pour contrôler la notification de modification de mot de passe et la résolution des conflits de mot de passe, comme décrit ci-dessous :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

  • Valeur de Registre : AvoidPdcOnWan
  • Type de Registre : REG_DWORD
  • Données de valeur de Registre : 0 (ou valeur non présente) ou 1
    • 0 ou la valeur non présente = FALSE (à désactiver)
    • 1 = TRUE (pour activer)
  • Valeur par défaut : (la valeur n’est pas présente)

Notification de modification de mot de passe

Un contrôleur de domaine accessible en écriture Windows reçoit la demande de modification ou de réinitialisation du mot de passe utilisateur. La modification du mot de passe est effectuée localement, puis envoyée immédiatement au propriétaire du rôle FSMO du contrôleur de domaine principal à l’aide du service Netlogon en tant qu’appel de procédure distante (RPC). La modification du mot de passe est ensuite répliquée vers les partenaires à l’aide du processus de réplication Active Directory par le contrôleur de domaine principal et le contrôleur de domaine qui effectue la maintenance de la modification du mot de passe. Si un contrôleur de domaine Windows Read-Only reçoit la demande de modification de mot de passe, il fonctionne comme un proxy d’authentification qui transfère la demande à son contrôleur de domaine hub, qui agit comme s’il s’agit du premier contrôleur de domaine à recevoir la demande.

Si la valeur AvoidPdcOnWan est définie sur TRUE et que le FSMO du contrôleur de domaine principal se trouve sur un autre site, la modification du mot de passe n’est pas envoyée immédiatement au contrôleur de domaine principal. Toutefois, il est mis à jour avec la modification par le biais d’une réplication Active Directory normale. Si le FSMO PDC se trouve sur le même site, la valeur AvoidPdcOnWan n’est pas utilisée et la modification du mot de passe est immédiatement communiquée au contrôleur de domaine principal.

Un mot de passe mis à jour peut ne pas être envoyé à l’émulateur de contrôleur de domaine principal, même si AvoidPdcOnWan a la valeur FALSE ou n’est pas défini, en cas de problème lors de l’envoi de la requête au contrôleur de domaine principal, par exemple une panne réseau. Aucune erreur n’est enregistrée dans ce cas. La mise à jour est ensuite distribuée à l’aide de la réplication AD normale.

Résolution des conflits de mot de passe

Par défaut, les contrôleurs de domaine Windows interrogent le propriétaire du rôle FSMO du contrôleur de domaine principal si un utilisateur tente de s’authentifier à l’aide d’un mot de passe incorrect en fonction de sa base de données locale. Si le mot de passe envoyé à partir du client par l’utilisateur est correct sur le contrôleur de domaine principal, le client est autorisé à y accéder et le contrôleur de domaine réplique la modification du mot de passe.

La valeur AvoidPdcOnWan peut être utilisée par les administrateurs pour contrôler quand les contrôleurs de domaine Active Directory tentent d’utiliser le propriétaire du rôle FSMO PDC pour résoudre les conflits de mot de passe. Le contrôleur de domaine principal termine l’ouverture de session et l’authentification est réussie pour l’utilisateur qui s’authentifie.

Si la valeur AvoidPdcOnWan est définie sur TRUE et que le propriétaire du rôle FSMO PDC se trouve sur un autre site, le contrôleur de domaine n’essaie pas d’authentifier un client par rapport aux informations de mot de passe stockées sur le FSMO PDC. Notez toutefois que cela entraîne un refus d’accès à l’utilisateur. Cela peut avoir un impact sur la productivité, car de nombreux utilisateurs ne vont pas essayer le mot de passe précédent pour s’authentifier. Dans certains scénarios, ils peuvent ne pas connaître le mot de passe précédent.

Un mot de passe incorrect peut ne pas être essayé sur l’émulateur de contrôleur de domaine principal, même si AvoidPdcOnWan a la valeur FALSE ou n’est pas défini, en cas de problèmes d’envoi de la demande au contrôleur de domaine principal, par exemple une panne réseau. Aucune erreur n’est enregistrée dans ce cas. Dans ce cas, la tentative d’ouverture de session est refusée.

Le scénario est différent lorsqu’un contrôleur de domaine en lecture seule est impliqué. Si une demande d’authentification sur le contrôleur de domaine en lecture seule échoue avec un mot de passe incorrect, le contrôleur de domaine envoie la demande au contrôleur de domaine du hub et, à son tour, le contrôleur de domaine du hub l’envoie au contrôleur de domaine principal. Si elle réussit sur le contrôleur de domaine principal, l’authentification de l’utilisateur réussit. Si le contrôleur de domaine en lecture seule est autorisé à mettre en cache le mot de passe utilisateur, il demande que le mot de passe utilisateur soit répliqué à partir de son contrôleur de domaine hub. Toutefois, le contrôleur de domaine hub a toujours uniquement l’ancien mot de passe. Le contrôleur de domaine en lecture seule obtient le nouveau mot de passe via le cycle de réplication normal. Il continuera à avoir besoin du hub ou du contrôleur de domaine principal jusqu’à ce que le nouveau mot de passe soit répliqué.

Gestion de la réplication de mot de passe

Lorsque le contrôleur de domaine accessible en écriture transfère la modification du mot de passe au contrôleur de domaine principal, le mot de passe utilisateur est défini sur les deux contrôleurs de domaine. Les deux contrôleurs de domaine incluront ce nouveau mot de passe dans leur réplication sortante.

Si ces deux modifications arrivent à un contrôleur de domaine, la résolution normale des conflits AD est effectuée. La version AD des attributs sera la même, mais l’horodatage du contrôleur de domaine principal sera un peu plus ancien et le mot de passe du contrôleur de domaine initial sera utilisé.

Cela n’a aucune différence, car la charge utile des données est identique, car les deux contrôleurs de domaine ont écrit la même nouvelle valeur de mot de passe.

Journalisation dans le journal des événements des services d’annuaire

Windows Server 2022 a ajouté des événements pour suivre l’activité des interactions avec l’émulateur PDC concernant les notifications de mise à jour de mot de passe.

ID d’événement 3035

L’ID d’événement 3035 est enregistré sur le contrôleur de domaine principal au niveau de journalisation quatre de la catégorie « Notifications de mise à jour de mot de passe 27 PDC » dans l’entrée de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3035
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>

ID d’événement 3036

L’ID d’événement 3036 est enregistré en cas d’erreur lors de la mise à jour du contrôleur de domaine principal avec les mises à jour dans un appel à partir d’un contrôleur de domaine de sauvegarde (BDC) :

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3036
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

ID d’événement 3037

L’ID d’événement 3037 est enregistré sur le BDC au niveau de journalisation quatre de la catégorie « Notifications de mise à jour de mot de passe 27 PDC » dans l’entrée de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3037
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
 User:      <User Name>
 User RID:  <RID>

ID d’événement 3038

L’ID d’événement 3038 est journalisé en cas d’erreur lors de la mise à jour du contrôleur de domaine principal avec les mises à jour dans un appel à partir d’un bdc :

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3038
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

Par exemple, le code d’erreur c0000225 est mappé à STATUS_NOT_FOUND. Cette erreur est attendue lorsque l’utilisateur est nouvellement créé sur le contrôleur de domaine local et que le mot de passe de l’utilisateur est défini dans la latence de réplication du contrôleur de domaine principal.

Vous pouvez également voir des erreurs liées au réseau ou RPC dans ID d’événement 3038. Par exemple, lorsqu’un pare-feu bloque la communication entre le BDC et le contrôleur de domaine principal, vous pouvez recevoir cet événement.

References

Guide pratique pour configurer la journalisation des événements de diagnostic Active Directory et LDS