Comment faire pour localiser les contrôleurs de domaine dans Windows

Traductions disponibles Traductions disponibles
Numéro d'article: 247811 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique le mécanisme utilisé par Windows pour localiser un contrôleur de domaine dans un domaine Windows. Cet article détaille le processus de localisation d'un domaine par son nom de type DNS et son nom de type simplifié (NetBIOS). Le nom de type simplifié est utilisé pour la compatibilité descendante. Dans tous les autres cas, les noms de type DNS doivent être utilisés comme une stratégie. Cet article concerne également la résolution des problèmes de processus de localisation du contrôleur de domaine.

Plus d'informations

Cette partie décrit comment le localisateur recherche un contrôleur de domaine :
  • Sur le client (l'ordinateur qui localise le contrôleur de domaine), le localisateur est initialisé comme un appel de procédure distante (RPC) sur le service Netlogon local. L'appel de l'interface de programmation d'application (API) DsGetDcName du localisateur est implémenté par le service Netlogon.
  • Le client recueille les informations qui sont nécessaires pour sélectionner un contrôleur de domaine et passe les informations au service Netlogon à l'aide de l'appel DsGetDcName.
  • Le service Netlogon sur le client utilise les informations recueillies pour rechercher le contrôleur de domaine du domaine spécifié d'une des deux façons suivantes :
    • Pour un nom DNS, Netlogon lance une requête DNS à l'aide du localisateur compatible IP/DNS : DsGetDcName appelle l'appel DnsQuery pour lire les enregistrements de ressources du Service (SRV) et "A" enregistre à partir du serveur DNS après avoir ajouté le nom de domaine à la chaîne appropriée qui spécifie les enregistrements SRV.
    • Une station de travail qui se connecte à un domaine Windows lance une requête DNS pour les enregistrements SRV sous la forme générale :
      _service._protocol.DnsDomainName
      Les serveurs Active Directory proposent le service LDAP (Lightweight Directory Access Protocol) sur le protocole TCP. Par conséquent, les clients recherchent un serveur LDAP en lançant une requête DNS pour un enregistrement de la forme :
      _ldap._tcp.DnsDomainName
    • Pour un nom NetBIOS, Netlogon exécute la découverte du contrôleur de domaine à l'aide du localisateur compatible Microsoft Windows NT version 4.0 (c'est-à-dire, à l'aide du mécanisme spécifique au transport (par exemple, WINS)).

      Dans Windows NT 4.0 et versions antérieures, la "découverte" est un processus de localisation d'un contrôleur de domaine pour une authentification dans le domaine principal ou dans un domaine approuvé.
  • Le service Netlogon envoie un datagramme aux ordinateurs qui ont enregistré le nom. Pour les noms de domaines NetBIOS, le datagramme est implémenté comme un message mailslot. Pour les noms de domaines DNS, le datagramme est implémenté comme une recherche UDP (User Datagram Protocol) LDAP. (UDP est le protocole de transport du datagramme non connecté qui fait partie de la suite de protocoles TCP/IP. TCP est un protocole de transport orienté connexion.)
  • Chaque contrôleur de domaine disponible répond au datagramme pour indiquer qu'il est actuellement opérationnel et renvoie les informations à DsGetDcName.

    Notez qu'UDP permet à un programme installé sur un ordinateur d'envoyer un datagramme vers un programme installé sur un autre ordinateur. UDP comprend un numéro de port du protocole qui permet à l'expéditeur de distinguer plusieurs destinations (programmes) sur l'ordinateur distant.
  • Chaque contrôleur de domaine disponible répond au datagramme pour indiquer qu'il est actuellement opérationnel et renvoie les informations à DsGetDcName.
  • Le service Netlogon met en cache les informations du contrôleur de domaine afin que les requêtes suivantes ne répètent pas le processus de découverte. La mise en cache de ces informations encourage l'utilisation cohérente du même contrôleur de domaine ainsi qu'un affichage cohérent d'Active Directory.
Lorsqu'un client se connecte ou rejoint le réseau, il doit pouvoir localiser un contrôleur de domaine. Le client envoie une requête de recherche DNS vers un serveur DNS pour rechercher des contrôleurs de domaine, de préférence dans son propre sous-réseau. Par conséquent, les clients recherchent un contrôleur de domaine en lançant une requête DNS pour un enregistrement sous la forme :
_LDAP._TCP.dc._msdcs.domainname
Une fois que le client a localisé un contrôleur de domaine, il établit la communication à l'aide de LDAP pour accéder à Active Directory. En tant que partie de cette négociation, le contrôleur de domaine identifie le site dans lequel se trouve le client dans son sous-réseau IP. Si le client communique avec un contrôleur de domaine qui n'est pas dans le site le plus proche (le plus optimal), le contrôleur de domaine renvoie le nom du site du client. Si le client a déjà essayé de rechercher des contrôleurs de domaine dans ce site (par exemple, lorsque le client envoie une requête de recherche DNS au serveur DNS pour rechercher des contrôleurs de domaine dans son sous-réseau), le client utilise le contrôleur de domaine qui n'est pas optimal. Sinon, le client exécute encore une recherche DNS spécifique au site avec le nouveau nom optimal du site. Le contrôleur de domaine utilise certaines informations du service d'annuaire pour identifier des sites et des sous-réseaux.

Une fois que le client a localisé un contrôleur de domaine, l'entrée du contrôleur de domaine est mise en cache. Si le contrôleur de domaine ne se trouve pas dans le site optimal, le client vide le cache après quinze minutes et ignore l'entrée de cache. Il essaie ensuite de rechercher un contrôleur de domaine optimal dans le même site que le client.

Une fois que le client a établi un chemin d'accès des communications vers le contrôleur de domaine, il peut établir l'ouverture de session et les informations d'identification de l'authentification et, si nécessaire pour les ordinateurs Windows, installer un canal sécurisé. Le client est ensuite prêt à exécuter des requêtes normales et à rechercher des informations dans le répertoire.

Le client établit une connexion LDAP sur un contrôleur de domaine pour se connecter. Le processus de connexion utilise le Gestionnaire de comptes de sécurité. Comme le chemin d'accès des communications utilise l'interface LDAP et que le client est authentifié par un contrôleur de domaine, le compte client est vérifié et passé dans le Gestionnaire de comptes de la sécurité vers l'Agent de service d'annuaire, puis dans la couche de la base de données et finalement dans la base de données du moteur de stockage extensible (ESE).

Résolution du processus de localisation du domaine

Pour dépanner le processus de localisation du domaine, procédez comme suit :
  1. Vérifiez l'Observateur d'événements sur le client et le serveur. Les journaux des événements peuvent contenir des messages d'erreur qui indiquent la présence d'un problème. Pour afficher l'Observateur d'événements, cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Observateur d'événements. Vérifiez le journal système sur le client et le serveur. Vérifiez également les journaux du Service d'annuaire sur le serveur et les journaux DNS sur le serveur DNS.
  2. Vérifiez la configuration IP à l'aide de la commande ipconfig/all à l'invite de commandes.
  3. Utilisez l'utilitaire Ping pour vérifier la connectivité réseau et la résolution des noms. Exécuter la commande PING pour l'adresse IP et le nom du serveur. Vous souhaiterez peut-être également exécuter la commande PING sur un nom de domaine.
  4. Utilisez l'outil Netdiag pour définir si les composants réseau fonctionnent correctement. Pour envoyer la sortie détaillée vers un fichier texte, utilisez la commande suivante :
    netdiag /v >test.txt
    Examinez le fichier journal en recherchant des problèmes, puis recherchez tous les composants concernés. Ce fichier contient également d'autres détails sur la configuration réseau.
  5. Pour résoudre les problèmes mineurs, utilisez l'outil Netdiag avec la syntaxe suivante : netdiag /fix.
  6. Utilisez la commande nltest/dsgetdc: nom_domaine pour vérifier qu'un contrôleur de domaine peut être localisé pour un domaine spécifique.
  7. Utilisez l'outil NSLookup pour vérifier que les entrées DNS sont correctement enregistrées sur le serveur DNS. Vérifiez que les enregistrements d'hôte du serveur et que les enregistrements de SRV GUID peuvent être résolus.

    Par exemple, pour vérifier l'inscription de l'enregistrement, utilisez les commandes suivantes :
    nslookup nom_serveur.enfant_nom_domaine.domaine_racine.com

    nslookup guid._msdcs.domaine_racine.com
  8. Si l'une de ces commandes échoue, appliquez l'une des méthodes suivantes pour réinscrire les enregistrements dans DNS :
    • Pour forcer l'inscription de l'enregistrement d'hôte, tapez ipconfig/registerdns.
    • Pour forcer l'inscription du service du contrôleur de domaine, arrêtez puis démarrez le service Netlogon.
  9. Pour détecter des problèmes sur le contrôleur de domaine, exécutez l'utilitaire DCdiag à partir d'une invite de commandes. L'utilitaire exécute plusieurs tests pour vérifier qu'un contrôleur de domaine s'exécute correctement. Utilisez cette commande pour envoyer les résultats vers un fichier texte :
    dcdiag /v >dcdiag.txt
  10. Utilisez l'outil Ldp.exe pour vous connecter et effectuer une liaison au contrôleur de domaine afin de vérifier la connectivité LDAP appropriée.
  11. Si vous pensez qu'un contrôleur de domaine particulier rencontre des problèmes, il peut être utile d'activer l'enregistrement de débogage de Netlogon. Utilisez l'utilitaire NLTest en tapant la commande suivante : nltest /dbflag:0x2000ffff. Les informations sont ensuite enregistrées dans le dossier de débogage du fichier Netlogon.log.
  12. Si vous n'avez pas encore isolé le problème, utilisez le Moniteur réseau pour diriger le trafic réseau entre le client et le contrôleur de domaine.
Pour obtenir des informations sur la procédure à suivre pour installer le Moniteur réseau, consultez l'article suivant de la Base de connaissances Microsoft :
243270 Comment faire pour installer le Moniteur réseau dans Windows 2000

Références

Pour plus d'informations, reportez-vous au Kit de ressources de Windows, Chapitre 10, "Diagnostic, résolution des problèmes et récupération avec Active Directory."

Propriétés

Numéro d'article: 247811 - Dernière mise à jour: vendredi 7 mai 2004 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionel
Mots-clés : 
kbinfo kbdns kbenv kbnetwork KB247811
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com