ID d'événement 11 dans le journal système des contrôleurs de domaine

Traductions disponibles Traductions disponibles
Numéro d'article: 321044 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Les événements suivants peuvent être enregistrés dans le journal système sur un ou plusieurs contrôleurs de domaine :

Type d'événement : Erreur
Source de l'événement : KDC
Catégorie de l'événement : Aucune
ID de l'événement : 11
Date : 4/1/2002
Heure : 13:40:14
Utilisateur : N/A
Ordinateur : nom_ordinateur
Description : Il existe plusieurs comptes portant le nom host/monordinateur.mondomaine.com de type 10.

Type d'événement : Erreur
Source de l'événement : KDC
Catégorie de l'événement : Aucune
ID de l'événement : 11
Date : 8/17/2004
Heure : 13:30:00
Utilisateur : N/A
Ordinateur : nom_ordinateur
Description : Il existe plusieurs comptes portant le nom HOST/nomordinateur de type DS_SERVICE_PRINCIPAL_NAME.

Type d'événement : Erreur
Source de l'événement : Kerberos
Catégorie de l'événement : Aucune
ID de l'événement : 4
Date : 8/17/2004
Heure : 13:30:00
Utilisateur : N/A
Ordinateur : nom_ordinateur
Description : Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur host/nomordinateu.domaineenfant.domaineracine.com. Le nom cible utilisé était cifs/nomordinateur.domaine.com. Cela indique que le mot de passe utilisé pour crypter le ticket de service Kerberos diffère de celui du serveur cible. Cela est généralement dû à la présence de comptes d'ordinateur de même nom dans le domaine Kerberos cible (domaineenfant.domaineracine.COM) et le domaine Kerberos client. Contactez votre administrateur système.

Cet événement peut également s'appliquer à d'autres noms principaux de service. Par exemple, cet événement peut également s'appliquer à host/nom_ordinateur_NetBIOS.

Cause

Ce problème se produit car deux ou plusieurs comptes d'ordinateur ont le même nom principal de service (SPN) inscrit au Registre. L'ID d'événement 11 est enregistré lorsque le centre de distribution de clés (KDC) reçoit une demande de ticket et que le nom SPN associé figure plusieurs fois sur le catalogue global lors de la vérification sur l'ensemble de la forêt.

Résolution

Pour résoudre ce problème, repérez les comptes d'ordinateur dotés du nom SPN en double. Une fois ces ordinateurs repérés, vous pouvez soit supprimer le compte d'ordinateur du domaine, détacher puis rattacher l'ordinateur au domaine, soit utiliser l'utilitaire ADSI Edit pour corriger le nom SPN sur l'ordinateur doté du nom SPN incorrect.

Pour repérer les comptes d'ordinateur dotés des noms SPN en double, appliquez l'une des méthodes ci-dessous.

Méthode 1 : Utiliser l'outil de support LDP

Remarque Si les outils de support de Windows 2000 ne sont pas installés, installez-les à partir du CD-ROM Windows 2000 avant de poursuivre. Le fichier exécutable du programme d'installation des outils de support se trouve dans le dossier Support\Tools du CD-ROM. L'installation ne requiert pas le redémarrage de l'ordinateur. Toutefois, vous devrez peut-être redémarrer l'ordinateur pour mettre à jour les variables d'environnement.
  1. Cliquez sur Démarrer, puis sur Exécuter, tapez LDP, puis cliquez sur OK.
  2. Cliquez sur Connexion, puis sur Connecter.
  3. Laissez les paramètres par défaut, puis cliquez sur OK.
  4. Cliquez sur Connexion, puis sur Liaison.
  5. Laissez les paramètres par défaut, puis cliquez sur OK.
  6. Cliquez sur Affichage, puis sur Arborescence.
  7. Dans la boîte de dialogue Affichage de l'arborescence, tapez DC=votre_domaine,DC=com dans la zone BaseDN, où votre_domaine est le nom de votre domaine.
  8. Cliquez sur Parcourir, puis sur Rechercher.
  9. Dans la boîte de dialogue Rechercher, tapez DC=votre_domaine,DC=com dans la zone Nom unique de base.
  10. Dans la boîte de dialogue Rechercher, tapez nom_principal_service=HOST/monordinateur.mondomaine.com dans la zone Filtre. Si le nom principal du service mentionné dans l'erreur du journal système diffère de cet exemple, tapez le nom principal du service auquel l'erreur fait référence.
  11. Sous Étendue, cliquez sur Sous-arbre.
  12. Cliquez sur Exécuter.

Méthode 2 : Utiliser l'utilitaire Ldifde

Utilisez l'utilitaire Ldifde pour effacer le nom principal du service pour la forêt :
  1. À partir du contrôleur de domaine, ouvrez une invite de commandes, puis tapez la chaîne suivante :
    ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=HOST/mycomputer*)" -p subtree
    (Remarque Étant donné que vous utilisez le paramètre -t 3268 pour spécifier qu'un serveur de catalogue global est utilisé dans la requête et que vous n'utilisez pas le paramètre -d pour spécifier un nom unique explicite, le nom unique de la racine de la forêt est utilisé avec le paramètre HOST/mycomputer*. Par conséquent, vous pouvez rechercher tous les noms SPN contenant cette chaîne.
  2. Ouvrez le fichier check_SPN.txt dans le Bloc-notes, puis recherchez le SPN signalé dans le journal des événements.
  3. Notez les comptes d'utilisateur et les comptes d'ordinateur sous lesquels le SPN est situé.

Méthode 3 :

Utilisez le script querySpn.vbs présenté dans l'article Microsoft TechNet ci-dessous (en anglais). Pour utiliser le script, copiez le code, collez-le dans le Bloc-notes, puis enregistrez le script sous querySpn.vbs.
http://www.microsoft.com/technet/scriptcenter/solutions/spnquery.mspx
Exécutez le script à l'aide de la commande suivante :
cscript spnquery.vbs HOST/mycomputer* >check_SPN.txt
Remarque Le fichier de sortie check_SPN.txt du script de la Méthode 3 peut être utilisé comme décrit dans la Méthode 2.

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.

Propriétés

Numéro d'article: 321044 - Dernière mise à jour: vendredi 15 juin 2007 - Version: 5.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Service Pack 2 sur le système suivant
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1 sur le système suivant
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kberrmsg kbenv kbprb KB321044
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com