L’ID d’événement 5722 est enregistré sur votre contrôleur de domaine

Cet article explique comment diagnostiquer et résoudre un problème où l’événement 5722 apparaît dans le journal système de votre contrôleur de domaine.

S’applique à : Windows 2000
Numéro de la base de connaissances d’origine : 810977

Cet article s’applique à Windows 2000. La prise en charge de Windows 2000 prend fin le 13 juillet 2010. Pour plus d’informations, consultez la politique de cycle de vie Support Microsoft.

Résumé

Lorsque vous utilisez observateur d'événements pour afficher le journal système dans un contrôleur de domaine Windows, vous pouvez trouver l’événement 5722 journalisé. Ce problème peut se produire dans l’un des deux scénarios suivants :

• Lorsqu’un ordinateur met à jour le mot de passe de son compte d’ordinateur avec un contrôleur de domaine
• Lorsqu’un ordinateur est joint à un domaine avec un nom qui existe déjà

Cet article explique comment différencier les deux scénarios et comment résoudre le problème.

Symptômes

Sur un contrôleur de domaine Microsoft Windows, l’événement suivant est enregistré dans le journal système :

Type d'événement : Erreur
Source de l’événement : NETLOGON
Catégorie d’événement : Aucun
ID d’événement : 5722
Date : Date
Heure : Heure
Utilisateur : N/A
Ordinateur : ComputerName
Description : l’installation de session à partir de l’ordinateur ComputerName n’a pas pu s’authentifier. Le nom du compte référencé dans la base de données de sécurité est AccountName $.
L’erreur suivante s’est produite :
L’accès est refusé.

Cause

Dans un domaine Microsoft Windows, à compter de Windows 2000, un canal de communication discret permet de fournir un chemin de communication plus sécurisé entre le contrôleur de domaine et les serveurs ou stations de travail membres. Ce canal est appelé canal sécurisé. Lorsque vous joignez un ordinateur à un domaine, un compte d’ordinateur est créé et un mot de passe est partagé entre l’ordinateur et le domaine. Par défaut, ce mot de passe est modifié tous les 30 jours. Le mot de passe du canal sécurisé est stocké avec le compte d’ordinateur sur le contrôleur de domaine principal (PDC). Le mot de passe est répliqué sur tous les contrôleurs de domaine réplica.

L’événement 5722 est enregistré dans les scénarios suivants :

• Lorsqu’un ordinateur met à jour le mot de passe de son compte d’ordinateur avec un contrôleur de domaine, l’événement est enregistré dans le journal système du contrôleur de domaine d’authentification.

  Dans ce scénario, le canal sécurisé de l’ordinateur avec le contrôleur de domaine d’authentification est toujours valide.

• Lorsque vous joignez un ordinateur à un domaine à l’aide d’un nom déjà utilisé par un autre ordinateur, ou lorsqu’un compte d’ordinateur existant est réinitialisé. Un compte d’ordinateur existant peut être réinitialisé à l’aide de Utilisateurs et ordinateurs Active Directory ou de l’utilitaire Netdom.exe.

  Dans ce scénario, le mot de passe du compte de l’ordinateur ne correspond pas au mot de passe du contrôleur de domaine et vous ne pouvez pas définir un canal sécurisé de l’ordinateur d’origine vers le contrôleur de domaine.

Résolution

Pour résoudre ce problème, déterminez d’abord quel scénario est la cause du problème. Vous pouvez suivre les étapes suivantes :

1. Notez la date et l’heure auxquelles l’événement a été enregistré dans le journal système.

2. Cliquez sur Démarrer, pointez sur Programmes, sur Kit de ressources, puis cliquez sur Outils Console de gestion.

3. Dans l’arborescence de la console, cliquez sur Outils A à Z.

4. Dans le volet d’informations, cliquez sur ADSI Rédacteur.

   Remarque

   ADSI Edit est inclus dans les outils de support Windows. Vous pouvez installer les outils de support Windows à partir du dossier Support\Tools du CD-ROM Windows 2000 Server.

   Pour installer ADSI Edit sur des ordinateurs exécutant des systèmes d’exploitation Windows Server® 2003 ou Windows® XP, installez les outils de support Windows Server 2003 à partir du CD du produit Windows Server 2003. Pour plus d’informations sur l’installation des outils de support Windows à partir du CD du produit, consultez Installer les outils de support Windows.

   Sur les serveurs exécutant Windows Server 2008 ou Windows Server 2008 R2, ADSI Edit est installé lorsque vous installez le rôle services de domaine Active Directory (AD DS) pour faire d’un serveur un contrôleur de domaine. Vous pouvez également installer les Outils d'administration de serveur distant (RSAT) Windows Server 2008 sur des serveurs membres du domaine ou sur des serveurs autonomes. Pour obtenir des instructions spécifiques, consultez Installation ou suppression du pack outils d’administration de serveur distant.

   Pour installer ADSI Edit sur des ordinateurs exécutant Windows Vista® avec Service Pack 1 (SP1) ou Windows 7, vous devez installer RSAT.

5. Dans ADSI Edit, recherchez et cliquez avec le bouton droit sur l’ordinateur à l’origine du problème.

6. Cliquez sur Propriétés.

7. Dans Sélectionner les propriétés à afficher, cliquez sur Les deux.

8. Dans Sélectionner une propriété à afficher, cliquez sur PwdLastSet.

   Si la ntte valeur n’est pas convertie dans l’interface utilisateur en date et horodatage lisibles, exécutez la commande suivante ou passez à l’étape 9 pour une autre méthode :

   w32tm /ntte pwdlastsetvalue  
   

9. Copiez la valeur qui s’affiche dans la zone Valeur(s) dans le Presse-papiers.

10. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, puis cliquez sur Calculatrice.

11. Dans le menu Affichage , cliquez sur Scientifique.

12. Cliquez sur Déc pour définir le système de numérotation sur decimal.

13. Collez la valeur du Presse-papiers dans calculatrice.

14. Pour modifier la valeur du système de numérotation décimale en système de numérotation décimale hexadécimale, cliquez sur Hexadécimal.

15. Dans le menu Edition, cliquez sur Copier.

16. Collez le nombre hexadécimal du Presse-papiers dans un fichier dans le Bloc-notes.

17. Comptez huit caractères à partir du caractère le plus à droite de la chaîne hexadécimale, puis appuyez sur ESPACE.

    Remarque

    Cette action fractionne la chaîne hexadécimale en deux chaînes hexadécimales.

18. Si la chaîne hexadécimale située à gauche ne contient que sept caractères, ajoutez un zéro au début de la chaîne.

19. À l’invite de commandes, tapez

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString  
    

    Vous recevrez une sortie similaire à celle-ci :

     C:\>nltest /time:a25cc370 01c294bc  
     a25cc370 01c294bc = 11/25/2002 13:55:41  
     The command completed successfully.
    

20. Notez la date et l’heure décodées.

21. Vérifiez si la date et l’heure que vous avez notées à l’étape 1 et la date et l’heure décodées que vous avez notées à l’étape 20 correspondent.

22. Si la date et l’heure de l’événement 5722 ont été enregistrées et que la date et l’heure décodées correspondent, case activée si l’ordinateur à l’origine du problème dispose d’un canal sécurisé établi avec un contrôleur de domaine en tapant la commande suivante à l’invite de commandes :

    Nltest /server: **ComputerName** /sc_query: **DomainName**  
    

    Si l’ordinateur à problème a un canal sécurisé valide établi avec un contrôleur de domaine, vous recevez une sortie similaire à celle-ci :

    
     C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
    HAS_IP HAS_TIMESERV  
    Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.  
    
    

    Si l’ordinateur à problème n’a pas de canal sécurisé valide établi avec un contrôleur de domaine, vous recevez une sortie similaire à celle-ci :

    
     C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
    Trusted DC Name  
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.  
    
    

Si la date et l’heure de l’événement 5722 et la date et l’heure décodées ne correspondent pas, le mot de passe du compte de l’ordinateur à problème peut ne pas correspondre au mot de passe qui se trouve sur le contrôleur de domaine. Ce problème peut se produire dans l’une des circonstances suivantes :

• Un administrateur réinitialise un compte d’ordinateur à l’aide de Utilisateurs et ordinateurs Active Directory ou d’un autre outil tel que Netdom.exe.
• Un nouvel ordinateur est joint au domaine à l’aide d’un nom qui existe déjà dans le domaine.

Ce message n’est pas enregistré si un ordinateur met à jour son mot de passe de compte d’ordinateur.

Pour résoudre les problèmes liés aux noms d’ordinateurs en double, rejoignez l’ordinateur d’origine au domaine.

Vous pouvez ignorer l’événement 5722 si les deux conditions suivantes sont remplies :

• Si la date et l’heure de l’événement 5722 et la date et l’heure décodées correspondent.
• Un canal sécurisé valide est établi entre l’ordinateur à problème et un contrôleur de domaine.

Les administrateurs peuvent également interroger les informations Active Directory à partir de n’importe quel ordinateur du domaine à l’aide de Ldp.exe. La version de Ldp.exe incluse dans les outils de support Windows XP Service Pack 2 peut également être utilisée pour décoder la valeur PwdLastSet.

References

Pour plus d’informations sur l’activation de la journalisation du débogage, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

109626 l’activation de la journalisation du débogage pour le service Net Logon