Le contrôleur de domaine ne fonctionne pas correctement

Traductions disponibles Traductions disponibles
Numéro d'article: 837513 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Symptômes

Lorsque vous exécutez l'outil Dcdiag sur un contrôleur de domaine Microsoft Windows 2000 Server ou Windows Server 2003, le message d'erreur suivant peut s'afficher :
DC Diagnosis
Performing initial setup:
[DC1] LDAP bind failed with error 31
Lorsque vous exécutez l'utilitaire REPADMIN /SHOWREPS localement sur un contrôleur de domaine, le message d'erreur suivant peut s'afficher :
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP error 82 (Local Error).

Lorsque vous essayez d'utiliser des ressources réseau à partir de la console d'un contrôleur de domaine affecté, notamment les ressources UNC (Universal Naming Convention) ou les lecteurs réseau mappés, le message d'erreur suivant peut s'afficher :
No logon servers available (c000005e = "STATUS_NO_LOGON_SERVERS")
Si vous démarrez des outils d'administration Active Directory à partir de la console d'un contrôleur de domaine affecté, notamment les Sites et services Active Directory et Utilisateurs et ordinateurs Active Directory , l'un des messages d'erreur suivants peut s'afficher :
Les informations de nom ne peuvent pas être trouvées car : aucune autorité n'a pu être contactée pour l'authentification. Contactez votre administrateur système pour vérifier que le domaine est correctement configuré et qu'il est actuellement connecté.
Les informations de nom ne peuvent pas être trouvées car : le nom du compte cible est incorrect. Contactez votre administrateur système pour vérifier que le domaine est correctement configuré et qu'il est actuellement connecté.
Les clients Microsoft Outlook qui sont connectés aux ordinateurs Microsoft Exchange Server qui utilisent des contrôleurs de domaine affectés pour l'authentification peuvent être invités à entrer des informations d'identification d'ouverture de session même si l'authentification d'ouverture de session a réussi à partir d'autres contrôleurs de domaine.

L'outil Netdiag peut afficher les messages d'erreur suivants :
DC list test. . . . . . . . . . . : Failed
[WARNING] Cannot call DsBind to <nom_serveur>.<fqdn> (<adresse_IP>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for krbtgt/<fqdn>.
[FATAL] Kerberos does not have a ticket for <nom_hôte>.
LDAP test. . . . . . . . . . . . . : Passed
[WARNING] Failed to query SPN registration on DC <nom_hôte>\<fqdn>


L'événement suivant peut être enregistré dans le journal des événements système du contrôleur de domaine affecté :

Type d'événement : erreur
Source de l'événement : Gestionnaire de contrôle des services
ID de l'événement : 7023
Description : Le service Centre de distribution de clés Kerberos (KDCSVC) s'est arrêté avec l'erreur suivante : Le serveur SAM (gestionnaire de comptes de sécurité) ou LSA (autorité de sécurité locale) n'était pas dans l'état approprié pour réaliser l'opération de sécurité.

Résolution

Plusieurs résolutions sont possibles pour ces symptômes. La liste suivante répertorie les méthodes que vous pouvez appliquer. Elle est suivie par des étapes permettant d'appliquer chaque méthode. Essayez chaque méthode jusqu'à ce que le problème soit résolu. Les articles de la Base de connaissances Microsoft qui décrivent les correctifs les moins courants de ces symptômes sont répertoriés ultérieurement.
  1. Méthode 1 : Résolution des erreurs DNS (Domain Name System)
  2. Méthode 2 : Synchronisation de l'heure entre les ordinateurs
  3. Méthode 3 : Vérification des droits de l'utilisateur Accéder à cet ordinateur depuis le réseau
  4. Méthode 4 : Vérification que l'attribut UserAccountControl du contrôleur de domaine est 532480
  5. Méthode 5 : Résolution du domaine Kerberos (confirmez que les clés de Registre PolAcDmN et PolPrDmN correspondent)
  6. Méthode 6 : Réinitialisation du mot de passe du compte d'ordinateur, puis obtention d'un nouveau ticket Kerberos

Méthode 1 : Résolution des erreurs DNS

  1. À l'invite de commandes, exécutez la commande netdiag -v. Cette commande crée un fichier Netdiag.log dans le dossier sur lequel la commande a été exécutée.
  2. Résolvez toutes les erreurs DNS dans le fichier Netdiag.log avant de continuer. L'outil Netdiag se trouve dans les outils de support de Windows 2000 Server sur le CD-ROM Windows 2000 Server ou il peut être téléchargé. Pour télécharger les outils de support de Windows 2000 Server, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
    http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx
  3. Assurez-vous que le serveur DNS est correctement configuré. L'une des erreurs DNS les plus courantes consiste à pointer le contrôleur de domaine sur un fournisseur de services Internet (ISP) pour le serveur DNS au lieu de pointer le serveur DNS sur lui-même ou sur un autre serveur DNS qui prend en charge les mise à jour dynamiques et les enregistrements SRV. Nous vous recommandons de pointer le contrôleur de domaine sur lui-même ou sur un autre serveur DNS qui prend en charge les mise à jour dynamiques et les enregistrements SRV. Nous vous recommandons de définir les redirecteurs sur l'ISP pour la résolution de nom sur Internet.
Pour plus d'informations sur la configuration du serveur DNS pour le service d'annuaire Active Directory, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
291382 Forum aux questions concernant le DNS de Windows 2000 et de Windows Server 2003
237675 Configuration du serveur DNS pour Active Directory
254680 Planification de l'espace de nom DNS
255248 Comment faire pour créer un domaine enfant dans Active Directory et déléguer l'espace de noms DNS au domaine enfant

Méthode 2 : Synchronisation de l'heure entre les ordinateurs

Vérifiez que l'heure est correctement synchronisée entre les contrôleurs de domaine. De plus, vérifiez que l'heure est correctement synchronisée entre les ordinateurs et les contrôleurs de domaine client.

Pour plus d'informations sur la façon de configurer le service de temps Windows, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
258059 Comment faire pour synchroniser l'heure sur un ordinateur Windows 2000 dans un domaine Windows NT 4.0
216734 Comment faire pour configurer un serveur de temps faisant autorité dans Windows 2000

Méthode 3 : Vérification des droits de l'utilisateur « Accéder à cet ordinateur depuis le réseau »

Modifiez le fichier Gpttmpl.inf pour confirmer que les utilisateurs appropriés disposent du droit de l'utilisateur Accéder à cet ordinateur depuis le réseau sur le contrôleur de domaine. Pour cela, procédez comme suit :
  1. Modifiez le fichier Gpttmpl.inf pour la stratégie des contrôleurs de domaine par défaut. Par défaut, la stratégie des contrôleurs de domaine par défaut se situe là où les droits de l'utilisateur sont définis pour un contrôleur de domaine. Par défaut, le fichier Gpttmpl.inf de la stratégie des contrôleurs de domaine par défaut se trouve dans le dossier suivant.

    Remarque Sysvol peut se trouver à un emplacement différent, mais le chemin d'accès du fichier Gpttmpl.inf sera identique.

    Pour les contrôleurs de domaine Windows Server 2003 :

    C:\WINDOWS\Sysvol\Sysvol\<nom_domaine>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Pour les contrôleurs de domaine Windows 2000 Server :

    C:\WINNT\Sysvol\Sysvol\<nom_domaine>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. Ajoutez les identificateurs de sécurité pour les Administrateurs, pour les Utilisateurs authentifiés et pour Tout le monde au droit de l'entrée SeNetworkLogonRight. Consultez les exemples suivants.

    Pour les contrôleurs de domaine Windows Server 2003 :

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Pour les contrôleurs de domaine Windows 2000 Server :

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Remarque Les Administrateurs (S-1-5-32-544), les Utilisateurs authentifiés (S-1-5-11), Tout le monde (S-1-1-0) et les Contrôleurs d'entreprise (S-1-5-9) utilisent des identificateurs de sécurité connus qui sont identiques dans chaque domaine.
  3. Supprimez toutes les entrées dans le droit du SeDenyNetworkLogonRight (accès Refuser à cet ordinateur à partir du réseau) pour faire correspondre l'exemple suivant.

    SeDenyNetworkLogonRight =

    Remarque L'exemple est le même pour Windows 2000 Server et pour Windows Server 2003.

    Par défaut, Windows 2000 Server ne dispose d'aucune entrée dans l'entrée SeDenyNetworkLogonRight. Par défaut, Windows Server 2003 dispose uniquement du compte Support_chaîne_aléatoire dans l'entrée SeDenyNetworkLogonRight. (Le compte Support_chaîne_aléatoire est utilisé par l'assistance à distance.) Comme le compte Support_chaîne_aléatoire utilise un identificateur de sécurité différent (SID) dans chaque domaine, vous ne pouvez pas facilement distinguer le compte à partir d'un compte d'utilisateur typique seulement en étudiant le SID. Vous pouvez vouloir copier le SID vers un autre fichier texte, puis supprimer le SID à partir de l'entrée SeDenyNetworkLogonRight. Ainsi, vous pouvez le remettre lorsque vous avez terminé de résoudre le problème.

    SeNetworkLogonRight et SeDenyNetworkLogonRight peuvent être définis dans n'importe quelle stratégie. Si les étapes précédentes ne résolvent pas le problème, vérifiez le fichier Gpttmpl.inf dans d'autres stratégies de Sysvol pour confirmer que les droits de l'utilisateur n'y sont pas également définis. Si un fichier Gpttmpl.inf ne contient aucune référence à SeNetworkLogonRight ou à SeDenyNetworkLogonRight, ces paramètres ne sont pas définis dans la stratégie et cette stratégie n'est pas à l'origine de ce problème. Si ces entrées existent, assurez-vous qu'elles correspondent aux paramètres répertoriés précédemment pour la stratégie du contrôleur de domaine par défaut.

Méthode 4 : Vérification que l'attribut UserAccountControl du contrôleur de domaine est 532480

  1. Cliquez sur Démarrer, sur Exécuter, puis tapez adsiedit.msc.
  2. Développez Domain NC, DC =domaine, puis OU=Domain Controllers.
  3. Cliquez avec le bouton droit sur le contrôleur de domaine affecté, puis cliquez sur Propriétés.
  4. Dans Windows Server 2003, activez les cases à cocher Afficher les attributs obligatoires et Afficher les attributs facultatifs sous l'onglet Éditeur d'attribut. Dans Windows 2000 Server, cliquez sur Les deux dans la zone Sélectionnez une propriété à afficher.
  5. Dans Windows Server 2003, cliquez sur userAccountControl dans la zone Attributs. Dans Windows 2000 Server, cliquez sur userAccountControl dans la zone Sélectionnez une propriété à afficher.
  6. Si la valeur n'est pas 532480, tapez 532480 dans la zone Modifier l'attribut, cliquez sur Définir, sur Appliquer, puis sur OK.
  7. Quittez Modification ADSI.

Méthode 5 : Résolution du domaine Kerberos (confirmez que les clés de Registre PolAcDmN et PolPrDmN correspondent)

Remarque Cette méthode est uniquement valable pour Windows 2000 Server.
Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.
  1. Démarrez l'Éditeur du Registre.
  2. Dans le volet gauche, développez Sécurité.
  3. Dans le menu Sécurité, cliquez sur Autorisations pour accorder au groupe local Administrateurs et à ses conteneurs enfants et objets le Contrôle total de la ruche SECURITY.
  4. Recherchez la clé HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. Dans le volet droit de l'Éditeur du Registre, cliquez une fois sur l'entrée <aucun_nom> : REG_NONE.
  6. Dans le menu Affichage, cliquez sur Affichage des données binaires. Dans la section Format de la boîte de dialogue, cliquez sur Octet.
  7. Le nom de domaine s'affiche comme une chaîne dans le côté droit de la boîte de dialogue Données binaires. Le nom de domaine est identique au domaine Kerberos.
  8. Recherchez la clé de Registre HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. Dans le volet droit de l'Éditeur du Registre, double-cliquez sur l'entrée <aucun_nom> : REG_NONE.
  10. Dans la boîte de dialogue Données binaires, collez la valeur à partir de PolPrDmN. (La valeur à partir de PolPrDmN sera le nom de domaine NetBIOS).
  11. Redémarrez le contrôleur de domaine.

Méthode 6 : Réinitialisation du mot de passe du compte d'ordinateur, puis obtention d'un nouveau ticket Kerberos

  1. Arrêtez le service Centre de distribution de clés Kerberos, puis définissez la valeur de démarrage sur Manuel.
  2. Utilisez l'outil Netdom à partir des outils de support de Windows 2000 Server ou Windows Server 2003 pour réinitialiser le mot de passe du compte d'ordinateur du contrôleur de domaine :

    netdom resetpwd /server:un_autre_contrôleur_domaine /userd:domain\administrator /passwordd:mot_passe_administrateur

    Assurez-vous que la commande netdom est renvoyée comme terminée avec succès. Dans le cas contraire, c'est qu'elle n'a pas fonctionné. Pour le domaine Contoso, lorsque le contrôleur de domaine affecté est DC1 et qu'un contrôleur de domaine actif est DC2, vous exécutez la commande netdom suivante à partir de la console de DC1 :

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:mot_passe_administrateur
  3. Redémarrez le contrôleur de domaine affecté.
  4. Démarrez le service Centre de distribution de clés Kerberos, puis définissez le paramètre de démarrage sur Automatique.

Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
325322 Le message d'erreur « Le serveur n'est pas opérationnel » s'affiche lorsque vous essayez d'ouvrir le Gestionnaire système Exchange
284929 Impossibilité de démarrer les logiciels enfichables d'Active Directory ; le message d'erreur indique qu'aucune autorité ne pourrait être contactée pour l'authentification
257623 Après avoir effectué une mise à niveau d'un contrôleur de domaine principal Windows NT 4.0 vers Windows 2000, il est possible que le suffixe DNS du nom d'ordinateur du nouveau contrôleur de domaine ne corresponde pas au nom du domaine
257346 Le droit de l'utilisateur « Accéder à cet ordinateur à partir du réseau » empêche les outils de fonctionner
316710 La désactivation de la distribution de clés Kerberos empêche le démarrage des services Exchange
329642 Messages d'erreur lors de l'ouverture des composants logiciels enfichables d'Active Directory et du Gestionnaire système Exchange
272686 Des messages d'erreur se produisent lorsque le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory est ouvert
323542 Vous ne pouvez pas démarrer Utilisateurs et ordinateurs Active Directory car le serveur ne fonctionne pas
329887 Vous ne pouvez pas interagir avec les composants logiciels enfichables MMC d'Active Directory
325465 Les contrôleurs de domaine Windows 2000 nécessitent SP3 ou version ultérieure lors de l'utilisation des outils d'administration Windows Server 2003
322267 La suppression du composant Client pour les réseaux Microsoft entraîne la suppression d'autres services
297234 Une différence d'heure existe entre le client et le serveur
247151 Un message d'erreur peut s'afficher aux utilisateurs de domaine de bas niveau lors du démarrage des composants logiciels enfichables MMC
280833 L'échec de spécification de toutes les zones DNS dans le client proxy provoque des défaillances de DNS qu'il est difficile de suivre
322307 Impossible de démarrer les services Exchange ou les composants logiciels enfichables d'Active Directory une fois que vous avez installé le Service Pack 2 (SP2) de Windows 2000

Propriétés

Numéro d'article: 837513 - Dernière mise à jour: vendredi 2 février 2007 - Version: 1.6
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Mots-clés : 
kberrmsg kbtshoot kbactivedirectory kbactivedirectoryrepl kbevent KB837513
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com