Le contrôleur de domaine ne fonctionne pas correctement

S’applique à : Windows Servers

Symptômes


Lorsque vous exécutez l'outil Dcdiag sur un contrôleur de domaine basé sur un serveur Microsoft Windows 2000 ou sur un contrôleur de domaine basé sur Windows Server 2003, vous pouvez recevoir le message d'erreur suivant :
DC Diagnosis
Configuration initiale :
[DC1] LDAP bind failed with error 31
Lorsque vous exécutez l'utilitaire REPADMIN /SHOWREPS localement sur un contrôleur de domaine, vous pouvez recevoir un des messages d'erreur suivants :
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP error 82 (Local Error).
Dernière tentative @ aaaaa-mm-jj hh:mm.ss échouée, résultat 1753 : Le mappeur de point final n'a plus de point final disponible.
Dernière tentative - yyyy-mm-jj hh:mm.ss échoué, résultat 5: Access is denied.



Si vous utilisez Active Directory Sites and Services pour déclencher la réplication, vous pouvez recevoir un message indiquant que l'accès est refusé.


Lorsque vous essayez d'utiliser des ressources réseau à partir de la console d'un contrôleur de domaine affecté, notamment les ressources UNC (Universal Naming Convention) ou les lecteurs réseau mappés, le message d'erreur suivant peut s'afficher :
No logon servers available (c000005e = "STATUS_NO_LOGON_SERVERS")
Si vous démarrez des outils d'administration Active Directory à partir de la console d'un contrôleur de domaine affecté, y compris Active Directory Sites and Services et Active Directory Users and Computers, vous pouvez recevoir l'un des messages d'erreur suivants :
Les informations de nom ne peuvent pas être trouvées car : Aucune autorité n'a pu être contactée pour l'authentification. Contactez votre administrateur système pour vérifier que le domaine est correctement configuré et qu'il est actuellement connecté.
Les informations de nom ne peuvent pas être trouvées car : le nom du compte cible est incorrect. Contactez votre administrateur système pour vérifier que le domaine est correctement configuré et qu'il est actuellement connecté.
Les clients Microsoft Outlook qui sont connectés aux ordinateurs Microsoft Exchange Server qui utilisent des contrôleurs de domaine affectés pour l'authentification peuvent être invités à entrer des informations d'identification d'ouverture de session même si l'authentification d'ouverture de session a réussi à partir d'autres contrôleurs de domaine.

L'outil Netdiag peut afficher les messages d'erreur suivants :
DC list test. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. : Échec
[ATTENTION] Impossible d'appeler DsBind vers <servername>.<fqdn> (<adresse IP>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. : Échec
[FATAL] Kerberos n'a pas de ticket pour krbtgt/<fqdn>.

[FATAL] Kerberos n'a pas de ticket pour <hostname>.
LDAP test. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. publiée précédemment. : Réussite
[ATTENTION] Echec lors de l'interrogation de l'enregistrement SPN sur DC <hostname>\<fqdn>
L'événement suivant peut être enregistré dans le journal des événements système du contrôleur de domaine affecté :

Résolution


Plusieurs résolutions sont possibles pour ces symptômes. La liste suivante répertorie les méthodes que vous pouvez appliquer. Elle est suivie par des étapes permettant d'appliquer chaque méthode. Essayez chaque méthode jusqu'à ce que le problème soit résolu. Les articles de la Base de connaissances Microsoft qui décrivent les correctifs les moins courants de ces symptômes sont répertoriés ultérieurement.
  1. Méthode 1 : Résolution des erreurs DNS (Domain Name System)
  2. Méthode 2 : Synchronisation de l'heure entre les ordinateurs
  3. Méthode 3 : Cochez les droits utilisateur Accéder à cet ordinateur à partir du réseau.
  4. Méthode 4 : Vérification que l'attribut UserAccountControl du contrôleur de domaine est 532480
  5. Méthode 5 : Correction de la zone Kerberos (vérifier que la clé de registre PolAcDmN et la clé de registre PolPrDmN correspondent).
  6. Méthode 6 : Réinitialisez le mot de passe du compte machine, puis obtenez un nouveau ticket Kerberos.
 

Méthode 1 : Résolution des erreurs DNS

  1. A l'invite de commande, lancez la commande netdiag -v. Cette commande crée un fichier Netdiag.log dans le dossier sur lequel la commande a été exécutée.
  2. Résolvez toutes les erreurs DNS dans le fichier Netdiag.log avant de continuer. L'outil Netdiag se trouve dans les outils de support de Windows 2000 Server sur le CD-ROM Windows 2000 Server ou il peut être téléchargé.
  3. Assurez-vous que le serveur DNS est correctement configuré. L'une des erreurs DNS les plus courantes consiste à pointer le contrôleur de domaine sur un fournisseur de services Internet (ISP) pour le serveur DNS au lieu de pointer le serveur DNS sur lui-même ou sur un autre serveur DNS qui prend en charge les mise à jour dynamiques et les enregistrements SRV. Nous vous recommandons de pointer le contrôleur de domaine vers lui-même ou vers un autre serveur DNS qui prend en charge les mises à jour dynamiques et les enregistrements SRV. Nous vous recommandons de définir les redirecteurs sur l'ISP pour la résolution de nom sur Internet.
Pour plus d'informations sur la configuration du serveur DNS pour le service d'annuaire Active Directory, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
291382 Forum aux questions concernant le DNS de Windows 2000 et de Windows Server 2003
 
237675 Configuration du système de noms de domaine pour Active Directory
 
254680 Planification de l’espace de noms DNS
 
255248 Comment créer un domaine enfant dans Active Directory et déléguer l'espace de noms DNS au domaine enfant
 

Méthode 2 : Synchronisation de l'heure entre les ordinateurs

Vérifiez que l'heure est correctement synchronisée entre les contrôleurs de domaine. De plus, vérifiez que l'heure est correctement synchronisée entre les ordinateurs et les contrôleurs de domaine client.

Pour plus d'informations sur la façon de configurer le service de temps Windows, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
258059 Comment faire pour synchroniser l'heure sur un ordinateur Windows 2000 dans un domaine Windows NT 4.0
 
216734 Comment configurer un serveur de temps de référence dans Windows 2000
 

Méthode 3 : Vérification des droits de l'utilisateur « Accéder à cet ordinateur depuis le réseau »

Modifiez le fichier Gpttmpl.inf pour confirmer que les utilisateurs appropriés ont le droit utilisateur Accès à cet ordinateur à partir du réseau directement sur le contrôleur de domaine. Pour cela, procédez comme suit :
  1. Modifiez le fichier Gpttmpl.inf pour la stratégie des contrôleurs de domaine par défaut. Par défaut, la stratégie des contrôleurs de domaine par défaut se situe là où les droits de l'utilisateur sont définis pour un contrôleur de domaine. Par défaut, le fichier Gpttmpl.inf de la stratégie des contrôleurs de domaine par défaut se trouve dans le dossier suivant.

    Note Sysvol peut se trouver dans un emplacement différent, mais le chemin du fichier Gpttmpl.inf sera le même.

    Pour les contrôleurs de domaine Windows Server 2003 :


    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Pour les contrôleurs de domaine Windows 2000 Server :


    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. Ajoutez les identificateurs de sécurité pour les Administrateurs, pour les Utilisateurs authentifiés et pour Tout le monde au droit de l'entrée SeNetworkLogonRight. Consultez les exemples suivants.

    Pour les contrôleurs de domaine Windows Server 2003 :

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Pour les contrôleurs de domaine Windows 2000 Server :

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Note Les administrateurs (S-1-5-32-544), les utilisateurs authentifiés (S-1-5-11), tout le monde (S-1-1-0) et les contrôleurs d'entreprise (S-1-5-9) utilisent des identificateurs de sécurité bien connus qui sont les mêmes dans chaque domaine.
  3. Supprimer toutes les entrées à droite de
    l'entrée SeDenyNetworkLogonRight (Refuser l'accès à cet ordinateur depuis le réseau) pour correspondre à l'exemple suivant.

    SeDenyNetworkLogonRight =

    Note L'exemple est le même pour Windows 2000 Server et pour Windows Server 2003.

    Par défaut, Windows 2000 Server ne dispose d'aucune entrée dans l'entrée SeDenyNetworkLogonRight. Par défaut, Windows Server 2003 n'a que le compte Support_chaîne aléatoire dans l'entrée SeDenyNetworkLogonRight. (Le compte Support_chaîne aléatoire est utilisé par la Téléassistance.) Comme le compte Support_chaîne aléatoire utilise un identificateur de sécurité (SID) différent dans chaque domaine, il n'est pas facile de distinguer le compte d'un compte utilisateur typique en regardant simplement le SID. Vous pouvez copier le SID dans un autre fichier texte, puis le supprimer de l'entrée SeDenyNetworkLogonRight. Ainsi, vous pouvez le remettre lorsque vous avez terminé de résoudre le problème.

    SeNetworkLogonRight et SeDenyNetworkLogonRight peuvent être définis dans n'importe quelle stratégie. Si les étapes précédentes ne résolvent pas le problème, vérifiez le fichier Gpttmpl.inf dans d'autres stratégies de Sysvol pour confirmer que les droits de l'utilisateur n'y sont pas également définis. Si un fichier Gpttmpl.inf ne contient aucune référence à SeNetworkLogonRight ou à SeDenyNetworkLogonRight, ces paramètres ne sont pas définis dans la stratégie et cette stratégie n'est pas à l'origine de ce problème. Si ces entrées existent, assurez-vous qu'elles correspondent aux paramètres énumérés précédemment pour la stratégie du contrôleur de domaine par défaut.

Méthode 4 : Vérification que l'attribut UserAccountControl du contrôleur de domaine est 532480

  1. Cliquez sur Démarrer, sur Exécuter, puis saisissez adsiedit.msc.
  2. Développer Domaine NC, développer
    DC=domaine, puis développer
    OU=Contrôleurs de domaine.
  3. Cliquez avec le bouton droit de la souris sur le contrôleur de domaine affecté, puis cliquez sur
    Propriétés.
  4. Dans Windows Server 2003, cliquez pour sélectionner la case à cocher Afficher les attributs obligatoires et la case à cocher Afficher les attributs optionnels dans l'onglet Afficher l'éditeur. Dans Windows 2000 Server, cliquez sur Both dans la zone Sélectionner les propriétés à afficher.
  5. Dans Windows Server 2003, cliquez sur
    userAccountControl dans la boîte Attributs. Dans Windows 2000 Server, cliquez sur userAccountControl dans le
    case Sélectionnez une propriété pour afficher.
  6. Si la valeur n'est pas 532480, tapez
    532480 dans la zone Edit Attribute, cliquez sur
    Définir, cliquez sur Appliquer, puis cliquez sur
    OK.
  7. Quittez Modification ADSI.

Méthode 5 : Résolution du domaine Kerberos (confirmez que les clés de Registre PolAcDmN et PolPrDmN correspondent)

Note Cette méthode n'est valable que pour Windows 2000 Server.
Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
  1. Démarrez l’Éditeur du Registre.
  2. Dans le volet gauche, développez
    Sécurité.
  3. Dans le menu Sécurité, cliquez sur
    Permissions pour accorder au groupe local Administrators le contrôle total de la ruche SECURITY et de ses conteneurs et objets enfants.
  4. Recherchez la clé HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. Dans le volet droit de de l'éditeur du Registre, cliquez sur
    <No Name>: entrée REG_NONE une fois.
  6. Dans le menu Affichage, cliquez sur Afficher données binaires. Dans la section Format de la boîte de dialogue, cliquez sur Byte.
  7. Le nom de domaine apparaît sous la forme d'une chaîne de caractères dans la partie droite de la boîte de dialogue Données binaires. Le nom de domaine est identique au domaine Kerberos.
  8. Recherchez la clé de Registre HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. Dans le volet droit de l'Éditeur du Registre, double-cliquez sur
    <No Name>: entrée REG_NONE.
  10. Dans la boîte de dialogue Éditeur binaire, coller la valeur depuis PolPrDmN. (La valeur à partir de PolPrDmN sera le nom de domaine NetBIOS).
  11. Redémarrez le contrôleur de domaine.

Méthode 6 : Réinitialisation du mot de passe du compte d'ordinateur, puis obtention d'un nouveau ticket Kerberos

  1. Arrêtez le service Centre de distribution de clés Kerberos, puis définissez la valeur de démarrage sur Manuel.
  2. Utilisez l'outil Netdom à partir des Outils de support Windows 2000 Server ou des Outils de support Windows Server 2003 pour réinitialiser le mot de passe du compte machine du contrôleur de domaine :

    netdom resetpwd /server:another domain controller/userd:domain\administrator /passwordd:administrator password

    Assurez-vous que la commande netdom est renvoyée comme terminée avec succès. Dans le cas contraire, la commande n'a pas fonctionné. Pour le domaine Contoso, où le contrôleur de domaine affecté est DC1, et un contrôleur de domaine fonctionnel est DC2, vous exécutez la commande suivante netdom depuis la console du DC1 :

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:administrator password
  3. Redémarrez le contrôleur de domaine affecté.
  4. Démarrez le service Kerberos Key Distribution Center, puis réglez le paramètre de démarrage sur Automatique.

Pour plus d'informations sur ce problème, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
325322 Message d'erreur "Le serveur n'est pas opérationnel" lorsque vous essayez d'ouvrir Exchange System Manager
 
284929 Impossible de démarrer les snap-ins Active Directory ; le message d'erreur indique qu'aucune autorité ne peut être contactée pour l'authentification.
 
257623 Le suffixe DNS du nom de l'ordinateur d'un nouveau contrôleur de domaine peut ne pas correspondre au nom du domaine après l'installation d'une mise à niveau du contrôleur de domaine primaire Windows NT 4.0 vers Windows 2000.
 
257346 Le droit d'utilisateur "Accéder à cet ordinateur depuis le réseau" empêche les outils de fonctionner
 
316710 La distribution de clés Kerberos désactivée empêche les services Exchange de démarrer.
 
329642 Messages d'erreur lorsque vous ouvrez Active Directory snap-ins et Exchange System Manager
 
272686 Des messages d'erreur apparaissent lorsque le snap-in Utilisateurs Active Directory et Ordinateurs est ouvert.
 
323542 Vous ne pouvez pas démarrer l'outil Utilisateurs et ordinateurs Active Directory car le serveur n'est pas opérationnel.
 
329887 Vous ne pouvez pas interagir avec les snap-ins Active Directory MMC
 
325465 Les contrôleurs de domaine Windows 2000 nécessitent SP3 ou une version ultérieure lorsqu'ils utilisent les outils d'administration Windows Server 2003.
 
322267 Supprimer le client pour les réseaux Microsoft supprime les autres services
 
297234 Une différence de temps existe entre le client et le serveur
 
247151 Les utilisateurs du domaine de niveau inférieur peuvent recevoir un message d'erreur lors du démarrage des clips MMC.
 
280833 Le fait de ne pas spécifier toutes les zones DNS dans le client proxy entraîne des échecs DNS difficiles à suivre.
 
322307 Impossible de démarrer les services Exchange ou les services Active Directory après avoir installé Service Pack 2 (SP2) pour Windows 2000