L’authentification échoue lorsqu’un client externe essaie d’ouvrir une session sur un serveur Windows Server 2008 à l’aide d’un contrôleur de domaine en lecture seule dans un réseau de périmètre

Symptômes

Un client externe essaie de se connecter à un serveur qui exécute Windows Server 2008 dans un réseau de périmètre (également appelé DMZ, Zone démilitarisée et filtré sous-réseau). Lorsque le serveur tente d’authentifier le client externe à l’aide d’un contrôleur de domaine en lecture seule (RODC) dans le réseau de périmètre, l’authentification échoue.

Remarque Si le serveur est autorisé à s’authentifier le client externe à l’aide d’un contrôleur de domaine interne (DC), l’authentification est réussie.

Cause

Ce problème se produit lorsque le client externe ne sait pas quel site il pénètre dans le réseau de périmètre. Lorsque cela se produit, le client externe effectue une requête de nom de domaine (DNS) générique pour l’enregistrement de ressource SRV _msdcs.domain.com pour un contrôleur de domaine auquel le client peut se connecter. Par défaut, le RODC n’inscrivez pas les informations DNS génériques. Au lieu de cela, les RODC enregistrer uniquement les informations DNS spécifiques au site. Par conséquent, la fonction DsGetDCName ne retourne jamais un RODC dans la liste des contrôleurs de domaine pour le domaine.

Remarque Si aucun résultat n’est générés à partir de la requête DNS, la fonction DCLocator qui est appelée par la fonction DSGetDCName se replie sur NetBIOS (WINS et diffusion) des fonctionnalités de résolution de nom. Toutefois, si WINS n’est pas configuré et diffusions sont bloquées, puis ce mécanisme de secours échoue également.

Si les règles de pare-feu du client externe permettent de se connecter au moins un contrôleur de domaine en lecture/écriture (RWDC), le client externe est redirigé vers le RODC. Ce problème se produit dès que le RWDC détermine que le client externe est dans le site du RODC.

Remarque : Lorsque cela se produit, les deux ordinateurs doivent être dans le réseau de périmètre.

Résolution

Pour résoudre ce problème, vous devez vous être découverts à partir d’une requête DNS générique le RODC.

Remarque Vous pouvez réduire l’incidence de la sécurité d’inscrire les enregistrements DNS génériques en modifiant la valeur LDAPSrvPriority du RODC dans le site de mise à jour afin de vous assurer que les autres contrôleurs de domaine en lecture seule ou les contrôleurs de domaine en lecture/écriture sont préférables. Pour plus d’informations, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

306602 comment optimiser l’emplacement d’un contrôleur de domaine ou un catalogue global résidant en dehors du site d’un client

Pour rendre le RODC détectable, spécifiez la valeur DWORD RegisterSiteSpecificDnsRecordsOnly dans le Registre. Cette valeur DWORD détermine si le RODC tente d’inscrire les enregistrements DNS génériques.
Emplacement dans le Registre :HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nom de valeur :RegisterSiteSpecificDnsRecordsOnly
Type de valeur :DWORD

RegisterSiteSpecificDnsRecordsOnly

Cette valeur DWORD spécifie de Registre spécifiques au site et seulement les enregistrements d’alias (CName). La valeur par défaut pour un RODC est 1 (vrai). Si vous définissez cette valeur sur 0 (FALSE), le RODC essaie d’enregistrer tous les enregistrements DNS. Cela inclut des enregistrements de site non spécifiques.

Remarque Si vous définissez cette valeur DWORD à 0, vous devez accorder l’autorisation d’écriture nécessaires sur les zones DNS appropriés pour être en mesure d’enregistrer tous les enregistrements DNS le RODC.

Plus d'informations

Pour plus d’informations sur la façon de déterminer les emplacements de RODC dans le réseau de périmètre, visitez le site du Blog de TechNet de Microsoft suivant :
Propriétés

ID d'article : 977510 - Dernière mise à jour : 13 janv. 2017 - Révision : 1

Commentaires