Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

L'authentification échoue lorsqu'un client externe essaie d'ouvrir une session un serveur Windows Server 2008 à l'aide d'un contrôleur de domaine en lecture seule dans un réseau de périmètre

IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.

La version anglaise de cet article est la suivante: 977510
Symptômes
Un client externe essaie de se connecter à un serveur qui exécute Windows Server 2008 dans un réseau de périmètre (également connu sous le nom DMZ, zone démilitarisée et sous-réseau écran). Lorsque le serveur tente d'authentifier le client externe à l'aide d'un contrôleur de domaine en lecture seule (RODC) dans le réseau de périmètre, l'authentification échoue.

Remarque Si le serveur est autorisé pour authentifier le client externe à l'aide d'un contrôleur de domaine interne, l'authentification réussit.
Cause
Ce problème se produit lorsque le client externe ne sait pas quel site il entre d'abord dans le réseau de périmètre. Dans ce cas, le client externe effectue une requête DNS (Domain Name System) (DNS) générique pour l'enregistrement de ressource SRV _msdcs.domain.com pour un contrôleur de domaine auquel le client peut se connecter. Par défaut, les RODC n'inscrivez pas toutes les informations DNS génériques. Au lieu de cela, RODC associer les informations DNS spécifiques au site. Par conséquent, la fonction DsGetDCName renvoie jamais un contrôleur de domaine en lecture seule dans la liste des contrôleurs de domaine pour le domaine.

Remarque Si aucun résultat n'est générés à partir de la requête DNS, la fonction DCLocator qui est appelée par la fonction DSGetDCName se replie sur NetBIOS nom de fonctionnalité de résolution (WINS et diffusions). Toutefois, si WINS n'est pas configuré et diffusions sont bloquées, puis ce mécanisme de secours également échoue.

Si les règles de pare-feu permettent au client externe de se connecter au moins un contrôleur de domaine en lecture/écriture (RWDC), le client externe est redirigé vers le contrôleur de domaine en lecture seule. Ce problème se produit dès que le RWDC détermine que le client externe se trouve dans site du contrôleur de domaine en lecture seule.

RemarqueDans ce cas les deux ordinateurs doivent être dans le réseau de périmètre.
Résolution
Pour résoudre ce problème, vous devez vous le RODC détectable à partir d'une requête DNS générique.

Remarque Vous pouvez réduire l'incidence de sécurité d'inscrire les enregistrements DNS génériques en modifiant la valeur LDAPSrvPriority du RODC dans le site de conversion pour vous assurer que les autres contrôleurs de domaine disponibles en lecture seule ou des contrôleurs de domaine en lecture/écriture sont préférés. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
306602Comment optimiser l'emplacement d'un contrôleur de domaine ou d'un catalogue global résidant en dehors du site du client
Pour rendre le RODC identifiables, spécifiez la valeur DWORD RegisterSiteSpecificDnsRecordsOnly dans le Registre. Cette valeur DWORD détermine si le RODC tente d'inscrire les enregistrements DNS génériques.
Emplacement du Registre :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Nom de valeur :RegisterSiteSpecificDnsRecordsOnly
Type valeur :DWORD

RegisterSiteSpecificDnsRecordsOnly

Cette valeur DWORD spécifie à Registre spécifiques au site et des enregistrements d'alias (CName) uniquement. La valeur par défaut pour un contrôleur de domaine en lecture seule est 1 (vrai). Si vous définissez cette valeur sur 0 (faux), le RODC essaie d'enregistrer tous les enregistrements DNS. Cela inclut des enregistrements spécifiques de site non.

Remarque Si vous définissez cette valeur DWORD sur 0, vous devez accorder le RODC l'autorisation d'écriture requis sur les zones DNS appropriées pour pouvoir enregistrer tous les enregistrements DNS.
Plus d'informations
Pour plus d'informations sur la façon de déterminer les emplacements de RODC dans le réseau de périmètre, reportez-vous au site Blog TechNet de Microsoft à l'adresse suivante :

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 977510 - Dernière mise à jour : 11/24/2009 04:40:32 - Révision : 1.1

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008 R2, Windows Web Server 2008

  • kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtfr
Commentaires