Les utilisateurs ne peuvent pas ouvrir une session sur un ordinateur virtuel qui est basé sur une collection de VDI en pool gérée avec restauration activée dans Windows Server

Symptômes

Cet article décrit un problème dans lequel vous rencontrez des problèmes de canal de sécurité sur un machines virtuelles (VM) qui est basé sur une collection de VDI gérée en pool qui a activé la restauration.

Dans un déploiement de bureau basée sur une machine virtuelle, vous pouvez utiliser deux types de des collections de VDI :

  • En file d’attente gérés: vous disposez d’un pool de machines virtuelles disponibles. Lorsqu’un utilisateur se connecte à la batterie de serveurs, une machine virtuelle disponible dans le pool est affectée à cet utilisateur.

  • Gestion du personnel: une machine virtuelle spécifique est affectée à l'utilisateur d’ach. Les utilisateurs sont affectés à la machine virtuelle etemps très auxquelles ils se connectent à la batterie de serveurs.

Lorsque vous utilisez des collections de VDI managées en file d’attente, vous pouvez choisir s’il faut activer le bureau virtuel à restaurer à son état précédent lorsque c’est nécessaire. Par exemple, chaque fois qu’un utilisateur se déconnecte, les actions suivantes se produisent :

  • Un point de contrôle (capture instantanée) est appliquée.

  • La machine virtuelle revient à l’état du point de contrôle.

  • Toutes les modifications qui ont été effectuées après le point de contrôle sont ignorées.

Dans ce cas, le mot de passe du compte ordinateur qui est stocké localement sur l’ordinateur virtuel est également annulée. Cela provoque un problème de canal de sécurité et interrompt la connexion de l’ordinateur virtuel au domaine.

Lorsque ce problème se produit, vous pouvez rencontrer le scénario suivant :

  • Dans l’Assistant Création de pool des Collection de VDI gérés, vous activez l' option restaurer automatiquement un bureau virtuel lorsque l’utilisateur ferme la session .

  • Machines virtuelles sont créées à partir du modèle, et le point de contrôle (capture instantanée) RDV_ROLLBACK est créé.

    Remarque Ce point de contrôle est appliqué pour rétablir l’ordinateur virtuel chaque fois que l’utilisateur se déconnecte.

  • Après plusieurs jours ou même plusieurs mois, les utilisateurs reçoivent un « La relation d’approbation entre cette station de travail et le domaine principal a échoué » message d’erreur lors de la connexion aux ordinateurs virtuels de l’environnement VDI.

Pour plus d’informations sur la modification du mot de passe d’ordinateur est contrôlées par le service Netlogon, consultez Processus de mot de passe de compte ordinateur.

Cause

Ce problème se produit car le service Netlogon pour le système d’exploitation de l’ordinateur virtuel après la période de MaximumPasswordAge le mot de passe du compte ordinateur. Ce mot de passe est stocké dans le Registre du système d’exploitation et de l’objet ordinateur dans Active Directory.

Une fois un utilisateur se déconnecte, le point de contrôle RDV_ROLLBACK est appliqué et rétablit l’ordinateur virtuel à son état précédent. Le mot de passe qui est stocké dans le Registre est également restaurée à son état précédent. Cette opération crée une incompatibilité entre les mots de passe stockés.

Résolution

Pour éviter ce problème, appliquez l’une des méthodes suivantes.

Méthode 1

Si les ordinateurs virtuels dans la collection de VDI sont créés à partir d’un modèle, nous recommandons vivement que vous appliquez régulièrement les mises à jour de sécurité de système d’exploitation pour le modèle et puis créez de nouveau tous les ordinateurs virtuels afin qu’ils sont complètement corrigés.

Par défaut, l’intervalle de changement de mot de passe de compte ordinateur est de 120 jours pour un ordinateur virtuel dans une collection de VDI géré en pool qui a activé la restauration et qui est créé par le biais du Gestionnaire de serveur.

Pour les collections qui sont créées par le biais de Windows PowerShell à l’aide de l’applet de commande New-RDVirtualDesktopCollection avec le paramètre - VirtualDesktopPasswordAge , l’administrateur définit un intervalle personnalisé.

Pour éviter les problèmes de sécurité de canal dans ce cas, assurez-vous que le modèle est appliqué, et que les ordinateurs virtuels sont recréés avant que le mot de passe du compte ordinateur modifier l’intervalle d’expiration. Le nombre de jours restants avant la date d’expiration dépend de si la collection a été créée par le Gestionnaire de serveur ou de PowerShell.
 

Méthode 2

Désactiver les modifications de mot de passe de compte ordinateur pour les ordinateurs virtuels à l’aide de la membre de domaine : désactiver les modifications de mot de passe de compte ordinateurstratégie.

Important : Nous ne recommande pas cette méthode car le mot de passe pour le compte d’ordinateur sera conservé, créant ainsi un risque de sécurité. Plus important encore, un risque est que les autres personnes peuvent déterminer le mot de passe pour le compte de domaine de la machine virtuelle. Pour cette raison, nous vous recommandons de conserver la stratégie de modification de mot de passe de compte ordinateur activée et suivez la méthode 1.


Remarque N’oubliez pas que lorsque tous les ordinateurs virtuels sont recréés dans la collection à l’aide de l’option de Recréer tous les postes de travail virtuels , un nouveau mot de passe de compte ordinateur est affecté à chacun d’eux.

Plus d'informations

L’intervalle par défaut pour la modification du mot de passe d’ordinateur est définie par le membre de domaine : vie maximale du mot de passe du compte ordinateur stratégie. La valeur par défaut est de 30 jours. Cela signifie que tous les 30 jours, le service Netlogon pour le système d’exploitation client appelle un changement de mot de passe d’ordinateur.

Les scénarios suivants s’appliquent, selon le processus de création de machines virtuelles.

  • Si la machine virtuelle est basée sur un pool géré de collection VDI qui est créée par le biais du Gestionnaire de serveur et n’a activé l’option restaurer automatiquement un bureau virtuel lorsque l’utilisateur ferme la session :

    Lors du premier démarrage après l’installation la machine virtuelle est créée, le service Remote Agent hôte de virtualisation Bureau (VMHostAgent) sur l’hôte Hyper-V force lemembre de domaine : vie maximale du mot de passe du compte ordinateur stratégie à 120 jours. Il effectue cette opération en définissant une valeur de 120 pour l’entrée de Registre suivante sur le système d’exploitation de l’ordinateur virtuel invité :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge

  • Si l’ordinateur virtuel est dans une collection de VDI managée en file d’attente qui est créée à l’aide de l’applet de commande New-RDVirtualDestkopCollection avec le paramètre - VirtualDesktopPasswordAge par l’intermédiaire de PowerShell :

    Lors du premier démarrage après l’installation la machine virtuelle est créée, le service Remote Agent hôte de virtualisation Bureau (VMHostAgent) sur l’hôte Hyper-V force le membre de domaine : vie maximale du mot de passe du compte ordinateur la stratégie pour le nombre de jours spécifié dans le Système d’ordinateur virtuel invité d’exploitation. Il effectue cette opération en affectant la valeur spécifiée pour l’entrée de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge

    Sur l’hôte Hyper-V, cette valeur personnalisée est spécifiée dans le paramètre - VirtualDesktopPasswordAge qui est stocké dans l’entrée de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VmHostAgent\Parameters\<CollectionName>\VirtualDesktopPasswordAge

    Remarque Cela s’applique également aux collections qui sont mis à jour à l’aide de l’applet de commande PowerShell RDVirtualDesktopCollection-mise à jour .

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×