Symptômes
Considérez le scénario suivant :
-
Vous activez l’authentification sélective sur une approbation entre deux forêts Active Directory.
-
Vous utilisez un compte d’utilisateur pour accéder à un serveur de ressources dans une autre forêt Active Directory d’une forêt Active Directory.
-
L’authentification NTLM est utilisée dans et entre les deux forêts Active Directory.
-
Le serveur de ressources a un canal de sécurité à un contrôleur de domaine en lecture seule basé sur Windows Server 2008 R2 (RODC).
-
Il n’existe aucun contrôleur de domaine en lecture/écriture (RWDC) sur le site le plus proche dans le RODC.
-
Le mot de passe du serveur de ressource est modifié.
Dans ce scénario, l’authentification sélective sur l’approbation de forêt échoue. Vous pouvez rencontrer des échecs d’authentification différents. Voici quelques exemples :
-
Lorsque vous accédez à serveur de ressources, le message d’erreur suivant s’affiche :
Accès refusé
-
Vous êtes invité à plusieurs reprises à entrer votre nom d’utilisateur et le mot de passe.
Cause
Ce problème se produit car le RODC n’a pas de mot de passe du serveur de ressources au moment de l’authentification.
Lorsque le RODC effectue la vérification de l’authentification sélective, il essaie de lire tous les attributs Active Directory de l’objet ordinateur du serveur ressource. Toutefois, comme le RODC ne peut pas récupérer le mot de passe du serveur de ressources, cela provoque un échec de l’authentification.
Résolution
Informations sur le correctif
Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.
Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.
Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du Service clientèle et support technique de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/contactus/?ws=supportRemarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.
Conditions préalables
Pour appliquer ce correctif, vous devez exécuter un des systèmes d'exploitation suivants :
-
Windows Server 2008 R2
-
Windows Server 2008 R2 Service Pack 1 (SP1)
Pour plus d’informations sur la façon d’obtenir un service pack de Windows Server 2008 R2, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
976932 les informations sur le Service Pack 1 pour Windows 7 et Windows Server 2008 R2
Informations concernant le Registre
Pour utiliser le correctif dans ce package, il est inutile d'apporter des modifications au Registre.
Nécessite un redémarrage
Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.
Informations de remplacement du correctif
Ce correctif ne remplace pas un correctif précédemment publié.
Informations sur les fichiers
La version globale de ce correctif logiciel installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Les dates et heures de ces fichiers sur votre ordinateur local sont affichées dans votre heure locale en tenant compte de l'heure d'été (DST). En outre, les dates et heures peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.
Remarques sur les fichiers Windows Server 2008 R2
Important Les correctifs logiciels Windows 7 et Windows Server 2008 R2 sont inclus dans les mêmes packages. Toutefois, les correctifs dans la page de demande de correctif logiciel sont répertoriés sous les deux systèmes d’exploitation. Pour demander le package de correctif qui s’applique à un ou deux systèmes d’exploitation, sélectionnez le correctif logiciel qui est répertorié sous « Windows 7/Windows Server 2008 R2 » sur la page. Reportez-vous toujours à la section « S’applique à » dans les articles pour déterminer le système d’exploitation actif auquel s’applique chaque correctif.
-
Les fichiers qui s'appliquent à un produit spécifique, SR_Level (RTM, SPn), et à une branche de service (LDR, GDR), peuvent être identifiés en examinant les numéros de version de fichier comme indiqués dans le tableau suivant :
Version francaise
Produit
SR_Level
Dossier
6.1.760
0.
21 xxxWindows Server 2008 R2
RTM
LDR
6.1.760
1.
21 xxxWindows Server 2008 R2
SP1
LDR
-
Les fichiers MANIFEST (.manifest) et MUM (.mum) qui sont installés pour chaque environnement sont répertoriés séparément dans la section « Informations de fichiers supplémentaires pour Windows Server 2008 R2 ». Les fichiers MUM et MANIFEST et les fichiers de catalogue de sécurité (.cat) associés sont extrêmement importants pour conserver l'état des composants mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.
Pour toutes les versions basées sur les x64 de Windows Server 2008 R2
|
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.21048 |
693,760 |
08-Sep-2011 |
05:30 |
x64 |
|
Nlsvc.mof |
Ne s'applique pas |
2,873 |
10-Jun-2009 |
20:47 |
Ne s'applique pas |
|
Netlogon.dll |
6.1.7601.21813 |
695,296 |
08-Sep-2011 |
06:33 |
x64 |
|
Nlsvc.mof |
Ne s'applique pas |
2,873 |
10-Jun-2009 |
20:47 |
Ne s'applique pas |
|
Netlogon.dll |
6.1.7600.21048 |
564,736 |
08-Sep-2011 |
04:26 |
x86 |
|
Nlsvc.mof |
Ne s'applique pas |
2,873 |
10-Jun-2009 |
21:29 |
Ne s'applique pas |
|
Netlogon.dll |
6.1.7601.21813 |
564,224 |
08-Sep-2011 |
06:19 |
x86 |
|
Nlsvc.mof |
Ne s'applique pas |
2,873 |
10-Jun-2009 |
21:29 |
Ne s'applique pas |
Solution de contournement
Vous pouvez utiliser une des deux méthodes suivantes pour contourner ce problème :
-
Désactiver les modifications de mot de passe de compte pour les ordinateurs qui utilisent un RODC pour leur canal de sécurité.
-
Modifier la topologie de site de sorte qu’il existe un RWDC dans le site le plus proche dans le RODC.
État
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Plus d'informations
Le RODC prend en charge les modifications de mot de passe pour les comptes d’utilisateur sur le canal sécurisé de netlogon. Le RODC transmet la demande de modification de mot de passe pour une RWDC lorsque le mot de passe du compte d’ordinateur est modifié. Lors de la modification du mot de passe réussit, le RODC tente d’opportuniste répliquer le nouveau mot de passe. Toutefois, la tentative de réplication ne peut pas cibler la même RWDC à laquelle la demande de modification de mot de passe est transférée.
Bien que le RODC dispose de son propre canal de sécurité existant avec un RWDC sur laquelle se produit la modification du mot de passe, la RWDC ciblé par la tentative de réplication est sélectionnée en utilisant le mécanisme de DClocator. Dans la plupart des topologies de site, c’est pourquoi le même contrôleur de domaine qui est utilisé pour la tentative de réplication à être la cible de canal de sécurité en cours. Toutefois, s’il n’existe aucune RWDC dans le même domaine dans le site le plus proche dans le RODC, la tentative de modification et de la réplication de mot de passe peut se produire par rapport à l’autre RWDCs.
Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft
Pour plus d’informations sur la façon d’activer l’authentification sélective sur une approbation de forêt, reportez-vous au site Web de Microsoft suivant :
Informations générales sur la façon d’activer l’authentification sélective sur une approbation de forêtPour plus d’informations sur la façon de configurer l’authentification sélective, visitez le site Web Microsoft suivant :
Informations générales sur la façon de configurer l’authentification sélective
Informations sur les fichiers supplémentaires
Informations de fichiers supplémentaires pour Windows Server 2008 R2
Fichiers supplémentaires pour toutes les versions basées sur les x64 pris en charge de Windows Server 2008 R2
|
Nom de fichier |
Amd64_0caf3106ff02b60b89c9d545792026c3_31bf3856ad364e35_6.1.7600.21048_none_9a893a6b7aa6f649.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
1,060 |
|
Date (UTC) |
08-Sep-2011 |
|
Heure (UTC) |
09:44 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_0e7e58fe08c4a3c71653acdcc4a5f0f9_31bf3856ad364e35_6.1.7601.21813_none_1a842e21757b81df.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
709 |
|
Date (UTC) |
08-Sep-2011 |
|
Heure (UTC) |
09:44 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_d0d81f110ea917a2a3131f5317a03ed1_31bf3856ad364e35_6.1.7601.21813_none_825a6a5ddaa496d5.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
1,060 |
|
Date (UTC) |
08-Sep-2011 |
|
Heure (UTC) |
09:44 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_dc11db02cc633a9f065ad3f21d62956a_31bf3856ad364e35_6.1.7600.21048_none_ffab83fd2ef937aa.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
709 |
|
Date (UTC) |
08-Sep-2011 |
|
Heure (UTC) |
09:44 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_5a6467e36aa5900e.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
35,547 |
|
Date (UTC) |
08-Sep-2011 |
|
Heure (UTC) |
06:01 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_5c665cff67b7f359.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
35,547 |
|
Date (UTC) |
08-Sep-2011 |
|
Heure (UTC) |
07:31 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Update.mum |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
3,215 |
|
Date (UTC) |
08-Sep-2011 |
|
Heure (UTC) |
09:44 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_64b912359f065209.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
16,596 |
|
Date (UTC) |
08-Sep-2011 |
|
Heure (UTC) |
04:42 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_66bb07519c18b554.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
16,596 |
|
Date (UTC) |
08-Sep-2011 |
|
Heure (UTC) |
06:38 |
|
Plateforme |
Ne s'applique pas |
