Vous êtes sur la page 1sur 4230

Contents

Windows Server
Active Directory
Active Directory
Sauvegarde, restauration ou récupération d’urgence Active Directory
L’erreur c00002e2 ou « Choisir une option » s’affiche
Événement Services d’annuaire 2095 lors de la restauration USN
Événement 2089 si vous ne sauvegardez pas un contrôleur de domaine
ID d’événement 1587 après la restauration du contrôleur de domaine
Comment supprimer des domaines orphelins
Comment restaurer des comptes d’utilisateurs supprimés et leurs groupes
Aucun serveur d’ouverture de session n’est disponible
Défragmentation hors connexion de la base de données Active Directory
Déplacer une arborescence SYSVOL
RODC réplique les mots de passe
Syskey.exe'utilitaire n’est plus pris en charge
Le dossier SYSVOL n’est pas répliqué entre les contrôleurs de domaine
Services de certificat Active Directory
Une autorité de certification ne peut pas utiliser de modèle de certificat
Sauvegarder la clé privée EFS de l’agent de récupération
Impossible de sélectionner des modèles de certificat compatibles avec l’autorité de
certification
Impossible de partager des fichiers avec plusieurs certificats EFS
Les services de certificats ne démarrent pas
Les services de certificats peuvent ne pas démarrer sur un ordinateur
Modifier la date d’expiration des certificats émis par l’autorité de certification
Échecs de sauvegarde MasterKey DPAPI
Exporter le certificat d’autorité de certification racine
Rechercher le nom du serveur d’autorité de certification racine d’entreprise
Comment réinstaller le rôle d’autorité de certification
Comment supprimer manuellement l’autorité de certification Windows d’entreprise
Déplacer une autorité de certification vers un autre serveur
Déplacer la base de données et les fichiers journaux du serveur de certificats
Certificats racines approuvés requis
Définir une période de validité différente pour l’autorité de certification
subordonnée
Configurer l’authentification basée sur un certificat dans des forêts sans approbation
pour un serveur web
Les certificats d’autorité de certification racine valides ne sont pas approuvés
Les modèles de version 3 n’apparaissent pas dans l’inscription web de certificat
Problèmes de base de données Active Directory et échecs de démarrage du
contrôleur de domaine
Erreur « Accès refusé » lors de la réplication du service d’annuaire AD
Erreur « Les services d’annuaire ne peuvent pas démarrer » lors du démarrage d’un
contrôleur de domaine
Échec de la communication AD sur les contrôleurs de domaine multirésidents
Le service ADWS se bloque après la mise à niveau
Processus de garbage collection de bases de données
Erreur lors de la configuration d’un serveur avec 伺服器管理員
ID d’événement ESENT 1000, 1202, 412 et 454
Les ID d’événement 5788 et 5789 se produisent
Comment exécuter le vérificateur sémantique sur la base de données AD
Comment utiliser Ntdsutil pour gérer des fichiers Active Directory
ISMServ.exe ne démarre pas au démarrage du contrôleur de domaine
Mises à jour de niveau fonctionnel de domaine ou de forêt Active Directory
Erreur « Adprep n’a pas pu contacter un réplica » lors de l’exécution de la
commande « Adprep /rodcprep »
Configurer la délégation Kerberos contrainte
Le processus de promotion du contrôleur de domaine affiche « Windows Server
Technical Preview »
Guide pratique pour configurer le pare-feu pour les domaines et les approbations
Élever les niveaux fonctionnels de domaine et de forêt Active Directory
Services AD FS (Active Directory Federation Services)
Résoudre les problèmes d’authentification unique ADFS
Erreur ADFS 180 et points de terminaison manquants
Erreur de certificat ADFS 2.0
Erreur ADFS 2.0 401
Erreur ADFS 2.0 : impossible d’afficher cette page
Échec du démarrage du service ADFS 2.0
Disponibilité et description de Active Directory 联合身份验证服务 2.0
Modifier le certificat de communication de service AD FS 2.0
Description de la fonctionnalité De verrouillage intelligent Extranet
Désactiver et remplacer TLS 1.0 dans ADFS
Erreur 0x80072EE7 lorsque vous effectuez une jointure d’espace de travail
Échec de la connexion du service ADFS
Échec de la conversion du domaine en standard
Restaurer IIS et nettoyer Active Directory
Résoudre l’erreur AD FS 2.0
Résoudre les problèmes AD FS dans Azure Active Directory
Active Directory FSMO
Impossible de se connecter au domaine
Échec de la saisie du rôle maître RID avec Ntdsutil
Rechercher les serveurs qui détiennent des rôles FSMO
Rôles FSMO
Comment transférer ou saisir des rôles FSMO
Comment afficher et transférer des rôles FSMO
Fonction de modification du mot de passe et de résolution des conflits
Processus de transfert et de saisie des rôles FSMO
Active Directory Lightweight Directory Services (AD LDS) et adam (Active Directory
Application Mode)
L’ID d’événement général ADAM 1161 est journalisé sur un serveur AD LDS
Modifier le mot de passe de l’utilisateur Windows Active Directory via LDAP
Masquer ou afficher la classe d’objets InetOrgPerson
Comment configurer la journalisation des événements de diagnostic AD et LDS
Les opérations LDAP vers Active Directory sont désactivées
Échec du démarrage du service LDS avec l’ID d’événement 1168
Nombreux événements « ID d’événement 1216 »
Des problèmes se produisent avec les contrôleurs de domaine dans les zones DNS
intégrées à Active Directory
Résoudre OBJ_CLASS_VIOLATION erreur dans Adamsync
Outil de migration Active Directory (ADMT)
L’instance AD LDS journalise l’ID d’événement 2092
Échec de l’installation d’ADMT 3.1 PES avec une erreur
Échec de l’exécution de la console ADMT après l’installation
Problèmes lors de la migration vers un domaine avec ADMT 3.1
Informations de support pour ADMT et PES
Résoudre les problèmes de migration de mot de passe intra-forêt
Résoudre les problèmes de migration sIDHistory avec ADMTv2
L’application Windows ne peut pas démarrer
Réplication Active Directory
Conseils de dépannage : réplication Active Directory
Les modifications Active Directory ne sont pas répliquées
Erreur de réplication Active Directory 1256
Erreur de réplication Active Directory 8304
Erreur de réplication Active Directory 8451
ID d’événement de réplication Active Directory 1388 ou 1988
ID d’événement de réplication Active Directory 1925
ID d’événement de réplication Active Directory 2042
ID d’événement de réplication Active Directory 2087
ID d’événement de réplication Active Directory 2108 et 1084
Échec des opérations AD avec l’erreur Win32 1127
Échec des opérations AD avec l’erreur Win32 8240
Échec de la réplication AD avec l’erreur 8409
La réplication AD ne fonctionne pas et l’événement 1865
Échec des réplications AD avec l’erreur 1818
Échec des réplications AD avec l’erreur 5
Échec des réplications AD avec l’erreur 8333
Échec des réplications AD avec l’erreur 8477
Impossible de modifier l’étendue de réplication d’une zone intégrée à AD
Impossible de supprimer des objets AD avec de nombreux liens
Les modifications ne sont pas répliquées sur les contrôleurs de domaine de
destination
Échec du test DCDiag VerifyReferences
Diagnostiquer les échecs de réplication
Désactiver la création automatique de la topologie de réplication par KCC
Des connexions de réplication AD en double sont créées
Obtenir et utiliser l’outil d’état de réplication AD
Correctifs logiciels pour les technologies DFS
Comment limiter le trafic RPC à un port spécifique
Objets persistants dans une forêt Windows Server Active Directory
Les objets persistants restent
Échec de la réplication manuelle des données entre les contrôleurs de domaine
Modifier l’intervalle de réplication dc intrasite par défaut
ID d’événement d’avertissement de réplication NTDS 1093
ID d’avertissement de réplication NTDS 1083 et 1061
La dépréciation NTFRS bloque l’installation des contrôleurs de domaine de
réplication
Échec des opérations avec l’erreur Win32 1753
Échec des opérations avec l’erreur Win32 8524
Le contrôleur de domaine enfant orphelin n’est pas répliqué
Erreur de réplication 1722
Erreur de réplication 2146893022
Erreur de réplication 5 - Accès refusé
Erreur de réplication 8452
Erreur de réplication 8453
Erreur de réplication 8614
Résoudre l’erreur de réplication Active Directory 1396
Résoudre l’erreur de réplication AD 8446
Résoudre l’erreur de réplication AD 8464
Résoudre l’erreur de réplication AD 8545
Résoudre les erreurs courantes de réplication Active Directory
Résoudre l’erreur de réplication du contrôleur de domaine 1727
Résoudre les problèmes liés à l’ID d’événement 1311
Résoudre les erreurs de base de données Jet et les étapes de récupération
Résoudre l’erreur de réplication 8418
Résoudre l’erreur de réplication 8456 ou 8457
Résoudre l’erreur de réplication 8461
Résoudre l’erreur de réplication 8606
Utiliser Ntdsutil pour rechercher et nettoyer les identificateurs de sécurité en double
Services AD RMS (Active Directory Rights Management Services)
L’ID d’événement 84 se produit dans AD RMS dans Windows Server
Topologie Active Directory (sites, sous-réseaux et objets de connexion)
Impossible de promouvoir un contrôleur de domaine auprès d’un serveur de
catalogue global
Impossible de créer un espace de noms DFS
Problèmes lors du changement de nom des sites dans la forêt AD
KFSO ne fonctionne pas dans l’approbation externe
Optimiser l’emplacement du contrôleur de domaine
Problèmes liés à la promotion du contrôleur de domaine au serveur de catalogue
global
DCPromo et l’installation de contrôleurs de domaine
Erreur « Incompatibilité de schéma » lors de la tentative d’exécution de l’Assistant
Installation d’Active Directory
Une erreur d’accès est refusée se produit avec DCPROMO
L’accès est refusé lorsque vous promouvez le contrôleur de domaine
Échec des opérations de configuration AD DS
Impossible d’ajouter un contrôleur de domaine en tant que nœud
Impossible de sélectionner le rôle serveur DNS lors de l’ajout d’un contrôleur de
domaine dans un domaine AD existant
Créer un serveur Active Directory
La promotion dc cesse de répondre
Échec de la rétrogradation DCPROMO
Déploiement et fonctionnement de domaines Active Directory
Le changement de nom du contrôleur de domaine ne renomme pas tous les objets
AD DFSR SYSVOL
Les contrôleurs de domaine ne rétrogradent pas
Erreurs lors de l’exécution de commandes DCDIAG
Échec de rétrograder le contrôleur de domaine avec Dcpromo.exe
Placement et optimisation FSMO
Règles d’application de stratégie de groupe pour les contrôleurs de domaine
‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬préparation n’est pas effectuée
Comment mettre à niveau des contrôleurs de domaine
Comment utiliser le mode sans assistance pour installer et supprimer AD DS
Échec de l’installation d’AD DS
Erreur interne pendant la phase de réplication de dcpromo
Échec du déplacement de Windows Server vers un domaine
Le partage NETLOGON n’est pas présent après l’installation d’AD DS sur un
nouveau contrôleur de domaine complet ou en lecture seule
Le contrôleur de domaine nouvellement promu ne parvient pas à publier après
DCpromo
Scalabilité ou performances du contrôleur de domaine (y compris LDAP)
DC retourne uniquement 5 000 valeurs dans la réponse LDAP
Le contrôleur de domaine ne fonctionne pas correctement
ID d’événement 1644 lors de l’exécution de requêtes LDAP
Comment résoudre les problèmes d’utilisation élevée de l’UC Lsass.exe
Problèmes liés au dépassement des valeurs de backlog des demandes de réplication
AD et des rpc Netlogon
Les serveurs LDAP et Kerberos réinitialisent les sessions TCP
Problèmes de performances après la mise à niveau des contrôleurs de domaine
Utiliser Event1644Reader.ps1 pour analyser les performances des requêtes LDAP
Problèmes de jonction de domaine
Erreur « Le compte n’est pas autorisé à se connecter à partir de cette station »
Échec de l’installation d’Active Directory
Impossible d’accéder à Internet ou au domaine
Limite par défaut aux numéros de station de travail
Mécanisme permettant de localiser un contrôleur de domaine
Le service Netlogon ne conserve pas les paramètres après la mise à niveau sur place
Limites de prise en charge d’Active Directory sur NAT
Le Centre de synchronisation synchronise les fichiers hors connexion très lentement
Résolution des problèmes d’erreur de réplication AD 1908
Résoudre les erreurs lors de la jonction d’ordinateurs à un domaine
Impossible de joindre des ordinateurs à un domaine
Échec de l’utilisation de l’interface utilisateur de jonction de domaine pour joindre un
ordinateur à un domaine AD
Configuration et interopérabilité LDAP
Les contrôleurs de domaine ne peuvent pas être localisés et les sessions sortantes à
taux élevé
Activer LDAP sur SSL
Comment désactiver TLS 1.3 pour AD et LDAP
Comment activer la signature LDAP dans Windows Server
Comment activer la journalisation de débogage du client LDAP
Les requêtes pagagées LDAP avec références subordonnées ne sont pas suivies
correctement
Les requêtes LDAP retournent une liste d’attributs partielle
Les requêtes LDAP ciblant les noms d’hôtes prennent plus de temps
Paramètres et exigences de sécurité de session LDAP après ADV190023
Problèmes de connexion LDAPS
Faire en sorte que les contrôleurs de domaine répondent à LDAP Ping sur le port
UDP 138
Utiliser la fonctionnalité Dbdump en ligne dans Ldp.exe
Afficher et définir une stratégie LDAP à l’aide de Ntdsutil
Mise à jour du schéma : problèmes connus, meilleures pratiques, révision de flux de
travail
Comment trouver la version actuelle du schéma
Échec ou conflit de mise à jour du schéma
Retards lors de la communication des membres de domaine aux contrôleurs de
domaine
Erreur lors de l’exécution de l’Assistant Installation d’AD
Protocole TLS (Transport Layer Security)
Désactiver TLS 1.0 et 1.1 et forcer l’utilisation de TLS 1.2
Erreurs lorsque les applications tentent de se connecter à SQL Server
Gestion des utilisateurs, ordinateurs, groupes et objets
Erreur « Cette propriété est limitée à 64 valeurs »
Accès refusé après connexion à un compte d’administrateur local
ACCÈS REFUSÉ avec les API NetUser et NetGroup
L’accès est refusé lorsque des utilisateurs non administrateurs rejoignent des
ordinateurs
L’allocateur d’identificateur de compte ne parvient pas à s’initialiser
Ajouter des groupes spéciaux à des groupes intégrés
Tous les membres d’un groupe ne peuvent pas être retournés
Les résultats auditPol et stratégie de sécurité locale sont différents
Impossible d’accéder aux données AD à partir de l’Explorateur de contrôles de code
source
Impossible d’ajouter un utilisateur ou un objet au service d’annuaire
Impossible de démarrer Active Directory-brukere og -datamaskiner Tool
Compatibilité avec les comptes d’utilisateur se terminant par le signe dollar
Définir des modèles de sécurité par modèle de sécurité Snap-In
Erreur « Le type de données de répertoire ne peut pas être converti vers/ à partir
d’un type de données DS natif »
L’ID d’événement 5722 est journalisé sur le contrôleur de domaine
Échec de la suppression des paramètres NTDS orphelins
Échec de l’exécution de Get-ADGroupMember pour le groupe local de domaine
Le mode de planification RSoP n’est pas pris en charge dans un scénario inter-forêts
Comment modifier les noms d’affichage des utilisateurs Active Directory
Comment activer la journalisation des événements Kerberos
Comment réinitialiser le mot de passe de l’administrateur DSRM
Comment utiliser des fantômes
Informations sur les appareils configurés en tant que CONTRÔLEURS DE DOMAINE
Permettre aux non-administrateurs d’afficher le conteneur d’objets supprimés
Les comptes Linux ne peuvent pas obtenir de cycles chiffrés AES dans AD DS
Modifier les propriétés filtrées d’un objet
Plusieurs onglets de propriétés utilisateur sont manquants
Nommer des ordinateurs, des domaines, des sites et des unités d’organisation
NET.EXE commande /ADD ne prend pas en charge les noms de plus de 20
caractères
Le service Netlogon ne démarre pas
Échec de la modification du mot de passe pour le mot de passe expiré
Échec de la réinitialisation du mot de passe avec erreur
Protocoles de modification de mot de passe dans Windows
Performances médiocres lors de l’appel de fonctions de recherche
Rediriger les utilisateurs et les conteneurs d’ordinateurs
Renommer un élément après une collision de réplication
Restreindre l’utilisation d’un ordinateur à un seul utilisateur de domaine
Définir le mot de passe d’un utilisateur avec Ldifde
Certaines applications et API nécessitent l’accès aux informations d’autorisation
L’outil Lingering Object Liquidator (LoL)
Résoudre l’erreur de réplication AD 8589
Utiliser Adminpak pour administrer à distance des ordinateurs
Utiliser le service d’annuaire pour gérer les objets AD
Indicateurs de propriété UserAccountControl
Contrôleur de domaine virtualisé (erreurs et questions)
Héberger des contrôleurs de domaine AD dans des environnements d’hébergement
virtuel
ID d’événements du service de temps Windows 24, 29 et 38
Service de temps Windows
Configurer W32Time sur un décalage de temps important
Convertir des attributs de date/heure au format d’heure standard
Message d’erreur lorsque vous exécutez la commande « w32tm /resync »
Événement 142 : Le service de temps a arrêté la publicité
Comment configurer un serveur de temps faisant autorité
Comment le service de temps Windows traite-t-il une seconde bissextile
Prise en charge de la seconde bissextile
Le service de temps ne corrige pas l’heure
La synchronisation de l’heure peut échouer
Activer la journalisation de débogage dans le service de temps Windows
Les paramètres W32time échouent lors du démarrage du service de temps
Windows dans un groupe de travail
Les paramètres du service de temps Windows ne sont pas conservés dans une mise
à niveau
développement Administration
développement Administration
Interface des services Active Directory (ADSI)
Convertir le GUID mis en forme de chaîne en forme de chaîne hexadécimale
WMI (Windows Management Instrumentation)
Bonne pratique pour configurer les performances de transfert EventLog
Correctifs logiciels suggérés pour les problèmes WMI
Windows Installer a reconfiguré toutes les applications
Administration à distance de Windows (WinRM)
Le collecteur d’événements ne transfère pas d’événements
Gestion des applications
Gestion des applications
Installation de .NET Framework
Les services en fonction de ASP.NET service d’état ne démarrent pas
Applications tierces
La connexion n’est pas disponible dans le composant logiciel enfichable MMC
Application Compatibility Toolkit (ACT)
DXDIAG signale une faible mémoire des adaptateurs d’affichage
Erreur « L’analyse de Best Practices Analyzer a échoué »
Performances et stabilité COM et COM+
L’application COM+ cesse de fonctionner lorsque les utilisateurs se déconnectent
Programmation COM et DCOM
Les performances se dégradent lors de l’accès à des fichiers volumineux
Administration, configuration et sécurité COM+
0x80004027 erreur lorsque vous accédez à distance à l’objet COM+
Code d’erreur 80080005 lors du démarrage de nombreuses applications COM+
Démarrage, configuration, connectivité et cluster DTC
Comment configurer DTC pour qu’il fonctionne via des pare-feu
Comment activer l’accès DTC réseau
Régénérer ou déplacer l’installation MSDTC à utiliser avec le cluster de basculement
SQL
Résoudre les problèmes de connectivité dans MS DTC avec l’outil DTCPing
Système d’événements
Description du suivi des événements d’arrêt
Comment supprimer des fichiers journaux ‫ ﻋﺎرض ا ﺣﺪاث‬endommagés
Déplacer ‫ ﻋﺎرض ا ﺣﺪاث‬fichiers journaux vers un autre emplacement
MSI
Résoudre les problèmes d’altération de l’inscription des mises à jour logicielles MSI
Échec de l’installation de MSI avec l’erreur 1603
Interface utilisateur multilingue (MUI) et Éditeur de méthode d’entrée (IME)
Application des paramètres « Options régionales et linguistiques »
Échec de l’initialisation de l’écouteur HTTP en l’absence de SeChangeNotifyPrivilege
Hôte de script Windows (CScript ou WScript)
Exécuter un script d’ouverture de session une fois lorsqu’un nouvel utilisateur se
connecte
Sauvegarde et stockage
Sauvegarde et stockage
Sauvegarde et restauration Active Directory, ou récupération d’urgence
Durée de conservation d’une sauvegarde d’état système d’AD
Configuration et utilisation du logiciel de sauvegarde
0x80042306 erreur lors de la configuration des versions précédentes pour un point
de montage
Accès refusé lors de l’exécution d’un travail par lots
Échec du programme de sauvegarde pour un volume système volumineux
Impossible d’ajouter un disque supplémentaire à une sauvegarde planifiée
Erreur de connexion des clients DirectAccess 0x274d
Erreur Diskshadow lorsque vous essayez de créer un instantané VSS
Activer les fonctionnalités de suivi de débogage de VSS
Erreur 3266/3013 lorsque vous effectuez une sauvegarde/restauration de base de
données
Message d’erreur lorsque vous effectuez une sauvegarde de l’état du système
ID d’événement 8193 lorsque vous effectuez une sauvegarde
Comment utiliser la fonctionnalité de sauvegarde pour sauvegarder et restaurer des
données
Aucun enregistreur VSS lors de l’exécution de la commande « enregistreurs de liste
vssadmin »
Codes de retour utilisés par l’utilitaire Robocopy
Échec du processus de sauvegarde du serveur et erreur 0x80070005
ID d’événement srv du journal des événements système 2012
Échec de la sauvegarde de l’état du système
Échec de la sauvegarde de l’état du système
Échec de l’ouverture de la console MMC de sauvegarde Windows Server
Altération des données et erreurs de disque
Conseils de dépannage : Altération des données et erreurs de disque
La sauvegarde ne démarre pas après avoir effectué une récupération complète
Impossible de supprimer des fichiers sur le système de fichiers NTFS
Modifier le comportement de la commande de format
Corriger les problèmes d’espace disque sur les volumes NTFS
ID d’événement de disque 154
Des erreurs se produisent lorsque vous apportez une ressource de disque physique
L’extension d’un CSV n’est pas bloquée
Définir le registre d’attributs Partmgr avec PowerShell
Le système journalise plusieurs événements qui spécifient l’ID d’événement 640
Déduplication
Cloner ou dupliquer une installation Windows
Erreurs pour les requêtes Andx de lecture SMB pour les fichiers gérés par la
déduplication des données
Les fichiers sont endommagés sur un volume dédupliqué
Le garbage collection complet entraîne des problèmes de performances
Problèmes connus après l’activation de la déduplication des données sur CSV
Resource Manager du serveur de fichiers (FSRM)
Erreur 10013 lors de la liaison à nouveau du port exclu
Le serveur de fichiers Resource Manager n’a pas pu charger les objets WMI
L’utilisation du quota FSRM est incorrecte
Correctifs logiciels pour les services de fichiers dans Windows Server 2008
Stockage insuffisant pour traiter cette commande
Iscsi
Les partages de fichiers sur les appareils iSCSI ne sont pas recréé
Les limites de taille de disque virtuel iSCSI sont incorrectes
Limites de Microsoft iSCSI Software Target 3.3
Les sous-réseaux redondants sont créés de manière incorrecte
L’initiateur iSCSI ne peut pas se connecter à la cible favorite
E/S multipathes (MPIO) et Storport
Impossible d’installer Windows dans le numéro d’unité logique de démarrage avec
plusieurs chemins d’accès
L’activation de MPIO avec des disques SAS réduit les performances
Option MPIO non disponible dans Gestion des disques
Gestion des partitions et des volumes
Erreur « Vous n’avez pas d’autorisation »
Un volume apparaît comme brut dans la gestion des disques
Meilleures pratiques pour l’utilisation de disques dynamiques
Impossible d’accéder à un volume CSV à partir d’un nœud passif
Impossible de sélectionner ou de mettre en forme une partition de disque dur
Impossible de démarrer un ordinateur à partir d’un lecteur flash USB du système de
fichiers FAT32
Impossible d’utiliser la commande d’arrêt DiskPart pour interrompre un jeu mis en
miroir
Configurer une alerte d’espace disque faible
Limitations du défragmenteur de disque
Suivi des liens distribués sur les contrôleurs de domaine
Établir et démarrer des miroirs GPT dans Windows 64 bits
Étendre un volume de données
Questions fréquentes (FAQ) sur l’architecture du disque de table de partitionnement
GUID
Correction de l’utilisation intensive de la mémoire dans ReFS
Les disques d’échange à chaud ne sont pas reconnus
Comment NTFS réserve de l’espace pour MFT
Comment établir un volume entrelacé
Mise en miroir de la partition système et de démarrage (RAID1)
Comment exécuter l’outil Nettoyage de disque (Cleanmgr.exe)
Comment configurer la mise en miroir dynamique des partitions de démarrage sur
les disques GPT
Intel SSD D3-S4510 et Intel SSD D3-S4610 série 1,92 To et 3,84 To lecteurs ne
répond pas
Nouveau mécanisme de journalisation pour les disques durs virtuels
Le volume ReFS à l’aide de DPM ne répond plus
Lettre de restauration du lecteur système/de démarrage
Les volumes simples peuvent devenir inaccessibles
Limite d’utilisation pour le service VSS (Volume Shadow Copy Service)
Utiliser le composant logiciel enfichable Gestion des disques
Prise en charge des disques durs de plus de 2 To dans Windows
Matériel de stockage
Comment activer ou désactiver la mise en cache d’écriture sur le disque
Informations sur l’ID d’événement 51
Le disque de transmission dans une machine virtuelle hautement disponible est en
lecture seule
Les volumes partagés de cluster répliqués sont hors connexion
Stratégie de support pour les disques durs du secteur 4K
Erreur d’appareil USB non reconnue
Espaces de stockage
Étendre des espaces de stockage hiérarchisé autonomes
Restauration du système ou réinitialisation de votre ordinateur
Comment restaurer une installation de Windows 7
Service VSS
Échec de la sauvegarde en raison de l’enregistreur VSS
Échec de la sauvegarde avec les événements VSS 12292 et 11
Erreur 0x8000FFFF lors de l’exécution de la commande « vssadmin list writers »
Erreur 0x80042409 lors d’une restauration VSS
ID d’événement 513 lors de l’exécution de VSS dans Windows Server
Aucun enregistreur VSS n’est répertorié lors de l’exécution d’enregistreurs de liste
vssadmin
Les clichés instantanés sont supprimés lors de l’exécution d’un travail de classification
FCI
Échec de la sauvegarde de l’état du système à l’aide de la sauvegarde Windows
Server
Avertissements de sauvegarde tiers après l’installation d’une mise à jour de
maintenance
La mise en ligne du service De cliché instantané de volume prend plus de temps
Événement VSS 8193 lors du redémarrage du service Services de chiffrement
ID d’événement VSS 8019, 20, 8193 ou 12302
Avertissements VSS dans le journal des événements d’application
Échec du rapport des enregistreurs VSS sur une machine virtuelle
Containers
Gestion des conteneurs
Stratégie de support pour les conteneurs Windows et Docker dans les scénarios
locaux
Déploiement
Déploiement
Activation
Erreur « Windows n’est pas authentique »
0xc004f063 lors de l’activation d’une version OEM
ID d’avertissement du journal des événements de l’application 1058
Erreur 0x8007000D lorsque vous activez une machine
Erreur 0xC004E002 pendant l’activation
Erreur 0xC004F015 lorsque vous activez Windows 10
Erreur 0xC004F074 lors de l’activation de Windows
Erreur lors de la validation d’une copie de Windows
Événement 12293 lors de l’inscription d’un enregistrement d’hôte KMS
Échec de l’activation basée sur un jeton d’avertissement de l’ID d’événement 12321
L’ID d’événement 8208, 8200 ou 900 est journalisé
Échec de l’activation de Windows Server sur Internet
Comment modifier la clé de produit licence en volume
Comment reconstruire le fichier Tokens.dat
La base de données spécifiée n’est pas une erreur de base de données VAMT valide
Échec de l’activation de Windows avec erreur 0x8007267C
Échec de l’installation de Windows avec erreur
Appareils et pilotes
Erreur « Arrêter 0x0000007B »
Erreur « Cet appareil ne peut pas démarrer » lors du déploiement d’un disque SSD
NVMe à chaud
Impossible de trouver l’adaptateur de bouclage Microsoft
Impossible d’installer un pilote VMWare sur Windows Server 2008 R2
Modifications du comportement par défaut pour le stationnement principal
Activer technologie Plug and Play fonctionnalité pour les appareils de port parallèles
ID d’événement 37 après avoir modifié la stratégie d’alimentation
L’ID d’événement 56 est journalisé
Échec de l’insertion d’une carte à puce dans un lecteur
Comment déterminer le type de processeur
Comment remplacer un pilote à l’aide de la console de récupération
Comment utiliser Enhedshåndtering pour configurer des appareils
Stratégie de prise en charge des logiciels tiers au niveau du noyau
Échec de l’installation du pilote VMware dans Windows Server 2008 R2 SP1
Prise en charge des services de déploiement Windows (WDS) pour UEFI
GPM
Échec du déploiement de multidiffusion à partir de WDS
Maintenance
Conseils de dépannage : Installation de fonctionnalités ou de rôles Windows
Conseils de résolution des problèmes : Mise à jour de Windows Server
Impossible de se connecter au site web d’administration WSUS
Impossible d’installer .NET Framework 3.5 sur l’installation OEM de Windows
Impossible d’installer des mises à jour ou des programmes
Le fichier CBS.log contient des entrées que certains fichiers ne sont pas réparés
Description du vérificateur de fichiers système (Sfc.exe)
Description de Windows Server Update Services 3.0
Erreur 0x800f0906 lorsque vous convertissez Server Core en interface graphique
utilisateur
Erreur 0x800f0922 en cas d’échec de l’installation de la fonctionnalité MPIO
Erreur 0x800f0922 lorsque vous désinstallez des rôles/fonctionnalités
Erreur C0190003 après l’installation des mises à jour
Échec de l’installation du rôle Serveur de stratégies réseau
Échec de la planification du redémarrage du service Software Protection
Corriger les erreurs de Windows Update
Comment bloquer l’accès utilisateur à Windows Update
Utilisation de la console de récupération
Installer l’outil de création de rapports du support technique Microsoft
Liste des mises à jour
Réinscrire le client/serveur Windows dans WSUS
La partition système est mise hors connexion après l’installation d’un disque tiers
SystemInfo.exe n’affiche pas toutes les mises à jour installées
Désactiver temporairement le pilote de filtre en mode noyau
Pourquoi vous pouvez être invité à redémarrer votre ordinateur
Windows Server 2008 Service Pack 2
Le package d’installation WSUS 3.0 est disponible
Installation dynamique WSUS 3.0 SP2 pour 伺服器管理員
WSUS SelfUpdate n’envoie pas de mises à jour automatiques
WUSA retourne 0x5 ERROR_ACCESS_DENIED
Vous ne pouvez pas installer de fonctionnalités dans Windows Server 2012 R2
Configuration
Ajouter des pilotes PNP OEM aux installations Windows
Éviter les GUID en double lorsque vous imagez des clients SMS
Impossible d’ouvrir des fichiers EXE
Les dictionnaires IME chinois ne sont pas encore prêts
La méthode d’entrée chinoise (simplifiée) ne fonctionne pas
Créer une image ISO pour les plateformes UEFI
Activer la journalisation et le suivi pour les composants WDS
ID d’événement 307 et 304 enregistrés pour le déploiement de Windows
Échec de l’exécution d’applications sur Windows Server Core
Comment effectuer une mise à niveau sur place/réparation
La mise à niveau sur place se bloque à l’écran noir
Intégrer Windows Server Update Services (WSUS) 3.0 dans 伺服器管理員
Problèmes connus qui affectent la tâche de maintenance du nettoyage AppX
Les longs chemins d’accès comportant des espaces nécessitent des guillemets.
Modifier manuellement Boot.ini fichier
MDT Media Deployment USB n’est pas démarrable
Microsoft Deployment Toolkit prend en charge le cycle de vie
Échec de la tâche de configuration post-déploiement
Échec du programme d’installation sur une machine virtuelle avec erreur
0xE0000100
Échec de la séquence de tâches SYSPREP et CAPTURE
Le serveur WDS peut ne pas démarrer
Le programme d’installation sans assistance n’utilise pas le nom d’ordinateur spécifié
par l’utilisateur pendant OOBE
La mise à niveau échoue avec l’erreur 0x000000C4
Utilisation d’ID de langue pour identifier les modules linguistiques
Échec du démarrage du service de déploiement Windows
Échec de l’installation de Base de données interne Windows (WID)
Erreur de configuration PCR7 « Liaison impossible »
Instructions de support et d’installation de Windows Server pour la famille de
processeurs AMD Rome
Les clients WSUS ne peuvent pas installer les mises à jour
Stratégie de groupe
Stratégie de groupe
AppLocker ou stratégies de restriction logicielle
Appliquer des objets ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬aux serveurs Terminal Services
Déploiement de logiciels via ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Modifier un emplacement ou définir plusieurs chemins UNC pour le package MSI
Résoudre les problèmes d’installation de logiciels par journalisation de débogage
Utiliser ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬pour configurer l’ouverture de session automatique dans
Terminal Services
Utiliser ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬pour déployer une restauration de problème connu
Utiliser ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬pour installer à distance des logiciels
gestion ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬- GPMC ou AGPM
Erreur 0x8007000D lors de l’exécution de l’objet de stratégie de groupe Backup-
GPO dans Server Core
AGPM et GPRESULT ne fonctionnent pas
Les modifications apportées aux autorisations d’objet de stratégie de groupe ne sont
pas enregistrées
Créer un magasin central sur un contrôleur de domaine
L’outil Dcgpofix ne restaure pas les paramètres de sécurité à l’état d’origine
Description des groupes restreints de stratégie de groupe
Comment activer la fonctionnalité de bouclage ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Comment définir la sécurité du journal des événements localement ou via ‫ﻧﻬﺞ‬
‫اﻟﻤﺠﻤﻮﻋﺔ‬
Comment donner aux utilisateurs l’accès aux objets ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Gérer ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬fichiers de modèle d’administration
Les autorisations pour cet objet de stratégie de groupe sont incohérentes
Supprimer cet élément s’il n’est plus appliqué
Réinitialiser les droits d’utilisateur dans l’objet de stratégie de groupe de domaine
par défaut
Le répertoire n’est pas vide
Le système ne trouve pas le fichier spécifié
Résoudre les problèmes liés aux événements SCECLI 1202
Utiliser des objets de stratégie de groupe pour modifier le nom de domaine
d’ouverture de session par défaut
Utiliser Rsop.msc pour collecter la stratégie d’ordinateur
Conflit WinStoreUI.admx avec Windows 10 fichier ADMX
Message d’erreur incorrect pour les fichiers .adml manquants
Gestion des mappages de lecteurs via ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬Préférences supprime les mappages de lecteurs manuels
Gestion des paramètres d’Internet Explorer via ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
« Autoriser le contenu actif à exécuter des fichiers sur mon ordinateur » ne
fonctionne pas
Utiliser ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬pour contrôler l’accès aux sites web
Gestion des imprimantes via ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Les préférences d’imprimante ne peuvent pas définir l’imprimante par défaut
Gestion des appareils amovibles via ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Comment utiliser ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬pour désactiver les pilotes
Problèmes lors de l’application d’objets ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬à des utilisateurs ou à des
ordinateurs
Conseils de dépannage : Application de ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Erreur « L’espace de noms est déjà défini » lors de la modification d’une stratégie
Le paramètre « Définir le chemin du profil itinérant pour tous les utilisateurs qui se
connectent à cet ordinateur » s’applique aux comptes locaux
Un paramètre ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬n’est pas disponible dans la liste des paramètres de
stratégie de sécurité
Échec de l’authentification avec une erreur Accès refusé
Erreur 0x80004005 lorsque vous créez un DSN avec GPP
Événement 1202 avec état 0x534 journalisé
ID d’événement 1053 à l’aide de la commande « Gpupdate /force »
Les événements 1101 et 1030 sont consignés dans le journal des applications
Échec de l’exécution de l’Assistant Modélisation ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
La stratégie de groupe de redirection de dossiers n’est pas appliquée
‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬des erreurs lorsque la variable d’environnement inconnue est utilisée
La stratégie de groupe avec des filtres WMI peut être refusée ou entraîner une
ouverture de session/démarrage lente
ID d’événement Netlogon 5719 ou événement 1129 ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Les modifications de stratégie de mot de passe ne sont pas appliquées
Les paramètres sont appliqués à partir de ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Certaines zones ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬sont manquantes
Utiliser ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬pour ajouter l’entrée de Registre MaxTokenSize
Échec de l’application de l’élément de tâche planifiée GPP utilisateur
Des erreurs Userenv se produisent et les événements sont enregistrés
Les filtres ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬WMI ne fonctionnent pas
Filtrage de sécurité et ciblage au niveau de l’élément
Configurer des stratégies de groupe pour définir la sécurité
événements de préférences ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Problèmes d’accès ou de réplication Sysvol
Modifier les autorisations par défaut sur les objets de stratégie de groupe
Échec de la migration ou de la réplication de DFSR SYSVOL
Erreurs lors de l’exécution de GPMC
Comment forcer la synchronisation pour la réplication sysvol répliquée DFSR
Réduire la taille de SYSVOL en supprimant les modèles d’administration
Régénérer l’arborescence SYSVOL et son contenu dans un domaine
Les contrôleurs de domaine ne répliquent pas le répertoire partagé SYSVOL
Résoudre les problèmes liés aux partages SYSVOL et NETLOGON manquants
Disponibilité élevée
Disponibilité élevée
Impossible de mettre une ressource en ligne
Conseils de dépannage : Impossible de mettre une ressource en ligne
Impossible d’ajouter un nom de réseau en ligne
Impossible d’apporter un disque physique en ligne
Impossible d’apporter une adresse IP en ligne
Erreur « Le paramètre est incorrect »
Itinéraire actif supprimé
La ressource de disque de cluster ne peut pas être mise en ligne
Échec de la ressource de partage de fichiers de cluster
Informations de clustering sur le basculement d’adresse IP
Le compte de validation de cluster provoque des événements ou des messages
Erreur 0x8000ffff lorsque vous modifiez les paramètres de cliché instantané
Des messages d’erreur se produisent lors de la mise en ligne d’un groupe de clusters
Échec du partage de dossiers dans un cluster de basculement
Ajout de disques SAS locaux dans le cluster de basculement Windows Server
La ressource Nom réseau ne peut pas être mise en ligne
La ressource de disque physique ne se met pas en ligne
Récupérer un objet ordinateur qui prend en charge la ressource Network Name
Impossible de basculer un groupe
Fonctionnalités SMB 3.0 dans Windows Server 2012 serveur de fichiers
Le nœud de cluster est suspendu
Le fichier de vidage mémoire est endommagé
Échec du démarrage du service de cluster
Conseils de dépannage : Échec du démarrage du service de cluster
Options de démarrage du service de cluster
Le service de cluster cesse de répondre sur un nœud de cluster
Comment résoudre les problèmes liés au compte de service de cluster
Résoudre les problèmes de démarrage du service de cluster
Volume partagé de cluster (CSV)
Conseils de dépannage : ID d’événement 5120 Cluster Shared Volume
mise à jour Cluster-Aware (CAU)
Mises à jour recommandées pour les clusters de basculement basés sur Windows
Server 2012
Erreurs lors de l’exécution de l’Assistant Validation
La pac dans le cluster de basculement n’est pas mise en ligne
Échec du test de validation de cluster sur la configuration Active Directory
Erreur « Un élément avec la même clé a déjà été ajouté »
Échec de la validation du cluster de basculement
Échec du test de réservation persistante SCSI-3
Échec du test de validation du basculement de disque
Vous ne voyez pas le disque de cluster dans l’Explorateur ou diskmgmt lors du
basculement
Création initiale d’un cluster ou ajout d’un nœud
L’erreur « Le nœud de cluster existe déjà » peut apparaître lors de l’installation du
cluster
Échec de la validation du cluster avec l’erreur 80070005
La création d’un cluster de basculement échoue avec l’erreur 0xc000005e
L’ID d’événement du message d’erreur 1289 est journalisé lorsque vous essayez de
créer un cluster
Implications de l’utilisation du commutateur /forcequorum
Déplacer un cluster Windows Server vers un autre domaine
Échec de chargement du fournisseur
Résolution des problèmes liés aux nœuds de cluster invité dans Hyper-V qui ne sont
pas créés ou joints
Impossible de joindre un nœud à un cluster
Nœud supprimé du cluster
Les ressources d’adresse IP du cluster échouent sur les deux nœuds lorsqu’un nœud
se déconnecte
Imprimer des clusters et l’impression à haute disponibilité
Comment configurer un serveur d’impression en cluster
Remplacement du matériel et mise à jour du système d’exploitation
Impossible de mettre à niveau le système d’exploitation du serveur cluster
Comment mettre à jour des clusters de basculement
Mises à jour recommandées pour les clusters de serveurs Windows Server 2008 R2
Cause racine d’un basculement inattendu
Conseils de résolution des problèmes : Basculement inattendu du cluster
Comportement de basculement sur des clusters de trois nœuds ou plus
Exécuter la commande chkdsk /f sur un disque de cluster partagé
Mises à jour pour Windows Server 2012 clusters de basculement R2
Configuration et configuration de services et d’applications en cluster
Ajouter la prise en charge de plus de huit numéros logiques
Les logiciels antivirus causent des problèmes avec Cluster Services
Modifier l’adresse IP des cartes réseau dans un cluster
Configurer les clichés instantanés de la fonctionnalité Dossiers partagés
Configurer des points de montage de volume sur un cluster de serveurs
Créer des partages de fichiers sur un cluster
Activer la prise en charge à l’aide de contrôleurs RAID cluster
ID d’événement 1222 lorsque vous créez un cluster de basculement
Étendre la partition d’un disque partagé de cluster
Échec de la gestion du cluster avec le gestionnaire de cluster de basculement
Comment le service de cluster réserve et apporte des disques en ligne
Comment configurer FTP pour IIS dans un cluster de basculement
Stratégie de support Microsoft pour le cluster de basculement Windows Server
NetBIOS et WINS ne sont pas lier aux ressources d’adresse IP du cluster
Configuration « Heartbeat » privée recommandée sur un serveur de cluster
Mises à jour recommandées pour les clusters de basculement Windows Server 2008
R2 SP1
Les fonctionnalités SMB ne fonctionnent pas avec la configuration de nom réseau de
cluster non par défaut
Stratégie de prise en charge des solutions logicielles de stockage tierces
Messages d’avertissement inattendus dans un cluster de basculement virtualisé
Utiliser des nœuds de cluster Windows Server comme contrôleurs de domaine
Réseau
Réseau
Accès aux partages de fichiers distants (espace de noms SMB ou DFS)
Conseils de dépannage : SMB
Conseils de résolution des problèmes : Espace de noms DFS
Erreur « Échec de l’écriture différée »
%HOMEPATH%, %HOMESHARE%, et %HOMEDRIVE% variables sont résolus
incorrectement
Impossible d’utiliser des informations d’identification différentes pour un partage
réseau
Gestion de l’ordinateur montre que les sessions des clients sont lentes
Configurer DFS pour utiliser des noms de domaine complets
Service DFS Namespaces et ses données de configuration
Les utilisateurs du domaine ne parviennent pas à accéder à un partage sur un
serveur de fichiers
L’alias CNAME DNS ne parvient pas à connecter un partage de serveur de fichiers
SMB
Messages d’erreur sur les connexions SMB
Événement 1 sur l’initialisation du client témoin SMB
Événement 30818 lorsque les connexions RDMA basculent vers TCP
Échec de l’ouverture des partages de fichiers ou des composants logiciels
enfichables ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
L’accès invité dans SMB2 est désactivé par défaut
Correctifs logiciels pour les technologies de services de fichiers
Comment autoriser les utilisateurs distants à accéder à votre réseau
Comment créer un répertoire virtuel sur un site web existant
Comment désactiver manuellement un serveur racine
Comment supprimer des partages d’administration
Comportement de session IPC$ et de partage Null
Le lecteur réseau mappé est déconnecté
Le nom du dossier redirigé n’est pas un nom d’utilisateur
Les performances réseau de SMB Direct sont réduites
Autorisations de serveur et de fichier NFS
Des problèmes se produisent lorsque des partages administratifs sont manquants
Processus de récupération d’un espace de noms DFS
Robocopy peut signaler l’erreur 1338 ou 87
Vue d’ensemble de la signature du bloc de message serveur
Définition des options de serveur WINS principal et secondaire
Erreur système 1331 lorsque vous vous connectez à un partage
L’erreur système 67 s’est produite. Le nom du réseau est introuvable
Résoudre les échecs d’accès DFSN
Résoudre les problèmes d’ID d’événement 1020 sur un serveur de fichiers
Service de transfert intelligent en arrière-plan (BITS)
Erreur « Échec du téléchargement du fichier de contenu » lors du téléchargement
d’un fichier par BITS
DFSR
Le backlog est signalé pour le membre Read-Only DFSR
La taille du dossier ConflictAndDeleted dépasse la limite
Délégation de la réplication DFS
DFSR ne peut pas répliquer des fichiers après la restauration d’un serveur virtualisé
Blocage des bases de données DFSR sur le membre principal
Événement DFSR 2212 après le redémarrage du service DFSR
ID d’événement DFSR 2213
Le rapport d’intégrité DFSR affiche l’ID d’événement 4302
Erreur lors de la modification du groupe de réplication DFS ou de l’espace de noms
Comment configurer la journalisation DFSR
Le paramètre de sécurité modifie les retards sur les partenaires de réplication DFSR
La migration DFSR SYSVOL échoue après la mise à niveau sur place
Résoudre les erreurs journal_wrap sur les jeux de réplicas Sysvol et DFS
Résoudre les problèmes liés aux partages SYSVOL et Netlogon manquants
Scénario de déploiement DFS-R et DFS-N non pris en charge
DNS
Conseils de dépannage : DNS
Échec de l’accès à un serveur localement à l’aide de son nom de domaine complet
ou de son alias CNAME
Comportement du numéro de série de zone DNS intégré à Active Directory
Éviter d’inscrire une carte réseau indésirable dans DNS
Meilleures pratiques pour les paramètres du client DNS
Impossible de supprimer un enregistrement d’une zone DNS
Impossible de modifier le fichier Hosts ou Lmhosts
Compatibilité d’Exchange avec les domaines à étiquette unique, les espaces de
noms disjoints et discontiguous
Configurer un serveur de noms secondaire
Délais d’expiration de la résolution du client DNS
Planification de l’espace de noms DNS
Échec des requêtes DNS sur certains domaines
Les enregistrements DNS ne s’affichent pas dans les zones DNS
DNS enregistre les enregistrements SRV en double pour un contrôleur de domaine
Les serveurs DNS ne résolvent pas les requêtes pour les domaines de niveau
supérieur
Événement journaux du serveur DNS 7062
Vulnérabilité du serveur DNS aux attaques par espionnage de cache
Les options de transfert de zone DNS sont réinitialisées de manière inattendue
Le serveur DNS devient une île
Événement 4015 lors de l’exécution de DNS sur RODC
Événements 407 et 408 lors de l’interrogation du serveur DNS
ID d’événement 4000 et 4007 quand les zones DNS ne sont pas chargées
Délais de résolution des redirecteurs et des redirecteurs conditionnels
GetAddrInfo échoue avec l’erreur 11001
Comment configurer des mises à jour dynamiques DNS
Comment créer une partition d’annuaire d’applications personnalisée
Comment activer ou désactiver les mises à jour DNS
Comment déplacer des zones DNS vers un autre serveur
Intégrer Windows DNS dans un espace de noms DNS existant
Problèmes de résolution de noms et de connectivité
NBTSTAT -A ne résout pas le nom de l’ordinateur avec DNS
Aucune mise à jour dynamique sur la zone de recherche inversée sans classe
Empêcher les contrôleurs de domaine de noms DNS
Les enregistrements ne sont pas supprimés en cas de nettoyage manuel
Les indicateurs racines réapparaissent après avoir été supprimés
Stratégie de prise en charge des domaines à étiquette unique
L’enregistrement A de l’hôte est inscrit dans DNS
Fonctionnalité de commande netmask et de tourniquet (round robin)
Résoudre les problèmes liés à l’ID d’événement DNS 4013
Résoudre les problèmes de résolution de noms DNS sur Internet
Vérifier que les enregistrements DNS SRV ont été créés
Échec de l’inscription WINS si un serveur pointe vers lui-même pour la résolution de
noms WINS
Protocole DHCP (Dynamic Host Configuration Protocol)
Conseils de dépannage : DHCP
Impossible d’ajouter une réservation DHCP
Le client DHCP ne peut pas obtenir d’adresse IP affectée par DHCP
Le serveur DHCP envoie un DHCPNAK aux clients
Les mises à jour dynamiques des inscriptions DNS sont retardées
ID d’événement 1056 après l’installation de DHCP
Impossible de modifier l’étendue DHCP existante
Augmenter le nombre d’adresses IP sur un sous-réseau
Installer et configurer un serveur DHCP dans un groupe de travail
Problèmes connus avec le basculement DHCP
Les clients PXE ne démarrent pas
Utiliser l’utilitaire Netsh pour exporter et importer des étendues DHCP
Frs
Codes d’erreur du journal des événements FRS
Comment réinitialiser le dossier de préproduction FRS
NTFRS_xxxxxxxx est ajouté à un nom de dossier
Événement d’erreur NTFRS 13559 et arrêt de la réplication
Récupération d’objets et d’attributs FRS manquants dans AD
Résoudre les problèmes liés au service de réplication de fichiers
Utiliser BurFlags pour réinitialiser FRS
Windows Server version 1709 ne prend plus en charge FRS
Gestion des adresses IP (IPAM)
Une adresse IP incorrecte est retournée
Installer et configurer IP version 6
Équilibrage de charge réseau (NLB)
Concept et notes d’équilibrage de charge réseau
Configurer l’infrastructure réseau pour prendre en charge le mode d’opération NLB
RADIUS - Serveur de stratégie réseau (NPS) ou IAS (Internet Authentication Service)
Conseils de dépannage : Serveur de stratégies réseau
Exigences relatives aux certificats lorsque vous utilisez EAP-TLS
Accès à distance
Conseils de dépannage : Accès à distance (VPN et AOVPN)
Conseils de dépannage : DirectAccess
Impossible de se connecter à Internet sur un serveur VPN
Configurer le verrouillage du compte client d’accès à distance
Les clients DirectAccess ne peuvent pas se connecter au serveur
Performances réseau de DirectAccess dans Windows
Erreur 51 ou 53 lorsque vous accédez à des ressources partagées
Erreur 633 : le modem est déjà utilisé
Installation et configuration d’un serveur VPN
Échec du VPN L2TP avec l’erreur 787
Échec des connexions VPN LT2P/IPsec RAS
Configurer le routage et l’accès à distance pour un intranet
Le service de routage et d’accès à distance ne démarre pas
Résoudre l’erreur 720 lors de l’établissement d’une connexion VPN
Mises à jour pour Windows Server 2012 et DirectAccess R2 2012
Résoudre les problèmes de la console serveur DirectAccess : 6to4
Résoudre les problèmes liés à la console serveur DirectAccess : DNS
Résoudre les problèmes de la console serveur DirectAccess : contrôleur de domaine
et Kerberos
Résoudre les problèmes liés à la console serveur DirectAccess : IP-Https et IPSec
Résoudre les problèmes liés à la console serveur DirectAccess : réseau et haute
disponibilité
Communications TCP/IP
Conseils de dépannage : communication TCP/IP
Conseils de dépannage : Performances TCP/IP
Un serveur SMB ne répond pas
Échec de l’accès aux sites web hébergés sur akamai CDN
Comportement de mise en cache du protocole ARP (Address Resolution Protocol)
Passerelle par défaut vide après la configuration de l’adresse IP statique
Configurer l’ordinateur ISA Server pour les demandes d’authentification
Configurer les paramètres du serveur proxy
Configurer le service SNMP
Supprimer toutes les connexions actives de l’ordinateur local
SMB de l’hôte direct sur TCP/IP
Les clients DirectAccess ne peuvent pas se connecter lorsqu’un proxy statique est
configuré
Désactiver les fonctionnalités de proxy HTTP
Désactiver la fonctionnalité de détection de média pour TCP/IP
Désactiver NetBIOS sur TCP/IP à l’aide d’options de serveur DHCP
DNS fonctionne à la fois sur TCP et UDP
Erreur 0x2AFC ou 0x274D lorsque les clients DirectAccess tentent de se connecter
via IP-HTTPS
Message d’erreur lorsque vous définissez une adresse IP
Événement 1500 lorsque SNMP est activé
L’ID d’événement 7023 est journalisé
Échec de l’ouverture des propriétés TCP/IP de la carte réseau
Modifier l’adresse IP d’une carte réseau
Comment configurer une zone de recherche inversée subnetted
Comment configurer IPv6 pour les utilisateurs avancés
Comment configurer l’allocation de ports dynamiques RPC pour qu’elle fonctionne
avec des pare-feu
Comment configurer la mise en réseau TCP/IP si NetBIOS est désactivé
Comment installer l’adaptateur de bouclage Microsoft
Comment résoudre les problèmes liés aux fonctionnalités avancées de
performances réseau
Guide pratique pour résoudre les problèmes liés à la jointure du lieu de travail
Comment utiliser PortQry pour résoudre les problèmes de connectivité AD
Comment configurer le filtrage TCP/IP
Informations sur Network Monitor 3
Les paramètres ip et de passerelle par défaut sont attribués de manière incorrecte
Plusieurs passerelles par défaut provoquent des problèmes de connectivité
Systèmes d’exploitation commandes Net
Compatibilité du système d’exploitation avec les serveurs racines DNSSEC activés
Partie 1 : Vue d’ensemble des performances TCP/IP
Partie 2 : Problèmes réseau sous-jacents de performances TCP/IP
Partie 3 : Problèmes connus liés aux performances TCP/IP
Utilisation de l’outil en ligne de commande PortQry
Processus de l’établissement d’une liaison TCP triple
Fonctionnalité de paramétrage automatique de la fenêtre de réception pour le trafic
HTTP
Réserver une plage de ports éphémères
Vue d’ensemble des services et exigences relatives aux ports réseau
Des performances lentes se produisent lorsque vous copiez des données sur un
serveur TCP
Partage SMB inaccessible lorsque le port TCP 445 est à l’écoute
Fonctionnalités de déchargement TCP Chimney, de mise à l’échelle côté réception
et d’accès direct à la mémoire réseau
Fonctionnalités TCP dans Windows
Arrêts du trafic TCP
Les propriétés TCP/IP revient aux paramètres par défaut
TcpAckFrequency pour contrôler le comportement TCP ACK
Fonctionnalité de métrique automatique pour les itinéraires IPv4
La plage de ports dynamiques par défaut pour TCP/IP a changé
Utiliser WHOIS pour rechercher des domaines Internet
Les machines virtuelles perdent la connectivité réseau
WSAEMSGSIZE - Erreur 10040 dans Winsock 2.0
Webwindows-client et WebDAV
L’accès aux sites FQDN nécessite des informations d’identification
Pare-feu Windows avec sécurité avancée (WFAS)
Conseils de résolution des problèmes : Pare-feu Windows avec sécurité avancée
Erreur 0x000006D9 lorsque vous partagez une imprimante
Comment désactiver le mode furtif
La communication UDP est bloquée
Utiliser le contexte de pare-feu netsh advfirewall
Association de cartes réseau Windows (basculement d’équilibrage de charge)
État « Échec introuvable » pour l’équipe de carte réseau
ID d’événement 236 avec SR-IOV activé
ID d’événement du noyau 2 quand MSFT_NetLbfoTeamNic est appelé
Minuteur LACP configuré de manière incorrecte lors de la création d’une équipe de
carte réseau pour LBFO
Performances réseau médiocres sur les machines virtuelles quand VMQ est activé
Les services ne redémarrent pas automatiquement avec l’association de cartes
réseau
GAGNE
Résoudre les problèmes liés aux événements WINS 4102, 4243, 4242 et 4286
Mise en réseau sans fil et authentification 802.1X
Conseils de dépannage : technologie sans fil
Configurer le serveur L2TP/IPsec derrière l’appareil NAT-T
Configurer le partage de connexion Internet
Performances
Performances
Applications
Impossible de définir des fichiers de page sur une partition supérieure à 2 téraoctets
Compatibilité des programmes 32 bits sur les versions 64 bits de Windows
La copie de fichiers .EXE peut entraîner une erreur de violation de partage - Dossier
utilisé
ID d’événement ESENT 327 et 326
Modifications apportées au Registre dans les versions x64 de Windows
Valeurs de Registre pour les paramètres de contrôle de processus
Écran bleu/Vérification des bogues
Conseils de résolution des problèmes : arrêter les erreurs et redémarrer de façon
inattendue
Erreur « Arrêter 0x0000000A » pour les cv du processeur à partir de l’état
d’inactivité C1
Désactiver ou activer le programme Dr Watson
Erreur 0x00000007B après la reconfiguration des périphériques matériels
Erreur 0x00000019 lorsque NTFS crée un nom au format 8.3
Erreur 0x000000D1 lorsque vous avez activé le contrôleur de stockage
Impossible d’accéder au dossier partagé à partir d’applications
Comment utiliser le vérificateur de pilote pour identifier les problèmes
Options du fichier de vidage mémoire
Arrêter 7F, erreur de 0x00000008 (double-erreur)
Arrêter le code DRIVER_VERIFIER_DMA_VIOLATION
Arrêter l’erreur « DRIVER_IRQL_NOT_LESS_OR_EQUAL »
Arrêter l’erreur 0x109 sur une machine virtuelle VMWare
Arrêter l’erreur 7E sur un serveur exécutant NFS
Arrêter le code d’erreur 0x0000007F
Basculer Terminal Services vers le mode Serveur d’applications
Résoudre l’erreur « STOP 0xC000021A »
Utiliser Dumpchk.exe pour vérifier un fichier de vidage de mémoire
Le démarrage est lent
L’ordinateur se fige lorsqu’il est connecté à l’aide de RDP
Un dépôt WMI volumineux provoque une ouverture de session lente
Le service utilisant un compte gMSA ne démarre pas
Démarrage lent et échec de démarrage des services
Résoudre les problèmes de démarrage
No Boot (not BugChecks)
Écran noir au démarrage
Impossible de démarrer à partir du deuxième média de démarrage sur les
ordinateurs UEFI
Impossible de mettre en forme ou d’utiliser correctement une partition de disque
L’ordinateur ne démarre pas après que vous avez marqué la partition principale
comme étant active
L’ordinateur continue de démarrer en mode sans échec
ID d’événement 46 lorsque vous démarrez un ordinateur
Échec du redémarrage de Windows après la récupération complète du système
d’exploitation
Échec du démarrage en mode normal - Problème de pilote
Résolution des problèmes liés au Registre pour les utilisateurs avancés
Échec du démarrage lorsque la protection du microprogramme est activée
ARRÊTER 0X0000007B erreur lors du démarrage à partir d’une autre carte iSCSI
Prise en charge du démarrage à partir de SAN
Options de commutateur pour les fichiers Boot.ini
Résoudre l’erreur « NTLDR is Missing »
Utiliser WinRE pour résoudre les problèmes de démarrage
Outils d’analyse des performances
Les fréquences d’UC affichées dans la page de propriétés système ne
correspondent pas
Créer une alerte de compteur de performances
Performances de disque plus lentes avec plusieurs disques
Comment déterminer quel programme utilise ou bloque des ports TCP spécifiques
Comment activer des messages d’état détaillés
Comment obtenir un handle de fenêtre de console
Limitation connue de l’interface utilisateur des informations d’UC dans Windows
Server 2016
Les fichiers journaux sont supprimés lorsque vous utilisez Monitor de Desempenho
Régénérer manuellement les compteurs de performances
Surveiller les performances des ordinateurs distants
La fonction QueryPerformanceCounter fonctionne mal dans certains programmes
Reconstruire les valeurs de la bibliothèque de compteurs de performances
Moniteur de fiabilité n’affiche aucune information
Le processus de génération de rapports cesse de répondre
Configuration et réglage du service serveur
Le Gestionnaire des tâches affiche des informations de mémoire incorrectes
Impossible d’allouer de la mémoire à partir du pool pagagé système
Le jeu de collecteurs de données défini par l’utilisateur ne s’exécute pas comme
prévu
Mémoire virtuelle dans la version 32 bits de Windows
L’arrêt est lent ou se bloque
code de raison d’arrêt incorrect écrit dans SEL
Utiliser Userdump.exe pour créer un fichier de vidage
Performances lentes
Conseils de résolution des problèmes : Utilisation élevée du processeur
Ajouter des processeurs à un ordinateur
Une erreur se produit lors de la suppression des clés de Registre
Utilisation élevée du processeur lors de la recherche dans l’application Paramètres
Les fichiers de vidage de mémoire du noyau sont générés
Prise en charge de la mémoire volumineuse dans Windows Server 2003
Problèmes de performances avec le profil utilisateur par défaut personnalisé
Performances lentes lors de l’utilisation du plan d’alimentation
Performances lentes avec des fichiers sur le réseau
Blocage du système
Impossible de redémarrer un ordinateur Windows Server qui utilise Credential
Guard et Hyper-V
Compresser les ruches de registre volumineuses
Description du Registre Windows
La limitation du tas de bureau provoque une erreur de mémoire insuffisante
L’activation du mode débogage entraîne le blocage de Windows
L’ordinateur cesse de répondre
Impression
Impression
Conseils de dépannage : Impression
Résoudre les problèmes d’impression
Résoudre les problèmes d’impression et les meilleures pratiques
Résoudre les problèmes d’impression
Résoudre les problèmes connus d’impression
Gestion et configuration de l’installation des pilotes d’impression
Imprimer les erreurs du spouleur
Erreurs et résolution des problèmes : Problèmes généraux
Impossible d’imprimer après l’installation d’un service pack ou d’un correctif
d’imprimante
Erreur lors de l’installation d’une imprimante réseau partagée
ID d’événement associé aux restrictions de point et d’impression
La redirection d’imprimante et de lecteur ne fonctionne pas dans une session
Terminal Server
Performances lentes avec les pilotes d’imprimante HP
Spooler.xml croissance des fichiers et un processeur élevé dans spoolsv.exe
processus
Le nouvel état de l’imprimante est hors connexion
Impossible d’imprimer avec les pilotes d’imprimante de type 4 ou 3
Windows n’a pas pu se connecter à l’imprimante
Erreurs et résolution des problèmes : sortie d’impression ou échecs d’impression
L’impression s’interrompt après chaque 11 travaux d’impression
Erreurs et résolution des problèmes : Spouleur d’impression
La taille du fichier spool EMF augmente en taille lors de l’impression d’un document
avec un grand nombre de données raster
Liste des imprimantes vide dans la console de gestion des impressions
Le spouleur d’imprimante se bloque de manière aléatoire
Gestion et configuration : Problèmes généraux
Ajouter la fonctionnalité Répertoire d’impression pour les dossiers
Comment imprimer dans un fichier sans intervention de l’utilisateur
Les serveurs ne peuvent pas être utilisés comme serveurs d’impression
Moniteur de port standard pour TCP/IP
Utiliser des enregistrements CNAME pour consolider les serveurs d’impression
Gestion et configuration : installation de pilotes d’impression
Un pilote d’imprimante ne peut pas être installé via Windows Update
Comment configurer l’impression Sur Internet
Comment trouver un pilote d’imprimante compatible
Installation et configuration d’un serveur de fichiers et d’impression
Les imprimantes sont regroupées en une seule avec des appareils et des
imprimantes
Gestion et configuration : sauvegarde et migration de file d’attente d’impression
Sauvegarder et restaurer des imprimantes lors de la mise à niveau
Gestion et configuration : imprimantes via ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
Utiliser ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬pour contrôler les imprimantes
Services Bureau à distance
Services Bureau à distance
Administration
Un écran noir peut apparaître lors de la connexion
Échec de l’ajout du rôle Services Bureau à distance
Mises à jour disponibles pour les services Bureau à distance dans Windows Server
2012 R2
Impossible de créer une collection de sessions
Configuration de la connexion dans Terminal Server
Refuser aux utilisateurs les autorisations de se connecter au serveur hôte de session
Bureau à distance
Erreur 2147944102 lorsque vous démarrez le service BITS
Fair Share est activé par défaut dans les services Bureau à distance
Comment ajouter un utilisateur aux autorisations RDP de Terminal Services
Comment activer Windows Remote Shell
Comment ombrager une session Terminal Server
Comment désactiver temporairement les journaux du client Terminal Server
TLS incorrect s’affiche
Installer le service de rôle RDS sans Service Broker de connexion
Limiter les connexions sur un serveur terminal
Fichiers journaux pour la résolution des problèmes liés aux services Bureau à
distance
RdS ne parvient pas à s’installer avec l’erreur 0x800706D9
Mises à jour recommandées pour rds dans Windows Server 2012 R2
Présentation du protocole Bureau à distance
Le service Bureau à distance ne peut pas redémarrer si Keep-Alive est activé
Les outils des services Bureau à distance ne sont pas fonctionnels
Mises à jour des services Bureau à distance dans Windows Server 2012
Mises à jour des services Bureau à distance dans Windows Server 2016
Configurer le script d’ouverture de session uniquement pour les utilisateurs de
Terminal Server
Commandes du serveur terminal : CHANGE
Erreurs Terminal Server 2200 à 2299
Démarrage, connexion et application de Terminal Server
Paramètres de connexion stockés dans le fichier Default.rdp
Mises à jour pour les services Bureau à distance
Compatibilité des applications
Configuration requise du client RDC pour TS Web Access
Paramètres de Registre Terminal Server pour les applications
Authentification
0xC000035B lorsque vous utilisez LmCompatibility
Les clients ne peuvent pas se connecter à Terminal Server
Impossible de contacter l’autorité de sécurité locale
Gestion des certificats
Messages d’erreur lors de la connexion à un serveur terminal
Échec du répartiteur de connexions RDS ou RDMS
Utiliser un certificat d’authentification serveur personnalisé pour TLS sur RDS
Connexion à une session ou un bureau
Se connecter à une session de console fantôme avec Terminal Services
Erreur 0xc0000005 lorsque vous vous connectez au client Terminal Server
ID d’événement 10000 lorsque Terminal Server est activé
Impossible de se connecter à un serveur terminal
Comment connecter des clients à Terminal Services
Comment supprimer des entrées de la zone Ordinateur de connexion Bureau à
distance
La stratégie locale n’autorise pas l’ouverture de session de manière interactive
Le nouvel utilisateur ne parvient pas à se connecter via RDP
La fonctionnalité RSL (Registry Size Limit) est toujours respectée
Le contrôle à distance demande l’autorisation de l’utilisateur
Mise à jour du client Connexion Bureau à distance 6.1
La connexion bureau à distance est bloquée
La session connexion Bureau à distance est prise en charge avec le protocole Bureau
à distance
Résoudre les problèmes d’établissement d’une session Terminal Services
Résoudre les erreurs de Bureau à distance déconnecté
Équilibreur de charge et répartiteur de connexions
Problèmes de communication
Le rôle RDS ne peut pas coexister avec le rôle AD DS
La batterie de serveurs Bureau à distance n’est pas disponible sur DirectAccess
Performances (audio et vidéo) et RemoteFX
Le taux d’images est limité à 30 FPS dans les sessions distantes
Les machines virtuelles remoteFX nouvelles et existantes ne démarrent pas
Les paramètres GPU physiques ne sont pas disponibles après la jonction de domaine
Le Bureau à distance ne peut pas se connecter à un poste de travail virtuel
Impression (y compris la redirection)
La redirection de l’imprimante ne fonctionne pas
RDWeb
Impossible d’afficher les programmes « RemoteApp »
Impossible de se connecter à un ordinateur distant
Aucune icône Connectée dans la zone de notification
L’onglet Bureau à distance dans RDWEB est manquant dans Edge
Redirection (et non imprimante)
Le changement d’état de verrouillage des majuscules n’est pas synchronisé avec
l’ordinateur client
Échec de la copie de fichiers de plus de 2 Go
Le scanneur redirigé USB RemoteFX ne démarre pas
Licence des services Bureau à distance (Terminal Services)
Conseils de dépannage : Gestion des licences rds
Impossible de se connecter aux services Bureau à distance, car aucun serveur de
licences des services Bureau à distance n’est disponible
Erreur « Les licences ne sont pas disponibles pour ce Bureau à distance » dans Le
diagnostic des licences
Configurer les certificats d’écouteur RDP
Désactiver ou réactiver un serveur de licences
Erreur après la configuration des serveurs broker de connexion Bureau à distance
pour la haute disponibilité
ID d’événement 4105 lors de l’exécution des licences bureau à distance
ID d’événement 44 sur un serveur de licences RDS
Guide pratique pour intaller et configurer le connecteur externe
Guide pratique pour déplacer des listes de certification Terminal Services
Les attributs de licence ne sont pas mis à jour
Le service de gestion des licences bureau à distance ne démarre pas
Supprimer des licences Terminal Server du client RDP
Configurer les licences bureau à distance entre les forêts de domaines ou les
groupes de travail
Licence Terminal Server pour le déploiement
Licences Terminal Server
Sessions bureau à distance
Conseils de dépannage : connectivité de session RDS
« Erreur système 67 » lors de l’utilisation du nom de domaine complet pour
connecter un ordinateur distant
Blocage des applications si un autre utilisateur se déconnecte
Mises à jour disponibles pour Terminal Services (Services Bureau à distance)
Impossible de supprimer un hôte bureau à distance d’un déploiement RDS
Impossible d’établir une session Bureau à distance
Impossible d’agrandir la fenêtre de session RDC en plein écran
Modifications apportées aux 連線管理員 distantes
Les clients sont déconnectés pendant ‫ ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬mise à jour
Le répartiteur de connexions ne peut pas être mixte
Comment désactiver le message d’avertissement pour les sessions bureau à distance
inactives
La redirection de lecteur local ne fonctionne pas dans la session RDP
Déconnecter tous les utilisateurs de session Terminal Server
La commande QUERY USER ne peut pas interroger à partir d’un serveur distant
Le client RDS ne peut pas se connecter au serveur hôte de session Bureau à distance
Connexion Bureau à distance 6.0 invite à entrer des informations d’identification
La virtualisation IP bureau à distance ne fonctionne pas
La session Bureau à distance ou RemoteApp ne se termine pas
Partage d’applications uniques avec Terminal Server
MSG de commandes Terminal Server
Le répertoire d’accueil de l’utilisateur terminal Server n’est pas défini correctement
Applications RemoteApp
L’application ne démarre pas dans la session TS RemoteApp
Afficher les problèmes lors du déploiement d’applications via le mode Hi-Def
RemoteApp
Les sessions RemoteApp sont déconnectées
Infrastructure VDI (Virtual Desktop Infrastructure)
Erreur « Ce nom d’ordinateur n’est pas valide » lors de l’ombrage d’une session
distante
La collection VDI nécessite une approbation bidirectionnelle
Ressources
Agent virtuel
Présentation de l’agent de support virtuel pour Windows Commercial
Sécurité et programmes malveillants
Sécurité et programmes malveillants
Suspicion qu’un processus ou un service inconnu est malveillant
Alerte de virus sur le ver Blaster et ses variantes
Expérience shell
Expérience shell
Applications tierces
Impossible de créer une règle de hachage AppLocker pour un fichier
Cortana et la recherche
La recherche Windows est désactivée par défaut
Desktop Shell
Impossible de configurer un module linguistique
Impossible d’utiliser la commande « runas »
Activer et utiliser la fonctionnalité d’identification
Erreur multipoint Manager au démarrage
Le Gestionnaire de tâches affiche une valeur incorrecte pour le cache L2/L3
Utiliser l’exécution pour démarrer une application en tant qu’administrateur
Problèmes d’ppp et d’affichage
L’ajustement ppp n’est pas disponible dans la session à distance
DST et fuseaux horaires
Heure incorrecte sur les versions 64 bits de Windows
Le format de date par défaut est modifié
проводник/l’Explorateur Windows
Utilisation accrue du processeur lors de l’accès à un partage FileTable
Le dossier TEMP avec l’ID de session d’ouverture de session est supprimé
Écran de verrouillage ou économiseur d’écran
Impossible d’afficher le nom du dernier utilisateur connecté
Assistance à distance
La connexion d’assistance à distance ne fonctionne pas avec le chiffrement FIPS
Menu Démarrer
Les raccourcis du menu Démarrer ne sont pas immédiatement accessibles
Lecteur Windows Media
Comment activer les fonctionnalités d’expérience utilisateur
Mise en réseau définie par logiciel
Mise en réseau définie par logiciel
Conseils de dépannage : SDN
Serveur DNS interne pour SDN
Centre de données défini par logiciel et mise en réseau à définition logicielle
Composants de gestion système
Composants de gestion système
Observateur d'événements
Échec du transfert du journal des événements de sécurité avec erreur 0x138C et
5004
Aide et support
Le suivi d’événements pour Windows est simplifié
Outils de support Windows Server 2003 Service Pack 1
Microsoft Management Console (MMC)
Un service lent ne démarre pas en raison d’une erreur de délai d’attente
Impossible de se connecter à Enhedshåndtering à distance
Erreur 1783 lorsque vous ouvrez Services.msc
Échec de l’activation du journal des événements d’analyse ou de débogage
Modifier à distance le registre d’un ordinateur client
Résoudre les problèmes liés aux autorisations de démarrage du service
Résoudre les problèmes de connectivité de la console Administrateur SMS
Présentation de MMC
PowerShell
Enter-PSSession cmdlet échoue
Les caractères CJC sont tronqués dans PowerShell
Gestionnaire de serveur
code d’erreur 0x800706BE
Erreur lorsque vous sélectionnez Rôles dans 伺服器管理員
Outils d'administration de serveur distant
Gestionnaire des tâches
Échec de l’ouverture du Gestionnaire des tâches
Planificateur de tâches
Erreur 0x8007000d lorsque vous exécutez une ancienne tâche planifiée
Guide pratique pour planifier un processus serveur
La tâche planifiée peut ne pas s’exécuter au redémarrage
Les tâches planifiées référencent des chemins d’accès de profil utilisateur incorrects
Winrm
Le service WinRM ne démarre pas
WMI
Utilisation élevée du processeur par processus WmiPrvSE.exe
Erreur 0x8004106C pendant l’exécution de requêtes WMI
Événement 5605 lors de l’interrogation de l’espace de noms MSCluster par WMI
Événement Microsoft-Windows-RPC-Events 11 après le redémarrage
Nouveau comportement de l’arbitre WMI
UserProfiles et ouverture de session
UserProfiles et ouverture de session
Redirection de dossiers
Échec de la configuration de la redirection de dossiers avec ‫ﻧﻬﺞ اﻟﻤﺠﻤﻮﻋﺔ‬
La redirection de dossier échoue avec ERROR_SEM_TIMEOUT
Les paramètres de redirection de dossier ne sont pas appliqués
Échec de l’ouverture de session de l’utilisateur
Informations d’ouverture de session de domaine mises en cache
Impossible de se déconnecter à partir d’un ordinateur
Erreur 1384 lorsque vous vous connectez à un domaine
Erreur : le serveur RPC n’est pas disponible
L’ouverture de session interactive n’est pas autorisée
Activer l’ouverture de session automatique
Le chargement des profils utilisateur peut échouer
Windows se connecte et se déconnecte immédiatement
Profils utilisateur
Erreur « Le nom de fichier ou l’extension est trop long »
Affecter un script d’ouverture de session à un profil pour un utilisateur local
Guide pratique pour créer des dossiers redirigés ou des dossiers d’accueil optimisés
pour la sécurité
Comment supprimer un profil utilisateur
Gestion de la détection de liaison lente du service profil utilisateur
Problèmes d’ouverture de session lorsque vous activez « Exécuter des scripts
d’ouverture de session de façon synchrone »
Échec du chargement du profil
Réadressation des répertoires Utilisateurs et ProgramData
Gestion de versions des profils utilisateur itinérants
L’utilisateur peut ne pas être en mesure de modifier son mot de passe
Virtualisation
Virtualisation
Sauvegarde et restauration de machines virtuelles
Sauvegarder et restaurer une machine virtuelle Hyper-V
Sauvegarder des machines virtuelles à partir d’une partition parente
Sauvegarde de machines virtuelles appartenant à un cluster invité
Impossible d’exporter une machine virtuelle
Erreur 0x80070005 lors de l’exportation de machines virtuelles vers un partage
réseau
Conteneur
L’appel d’API des compteurs de performances est retardé
Configuration des paramètres de machine virtuelle
Mise en cache dans la pile de stockage virtuel
Le copier-coller ne fonctionne pas lorsque vous vous connectez à une machine
virtuelle Hyper-V
L’allocation de mémoire dynamique dans une machine virtuelle ne change pas
Carte réseau fantôme générée à partir de modèles VMware
Hyper-V limite le nombre maximal de processeurs
La machine virtuelle Hyper-V ne démarre pas et déclenche 0x80070057 erreur
Emplacements de fichiers pris en charge par la machine virtuelle Hyper-V
Importation d’une machine virtuelle
Problèmes de résolution de la souris et de l’écran
Démarrage et arrêt lents sur les machines virtuelles
La structure d’ID de sécurité n’est pas valide (0x80070539)
Utilisation d’Hyper-V avec des lecteurs grand secteur
Échec de l’utilisation de Vmconnect.exe pour se connecter à une machine virtuelle
ID d’événement fournisseur de base VDS 1
La machine virtuelle ne peut pas atteindre le réseau lorsque le balisage vLan est
activé
Machines virtuelles à haute disponibilité
Impossible de modifier la valeur ConfigStoreRootPath d’un cluster Hyper-V
Les utilisateurs ne peuvent pas se connecter au serveur virtuel après le basculement
Virtualisation de réseau Hyper-V (HNV)
ID d’événement 106
Réplica Hyper-V
Événements 18210 et 3041 lorsque le réplica Hyper-V est configuré
Événements lors de la sauvegarde d’un disque sur la machine réplica
Optimisation des fonctionnalités et des performances de HVR
La réplication Hyper-V est suspendue à l’arrêt du système
Installation et configuration d’Hyper-V
Exclusions antivirus pour les hôtes Hyper-V
Impossible d’importer une machine virtuelle
Événement 7000 après l’installation du rôle Hyper-V
Échec du service VMM Hyper-V avec l’ID d’événement 14050
Les erreurs de version incompatibles sont consignées
Problèmes lors du démarrage de la machine virtuelle ou de l’installation d’Hyper-V
Mises à jour recommandées pour Windows Server 2012 environnements Hyper-V
R2
Correctifs logiciels, mises à jour et solutions connues recommandés
Exécuter des programmes sur des logiciels de virtualisation matérielle non Microsoft
Échec de SCVMM P2V avec erreur 0x80070005
Spécifications pour le matériel émulé et synthétique pris en charge
Stratégie de support pour l’association de cartes réseau avec Hyper-V
Mettre à niveau des ordinateurs avec le rôle Hyper-V installé
Composants d’intégration
Message des services d’intégration détériorés pour les invités non Windows
L’ID d’événement 4096 est enregistré dans l’hôte Hyper-V
La synchronisation de l’heure Hyper-V n’ajuste pas l’horloge du système de machine
virtuelle
La valeur de temps d’activité de la console de gestion Hyper-V passe à l’heure de
reprise
L’appareil VMBus ne se charge pas
L’état de VM Integration Services signale une incompatibilité de version de
protocole
Appareils inconnus dans Device Manager
Migration dynamique
Conseils de dépannage : Migration dynamique
Impossible de migrer une machine virtuelle d’un hôte vers un autre
Échec du démarrage ou de la migration dynamique des machines virtuelles Hyper-V
Résoudre les problèmes de migration dynamique
Captures instantanées, points de contrôle et disques de différenciation
Impossible de supprimer un point de contrôle de récupération pour une machine
virtuelle dans DPM
Fusion des points de contrôle qui ont plusieurs disques de différenciation
Configuration du stockage
Impossible d’ajouter un deuxième adaptateur Fibre Channel
Message d’erreur après avoir placé le fichier de page sur un autre lecteur que le
lecteur C
Échecs d’E/S FCoE sur les invités Hyper-V
Les numéros d’unités logiques de machine virtuelle disparaissent une fois que vous
les avez configurés en tant qu’appareils MPIO
Création d’une machine virtuelle
Erreur lors de la gestion d’un fichier VHD
Logiciels serveur Microsoft et environnements de virtualisation pris en charge
Partenaires de support pour les logiciels de virtualisation matérielle autres que
Microsoft
Machines virtuelles manquantes
État de la machine virtuelle
Get-VMNetworkAdapter commande ne signale pas d’adresses IP
Les actions d’arrêt de machine virtuelle ne s’exécutent pas
虛擬機器 entrer l’état suspendu
La machine virtuelle ne démarre pas
Erreur « Impossible de démarrer la machine virtuelle »
0x8000FFFF erreur lorsque vous démarrez une machine virtuelle
Échec du démarrage de la machine virtuelle sélectionnée
La machine virtuelle Hyper-V ne peut pas démarrer lorsque le lancement sécurisé
de System Guard est activé
Échec du démarrage de la machine virtuelle Hyper-V
Les machines virtuelles Hyper-V restaurées peuvent ne pas démarrer
La machine virtuelle ne démarre pas
Virtual Switch Manager (vmswitch)
Impossible de créer un commutateur virtuel dans Hyper-V
Échec de la création de commutateurs V dans l’environnement Hyper-V
Limite par défaut de 256 adresses MAC dynamiques
La connectivité réseau est perdue si VMQ est activé
Événement VmSwitch Error 113
Sécurité Windows
Sécurité Windows
Verrouillages de compte
Outils de verrouillage et de gestion de compte
Comportement d’expiration du mot de passe du compte administrateur
Énumérer les comptes d’utilisateur verrouillés à l’aide de requêtes enregistrées
Renommer les comptes d’administrateur et d’invité
Utiliser l’utilitaire EventCombMT pour rechercher des verrouillages de compte dans
les journaux des événements
Bitlocker
Conseils de dépannage : MBAM
Comment configurer MBAM avec une communication réseau sécurisée
Utilisation de la visionneuse de mot de passe de récupération BitLocker
L’enregistrement d’ordinateur est rejeté dans MBAM
Erreur lors de l’ouverture de rapports dans MBAM
Erreur lors de l’affichage des rapports dans MBAM
Les rapports d’entreprise MBAM ne sont pas mis à jour
MBAM ne parvient pas à s’approprier le TPM
Échec de l’installation de MBAM si SSRS n’est pas configuré correctement
Certificats et infrastructure à clé publique (PKI)
« Erreur Http 500.0 » lors de l’obtention du mot de passe de défi d’inscription NDES
Ajouter SAN au certificat LDAP sécurisé
Approbation requise pour les renouvellements de certificats
L’autorité de certification ne publie pas de certificats dans un domaine approuvé
Impossible de demander un certificat à partir de pages d’inscription web
Impossible de demander un certificat à l’aide de l’inscription web
La commande Certutil -view ne retourne pas de certificats émis
Les ordinateurs clients ne peuvent pas chiffrer un fichier dans un domaine
Les clients ne peuvent pas s’authentifier auprès d’un serveur
Chiffrement 32 8 événements signalés en continu
L’ID d’événement 4107 ou l’ID d’événement 11 est journalisé
Comment désactiver l’autorité de certification d’entreprise Windows et supprimer les
objets associés
Comment développer la limite maximale de taille d’extension à AD CS
Comment importer des autorités de certification tierces dans le magasin Enterprise
NTAuth
Comment installer des certificats importés sur un serveur web
KDC_ERR_C_PRINCIPAL_UNKNOWN dans la requête S4U2Self
Suppression de la stratégie commune fédérale des États-Unis du magasin racine
approuvé Microsoft
Les certificats de serveur Bureau à distance sont renouvelés deux fois par jour
Échec du renouvellement du certificat de l’Agent d’inscription
Configuration requise pour les certificats de contrôleur de domaine provenant d’une
autorité de certification tierce
Limiter les algorithmes et protocoles de chiffrement
Le certificat d’autorité de certification racine n’apparaît pas
Échec de la validation du certificat de sécurité
Modèles de certificats remplacés et impact sur le magasin AD de l’utilisateur
Prise en charge des algorithmes de chiffrement Suite B
Utiliser et résoudre les problèmes liés à la fonction CryptAcquireContext
Utiliser Cipher.exe pour remplacer les données supprimées
Approbations de domaine et de forêt
Erreur « Le serveur n’est pas opérationnel » lors de l’ajout d’un utilisateur de
domaine approuvé
Impossible de configurer une approbation entre un domaine Windows et un
domaine basé sur AD
Les noms de forêts qui se chevauchent provoquent des problèmes
Impossible de résoudre l’identificateur de sécurité
Les domaines approuvés n’apparaissent pas
Les utilisateurs et les groupes ne peuvent pas être ajoutés à la forêt approuvée
Authentification Kerberos
Échec de l’authentification sur les serveurs NTLM et Kerberos
La délégation contrainte pour CIFS échoue avec ACCESS_DENIED
Erreur KDC de l’ID d’événement 27 sur les contrôleurs de domaine
Comment désactiver l’autre nom de l’objet pour le mappage UPN
Comment forcer Kerberos à utiliser TCP au lieu d’UDP
Événement KDC 16 ou 27 si DES pour Kerberos est désactivé
Le service KDC sur un rodc ne peut pas démarrer et génère l’erreur 1450
L’authentification Kerberos échoue lorsqu’un utilisateur appartient à de nombreux
groupes
Le SPN Kerberos est sur un compte incorrect
Erreur etype Kerberos non prise en charge
KRB_AP_ERR_MODIFIED erreur sur le client Kerberos
Échec de la journalisation sur un compte d’utilisateur
Clés de Registre sur le protocole Kerberos et le KDC
La compression SID de ressource provoque des problèmes d’autorisation
Échec de l’authentification unique avec pré-ouverture de session lors de l’ouverture
de session de l’utilisateur
Échec des demandes TGS pour le compte krbtgt
L’Assistant Inscription d’empreintes digitales ne s’exécute pas
Impossible de se connecter à un domaine
Authentification héritée (NTLM)
L’événement d’audit affiche le package d’authentification en tant que NTLMv1
Auditer l’utilisation de NTLMv1 sur un contrôleur de domaine
Échec de l’authentification des membres de domaine
Erreur lors de la connexion à un site Web
Comment désactiver les modifications automatiques du mot de passe du compte de
machine
Comment empêcher Windows de stocker un hachage LM du mot de passe
Exemples et algorithmes de validation d’accès réseau
Un nouveau paramètre modifie l’authentification réseau NTLM
Authentification utilisateur NTLM
Réglage des performances pour l’authentification NTLM
Les mises à jour Windows ajoutent de nouvelles protections d’authentification
directe NTLM pour CVE-2022-21857
Autorisations, contrôle d’accès et audit
Les fichiers journaux .bak sont supprimés et perdus
Impossible de copier des fichiers du lecteur mappé vers le répertoire local
Autorisations par défaut pour les dossiers MachineKeys
N’avez pas l’autorisation d’accéder au dossier
Erreur 1079 lorsque les services ne démarrent pas
Évaluer les autorisations effectives pour les ressources distantes
Accorder l’autorisation « Réplication des modifications d’annuaire »
Accorder aux utilisateurs les droits de gestion des services
Comment désactiver le contrôle de compte d’utilisateur
Comment activer l’audit des objets AD
Les autorisations héritées ne sont pas automatiquement mises à jour
Marquer un attribut comme confidentiel
Nombre maximal d’entrées de contrôle d’accès
SeImpersonatePrivilege et SeCreateGlobalPrivilege
Les paramètres d’audit de sécurité ne sont pas appliqués lorsque vous déployez une
stratégie basée sur un domaine
Les SID ne sont pas résolus en noms conviviaux
Contrôle de compte d’utilisateur et restrictions à distance
nous ne pouvons pas accéder au journal de sécurité
Problèmes de canal sécurisé
Un ordinateur ne peut pas identifier le réseau
Configurer la clé prépartagée pour utiliser L2TP
Déployer un ordre de suite de chiffrement personnalisé
Réinitialiser le mot de passe du contrôleur de domaine avec Netdom.exe
Problèmes de canal sécurisé détectés
Problèmes de communication SSL/TLS après l’installation d’une mise à jour
Modèles de sécurité
Appliquer des modèles de sécurité prédéfinis
Ouverture de session par carte à puce
Activation de l’ouverture de session de carte à puce
Faq sur la fin du support Windows Server (EoS)
Fin de la prise en charge de Windows Server 2008 et Windows Server 2008 R2
Utilitaires de résolution des problèmes Windows
Présentation de l’ensemble d’outils TroubleShootingScript (TSSv2)
Documentation Active Directory
22/09/2022 • 2 minutes to read

Les rubriques de cette section fournissent des solutions et des guides de scénario pour vous aider à résoudre les
problèmes liés à Active Directory et à résoudre eux-mêmes ces problèmes. Les rubriques sont divisées en sous-
catégories. Parcourez le contenu ou utilisez la fonctionnalité de recherche pour rechercher du contenu pertinent.

Sous-catégories Active Directory


Sauvegarde, restauration ou récupération d’urgence Active Directory
Services de certificat Active Directory
Problèmes de base de données Active Directory et échecs de démarrage du contrôleur de domaine
Mises à jour au niveau fonctionnel du domaine ou de la forêt Active Directory
Services AD FS (Active Directory Federation Services)
Active Directory FSMO
Active Directory Lightweight Directory Services (AD LDS) et ADAM (Active Directory Application Mode)
Active Directory Migration Tool (ADMT)
Réplication Active Directory
Topologie Active Directory (sites, sous-réseaux et objets de connexion)
DCPromo et l’installation des contrôleurs de domaine
Évolutivité ou performances du contrôleur de domaine (y compris LDAP)
Problèmes de jointeurs de domaine
Configuration et interopérabilité LDAP
Mise à jour du schéma : problèmes connus, meilleures pratiques, révision de flux de travail
Échec ou conflit de mise à jour du schéma
Protocole TLS (Transport Layer Security)
Gestion des utilisateurs, des ordinateurs, des groupes et des objets
Contrôleur de domaine virtualisé (erreurs et questions)
Windows Service de temps
Le contrôleur de domaine ne démarre pas, une
erreur c00002e2 se produit ou l’option « Choisir une
option » s’affiche.
22/09/2022 • 3 minutes to read

Cet article permet de corriger l’erreur c00002e2 ou « Choisir une option » lorsque le contrôleur de domaine ne
démarre pas.
S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine : 2737463

Symptômes
Un contrôleur de domaine ne démarre pas ou n’affiche pas l’écran d’accueil. Après avoir redémarré le contrôleur
de domaine et suivi le processus de démarrage, vous remarquez les symptômes suivants, en fonction de votre
système d’exploitation.
Windows Server 2008 R2 ou Windows Server 2008
1. Au démarrage, le serveur subit une erreur d’arrêt et affiche brièvement le message d’erreur suivant :

STOP : les services d’annuaire c00002e2 n’ont pas pu démarrer en raison de l’erreur suivante :
La procédure spécifiée est in trouver
État de l’erreur : 0xc000007a.

2. Le serveur bascule ensuite vers le menu de démarrage pour la récupération ou pour un démarrage
normal.
Windows Server 2012 versions ultérieures
Au démarrage, le serveur bascule vers le menu Choisir une option qui permet de continuer ou de résoudre les
problèmes.

Cause
Ce problème se produit car le rôle Services de domaine Active Directory a été supprimé d’un contrôleur de
domaine sans le rétrograder au premier abord. L’utilisation Dism.exe, Pkgmgr.exe ou Ocsetup.exe pour
supprimer le rôle DirectoryServices-DomainController réussit, mais ces outils de maintenance ne valident pas si
l’ordinateur est un contrôleur de domaine.

Résolution
NOTE
Ces étapes supposent que vous avez d’autres contrôleurs de domaine actifs et que vous souhaitez uniquement supprimer
les services de domaine Active Directory de ce serveur. Si vous n’avez pas d’autres contrôleurs de domaine qui
fonctionnent et qu’il s’agit du seul contrôleur de domaine dans le domaine, vous devez restaurer une sauvegarde d’état
système antérieure.
Windows Server 2008 R2 ou Windows Server 2008
1. Redémarrez le serveur pendant que vous maintenez shift+F8.
2. Sélectionnez le mode de réparation des services d’annuaire (DSRM), puis connectez-vous à l’aide du
compte DSRM.
3. Vérifier que le rôle a été supprimé. Par exemple, pour le faire sur Windows Server 2008 R2, utilisez la
commande suivante :

dism.exe /online /get-features

4. Ajoutez DirectoryServices-DomainController rôle de serveur au serveur. Par exemple, pour le faire sur
Windows Server 2008 R2, utilisez la commande suivante :

dism.exe /online /enable-feature /featurename:DirectoryServices-DomainController

5. Redémarrez et sélectionnez de nouveau le mode de restauration des services d’annuaire.


6. Appliquez un paramètre /forceremoval pour supprimer les services de domaine Active Directory du
contrôleur de domaine. Pour ce faire, exécutez la commande suivante :

dcpromo.exe /forceremoval

7. Pour supprimer les métadonnées du contrôleur de domaine, utilisez ntdsutil.exe ou l’outil dsa.msc.
Windows Server 2012 versions ultérieures
1. Dans le menu Choisir une option, sélectionnez Résoudre les problèmes, cliquez sur Démarrer
Paramètres, puis cliquez sur Redémarrer.
2. Sélectionnez le mode de réparation des services d’annuaire (DSRM), puis connectez-vous à l’aide du
mot de passe DSRM.
3. Vérifier que le rôle a été supprimé. Pour ce faire, utilisez la commande suivante :

dism.exe /online /get-features

4. Ajoutez DirectoryServices-DomainController rôle de serveur au serveur. Pour ce faire, utilisez la


commande suivante :

dism.exe /online /enable-feature /featurename:DirectoryServices-DomainController

5. Redémarrez, sélectionnez de nouveau le mode de restauration des services d’annuaire et connectez-


vous à l’aide du compte DSRM.
6. Utilisez le Gestionnaire de serveur ou Windows PowerShell et appliquez un paramètre -ForceRemoval
pour supprimer les services de domaine Active Directory du contrôleur de domaine. Pour ce faire,
exécutez la commande suivante :

Uninstall-AddsDomaincontroller -ForceRemoval

7. Pour supprimer les métadonnées du contrôleur de domaine, utilisez ntdsutil.exe ou l’outil dsa.msc.
Informations supplémentaires
Utilisez toujours le Gestionnaire de serveur ou le module Windows PowerShell ServerManager pour supprimer
les binaires du rôle Services de domaine Active Directory. Ces outils valident si un serveur est un contrôleur de
domaine actif et ne vous permet pas de supprimer les fichiers critiques.
Pour plus d’informations sur la suppression des métadonnées du contrôleur de domaine, voir le site web
Microsoft TechNet suivant :
Nettoyer les métadonnées du serveur
S’il s’agit du seul domaine serveur dans le domaine, ne supprimez pas les services de domaine Active Directory
du serveur. Restituer à la place son état système à partir de la sauvegarde la plus récente.
Un contrôleur Windows server enregistre
l’événement Directory Services 2095 lorsqu’il
rencontre une rollback USN
22/09/2022 • 18 minutes to read

Cet article explique comment détecter et récupérer si un contrôleur de domaine Windows Server est
incorrectement rétabli à l’aide d’une installation basée sur une image du système d’exploitation.
S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine : 875495

NOTE
Cet article est destiné uniquement aux agents de support technique et aux professionnels de l’informatique. Si vous
recherchez de l’aide sur un problème, demandez à l’Community Microsoft.

Résumé
Cet article décrit un échec de réplication Active Directory silencieux provoqué par une mise à jour de numéro de
séquence (USN). Une restauration USN se produit lorsqu’une ancienne version d’une base de données Active
Directory est restaurée ou passée de manière incorrecte sur place.
Lorsqu’une récupération usn se produit, les modifications apportées aux objets et aux attributs qui se
produisent sur un contrôleur de domaine ne sont pas répliquées sur d’autres contrôleurs de domaine dans la
forêt. Étant donné que les partenaires de réplication pensent avoir une copie à jour de la base de données Active
Directory, les outils de surveillance et de dépannage tels que Repadmin.exe ne signalent aucune erreur de
réplication.
Les contrôleurs de domaine enregistrent l’événement Directory Services 2095 dans le journal des événements
des services d’annuaire lorsqu’ils détectent une rollback USN. Le texte du message d’événement dirige les
administrateurs vers cet article pour en savoir plus sur les options de récupération.
Exemple d’entrée de journal de l’événement 2095
Log Name: <Service name> Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Date: <DateTime>
Event ID: 2095
Task Category: Replication
Level: Error
Keywords: Classic
User: <USER NAME>
Computer: SERVER.contoso.com
Description:

During an Active Directory Domain Services replication request, the local domain controller (DC) identified
a remote DC which has received replication data from the local DC using already-acknowledged USN tracking
numbers.

Because the remote DC believes it is has a more up-to-date Active Directory Domain Services database than
the local DC, the remote DC will not apply future changes to its copy of the Active Directory Domain
Services database or replicate them to its direct and transitive replication partners that originate from
this local DC.

If not resolved immediately, this scenario will result in inconsistencies in the Active Directory Domain
Services databases of this source DC and one or more direct and transitive replication partners.
Specifically the consistency of users, computers and trust relationships, their passwords, security groups,
security group memberships and other Active Directory Domain Services configuration data may vary, affecting
the ability to log on, find objects of interest and perform other critical operations.

To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or


contact your Microsoft product support.

The most probable cause of this situation is the improper restore of Active Directory Domain Services on the
local domain controller.

User Actions:

If this situation occurred because of an improper or unintended restore, forcibly demote the DC.

Les rubriques suivantes abordent la façon de détecter et de récupérer à partir d’une rollback USN dans un
contrôleur de domaine Windows server.

Méthodes prise en charge pour la back up Active Directory sur les


contrôleurs de domaine qui exécutent Windows Server 2012 versions
ultérieures
Windows Server 2012 prise en charge de Hyper-Visor ID de génération (GenID). Cela permet à l’invité virtuel de
détecter les volumes de disque qui ont un nouvel ID et de répondre au nouveau GenID. Dans Active Directory,
les services d’annuaire réagissent comme si le contrôleur de domaine avait été restauré à partir d’une
sauvegarde. Il génère ensuite un nouvel ID d’appel. En utilisant le nouvel ID d’appel, l’instance de base de
données peut entrer de nouveau en toute sécurité la réplication dans la forêt.
Il s’agit de l’un des scénarios abordés dans le déploiement et la configuration du contrôleur de domaine
virtualisé.

Méthodes prise en charge pour la back up Active Directory sur les


contrôleurs de domaine qui exécutent Windows Server 2003 ou
versions ultérieures de Windows Server
Au cours du cycle de vie d’un contrôleur de domaine, vous de devez restaurer ou « restaurer » le contenu de la
base de données Active Directory à un point connu dans le temps. Vous pouvez également être appelé à
retourner les éléments du système d’exploitation hôte d’un contrôleur de domaine, y compris Active Directory, à
un point connu.
Vous pouvez utiliser les méthodes suivantes pour récupérer le contenu d’Active Directory :
Utilisez un utilitaire de sauvegarde et de restauration pris en charge par Active Directory qui utilise les
API fournies par Microsoft et testées par Microsoft. Ces API restaurent une sauvegarde de l’état du
système sans faire autorité ou faisant autorité. La sauvegarde qui est restaurée doit provenir de la même
installation de système d’exploitation et du même ordinateur physique ou virtuel en cours de
restauration.
Utilisez un utilitaire de sauvegarde et de restauration pris en charge par Active Directory qui utilise les
API du service Microsoft Volume Shadow Copy. Ces API remontent et restaurent l’état du système du
contrôleur de domaine. Le service Volume Shadow Copy prend en charge la création de copies de
l’ombre à un point dans le temps d’un ou de plusieurs volumes sur des ordinateurs exécutant Windows
Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Les clichés instantanés à un point dans
le temps sont également appelés captures instantanées. Pour plus d’informations, recherchez « Volume
Shadow Copy Service » dans le Support Microsoft.
Restituer l’état du système. Évaluez si des sauvegardes d’état système valides existent pour ce contrôleur
de domaine. Si une sauvegarde d’état système valide a été réalisée avant la restauration incorrecte du
contrôleur de domaine restauré et si la sauvegarde contient des modifications récentes qui ont été
apportées au contrôleur de domaine, restituer l’état du système à partir de la sauvegarde la plus récente.

Comportement classique qui se produit lors de la restauration d’une


sauvegarde de l’état du système active Directory
Windows Les contrôleurs de domaine serveur utilisent des noms principaux de service avec les ID d’appel pour
suivre les mises à jour qui doivent être répliquées entre les partenaires de réplication dans une forêt Active
Directory.
Les contrôleurs de domaine source utilisent des usns pour déterminer les modifications qui ont déjà été reçues
par le contrôleur de domaine de destination qui demande des modifications. Les contrôleurs de domaine de
destination utilisent des noms de domaine unis pour déterminer les modifications qui doivent être demandées
aux contrôleurs de domaine source.
L’ID d’appel identifie la version ou l’insération de la base de données Active Directory qui s’exécute sur un
contrôleur de domaine donné.
Lorsque Active Directory est restauré sur un contrôleur de domaine à l’aide des API et des méthodes que
Microsoft a conçues et testées, l’ID d’appel est correctement réinitialisé sur le contrôleur de domaine restauré.
les contrôleurs de domaine de la forêt reçoivent une notification de réinitialisation de l’appel. Par conséquent, ils
ajustent leurs valeurs de filigrane élevées en conséquence.

Logiciels et méthodologies qui entraînent des mises à jour usn


Lorsque les environnements, programmes ou sous-systèmes suivants sont utilisés, les administrateurs peuvent
contourner les vérifications et validations que Microsoft a conçues pour se produire lors de la restauration de
l’état du système du contrôleur de domaine :
Démarrage d’un contrôleur de domaine Active Directory dont le fichier de base de données Active
Directory a été restauré (copié) en place à l’aide d’un programme d’imagerie tel que Celui-ci.
Démarrage d’une image de disque dur virtuel précédemment enregistrée d’un contrôleur de domaine. Le
scénario suivant peut provoquer une récupération usn :
1. Promouvoir un contrôleur de domaine dans un environnement d’hébergement virtuel.
2. Créez une capture instantanée ou une autre version de l’environnement d’hébergement virtuel.
3. Laissez le contrôleur de domaine poursuivre la réplication entrante et la réplication sortante.
4. Démarrez le fichier image du contrôleur de domaine que vous avez créé à l’étape 2.
Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 et EMC VMWARE sont des exemples
d’environnements d’hébergement virtualisés à l’origine de ce scénario. D’autres environnements
d’hébergement virtualisés peuvent également provoquer ce scénario.
Pour plus d’informations sur les conditions de prise en charge des contrôleurs de domaine dans les
environnements d’hébergement virtuel, voir Éléments à prendre en compte lorsque vous hébergez des
contrôleurs de domaine Active Directory dans des environnements d’hébergement virtuels.
Démarrage d’un contrôleur de domaine Active Directory situé sur un volume sur lequel le sous-système
de disque se charge à l’aide d’images enregistrées précédemment du système d’exploitation sans
nécessiter une restauration de l’état du système d’Active Directory.
Scénario A : démarrage de plusieurs copies d’Active Directory situées sur un sous-système de
disque qui stocke plusieurs versions d’un volume
1. Promouvoir un contrôleur de domaine. Recherchez le fichier Ntds.dit sur un sous-système de
disque qui peut stocker plusieurs versions du volume qui héberge le fichier Ntds.dit.
2. Utilisez le sous-système de disque pour créer un instantané du volume qui héberge le fichier
Ntds.dit pour le contrôleur de domaine.
3. Continuez à laisser le contrôleur de domaine charger Active Directory à partir du volume que
vous avez créé à l’étape 1.
4. Démarrez le contrôleur de domaine enregistré par la base de données Active Directory à
l’étape 2.
Scénario B : démarrage d’Active Directory à partir d’autres lecteurs dans un miroir rompu
1. Promouvoir un contrôleur de domaine. Recherchez le fichier Ntds.dit sur un lecteur en miroir.
2. Cassez le miroir.
3. Continuez la réplication entrante et la réplication sortante à l’aide du fichier Ntds.dit sur le
premier lecteur du miroir.
4. Démarrez le contrôleur de domaine à l’aide du fichier Ntds.dit sur le deuxième lecteur dans le
miroir.
Même si ce n’est pas prévu, chacun de ces scénarios peut entraîner le retour des contrôleurs de domaine à une
version antérieure de la base de données Active Directory par des méthodes non pris en service. La seule façon
prise en charge de restaurer le contenu d’Active Directory ou l’état local d’un contrôleur de domaine Active
Directory consiste à utiliser un utilitaire de sauvegarde et de restauration pris en charge par Active Directory
pour restaurer une sauvegarde d’état système provenant de la même installation du système d’exploitation et
du même ordinateur physique ou virtuel en cours de restauration.
Microsoft ne prend en charge aucun autre processus qui prend en charge une capture instantanée des éléments
de l’état du système d’un contrôleur de domaine Active Directory et copie les éléments de cet état dans une
image de système d’exploitation. À moins qu’un administrateur n’intervienne, ces processus entraînent une
récupération usn. Cette restauration usn entraîne l’incohérente des objets incohérents dans leurs bases de
données Active Directory pour les partenaires de réplication directe et transitive d’un contrôleur de domaine
mal restauré.

Les effets d’une rollback USN


Lorsque des modifications usn sont effectuées, les modifications apportées aux objets et aux attributs ne sont
pas répliquées par les contrôleurs de domaine de destination qui ont déjà vu le nom d’usn.
Étant donné que ces contrôleurs de domaine de destination pensent être à jour, aucune erreur de réplication
n’est signalée dans les journaux des événements du service d’annuaire ou par les outils de surveillance et de
diagnostic.
La rollback USN peut affecter la réplication d’un objet ou d’un attribut dans n’importe quelle partition. L’effet
secondaire le plus fréquemment observé est que les comptes d’utilisateur et les comptes d’ordinateur créés sur
le contrôleur de domaine de récupération n’existent pas sur un ou plusieurs partenaires de réplication. Ou bien,
les mises à jour de mot de passe provenant du contrôleur de domaine de récupération n’existent pas sur les
partenaires de réplication.
Les étapes suivantes montrent la séquence d’événements qui peuvent provoquer une récupération usn. Une
restauration USN se produit lorsque l’état du système du contrôleur de domaine est restauré dans le temps à
l’aide d’une restauration d’état système non pris en service.
1. Un administrateur promeut trois contrôleurs de domaine dans un domaine. (Dans cet exemple, les
contrôleurs de domaine sont DC1, DC2 et DC2, et le domaine est Contoso.com.) DC1 et DC2 sont des
partenaires de réplication directe. DC2 et DC3 sont également des partenaires de réplication directe. DC1
et DC3 ne sont pas des partenaires de réplication directs, mais reçoivent les mises à jour provenant de
manière transitive via DC2.
2. Un administrateur crée 10 comptes d’utilisateur qui correspondent aux usns 1 à 10 sur DC1. Tous ces
comptes sont répliqués vers DC2 et DC3.
3. Une image de disque d’un système d’exploitation est capturée sur DC1. Cette image a un enregistrement
des objets qui correspondent aux usns locaux 1 à 10 sur DC1.
4. Les modifications suivantes sont apportées dans Active Directory :
Les mots de passe des 10 comptes d’utilisateur créés à l’étape 2 sont réinitialisés sur DC1. Ces mots
de passe correspondent aux usns 11 à 20. Les 10 mots de passe mis à jour sont répliqués vers DC2 et
DC3.
10 nouveaux comptes d’utilisateur correspondant aux usns 21 à 30 sont créés sur DC1. Ces 10
comptes d’utilisateurs sont répliqués sur DC2 et DC3.
10 nouveaux comptes d’ordinateur correspondant aux usns 31 à 40 sont créés sur DC1. Ces 10
comptes d’ordinateurs sont répliqués vers DC2 et DC3.
10 nouveaux groupes de sécurité qui correspondent aux usns 41 à 50 sont créés sur DC1. Ces 10
groupes de sécurité se répliquent sur DC2 et DC3.
5. DC1 subit une défaillance matérielle ou logicielle. L’administrateur utilise un utilitaire d’imagerie sur
disque pour copier l’image du système d’exploitation créée à l’étape 3. DC1 commence maintenant par
une base de données Active Directory qui a connaissance des usns 1 à 10.
Étant donné que l’image du système d’exploitation a été copiée sur place et qu’une méthode prise en
charge de restauration de l’état du système n’a pas été utilisée, DC1 continue d’utiliser le même ID
d’appel que celui qui a créé la copie initiale de la base de données et toutes les modifications jusqu’à USN
50. DC2 et DC3 conservent également le même ID d’appel pour DC1, ainsi qu’un vecteur à jour de USN
50 pour DC1. (Un vecteur à jour est l’état actuel des dernières mises à jour d’origine qui se produisent sur
tous les contrôleurs de domaine pour une partition d’annuaire donnée.)
À moins qu’un administrateur n’intervienne, DC2 et DC3 ne répliquent pas les modifications entrantes
correspondant au usn usn local 11 à 50 qui proviennent de DC1. En outre, en fonction de l’ID d’appel
utilisé par DC2, DC1 a déjà connaissance des modifications qui correspondent à USN 11 à 50. Par
conséquent, DC2 n’envoie pas ces modifications. Étant donné que les modifications apportées à l’étape 4
n’existent pas sur DC1, les demandes d’accès échouent avec une erreur « Accès refusé ». Cette erreur se
produit soit parce que les mots de passe ne correspondent pas, soit parce que le compte n’existe pas
lorsque les comptes les plus nouveaux s’authentifier de manière aléatoire avec DC1.
6. Les administrateurs qui surveillent l’état de réplication dans la forêt notent les situations suivantes :
L’outil en ligne de commande signale que la réplication Active Directory double entre DC1 et DC2
et entre DC2 et DC3 se produit sans Repadmin /showreps erreur. Cette situation rend toute
incohérence de réplication difficile à détecter.
Les événements de réplication dans les journaux des événements du service d’annuaire des
contrôleurs de domaine qui exécutent Windows Server n’indiquent aucun échec de réplication
dans les journaux des événements du service d’annuaire. Cette situation rend toute incohérence de
réplication difficile à détecter.
Les utilisateurs et ordinateurs Active Directory ou l’outil d’administration Active Directory (Ldp.exe)
indiquent un nombre différent d’objets et de métadonnées d’objet lorsque les partitions d’annuaire
de domaine sur DC2 et DC3 sont comparées à la partition sur DC1. La différence est l’ensemble
des modifications qui m’indiquent les modifications usn 11 à 50 à l’étape 4.

NOTE
Dans cet exemple, le nombre d’objets différent s’applique aux comptes d’utilisateurs, aux comptes
d’ordinateur et aux groupes de sécurité. Les différentes métadonnées d’objet représentent les différents
mots de passe de compte d’utilisateur.

Les demandes d’authentification des 10 comptes d’utilisateurs créés à l’étape 2 génèrent parfois
une erreur « Accès refusé » ou « Mot de passe incorrect ». Cette erreur peut se produire parce qu’il
existe une insérialisation de mot de passe entre ces comptes d’utilisateur sur DC1 et les comptes
sur DC2 et DC3. Les comptes d’utilisateurs qui sont face à ce problème correspondent aux
comptes d’utilisateur qui ont été créés à l’étape 4. Les comptes d’utilisateur et les réinitialisations
de mot de passe à l’étape 4 n’ont pas été répliqués sur d’autres contrôleurs de domaine du
domaine.
7. DC2 et DC3 commencent à répliquer les mises à jour d’origine entrantes qui correspondent aux numéros
USN supérieurs à 50 à partir de DC1. Cette réplication se déroule normalement sans intervention
administrative, car le seuil de vecteur de date à jour précédemment enregistré( USN 50) a été dépassé.
(USN 50 était le réseau usn vectoriel à jour enregistré pour DC1 sur DC2 et DC3 avant la mise hors
connexion et la restauration de DC1.) Toutefois, les nouvelles modifications qui correspondent aux usns
11 à 50 sur dc1 d’origine après la restauration non pris en service ne seront jamais répliquées vers DC2,
DC3 ou leurs partenaires de réplication transitifs.
Bien que les symptômes mentionnés à l’étape 6 représentent une partie de l’effet qu’une rollback USN peut
avoir sur les comptes d’utilisateur et d’ordinateur, une rollback USN peut empêcher tout type d’objet dans
n’importe quelle partition Active Directory de se répliquer. Ces types d’objets sont les suivants :
Topologie et planification de réplication Active Directory
L’existence de contrôleurs de domaine dans la forêt et les rôles que ces contrôleurs de domaine
détiennent

NOTE
Ces rôles incluent le catalogue global, les allocations d’identificateur relatif (RID) et les rôles principaux des
opérations. (Les rôles maîtres d’opérations sont également appelés opérations maîtres unique flexibles ou FSMO.)

L’existence de partitions de domaine et d’application dans la forêt


L’existence de groupes de sécurité et leur appartenance actuelle au groupe
Enregistrement DNS dans les zones DNS intégrées à Active Directory
La taille du trous USN peut représenter des centaines, des milliers, voire des dizaines de milliers de
modifications apportées aux utilisateurs, ordinateurs, trusts, mots de passe et groupes de sécurité. (Le trous
USN est défini par la différence entre le numéro USN le plus élevé qui existait lors de la sauvegarde de l’état
système restauré et le nombre de modifications d’origine qui ont été créées sur le contrôleur de domaine
restauré avant qu’elle ne soit mise hors connexion.)

Détecter une rollback USN sur un contrôleur de domaine Windows


Server
Étant donné qu’une annulation usn est difficile à détecter, un contrôleur de domaine Windows Server 2003 SP1
ou version ultérieure enregistre l’événement 2095 lorsqu’un contrôleur de domaine source envoie un numéro
usn précédemment reconnu à un contrôleur de domaine de destination sans modification correspondante de
l’ID d’appel.
Pour empêcher la création de mises à jour uniques d’origine d’Active Directory sur le contrôleur de domaine
restauré de manière incorrecte, le service Net Logon est suspendu. Lorsque le service Net Logon est suspendu,
les comptes d’utilisateur et d’ordinateur ne peuvent pas modifier le mot de passe sur un contrôleur de domaine
qui ne répliquera pas ces modifications sortantes. De même, les outils d’administration Active Directory
privilégient un contrôleur de domaine sain lorsqu’ils met à jour des objets dans Active Directory.
Sur un contrôleur de domaine, les messages d’événement qui ressemblent à ce qui suit sont enregistrés si les
conditions suivantes sont vraies :
Un contrôleur de domaine source envoie un numéro usn reconnu précédemment à un contrôleur de
domaine de destination.
Il n’existe aucune modification correspondante dans l’ID d’appel.
Ces événements peuvent être capturés dans le journal des événements du service d’annuaire. Toutefois, ils
peuvent être remplacés avant d’être observés par un administrateur.
Vous pouvez suspecter qu’une récupération usn s’est produite. Toutefois, vous ne voyez pas les événements de
mise en corrélation dans le journal des événements du service d’annuaire. Dans ce scénario, recherchez l’entrée
de Registre Dsa Not Writable. Cette entrée fournit des preuves légales qu’une rollback USN a eu lieu.
Sous-clé du Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Entrée de Registre : Dsa not Writable
Valeur : 0x4
La suppression ou la modification manuelle de la valeur d’entrée de Registre Dsa Not Writable place le
contrôleur de domaine de récupération dans un état définitivement non pris en main. Par conséquent, ces
modifications ne sont pas pris en charge. Plus précisément, la modification de la valeur supprime le
comportement de mise en quarantaine ajouté par le code de détection de la suppression usn. Les partitions
Active Directory sur le contrôleur de domaine de récupération seront définitivement incohérentes avec les
partenaires de réplication directe et transitive dans la même forêt Active Directory.

Récupérer à partir d’une rollback USN


Il existe trois approches de récupération à partir d’une récupération USN.
Supprimez le contrôleur de domaine du domaine. Pour cela, procédez comme suit :
1. Supprimez Active Directory du contrôleur de domaine pour le forcer à être un serveur autonome.
Pour plus d’informations, voir Les contrôleurs de domaine ne rétrogradent pas normalement
lorsque vous utilisez l’Assistant Installation d’Active Directory pour forcer la rétrogradation.
2. Fermez le serveur rétrogradé.
3. Sur un contrôleur de domaine sain, nettoyez les métadonnées du contrôleur de domaine
rétrogradé. Pour plus d’informations, voir Nettoyer les métadonnéesdu serveur du contrôleur de
domaine Active Directory.
4. Si le contrôleur de domaine incorrectement restauré héberge des rôles maîtres d’opérations,
transférez ces rôles à un contrôleur de domaine sain. Pour plus d’informations, voir Transférer ou
saisir des rôles FSMO dans les services de domaine Active Directory.
5. Redémarrez le serveur rétrogradé.
6. Si nécessaire, installez à nouveau Active Directory sur le serveur autonome.
7. Si le contrôleur de domaine était auparavant un catalogue global, configurez le contrôleur de
domaine en tant que catalogue global. Pour plus d’informations, voir Comment créer ou déplacer
un catalogue global.
8. Si le contrôleur de domaine hébergeait précédemment des rôles maîtres d’opérations, transférez
les rôles maîtres d’opérations au contrôleur de domaine. Pour plus d’informations, voir Transférer
ou saisir des rôles FSMO dans les services de domaine Active Directory.
Restituer l’état système d’une bonne sauvegarde.
Évaluez si des sauvegardes d’état système valides existent pour ce contrôleur de domaine. Si une
sauvegarde d’état système valide a été réalisée avant la restauration incorrecte du contrôleur de domaine
restauré et que la sauvegarde contient des modifications récentes qui ont été apportées au contrôleur de
domaine, restituer l’état du système à partir de la sauvegarde la plus récente.
Restituer l’état du système sans sauvegarde de l’état du système.
Vous pouvez utiliser la capture instantanée comme source d’une sauvegarde. Vous pouvez également
définir la base de données pour qu’elle se donne un nouvel ID d’appel à l’aide de la procédure de la
section Pour restaurer une version précédente d’un disque dur virtuel de contrôleur de domaine virtuel
sans sauvegarde des données d’état système de l’exécution des contrôleurs de domaine dans Hyper-V.

Références
Éléments à prendre en compte lorsque vous hébergez des contrôleurs de domaine Active Directory dans
des environnements d’hébergement virtuels
Architecture du contrôleur de domaine virtualisé
L’événement de réplication NTDS 2089 est
journalisé si Windows Server 2003 SP1 et les
contrôleurs de domaine ultérieurs ne sont pas
enregistrés dans une période donnée
22/09/2022 • 5 minutes to read

Cet article décrit le problème dans lequel un nouveau message d’erreur d’événement est consigné si vous ne
sauvegardez pas un contrôleur de domaine basé sur Windows Server 2003 Service Pack 1 (SP1) dans une
période donnée appelée intervalle de latence de sauvegarde.
S’applique à : Window Server 2003
Numéro de la ko d’origine : 914034

Introduction
Lorsque vous back up a domain controller that is running Microsoft Windows Server 2003 Service Pack 1 (SP1),
a new event error message is logged for each writable domain or application partition that the domain
controller hosts. Cela est vrai si la partition n’est pas backed dans une période donnée. La période est appelée
intervalle de latence de sauvegarde. Vous pouvez définir une valeur de Registre pour spécifier cet intervalle en
jours.

Informations supplémentaires
Nouveau comportement dans Windows Server 2003 SP1
L’attribut signature DSA est modifié chaque fois qu’une sauvegarde de l’état du système est réalisée. Le système
d’exploitation surveille cet attribut. Un message d’erreur d’événement est consigné lorsque les critères
d’intervalle de latence de sauvegarde sont satisfaits. Tout Windows contrôleur de domaine basé sur Server 2003
SP1 peut enregistrer l’événement car l’attribut signature DSA est un attribut répliqué.

NOTE
Le nouveau message d’erreur d’événement n’est pas enregistré tant qu’une sauvegarde n’a pas été réalisée sur un
contrôleur de domaine basé sur Windows Server 2003 qui exécute Windows Server 2003 SP1. Seuls Windows contrôleurs
de domaine basés sur Server 2003 SP1 enregistrent ce message d’erreur d’événement.

La période par défaut de l’intervalle de latence de sauvegarde est la moitié de la durée de vie de Tombstone
(TSL) pour la journalisation du message d’erreur d’événement sur le contrôleur de domaine. La liste suivante
montre la différence entre les valeurs TSL par défaut d’une forêt créée sur Windows Server 2003 et d’une forêt
créée sur Windows Server 2003 SP1 :
Windows Server 2003
Par défaut, la valeur TSL dans Windows Server 2003 est de 60 jours. Par conséquent, le message d’erreur
d’événement n’est enregistré que 30 jours après la dernière sauvegarde.
Windows Server 2003 SP1
Par défaut, la valeur TSL dans la nouvelle forêt créée par Windows Server 2003 SP1 est de 180 jours. La valeur
TSL est de 60 jours dans tous les autres cas. Le message d’erreur d’événement dans une forêt avec un TSL de
180 jours n’est enregistré que 90 jours après la dernière sauvegarde.

NOTE
Si vous installez simplement Windows Server 2003 SP1 sur des ordinateurs basés sur Windows Server 2003, cela
n’augmente pas le TSL à 180 jours. La forêt doit être créée sur un serveur sur Windows Server 2003 SP1 est installé au
moment où vous la créez. Pour plus d’informations, cliquez sur le numéro d’article suivant pour afficher l’article dans la
Base de connaissances Microsoft :
216993 durée de vie utile d’une sauvegarde de l’état système d’Active Directory

Stratégie de déploiement
La valeur par défaut de l’intervalle de latence de sauvegarde dans une forêt qui utilise le TSL par défaut est
insuffisante pour avertir correctement les administrateurs que les partitions ne sont pas sauvegardes avec une
fréquence suffisante.
Dans le Registre, les administrateurs peuvent spécifier une valeur pour l’entrée du seuil de latence de
sauvegarde ( jours). Cela fournit une méthode simple pour ajuster le moment où l’ID d’événement 2089 est
enregistré si une sauvegarde n’est pas réalisée pendant une certaine période. Par conséquent, la période reflète
les stratégies de sauvegarde des administrateurs. Ce message d’erreur d’événement sert d’avertissement aux
administrateurs pour leur dire que les contrôleurs de domaine ne sont pas en cours de back up avant
l’expiration du TSL. Ce message d’erreur d’événement est également un événement de suivi utile pour surveiller
des applications telles que Microsoft Operations Manager (MOM).
Nous vous recommandons d’appliquer des sauvegardes d’état système qui incluent chaque partition de forêt,
de domaine et d’application sur au moins deux ordinateurs par jour. Nous vous recommandons également de
configurer cet événement pour qu’il se produise tous les deux jours si aucune sauvegarde n’est réalisée. Les
programmes de sauvegarde tiers peuvent utiliser une méthode qui appelle l’API de sauvegarde qui met à jour
l’attribut. Lorsque ces programmes utilisent cette méthode, l’attribut signature DSA est mis à jour.
Un message d’erreur de l’ID d’événement 2089 est consigné dans le journal des événements du service
d’annuaire lorsqu’une partition n’est pas enregistrée pendant l’intervalle de latence de sauvegarde. Un seul
message d’erreur d’événement est consigné chaque jour pour chaque partition qu’un contrôleur de domaine
héberge. Le message d’erreur d’événement est similaire à ce qui suit :

Type d'événement : Avertissement


Source de l’événement : réplication NTDS
Catégorie d’événement : ID d’événement de sauvegarde : 2089
Description : cette partition d’annuaire n’a pas été backed depuis au moins le nombre de jours suivants.
Partition d’annuaire :
DC=domainDC=com
« Intervalle de latence de sauvegarde » ( jours) :
30

Il est recommandé de prendre une sauvegarde aussi souvent que possible pour récupérer suite à une perte
accidentelle de données. Toutefois, si vous n’avez pas pris de sauvegarde depuis au moins le nombre de jours «
intervalle de latence de sauvegarde », ce message est consigné tous les jours jusqu’à ce qu’une sauvegarde soit
prise. Vous pouvez sauvegarder n’importe quel réplica qui contient cette partition.
Par défaut, l'« intervalle de latence de sauvegarde » est fixé à la moitié de l’intervalle de durée de vie de
Tombstone. Si vous souhaitez modifier l'« intervalle de latence de sauvegarde » par défaut, vous pouvez le faire
en ajoutant la clé de Registre suivante.
Clé de Registre « Intervalle de latence de sauvegarde » ( jours) :
System\CurrentControlSet\Services\NTDS\Parameters\Backup Latency Threshold (days) .

NOTE
La valeur du seuil de latence de sauvegarde (jours) est une entrée de Registre, mais pas une clé, comme indiqué dans le
message d’erreur d’événement. L’intervalle de latence de sauvegarde est la moitié de la valeur du TSL de la forêt. Lorsque
cette valeur est atteinte, le système d’exploitation enregistre l’ID d’événement 2089 dans le journal des événements du
service d’annuaire. Cet ID d’événement avertit les administrateurs de surveiller les applications et de s’assurer que les
contrôleurs de domaine sont pris en compte avant l’expiration du TSL. Pour définir l’intervalle d’attente du système
d’exploitation avant qu’un ID d’événement 2089 ne soit journalisé, utilisez l’Éditeur du Registre pour définir la valeur de
l’entrée du seuil de latence de sauvegarde (jours). Pour cela, procédez comme suit :
1. Démarrez l’Éditeur du Registre.
2. Recherchez, puis cliquez sur la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
3. Cliquez avec le bouton droit sur Paramètres, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
4. Tapez seuil de latence de sauvegarde (jours), puis appuyez sur Entrée.
5. Cliquez avec le bouton droit sur Seuil de latence de sauvegarde ( jours), puis cliquez sur Modifier.
6. Dans la zone de données Valeur, tapez le nombre de jours à utiliser comme seuil, puis cliquez sur OK .

Références
https://blogs.msdn.com/brettsh/archive/2006/02/09/528708.aspx
La restauration d’un contrôleur de domaine peut
provoquer des incohérences entre les contrôleurs de
domaine
22/09/2022 • 4 minutes to read

Cet article fournit de l’aide pour résoudre un problème dans lequel la restauration d’un contrôleur de domaine
provoque des incohérences entre les contrôleurs de domaine.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 316829

Symptômes
La restauration d’un contrôleur de domaine peut provoquer un ID d’événement : 1587, indiquant des
incohérences entre les contrôleurs de domaine. Si cela se produit, certains objets en attente peuvent être
présents sur le contrôleur de domaine restauré. En outre, les nouveaux objets sur le contrôleur de domaine
restauré ne sont pas répliqués.

Cause
Ce problème se produit parce que le contrôleur de domaine affecte un nouvel ID d’appel, mais utilise la marque
high premier plan d’origine.

Solution de contournement
Pour contourner ce problème, rétrograder, puis promouvoir le contrôleur de domaine restauré. Avant de
rétrograder le serveur concerné, forcez une réplication complète du serveur concerné vers un autre contrôleur
de domaine. (La synchronisation complète peut être intensive en ressources pour les domaines plus
importants.) Effectuez la synchronisation complète sur la partition de domaine et sur la partition de
configuration. La ligne suivante illustre la syntaxe de la commande Repadmin que vous utilisez pour effectuer la
synchronisation :

repadmin /sync <Naming Context> <Dest DC> <Source DC GUID> [/force] [/full]

La ligne suivante est un exemple d’utilisation de cette commande :

repadmin /sync DC=domain,DC=root good_DC dc1 122a5239-36b3-488a-b24c-971ed0ca8a46 /force /full

Dans l’exemple de commande :


« DC=domain,DC=root » est le contexte d’attribution de noms de domaine.
« good_DC » est le DC de destination. Il s’agit du bon partenaire qui recevra les mises à jour.
Le GUID DSA est le GUID de réplication du DC restauré. Pour ce faire, Repadmin /showreps exécutez-le sur le
serveur restauré. Le GUID est répertorié en haut sous « GUID d’objet DC ».
Si la synchronisation réussit, vous recevez le message suivant : Synchronisez de 122a5239-36b3-488a-b24c-
971ed0ca8a46 à Good_DC terminé.
Répétez le processus pour le contexte d’attribution de noms de configuration à l’aide d’une commande
semblable à la suivante :

repadmin /sync cn=configuration,DC=domain,DC=root good_DC dc1 122a5239-36b3-488a-b24c-971ed0ca8a46 /force


/full

Le problème n’est pas susceptible d’être résolu une fois que vous avez fait cela. Après cela, installez le correctif
logiciel ou rétrogradez, puis faites la promotion du contrôleur de domaine pour résoudre le problème.

Statut
Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés au début de cet article.
Ce problème a été corrigé pour la première fois dans Windows 2000 Service Pack 3.

Informations supplémentaires
Lorsque vous restituer un contrôleur de domaine, le nom d’usn le plus élevé est restauré au moment de la
création de la sauvegarde. L’ID d’appel du contrôleur de domaine est retiré et un nouvel ID est attribué.
Lorsqu’un partenaire tente de répliquer la première fois après la restauration, le message suivant est enregistré :

Type d'événement : Informations


Source de l’événement : réplication NTDS
Catégorie d’événement : (5)
ID d’événement : 1587
Date : <DateTime>
Heure : <DateTime>
Utilisateur : CONTOSO \ CO-NA-DC-01$
Ordinateur : CO-DC-02
Description :
L’agent de service d’annuaire (DSA) correspondant à objectGuid d0a6a575-9702-4f4e-bf68-bb2a9f875188
a demandé des modifications en commençant par un signet précédant la restauration la plus récente de la
DSA locale à partir d’une sauvegarde sur usn 94727614. Le signet est ajusté comme suit : ID d’appel
précédent : bc546028-fae7-4978-abe0-d294694da32b
Previous Object Update USN: 95853579
Previous Property Update USN: 95853579
Nouvel ID d’appel : ae6286cb-740b-4bb3-ace7-9577efa9dc9f
Nouveau usn de mise à jour d’objet : 94727614
Nouveau usn de mise à jour de propriété : 94727614

Cet événement est typique pour un contrôleur de domaine restauré. En soi, cela n’indique pas un problème. Il
s’agit d’un problème si les objets créés sur le contrôleur de domaine restauré ne sont pas répliqués en mode
silencieux.
Dans le scénario de problème, le usn le plus élevé est revenir en arrière. Toutefois, pendant le signet (ou
réinitialisation du vecteur « à jour », le contrôleur de domaine source fournit la valeur USN la plus élevée qui
était présente avant la restauration. Les objets qui ont des valeurs USNchanged entre la valeur
d’attributCommittedUSN supérieure et inférieure sont jamais pris en compte pour la réplication.
Par exemple : supposons que le contrôleur de domaine 1 possède un usn le plus élevé de 100. Son partenaire de
réplication, contrôleur de domaine 2, a un vecteur « à jour » de 100 pour le contrôleur de domaine 1.
Vous restituer le contrôleur de domaine 1 à partir d’une sauvegarde sur laquelle la valeur usn la plus élevée est
50. Après la réplication suivante avec le contrôleur de domaine 2, le contrôleur de domaine 1 réinitialise le
signet sur 100 (il doit être égal à 50). le contrôleur de domaine 1 provient des modifications 51, 52 et 53.
Lorsque le contrôleur de domaine 2 négocie la réplication, il ne considère jamais les modifications, car il pense
que les modifications ont été apportées jusqu’à 100. le contrôleur de domaine 1 continue d’apporter des
modifications et finit par atteindre 101. La modification 101 est répliquée, mais les modifications 51 à 100 ne le
sont pas.
Dans certains cas, vous pouvez détecter cet état. Utilisez Ldp ou ADSI Edit pour lire l’attributcommittedUSN le
plus élevé actuel sur l’objet rootDSE sur le contrôleur de domaine restauré. Ensuite, comparez-le à la sortie de la
repadmin /showreps /verbose commande sur l’un de ses partenaires. Dans la sortie Repadmin, recherchez la
valeur « USN ###/OU » pour le contrôleur de domaine restauré pour chaque contexte d’appellation. Si la valeur
dans Repadmin est supérieure à l’attributCommittedUSN le plus élevé, le contrôleur de domaine restauré
rencontre le problème.
Si le contrôleur de domaine restauré a fourni suffisamment de mises à jour que son attribut
highestCommittedUSN a atteint ou a dépassé le vecteur « à jour » enregistré sur les autres contrôleurs de
domaine (comme dans l’exemple de cet article), certaines modifications ne seront jamais envisagées pour la
réplication. Toutefois, les nouvelles modifications sont répliquées. Les modifications non répliquées sont
appelées « objets en attente ».
Comment supprimer des domaines orphelins
d’Active Directory
22/09/2022 • 3 minutes to read

S’applique à : Windows 10, Windows Server 2012 R2


Numéro de la ko d’origine : 230306

Résumé
En règle générale, lorsque le dernier contrôleur de domaine d’un domaine est rétrogradé, l’administrateur
sélectionne Ce serveur est le dernier contrôleur de domaine dans l’option de domaine dans l’outil DCPromo.
Cette procédure supprime les métadonnées de domaine d’Active Directory. Cet article explique comment
supprimer des métadonnées de domaine d’Active Directory si cette procédure n’est pas utilisée ou si tous les
contrôleurs de domaine sont mis hors connexion mais pas rétrogradés en premier.
Cau t i on

L’administrateur doit vérifier que la réplication s’est produite depuis la rétrogradation du dernier contrôleur de
domaine avant de supprimer manuellement les métadon données de domaine. L’utilisation incorrecte de l’outil
NTDSUTIL peut entraîner une perte partielle ou complète des fonctionnalités Active Directory.

Suppression de domaines orphelins d’Active Directory


1. Déterminez le contrôleur de domaine qui détient le rôle FSMO (Domain Naming Master Flexible Single
Master Operations). Pour identifier le serveur qui détient ce rôle :
a. Démarrez le logiciel en snap-in MMC (Active Directory Domains and Trusts) à partir du menu Outils
d’administration.
b. Cliquez avec le bouton droit sur le nœud racine dans le volet gauche intitulé Domaines et trusts
Active Director y, puis sélectionnez Operations Master .
c. Le contrôleur de domaine qui détient actuellement ce rôle est identifié dans le cadre Maître des
opérations en cours.

NOTE
Si elle a été modifiée récemment, il se peut que tous les ordinateurs n’ont pas encore reçu cette
modification en raison de la réplication.

Pour plus d’informations sur les rôles FSMO, voir rôles FSMO Active Directory dans Windows.
2. Vérifiez que tous les serveurs du domaine ont été rétrogradés.
3. Ouvrez une fenêtre d'invite de commandes.
4. À l’invite de commandes, ntdsutil tapez, puis appuyez sur Entrée.
5. metadata cleanup Tapez, puis appuyez sur Entrée.
6. connections Tapez, puis appuyez sur Entrée. Ce menu permet de se connecter au serveur spécifique sur
lequel les modifications auront lieu. Si l’utilisateur actuellement connecté n’est pas membre du groupe
Administrateurs Enterprise, d’autres informations d’identification peuvent être fournies en spécifiant les
informations d’identification à utiliser avant d’établir la connexion. Pour ce faire, tapez :
set creds <domainname> <username> <password> , puis appuyez sur Entrée. Pour un mot de passe null, tapez
null pour le paramètre de mot de passe.
7. Type , où est le nom du contrôleur de domaine qui contient le rôle connect to server <servername>
<servername> FSMO principal d’appellation de domaine. Appuyez ensuite sur Entrée. Vous devez
recevoir la confirmation que la connexion est établie. Si une erreur se produit, vérifiez que le contrôleur
de domaine utilisé dans la connexion est disponible. Vérifiez également que les informations
d’identification que vous avez fournies ont des autorisations administratives sur le serveur.
8. quit Tapez, puis appuyez sur Entrée. Le menu Nettoyage des métadonnées s’affiche.
9. select operation target Tapez, puis appuyez sur Entrée.
10. list domainsTapez, puis appuyez sur Entrée. Une liste de domaines dans la forêt s’affiche, chacun avec
un numéro associé.
11. select domain <number> Tapez, puis appuyez sur Entrée, où nombre est le numéro associé au domaine à
supprimer.
12. quit Tapez, puis appuyez sur Entrée. Le menu Nettoyage des métadonnées s’affiche.
13. remove selected domain Tapez, puis appuyez sur Entrée. Vous devez recevoir la confirmation que la
suppression a réussi. Si une erreur se produit, consultez la Base de connaissances Microsoft pour obtenir
des articles sur des messages d’erreur spécifiques.
14. Tapez quit dans chaque menu pour quitter l’outil NTDSUTIL. Vous devez recevoir la confirmation que la
connexion s’est déconnectée correctement.

Références
Pour plus d’informations sur l’outil NTDSUTIL, voir la documentation des outils de support située dans le dossier
Support\Reskit du CD-ROM Windows 2000. Les fichiers d’aide inclus dans le Kit de ressources Microsoft
Windows 2000 contiennent un lien Books Online. Vous pouvez cliquer sur le lien pour obtenir plus
d’informations sur l’outil NTDSUTIL.
Pour plus d’informations sur la suppression de contrôleurs de domaine du domaine que vous tentez de
supprimer, consultez l’article suivant :
216498 supprimer des données dans Active Directory après une rétrogradation de contrôleur de domaine
infructueuse
Comment restaurer les comptes d’utilisateurs
supprimés et leurs appartenances aux groupes dans
Active Directory
22/09/2022 • 61 minutes to read

Cet article fournit des informations sur la restauration des comptes d’utilisateurs supprimés et des
appartenances aux groupes dans Active Directory.
Produits concernés : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine : 840001

Introduction
Vous pouvez utiliser plusieurs méthodes pour restaurer des comptes d’utilisateurs, des comptes d’ordinateur et
des groupes de sécurité supprimés. Ces objets sont appelés collectivement principaux de sécurité.
La méthode la plus courante consiste à activer la fonctionnalité Corbeille AD prise en charge sur les contrôleurs
de domaine basés sur Windows Server 2008 R2 et ultérieur. Pour plus d’informations sur cette fonctionnalité,
notamment sur la façon de l’activer et de restaurer des objets, voir le Guide pas à pas de la Corbeille Active
Directory.
Si cette méthode n’est pas disponible, les trois méthodes suivantes peuvent être utilisées. Dans les trois
méthodes, vous restituerez les objets supprimés de manière faisant autorité, puis vous restituerez les
informations d’appartenance aux groupes pour les principaux de sécurité supprimés. Lorsque vous restituer un
objet supprimé, vous devez restaurer member memberOf les anciennes valeurs des attributs et des valeurs dans
le principal de sécurité affecté.

NOTE
La récupération des objets supprimés dans Active Directory peut être simplifiée en activant la fonctionnalité Corbeille AD
prise en charge sur les contrôleurs de domaine basés sur Windows Server 2008 R2 et version ultérieure. Pour plus
d’informations sur cette fonctionnalité, notamment sur la façon de l’activer et de restaurer des objets, voir le Guide pas à
pas de la Corbeille Active Directory.

Plus d’informations
Les méthodes 1 et 2 offrent une meilleure expérience aux utilisateurs et aux administrateurs de domaine. Ces
méthodes conservent les ajouts aux groupes de sécurité effectués entre la dernière sauvegarde de l’état du
système et l’heure de la suppression. Dans la méthode 3, vous n’ajustez pas individuellement les principaux de
sécurité. Au lieu de cela, vous revenir aux appartenances aux groupes de sécurité à leur état au moment de la
dernière sauvegarde.
La plupart des suppressions à grande échelle sont accidentelles. Microsoft recommande de prendre plusieurs
mesures pour empêcher d’autres personnes de supprimer des objets en bloc.
NOTE
Pour empêcher la suppression ou le déplacement accidentel d’objets (en particulier les unités d’organisation), deux entrées
de contrôle d’accès refuser peuvent être ajoutées au descripteur de sécurité de chaque objet (DENY DELETEDELETE &
TREE) et une entrée de contrôle d’accès refuser peut être ajoutée au descripteur de sécurité du parent de chaque objet
(DENY DELETE CHILD ). Pour ce faire, utilisez Utilisateurs et ordinateurs Active Directory, ADSIEdit, LDP ou l’outil en ligne
de commande DSACLS. Vous pouvez également modifier les autorisations par défaut dans le schéma AD pour les unités
d’organisation afin que ces ace soient incluses par défaut.

Par exemple, pour protéger l’unité d’organisation appelée. Les utilisateurs du domaine AD CONTOSO.COM qui sont
appelés après avoir été accidentellement déplacés ou supprimés de l’unité d’organisation parente appelée
MyCompany, ont la configuration suivante :
Pour l’unité d’organisation MyCompany , ajoutez DENY ACE pour Tout le monde pour SUPPRIMER l’enfant
avec cette étendue d’objet uniquement :

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Pour l’unité d’organisation Utilisateurs, ajoutez DENY ACE pour Tout le monde à DELETE et DELETE TREE avec
cette étendue d’objet uniquement :

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Le logiciel en ligne Utilisateurs et ordinateurs Active Directory dans Windows Server 2008 inclut une case à
cocher Protéger l’objet contre la suppression accidentelle sous l’onglet Objet.

NOTE
La case à cocher Fonctionnalités avancées doit être activée pour afficher cet onglet.

Lorsque vous créez une unité d’organisation à l’aide des utilisateurs et ordinateurs Active Directory dans
Windows Server 2008, la case à cocher Protéger le conteneur contre la suppression accidentelle s’affiche. Par
défaut, la case à cocher est sélectionnée et peut être désélectionée.
Bien que vous pouvez configurer chaque objet dans Active Directory à l’aide de ces ace, il convient mieux aux
unités d’organisation. La suppression ou les mouvements de tous les objets feuille peuvent avoir un effet majeur.
Cette configuration empêche les suppressions ou les mouvements de ce type. Pour vraiment supprimer ou
déplacer un objet à l’aide d’une telle configuration, les aces de refus doivent d’abord être supprimées.
Cet article explique comment restaurer des comptes d’utilisateurs, des comptes d’ordinateur et leurs
appartenances à des groupes après leur suppression d’Active Directory. Dans les variantes de ce scénario, les
comptes d’utilisateur, les comptes d’ordinateur ou les groupes de sécurité peuvent avoir été supprimés
individuellement ou dans une combinaison. Dans tous ces cas, les mêmes étapes initiales s’appliquent. Vous
restituer ou restaurer authent les objets qui ont été supprimés par inadvertance. Certains objets supprimés
nécessitent davantage de travail pour être restaurés. Ces objets incluent des objets tels que des comptes
d’utilisateurs qui contiennent des attributs qui sont des liens arrière des attributs d’autres objets. Deux de ces
attributs sont managedBy et memberOf .
Lorsque vous ajoutez des principaux de sécurité, tels qu’un compte d’utilisateur, un groupe de sécurité ou un
compte d’ordinateur à un groupe de sécurité, vous a apporté les modifications suivantes dans Active Directory :
1. Le nom du principal de sécurité est ajouté à l’attribut membre de chaque groupe de sécurité.
2. Pour chaque groupe de sécurité dont l’utilisateur, l’ordinateur ou le groupe de sécurité est membre, un lien
arrière est ajouté à l’attribut du principal de memberOf sécurité.

De même, lorsqu’un utilisateur, un ordinateur ou un groupe est supprimé d’Active Directory, les actions
suivantes se produisent :
1. Le principal de sécurité supprimé est déplacé dans le conteneur d’objets supprimés.
2. Quelques valeurs d’attribut, y compris l’attribut memberOf , sont supprimées du principal de sécurité
supprimé.
3. Les principaux de sécurité supprimés sont supprimés des groupes de sécurité dont ils étaient membres. En
d’autres termes, les principaux de sécurité supprimés sont supprimés de l’attribut membre de chaque groupe
de sécurité.
Lorsque vous récupérez des principaux de sécurité supprimés et restituer leurs appartenances aux groupes,
chaque principal de sécurité doit exister dans Active Directory avant de restaurer son appartenance au groupe.
Le membre peut être un utilisateur, un ordinateur ou un autre groupe de sécurité. Pour rétablir cette règle plus
largement, un objet qui contient des attributs dont les valeurs sont des liens arrière doit exister dans Active
Directory pour que l’objet qui contient ce lien avant puisse être restauré ou modifié.
Cet article se concentre sur la récupération des comptes d’utilisateurs supprimés et de leur appartenance à des
groupes de sécurité. Ses concepts s’appliquent également aux autres suppressions d’objets. Les concepts de cet
article s’appliquent également aux objets supprimés dont les valeurs d’attribut utilisent des liens avant et des
liens arrière vers d’autres objets dans Active Directory.
Vous pouvez utiliser l’une des trois méthodes pour récupérer les principaux de sécurité. Lorsque vous utilisez la
méthode 1, vous laissez en place tous les principaux de sécurité qui ont été ajoutés à n’importe quel groupe de
sécurité dans la forêt. Et vous ajoutez uniquement les principaux de sécurité qui ont été supprimés de leurs
domaines respectifs à leurs groupes de sécurité. Par exemple, vous devez effectuer une sauvegarde de l’état du
système, ajouter un utilisateur à un groupe de sécurité, puis restaurer la sauvegarde de l’état système. Lorsque
vous utilisez les méthodes 1 ou 2, vous conservez tous les utilisateurs qui ont été ajoutés aux groupes de
sécurité qui contiennent des utilisateurs supprimés entre les dates de création de la sauvegarde de l’état
système et la date de restauration de la sauvegarde. Lorsque vous utilisez la méthode 3, vous revenir aux
appartenances aux groupes de sécurité de tous les groupes de sécurité qui contiennent des utilisateurs
supprimés à leur état au moment de la sauvegarde de l’état du système.

Méthode 1 : restaurer les comptes d’utilisateur supprimés, puis


rajouter les utilisateurs restaurés à leurs groupes à l’aide de
lNtdsutil.exe de ligne de commande
LNtdsutil.exe de ligne de commande vous permet de restaurer les liens arrière des objets supprimés. Deux
fichiers sont générés pour chaque opération de restauration faisant autorité. Un fichier contient une liste d’objets
restaurés faisant autorité. L’autre fichier est un fichier .ldf qui est utilisé avec l’utilitaire Ldifde.exe. Ce fichier est
utilisé pour restaurer les liens arrière pour les objets qui font autorité restaurés. Une restauration faisant autorité
d’un objet utilisateur génère également des fichiers LDIF (Data Interchange Format) LDAP avec l’appartenance
au groupe. Cette méthode évite une restauration double.
Lorsque vous utilisez cette méthode, vous effectuez les étapes de haut niveau suivantes :
1. Vérifiez si un catalogue global dans le domaine de l’utilisateur n’a pas été répliqué dans la suppression.
Empêchez ensuite la réplication de ce catalogue global. S’il n’existe pas de catalogue global latent, recherchez
la sauvegarde d’état système la plus actuelle d’un contrôleur de domaine de catalogue global dans le
domaine d’accueil de l’utilisateur supprimé.
2. Auth restore all the deleted user accounts, and then allow end-to-end replication of those user accounts.
3. Ajoutez tous les utilisateurs restaurés à tous les groupes dans tous les domaines dont les comptes
d’utilisateurs étaient membres avant leur suppression.
Pour utiliser la méthode 1, suivez la procédure ci-après :
1. Vérifiez s’il existe un contrôleur de domaine de catalogue global dans le domaine d’accueil de l’utilisateur
supprimé qui n’a répliqué aucune partie de la suppression.

NOTE
Concentrez-vous sur les catalogues globaux qui ont les planifications de réplication les moins fréquentes.

S’il existe un ou plusieurs de ces catalogues globaux, utilisez l’outil en ligne de commande Repadmin.exe
pour désactiver immédiatement la réplication entrante en suivant les étapes suivantes :
a. Sélectionnez Démarrer , puis Exécuter .
b. Tapez cmd dans la zone Ouvrir , puis sélectionnez OK .
c. Tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :

repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

NOTE
Repadmin Si vous ne pouvez pas émettre la commande immédiatement, supprimez toute la connectivité
réseau du catalogue global Repadmin latent tant que vous ne pouvez pas désactiver la réplication
entrante, puis renvoyez immédiatement la connectivité réseau.

Ce contrôleur de domaine est appelé contrôleur de domaine de récupération. S’il n’existe aucun catalogue
global de ce type, allez à l’étape 2.
2. Il est préférable d’arrêter d’apporter des modifications aux groupes de sécurité dans la forêt si toutes les
affirmations suivantes sont vraies :
Vous utilisez la méthode 1 pour restaurer de manière faisant autorité des utilisateurs ou des comptes
d’ordinateurs supprimés à l’aide de leur chemin d’accès dn (nom dn).
La suppression a été répliquée sur tous les contrôleurs de domaine de la forêt à l’exception du
contrôleur de domaine de récupération latent.
Vous n’êtes pas en train de restaurer les groupes de sécurité ou leurs conteneurs parents.
Si vous restitiez des groupes de sécurité ou des conteneurs d’unité d’organisation qui hébergent des
groupes de sécurité ou des comptes d’utilisateur, arrêtez temporairement toutes ces modifications.
Avertir les administrateurs et les administrateurs du service d’aide dans les domaines appropriés en plus
des utilisateurs du domaine dans lequel la suppression s’est produite lors de l’arrêt de ces modifications.
3. Créez une sauvegarde de l’état du système dans le domaine dans lequel la suppression s’est produite.
Vous pouvez utiliser cette sauvegarde si vous devez revenir en arrière de vos modifications.

NOTE
Si les sauvegardes d’état système sont à jour jusqu’au point de suppression, ignorez cette étape et passez à l’étape
4.

Si vous avez identifié un contrôleur de domaine de récupération à l’étape 1, back up its system state now.
Si tous les catalogues globaux situés dans le domaine où la suppression s’est produite ont été répliqués
lors de la suppression, back up the system state of a global catalog in the domain where the deletion
occurred.
Lorsque vous créez une sauvegarde, vous pouvez rétablir l’état actuel du contrôleur de domaine de
récupération. Effectuez de nouveau votre plan de récupération si votre première essai n’a pas abouti.
4. Si vous ne trouvez pas de contrôleur de domaine de catalogue global latent dans le domaine où
l’utilisateur a été supprimé, recherchez la sauvegarde d’état système la plus récente d’un contrôleur de
domaine de catalogue global dans ce domaine. Cette sauvegarde d’état système doit contenir les objets
supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.
Seules les restaurations des contrôleurs de domaine de catalogue global dans le domaine de l’utilisateur
contiennent des informations d’appartenance aux groupes universels et globaux pour les groupes de
sécurité qui résident dans des domaines externes. S’il n’existe aucune sauvegarde de l’état système d’un
contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés, vous
ne pouvez pas utiliser l’attribut sur les comptes d’utilisateur restaurés pour déterminer l’appartenance à
un groupe global ou universel ou pour récupérer l’appartenance memberOf à des domaines externes. En
outre, il est bon de trouver la sauvegarde d’état système la plus récente d’un contrôleur de domaine de
catalogue non global.
5. Si vous connaissez le mot de passe du compte d’administrateur hors connexion, démarrez le contrôleur
de domaine de récupération en mode Derepair. Si vous ne connaissez pas le mot de passe du compte
d’administrateur hors connexion, réinitialisez le mot de passe à l’aide de ntdsutil.exe alors que le
contrôleur de domaine de récupération est toujours en mode Active Directory normal.
Vous pouvez utiliser l’outil en ligne de commande setpwd pour réinitialiser le mot de passe sur les
contrôleurs de domaine lorsqu’ils sont en mode Active Directory en ligne.

NOTE
Microsoft ne prend plus en charge Windows 2000.

Les administrateurs de Windows Server 2003 et des contrôleurs de domaine ultérieurs


set dsrm password peuvent utiliser la commande de l’outil en ligne de commande Ntdsutil pour
réinitialiser le mot de passe du compte d’administrateur hors connexion.
Pour plus d’informations sur la réinitialisation du compte d’administrateur du mode restauration des
services d’annuaire, voir Comment réinitialiser le mot de passe du compte d’administrateur en mode
restauration des services d’annuaire dans Windows Server.
6. Appuyez sur F8 pendant le processus de démarrage pour démarrer le contrôleur de domaine de
récupération en mode Disrepair. Connectez-vous à la console du contrôleur de domaine de récupération
avec le compte d’administrateur hors connexion. Si vous réinitialisez le mot de passe à l’étape 5, utilisez le
nouveau mot de passe.
Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne
restituer l’état du système. Allez à l’étape 7.
Si vous créez le contrôleur de domaine de récupération à l’aide d’une sauvegarde de l’état du système,
restituer la sauvegarde d’état système la plus actuelle qui a été réalisée sur le contrôleur de domaine de
récupération maintenant.
7. Auth restore the deleted user accounts, the deleted computer accounts, or the deleted security groups.
NOTE
Les termes restauration d’th et restauration faisant autorité font référence au processus d’utilisation de la
commande de restauration faisant autorité dans l’outil en ligne de commande Ntdsutil pour incrémenter les
numéros de version d’objets spécifiques ou de conteneurs spécifiques et de tous leurs objets subordonnés. Dès
que la réplication de bout en bout se produit, les objets ciblés dans la copie locale du contrôleur de domaine de
récupération d’Active Directory font autorité sur tous les contrôleurs de domaine qui partagent cette partition.
Une restauration faisant autorité est différente d’une restauration d’état système. Une restauration de l’état
système remplit la copie locale d’Active Directory du contrôleur de domaine restauré avec les versions des objets
au moment où la sauvegarde de l’état système a été réalisée.

Les restaurations faisant autorité sont effectuées avec l’outil en ligne de commande Ntdsutil et font
référence au chemin d’accès au nom de domaine (dn) des utilisateurs supprimés ou des conteneurs qui
hébergent les utilisateurs supprimés.
Lorsque vous restituerez l’th, utilisez des chemins d’accès de nom de domaine (dn) qui sont aussi bas
dans l’arborescence de domaine que ce qu’ils doivent être. L’objectif est d’éviter de reconvenir aux objets
qui ne sont pas liés à la suppression. Ces objets peuvent inclure des objets qui ont été modifiés après la
sauvegarde de l’état du système.
Restituer auth les utilisateurs supprimés dans l’ordre suivant :
a. Auth restore the domain name (dn) path for each deleted user account, computer account, or
security group.
Les restaurations faisant autorité d’objets spécifiques prennent plus de temps, mais sont moins
destructrices que les restaurations faisant autorité d’une sous-arbre entière. Auth restore the
lowest common parent container that holds the deleted objects.
Ntdsutil utilise la syntaxe suivante :

ntdsutil "authoritative restore" "restore object <object DN path>" q q

Par exemple, pour restaurer de manière faisant autorité l’utilisateur supprimé John Doe dans l’ou
Contoso.com Mayberr y du domaine, utilisez la commande suivante :

ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

Pour restaurer le groupe de sécurité supprimé ContosoPrintAccess dans l’ou Contoso.com


Mayberr y du domaine, utilisez la commande suivante :

ntdsutil "authoritative restore" "restore object


cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

IMPORTANT
L’utilisation de guillemets est requise.

Pour chaque utilisateur que vous restituer, au moins deux fichiers sont générés. Ces fichiers ont le
format suivant :
ar_ YYYMMDD-HHMMSS _objects.txt
Ce fichier contient une liste des objets restaurés faisant autorité. Utilisez ce fichier avec la
commande de restauration faisant autorité de ntdsutil create ldif file from dans tout autre
domaine de la forêt où l’utilisateur était membre des groupes Domain Local.
ar_ YYYMMDD-HHMMSS _links_usn.loc.ldf
Si vous effectuez la restauration d’th sur un catalogue global, l’un de ces fichiers est généré pour
chaque domaine de la forêt. Ce fichier contient un script que vous pouvez utiliser avec l’utilitaire
Ldifde.exe de données. Le script restaure les liens arrière pour les objets restaurés. Dans le
domaine d’accueil de l’utilisateur, le script restaure toutes les appartenances de groupe pour les
utilisateurs restaurés. Dans tous les autres domaines de la forêt où l’utilisateur est membre d’un
groupe, le script restaure uniquement les appartenances aux groupes universels et globaux. Le
script ne restaure aucune appartenance au groupe Domain Local. Ces appartenances ne sont pas
suivis par un catalogue global.
b. Auth restore only the OU or Common-Name (CN) containers that host the deleted user accounts
or groups.
Les restaurations faisant autorité d’une sous-arbre entière sont valides lorsque l’ou ciblée par la
commande de restauration faisant autorité ntdsutil contient la plupart des objets que vous essayez
de restaurer de manière faisant autorité. Dans l’idéal, l’ouo ciblé contient tous les objets que vous
essayez de restaurer de manière fiable.
Une restauration faisant autorité sur une sous-arbre d’ou restaure tous les attributs et objets qui
résident dans le conteneur. Toutes les modifications qui ont été apportées jusqu’à la restauration
d’une sauvegarde de l’état du système sont restaurées à leurs valeurs au moment de la
sauvegarde. Avec les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité,
cette récupération peut signifier la perte des modifications les plus récentes apportées à :
mots de passe
répertoire d’accueil
chemin d’accès du profil
location
coordonnées
appartenance à un groupe
tous les descripteurs de sécurité définis sur ces objets et attributs.
Ntdsutil utilise la syntaxe suivante :

ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

Par exemple, pour restaurer avec autorité l’ouo Contoso.com Mayberr y du domaine, utilisez la
commande suivante :

ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

NOTE
Répétez cette étape pour chaque ou plusieurs ou plusieurs groupes d’homologues qui hébergent des
utilisateurs ou des groupes supprimés.
IMPORTANT
Lorsque vous restituer un objet subordonné d’une ou plusieurs de ses boîtes de données, tous les
conteneurs parents supprimés des objets subordonnés supprimés doivent être explicitement restaurés.

Pour chaque unité d’organisation que vous restituerez, au moins deux fichiers sont générés. Ces
fichiers ont le format suivant :
ar_ YYYMMDD-HHMMSS _objects.txt
Ce fichier contient une liste des objets restaurés faisant autorité. Utilisez ce fichier avec la
commande de restauration faisant autorité de ntdsutil create ldif file from dans tout autre
domaine de la forêt où les utilisateurs restaurés étaient membres de groupes Domain Local.
ar_ YYYMMDD-HHMMSS _links_usn.loc.ldf
Ce fichier contient un script que vous pouvez utiliser avec l’utilitaire Ldifde.exe de données. Le
script restaure les liens arrière pour les objets restaurés. Dans le domaine d’accueil de l’utilisateur,
le script restaure toutes les appartenances de groupe pour les utilisateurs restaurés.
8. Si des objets supprimés ont été récupérés sur le contrôleur de domaine de récupération en raison d’une
restauration de l’état du système, supprimez tous les câbles réseau qui assurent la connectivité réseau à
tous les autres contrôleurs de domaine dans la forêt.
9. Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
10. Tapez la commande suivante pour désactiver la réplication entrante vers le contrôleur de domaine de
récupération :

repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

Activez de nouveau la connectivité réseau au contrôleur de domaine de récupération dont l’état système
a été restauré.
11. Répliquer les objets restaurés auth à partir du contrôleur de domaine de récupération vers les
contrôleurs de domaine dans le domaine et dans la forêt.
Bien que la réplication entrante vers le contrôleur de domaine de récupération reste désactivée, tapez la
commande suivante pour pousser les objets restaurés auth vers tous les contrôleurs de domaine réplicas
entre sites dans le domaine et dans tous les catalogues globaux de la forêt :

repadmin /syncall /d /e /P <recovery dc> <Naming Context>

Si toutes les affirmations suivantes sont vraies, les liens d’appartenance aux groupes sont reconstruits
avec la restauration et la réplication des comptes d’utilisateur supprimés. Allez à l’étape 14.

NOTE
Si une ou plusieurs des instructions suivantes ne sont pas vraies, allez à l’étape 12.

Votre forêt est en cours d’exécution au niveau fonctionnel de forêt Windows Server 2003 et ultérieur
ou ultérieur, ou au niveau fonctionnel de forêt intermédiaire Windows Server 2003 et ultérieur ou
ultérieur.
Seuls les comptes d’utilisateur ou les comptes d’ordinateur ont été supprimés, et non les groupes de
sécurité.
Les utilisateurs supprimés ont été ajoutés aux groupes de sécurité dans tous les domaines de la forêt
après la transition de la forêt vers Windows Server 2003 et ultérieur, ou le niveau fonctionnel de la
forêt ultérieure.
12. Sur la console du contrôleur de domaine de récupération, utilisez l’utilitaire Ldifde.exe et le fichier ar_
YYYMMDD-HHMMSS _links_usn.loc.ldf pour restaurer les appartenances aux groupes de l’utilisateur.
Pour ce faire, procédez comme suit :
Sélectionnez Démarrer , Exécuter , tapez cmd dans la zone Ouvrir , puis sélectionnez OK .
À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf

13. Activez la réplication entrante sur le contrôleur de domaine de récupération à l’aide de la commande
suivante :

repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL

14. Si des utilisateurs supprimés ont été ajoutés à des groupes locaux dans des domaines externes, prenez
l’une des mesures suivantes :
Ajoutez manuellement les utilisateurs supprimés à ces groupes.
Restituer l’état du système et l’th restaurer chacun des groupes de sécurité locaux qui contient les
utilisateurs supprimés.
15. Vérifiez l’appartenance au groupe dans le domaine du contrôleur de domaine de récupération et dans les
catalogues globaux dans d’autres domaines.
16. Effectuer une nouvelle sauvegarde de l’état système des contrôleurs de domaine dans le domaine du
contrôleur de domaine de récupération.
17. Informez tous les administrateurs de forêt, les administrateurs délégués, les administrateurs du service
d’aide de la forêt et les utilisateurs du domaine que la restauration de l’utilisateur est terminée.
Les administrateurs du service d’aide peuvent être tenus de réinitialiser les mots de passe des comptes
d’utilisateurs restaurés et des comptes d’ordinateur dont le mot de passe de domaine a été modifié après
la restauration du système.
Les utilisateurs qui ont modifié leur mot de passe après la sauvegarde de l’état du système trouveront
que leur mot de passe le plus récent ne fonctionne plus. Si ces utilisateurs le connaissent, essayez de se
connecter à l’aide de leurs mots de passe précédents. Dans le cas contraire, les administrateurs du service
d’aide doivent réinitialiser le mot de passe et sélectionner l’utilisateur doit modifier le mot de passe lors
de la prochaine case à cocher d’accès. Faites-le de préférence sur un contrôleur de domaine dans le
même site Active Directory que celui où se trouve l’utilisateur.

Méthode 2 : restaurer les comptes d’utilisateur supprimés, puis


rajouter les utilisateurs restaurés à leurs groupes
Lorsque vous utilisez cette méthode, vous effectuez les étapes de haut niveau suivantes :
1. Vérifiez si un catalogue global dans le domaine de l’utilisateur n’a pas été répliqué dans la suppression.
Empêchez ensuite la réplication de ce catalogue global. S’il n’existe pas de catalogue global latent, recherchez
la sauvegarde d’état système la plus actuelle d’un contrôleur de domaine de catalogue global dans le
domaine d’accueil de l’utilisateur supprimé.
2. Auth restore all the deleted user accounts, and then allow end-to-end replication of those user accounts.
3. Ajoutez tous les utilisateurs restaurés à tous les groupes dans tous les domaines dont les comptes
d’utilisateurs étaient membres avant leur suppression.
Pour utiliser la méthode 2, suivez la procédure ci-après :
1. Vérifiez s’il existe un contrôleur de domaine de catalogue global dans le domaine d’accueil de l’utilisateur
supprimé qui n’a répliqué aucune partie de la suppression.

NOTE
Concentrez-vous sur les catalogues globaux qui ont les planifications de réplication les moins fréquentes.

S’il existe un ou plusieurs de ces catalogues globaux, utilisez l’outil Repadmin.exe ligne de commande
pour désactiver immédiatement la réplication entrante. Pour ce faire, procédez comme suit :
a. Sélectionnez Démarrer , puis Exécuter .
b. Tapez cmd dans la zone Ouvrir , puis sélectionnez OK .
c. Tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :

repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

NOTE
Si vous ne pouvez pas émettre la commande Repadmin immédiatement, supprimez toute la connectivité réseau
du catalogue global latent tant que vous ne pouvez pas utiliser Repadmin pour désactiver la réplication entrante,
puis renvoyez immédiatement la connectivité réseau.

Ce contrôleur de domaine est appelé contrôleur de domaine de récupération. S’il n’existe aucun catalogue
global de ce type, allez à l’étape 2.
2. Déterminez si les ajouts, suppressions et modifications apportés aux comptes d’utilisateur, aux comptes
d’ordinateur et aux groupes de sécurité doivent être temporairement arrêtés jusqu’à ce que toutes les
étapes de récupération soient terminées.
Pour conserver le chemin de récupération le plus flexible, arrêtez temporairement d’apporter des
modifications aux éléments suivants. Les modifications incluent les réinitialisations de mot de passe par
les utilisateurs du domaine, les administrateurs du service d’aide et les administrateurs du domaine dans
lequel la suppression s’est produite, en plus des modifications d’appartenance aux groupes d’utilisateurs
supprimés. Envisagez d’interrompre les ajouts, suppressions et modifications apportés aux éléments
suivants :
a. Comptes d’utilisateur et attributs sur les comptes d’utilisateurs
b. Comptes et attributs d’ordinateur sur les comptes d’ordinateur
c. Comptes de service
d. Groupes de sécurité
Il est préférable d’arrêter d’apporter des modifications aux groupes de sécurité dans la forêt si toutes les
affirmations suivantes sont vraies :
Vous utilisez la méthode 2 pour restaurer de manière faisant autorité des utilisateurs ou des comptes
d’ordinateur supprimés par leur chemin d’accès de nom de domaine (dn).
La suppression a été répliquée sur tous les contrôleurs de domaine de la forêt à l’exception du
contrôleur de domaine de récupération latent.
Vous n’êtes pas en train de restaurer les groupes de sécurité ou leurs conteneurs parents.
Si vous restitiez des groupes de sécurité ou des conteneurs d’unité d’organisation qui hébergent des
groupes de sécurité ou des comptes d’utilisateur, arrêtez temporairement toutes ces modifications.
Avertir les administrateurs et les administrateurs du service d’aide dans les domaines appropriés en plus
des utilisateurs du domaine dans lequel la suppression s’est produite lors de l’arrêt de ces modifications.
3. Créez une sauvegarde de l’état du système dans le domaine dans lequel la suppression s’est produite.
Vous pouvez utiliser cette sauvegarde si vous devez revenir en arrière de vos modifications.

NOTE
Si les sauvegardes d’état système sont à jour jusqu’au point de suppression, ignorez cette étape et passez à l’étape
4.

Si vous avez identifié un contrôleur de domaine de récupération à l’étape 1, back up its system state now.
Si tous les catalogues globaux situés dans le domaine où la suppression s’est produite ont été répliqués
lors de la suppression, back up the system state of a global catalog in the domain where the deletion
occurred.
Lorsque vous créez une sauvegarde, vous pouvez rétablir l’état actuel du contrôleur de domaine de
récupération. Effectuez de nouveau votre plan de récupération si votre première essai n’a pas abouti.
4. Si vous ne trouvez pas de contrôleur de domaine de catalogue global latent dans le domaine où
l’utilisateur a été supprimé, recherchez la sauvegarde d’état système la plus récente d’un contrôleur de
domaine de catalogue global dans ce domaine. Cette sauvegarde d’état système doit contenir les objets
supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.
Seules les restaurations des contrôleurs de domaine de catalogue global dans le domaine de l’utilisateur
contiennent des informations d’appartenance aux groupes universels et globaux pour les groupes de
sécurité qui résident dans des domaines externes. S’il n’existe aucune sauvegarde de l’état système d’un
contrôleur de domaine de catalogue global dans le domaine où les utilisateurs ont été supprimés, vous
ne pouvez pas utiliser l’attribut sur les comptes d’utilisateur restaurés pour déterminer l’appartenance à
un groupe global ou universel ou pour récupérer l’appartenance memberOf à des domaines externes. En
outre, il est bon de trouver la sauvegarde d’état système la plus récente d’un contrôleur de domaine de
catalogue non global.
5. Si vous connaissez le mot de passe du compte d’administrateur hors connexion, démarrez le contrôleur
de domaine de récupération en mode Derepair. Si vous ne connaissez pas le mot de passe du compte
d’administrateur hors connexion, réinitialisez-le alors que le contrôleur de domaine de récupération est
toujours en mode Active Directory normal.
Vous pouvez utiliser l’outil en ligne de commande setpwd pour réinitialiser le mot de passe sur les
contrôleurs de domaine qui exécutent Windows 2000 Service Pack 2 (SP2) et version ultérieure lorsqu’ils
sont en mode Active Directory en ligne.

NOTE
Microsoft ne prend plus en charge Windows 2000.

Les administrateurs de Windows Server 2003 et des contrôleurs de domaine ultérieurs


set dsrm password peuvent utiliser la commande de l’outil en ligne de commande Ntdsutil pour
réinitialiser le mot de passe du compte d’administrateur hors connexion.
Pour plus d’informations sur la réinitialisation du compte d’administrateur du mode restauration des
services d’annuaire, voir Comment réinitialiser le mot de passe du compte d’administrateur en mode
restauration des services d’annuaire dans Windows Server.
6. Appuyez sur F8 pendant le processus de démarrage pour démarrer le contrôleur de domaine de
récupération en mode Disrepair. Connectez-vous à la console du contrôleur de domaine de récupération
avec le compte d’administrateur hors connexion. Si vous réinitialisez le mot de passe à l’étape 5, utilisez le
nouveau mot de passe.
Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne
restituer l’état du système. Allez à l’étape 7.
Si vous créez le contrôleur de domaine de récupération à l’aide d’une sauvegarde de l’état du système,
restituer la sauvegarde d’état système la plus actuelle qui a été réalisée sur le contrôleur de domaine de
récupération maintenant.
7. Auth restore the deleted user accounts, the deleted computer accounts, or the deleted security groups.

NOTE
Les termes restauration d’th et restauration faisant autorité font référence au processus d’utilisation de la
commande de restauration faisant autorité dans l’outil en ligne de commande Ntdsutil pour incrémenter les
numéros de version d’objets spécifiques ou de conteneurs spécifiques et de tous leurs objets subordonnés. Dès
que la réplication de bout en bout se produit, les objets ciblés dans la copie locale du contrôleur de domaine de
récupération d’Active Directory font autorité sur tous les contrôleurs de domaine qui partagent cette partition.
Une restauration faisant autorité est différente d’une restauration d’état système. Une restauration de l’état
système remplit la copie locale d’Active Directory du contrôleur de domaine restauré avec les versions des objets
au moment où la sauvegarde de l’état système a été réalisée.

Les restaurations faisant autorité sont effectuées avec l’outil en ligne de commande Ntdsutil et font
référence au chemin d’accès au nom de domaine (dn) des utilisateurs supprimés ou des conteneurs qui
hébergent les utilisateurs supprimés.
Lorsque vous restituerez l’th, utilisez des chemins d’accès de nom de domaine (dn) qui sont aussi bas
dans l’arborescence de domaine que ce qu’ils doivent être. L’objectif est d’éviter de reconvenir aux objets
qui ne sont pas liés à la suppression. Ces objets peuvent inclure des objets qui ont été modifiés après la
sauvegarde de l’état du système.
Restituer auth les utilisateurs supprimés dans l’ordre suivant :
a. Auth restore the domain name (dn) path for each deleted user account, computer account, or
security group.
Les restaurations faisant autorité d’objets spécifiques prennent plus de temps, mais sont moins
destructrices que les restaurations faisant autorité d’une sous-arbre entière. Auth restore the
lowest common parent container that holds the deleted objects.
Ntdsutil utilise la syntaxe suivante :

ntdsutil "authoritative restore" "restore object <object DN path>" q q

Par exemple, pour restaurer de manière faisant autorité l’utilisateur supprimé John Doe dans l’ou
Contoso.com Mayberr y du domaine, utilisez la commande suivante :

ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

Pour restaurer le groupe de sécurité supprimé ContosoPrintAccess dans l’ou Contoso.com


Mayberr y du domaine, utilisez la commande suivante :

ntdsutil "authoritative restore" "restore object


cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

IMPORTANT
L’utilisation de guillemets est requise.

NOTE
Cette syntaxe est disponible uniquement dans Windows Server 2003 et ultérieur. La seule syntaxe
Windows 2000 consiste à utiliser les syntaxes suivantes :

ntdsutil "authoritative restore" "restore subtree object DN path"

NOTE
L’opération de restauration faisant autorité de Ntdsutil n’est pas réussie si le chemin d’accès au nom (DN)
contient des espaces ou des caractères étendus. Pour que la restauration par script réussisse,
restore object <DN path> la commande doit être passée en tant que chaîne complète.

Pour contourner ce problème, encapsulez le DN qui contient des espaces et des caractères étendus
avec des séquences d’échappatoires de guillemets doubles. Voici un exemple :

ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry


NC,DC=contoso,DC=com\"" q q

NOTE
La commande doit être modifiée si le DN des objets en cours de restauration contient des virgules.
Prenons l’exemple suivant :

ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry


NC,DC=contoso,DC=com\"" q q

NOTE
Si les objets ont été restaurés à partir d’une bande, marqués faisant autorité et que la restauration n’a pas
fonctionné comme prévu, puis que la même bande est utilisée pour restaurer de nouveau la base de
données NTDS, la version USN des objets à restaurer faisant autorité doit être supérieure à la valeur par
défaut de 100 000, sinon les objets ne seront pas répliqués après la deuxième restauration. La syntaxe ci-
dessous est nécessaire pour écrire un numéro de version supérieur à 100 000 (par défaut) :

ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry


NC,DC=contoso,DC=com\" verinc 150000\"" q q
NOTE
Si le script demande confirmation sur chaque objet en cours de restauration, vous pouvez désactiver les
invites. La syntaxe pour désactiver l’invite est la suivante :

ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry


NC,DC=contoso,DC=com\" verinc 150000\"" q q

b. Auth restore only the OU or Common-Name (CN) containers that host the deleted user accounts
or groups.
Les restaurations faisant autorité d’une sous-arbre entière sont valides lorsque l’ou ciblée par la
commande de restauration faisant autorité ntdsutil contient la plupart des objets que vous essayez
de restaurer de manière faisant autorité. Dans l’idéal, l’ouo ciblé contient tous les objets que vous
essayez de restaurer de manière fiable.
Une restauration faisant autorité sur une sous-arbre d’ou restaure tous les attributs et objets qui
résident dans le conteneur. Toutes les modifications qui ont été apportées jusqu’à la restauration
d’une sauvegarde de l’état du système sont restaurées à leurs valeurs au moment de la
sauvegarde. Avec les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité,
cette récupération peut signifier la perte des dernières modifications apportées aux mots de passe,
au répertoire d’accueil, au chemin d’accès au profil, à l’emplacement et aux informations de
contact, à l’appartenance au groupe et à tous les descripteurs de sécurité définis sur ces objets et
attributs.
Ntdsutil utilise la syntaxe suivante :

ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

Par exemple, pour restaurer avec autorité l’ouo Contoso.com Mayberr y du domaine, utilisez la
commande suivante :

ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

NOTE
Répétez cette étape pour chaque ou plusieurs ou plusieurs groupes d’homologues qui hébergent des
utilisateurs ou des groupes supprimés.

IMPORTANT
Lorsque vous restituer un objet subordonné d’une ou plusieurs de ses boîtes de données, tous les
conteneurs parents supprimés des objets subordonnés supprimés doivent être explicitement restaurés.

8. Si des objets supprimés ont été récupérés sur le contrôleur de domaine de récupération en raison d’une
restauration de l’état du système, supprimez tous les câbles réseau qui assurent la connectivité réseau à
tous les autres contrôleurs de domaine dans la forêt.
9. Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
10. Tapez la commande suivante pour désactiver la réplication entrante vers le contrôleur de domaine de
récupération :

repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

Activez de nouveau la connectivité réseau au contrôleur de domaine de récupération dont l’état système
a été restauré.
11. Répliquer les objets restaurés auth à partir du contrôleur de domaine de récupération vers les
contrôleurs de domaine dans le domaine et dans la forêt.
Bien que la réplication entrante vers le contrôleur de domaine de récupération reste désactivée, tapez la
commande suivante pour pousser les objets restaurés auth vers tous les contrôleurs de domaine réplicas
entre sites dans le domaine et dans tous les catalogues globaux de la forêt :

repadmin /syncall /d /e /P <recovery dc> <Naming Context>

Si toutes les affirmations suivantes sont vraies, les liens d’appartenance aux groupes sont reconstruits
avec la restauration et la réplication des comptes d’utilisateur supprimés. Allez à l’étape 14.

NOTE
Si une ou plusieurs des instructions suivantes ne sont pas vraies, allez à l’étape 12.

Votre forêt est en cours d’exécution au niveau fonctionnel de forêt Windows Server 2003 et ultérieur,
ou au niveau fonctionnel de forêt intermédiaire Windows Server 2003 et ultérieur.
Seuls les comptes d’utilisateur ou les comptes d’ordinateur ont été supprimés, et non les groupes de
sécurité.
Les utilisateurs supprimés ont été ajoutés aux groupes de sécurité dans tous les domaines de la forêt
après la transition de la forêt vers Windows Server 2003 et le niveau fonctionnel de la forêt ultérieure.
12. Déterminez les groupes de sécurité dont les utilisateurs supprimés étaient membres, puis ajoutez-les à
ces groupes.

NOTE
Avant de pouvoir ajouter des utilisateurs à des groupes, les utilisateurs que vous avez restaurés à l’étape 7 et ceux
que vous avez répliqués à l’étape 11 doivent avoir été répliqués sur les contrôleurs de domaine dans le domaine
du contrôleur de domaine référencé et sur tous les contrôleurs de domaine de catalogue global dans la forêt.

Si vous avez déployé un utilitaire de mise en service de groupe pour re-repaser l’appartenance aux
groupes de sécurité, utilisez cet utilitaire pour restaurer les utilisateurs supprimés dans les groupes de
sécurité dont ils étaient membres avant leur suppression. Faites-le une fois que tous les contrôleurs de
domaine directs et transitifs dans le domaine de la forêt et les serveurs de catalogue global ont répliqué
les utilisateurs auth restaurés et tous les conteneurs restaurés.
Si vous n’avez pas l’utilitaire, Ldifde.exe Groupadd.exe les outils en ligne de commande peuvent
automatiser cette tâche pour vous lorsqu’ils sont exécutés sur le contrôleur de domaine de récupération.
Ces outils sont disponibles à partir des services de support technique Microsoft. Dans ce scénario,
Ldifde.exe crée un fichier d’informations LDIF (Data Interchange Format) LDAP qui contient les noms des
comptes d’utilisateurs et de leurs groupes de sécurité. Elle démarre dans un conteneur d’ou que
l’administrateur spécifie. Groupadd.exe lit ensuite l’attribut memberOf de chaque compte d’utilisateur
répertorié dans le fichier .ldf. Il génère ensuite des informations LDIF distinctes et uniques pour chaque
domaine de la forêt. Ces informations LDIF contiennent les noms des groupes de sécurité associés aux
utilisateurs supprimés. Utilisez les informations LDIF pour rajouter les informations aux utilisateurs afin
que leurs appartenances aux groupes soient restaurées. Suivez les étapes suivantes pour cette phase de
la récupération :
a. Connectez-vous à la console du contrôleur de domaine de récupération à l’aide d’un compte
d’utilisateur membre du groupe de sécurité de l’administrateur de domaine.
b. Utilisez la commande Ldifde pour vider les noms des comptes d’utilisateurs supprimés et leurs
attributs memberOf , en commençant par le conteneur d’ou le plus haut où la suppression s’est
produite. La commande Ldifde utilise la syntaxe suivante :

ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof
-p subtree -f user_membership_after_restore.ldf

Utilisez la syntaxe suivante si des comptes d’ordinateur supprimés ont été ajoutés à des groupes
de sécurité :

ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l


memberof -p subtree -f computer_membership_after_restore.ldf

c. Exécutez la Groupadd commande pour créer d’autres fichiers .ldf qui contiennent les noms de
domaines et les noms des groupes de sécurité globaux et universels dont les utilisateurs
supprimés étaient membres. La Groupadd commande utilise la syntaxe suivante :

Groupadd / after_restore users_membership_after_restore.ldf

Répétez cette commande si des comptes d’ordinateur supprimés ont été ajoutés aux groupes de
sécurité.
d. Importez Groupadd chaque fichier _fully.qualified.domain.name.ldf que vous avez créé à l’étape
12c dans un contrôleur de domaine de catalogue global qui correspond au fichier .ldf de chaque
domaine. Utilisez la syntaxe Ldifde suivante :

Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf

Exécutez le fichier .ldf pour le domaine dont les utilisateurs ont été supprimés sur n’importe quel
contrôleur de domaine à l’exception du contrôleur de domaine de récupération.
e. Sur la console de chaque contrôleur de domaine utilisé pour importer le fichier
Groupadd_<fully.qualified.domain.name>.ldf pour un domaine particulier, répliquez les
ajouts d’appartenance au groupe vers les autres contrôleurs de domaine dans le domaine et dans
les contrôleurs de domaine du catalogue global dans la forêt. Pour ce faire, utilisez la commande
suivante :

repadmin /syncall /d /e /P <recovery dc> <Naming Context>

13. Pour désactiver la réplication sortante, tapez le texte suivant, puis appuyez sur Entrée :

repadmin /options +DISABLE_OUTBOUND_REPL


NOTE
Pour activer à nouveau la réplication sortante, tapez le texte suivant, puis appuyez sur Entrée :

repadmin /options -DISABLE_OUTBOUND_REPL

14. Si des utilisateurs supprimés ont été ajoutés à des groupes locaux dans des domaines externes, prenez
l’une des mesures suivantes :
Ajoutez manuellement les utilisateurs supprimés à ces groupes.
Restituer l’état du système et l’th restaurer chacun des groupes de sécurité locaux qui contient les
utilisateurs supprimés.
15. Vérifiez l’appartenance au groupe dans le domaine du contrôleur de domaine de récupération et dans les
catalogues globaux dans d’autres domaines.
16. Effectuer une nouvelle sauvegarde de l’état système des contrôleurs de domaine dans le domaine du
contrôleur de domaine de récupération.
17. Informez tous les administrateurs de forêt, les administrateurs délégués, les administrateurs du service
d’aide de la forêt et les utilisateurs du domaine que la restauration de l’utilisateur est terminée.
Les administrateurs du service d’aide peuvent être tenus de réinitialiser les mots de passe des comptes
d’utilisateurs restaurés et des comptes d’ordinateur dont le mot de passe de domaine a été modifié après
la restauration du système.
Les utilisateurs qui ont modifié leur mot de passe après la sauvegarde de l’état du système trouveront
que leur mot de passe le plus récent ne fonctionne plus. Si ces utilisateurs le connaissent, essayez de se
connecter à l’aide de leurs mots de passe précédents. Dans le cas contraire, les administrateurs du service
d’aide doivent réinitialiser le mot de passe et sélectionner l’utilisateur doit modifier le mot de passe lors
de la prochaine case à cocher d’accès. Faites-le de préférence sur un contrôleur de domaine dans le
même site Active Directory que celui où se trouve l’utilisateur.

Méthode 3 : restaurer les utilisateurs supprimés et les groupes de


sécurité des utilisateurs supprimés à deux reprises
Lorsque vous utilisez cette méthode, vous effectuez les étapes de haut niveau suivantes :
1. Vérifiez si un catalogue global dans le domaine de l’utilisateur n’a pas été répliqué dans la suppression.
Empêchez ensuite ce contrôleur de domaine de répliquer la suppression. S’il n’existe pas de catalogue global
latent, recherchez la sauvegarde d’état système la plus actuelle d’un contrôleur de domaine de catalogue
global dans le domaine d’accueil de l’utilisateur supprimé.
2. Restituer avec autorité tous les comptes d’utilisateurs supprimés et tous les groupes de sécurité dans le
domaine de l’utilisateur supprimé.
3. Attendez la réplication de bout en bout des utilisateurs restaurés et des groupes de sécurité sur tous les
contrôleurs de domaine dans le domaine de l’utilisateur supprimé et sur les contrôleurs de domaine de
catalogue global de la forêt.
4. Répétez les étapes 2 et 3 pour restaurer de manière fiable les utilisateurs et les groupes de sécurité
supprimés. (Vous restituer l’état du système une seule fois.)
5. Si les utilisateurs supprimés étaient membres de groupes de sécurité dans d’autres domaines, restituer avec
autorité tous les groupes de sécurité dont les utilisateurs supprimés étaient membres dans ces domaines.
Ou, si les sauvegardes d’état système sont en cours, restituer de manière faisant autorité tous les groupes de
sécurité dans ces domaines. Pour satisfaire l’exigence selon qui les membres du groupe supprimés doivent
être restaurés avant les groupes de sécurité pour corriger les liens d’appartenance au groupe, vous restituer
deux fois les deux types d’objets dans cette méthode. La première restauration met en place tous les comptes
d’utilisateur et de groupe. La deuxième restauration restaure les groupes supprimés et répare les
informations d’appartenance aux groupes, y compris les informations d’appartenance pour les groupes
imbrmbrés.
Pour utiliser la méthode 3, suivez la procédure ci-après :
1. Vérifiez si un contrôleur de domaine de catalogue global existe dans le domaine d’accueil des utilisateurs
supprimés et n’a pas été répliqué dans une partie de la suppression.

NOTE
Concentrez-vous sur les catalogues globaux dans le domaine qui ont les planifications de réplication les moins
fréquentes. Si ces contrôleurs de domaine existent, utilisez lRepadmin.exe de ligne de commande pour désactiver
immédiatement la réplication entrante. Pour ce faire, procédez comme suit :

a. Sélectionnez Démarrer , puis Exécuter .


b. Tapez cmd dans la zone Ouvrir , puis sélectionnez OK .
c. Tapez repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL à l’invite de commandes, puis
appuyez sur Entrée.

NOTE
Si vous ne pouvez pas émettre la commande Repadmin immédiatement, supprimez toute la connectivité réseau
du contrôleur de domaine tant que vous ne pouvez pas utiliser Repadmin pour désactiver la réplication entrante,
puis renvoyez immédiatement la connectivité réseau.

Ce contrôleur de domaine est appelé contrôleur de domaine de récupération.


2. Évitez d’apporter des ajouts, suppressions et modifications aux éléments suivants jusqu’à ce que toutes
les étapes de récupération soient terminées. Les modifications incluent les réinitialisations de mot de
passe par les utilisateurs du domaine, les administrateurs du service d’aide et les administrateurs du
domaine dans lequel la suppression s’est produite, en plus des modifications d’appartenance aux groupes
d’utilisateurs supprimés.
a. Comptes d’utilisateur et attributs sur les comptes d’utilisateurs
b. Comptes et attributs d’ordinateur sur les comptes d’ordinateur
c. Comptes de service
d. Groupes de sécurité

NOTE
Évitez en particulier les modifications apportées à l’appartenance aux groupes pour les utilisateurs, les
ordinateurs, les groupes et les comptes de service dans la forêt où la suppression s’est produite.

e. Informez tous les administrateurs de forêt, les administrateurs délégués et les administrateurs du
support de support dans la forêt de la solution de secours temporaire. Cette mise en stand-down
est requise dans la méthode 2, car vous restitiez de manière faisant autorité tous les groupes de
sécurité des utilisateurs supprimés. Par conséquent, toutes les modifications apportées aux
groupes après la date de sauvegarde de l’état système sont perdues.
3. Créez une sauvegarde de l’état du système dans le domaine dans lequel la suppression s’est produite.
Vous pouvez utiliser cette sauvegarde si vous devez revenir en arrière de vos modifications.

NOTE
Si vos sauvegardes d’état système sont à jour jusqu’au moment où la suppression s’est produite, ignorez cette
étape et passez à l’étape 4.

Si vous avez identifié un contrôleur de domaine de récupération à l’étape 1, back up its system state now.
Si tous les catalogues globaux situés dans le domaine dans lequel la suppression s’est produite ont
répliqué la suppression, back up the system state of a global catalog in the domain where the deletion
occurred.
Lorsque vous créez une sauvegarde, vous pouvez rétablir l’état actuel du contrôleur de domaine de
récupération. Effectuez de nouveau votre plan de récupération si votre première essai n’a pas abouti.
4. Si vous ne trouvez pas de contrôleur de domaine de catalogue global latent dans le domaine où
l’utilisateur a été supprimé, recherchez la sauvegarde d’état système la plus récente d’un contrôleur de
domaine de catalogue global dans ce domaine. Cette sauvegarde d’état système doit contenir les objets
supprimés. Utilisez ce contrôleur de domaine comme contrôleur de domaine de récupération.
Seules les bases de données des contrôleurs de domaine de catalogue global dans le domaine de
l’utilisateur contiennent des informations d’appartenance aux groupes pour les domaines externes de la
forêt. S’il n’existe aucune sauvegarde de l’état système d’un contrôleur de domaine de catalogue global
dans le domaine où les utilisateurs ont été supprimés, vous ne pouvez pas utiliser l’attribut sur les
comptes d’utilisateur restaurés pour déterminer l’appartenance à un groupe global ou universel ou pour
récupérer l’appartenance memberOf à des domaines externes. Passer à l’étape suivante. S’il existe un
enregistrement externe de l’appartenance à un groupe dans des domaines externes, ajoutez les
utilisateurs restaurés aux groupes de sécurité dans ces domaines une fois que les comptes d’utilisateur
ont été restaurés.
5. Si vous connaissez le mot de passe du compte d’administrateur hors connexion, démarrez le contrôleur
de domaine de récupération en mode Derepair. Si vous ne connaissez pas le mot de passe du compte
d’administrateur hors connexion, réinitialisez-le alors que le contrôleur de domaine de récupération est
toujours en mode Active Directory normal.
Vous pouvez utiliser l’outil en ligne de commande setpwd pour réinitialiser le mot de passe sur les
contrôleurs de domaine qui exécutent Windows 2000 SP2 et version ultérieure lorsqu’ils sont en mode
Active Directory en ligne.

NOTE
Microsoft ne prend plus en charge Windows 2000.

Les administrateurs de Windows Server 2003 et des contrôleurs de domaine ultérieurs


set dsrm password peuvent utiliser la commande de l’outil en ligne de commande Ntdsutil pour
réinitialiser le mot de passe du compte d’administrateur hors connexion.
Pour plus d’informations sur la réinitialisation du compte d’administrateur du mode restauration des
services d’annuaire, voir Comment réinitialiser le mot de passe du compte d’administrateur en mode
restauration des services d’annuaire dans Windows Server.
6. Appuyez sur F8 pendant le processus de démarrage pour démarrer le contrôleur de domaine de
récupération en mode Disrepair. Connectez-vous à la console du contrôleur de domaine de récupération
avec le compte d’administrateur hors connexion. Si vous réinitialisez le mot de passe à l’étape 5, utilisez le
nouveau mot de passe.
Si le contrôleur de domaine de récupération est un contrôleur de domaine de catalogue global latent, ne
restituer l’état du système. Allez directement à l’étape 7.
Si vous créez le contrôleur de domaine de récupération à l’aide d’une sauvegarde de l’état du système,
restituer la sauvegarde d’état système la plus actuelle qui a été réalisée sur le contrôleur de domaine de
récupération qui contient les objets supprimés maintenant.
7. Auth restore the deleted user accounts, the deleted computer accounts, or the deleted security groups.

NOTE
Les termes restauration d’th et restauration faisant autorité font référence au processus d’utilisation de la
commande de restauration faisant autorité dans l’outil en ligne de commande Ntdsutil pour incrémenter les
numéros de version d’objets spécifiques ou de conteneurs spécifiques et de tous leurs objets subordonnés. Dès
que la réplication de bout en bout se produit, les objets ciblés dans la copie locale du contrôleur de domaine de
récupération d’Active Directory font autorité sur tous les contrôleurs de domaine qui partagent cette partition.
Une restauration faisant autorité est différente d’une restauration d’état système. Une restauration de l’état
système remplit la copie locale d’Active Directory du contrôleur de domaine restauré avec les versions des objets
au moment où la sauvegarde de l’état système a été réalisée.

Les restaurations faisant autorité sont effectuées avec l’outil en ligne de commande Ntdsutil en
référençant le chemin dn (domain name) des utilisateurs supprimés ou des conteneurs qui hébergent les
utilisateurs supprimés.
Lorsque vous restituerez l’th, utilisez des chemins d’accès de nom de domaine qui sont aussi bas dans
l’arborescence de domaine que ce qu’ils doivent être. L’objectif est d’éviter de reconvenir aux objets qui
ne sont pas liés à la suppression. Ces objets peuvent inclure des objets qui ont été modifiés après la
sauvegarde de l’état du système.
Restituer auth les utilisateurs supprimés dans l’ordre suivant :
a. Auth restore the domain name (dn) path for each deleted user account, computer account, or
deleted security group.
Les restaurations faisant autorité d’objets spécifiques prennent plus de temps, mais sont moins
destructrices que les restaurations faisant autorité d’une sous-arbre entière. Auth restore the
lowest common parent container that holds the deleted objects.
Ntdsutil utilise la syntaxe suivante :

ntdsutil "authoritative restore" "restore object <object DN path>" q q

Par exemple, pour restaurer de manière faisant autorité l’utilisateur supprimé John Doe dans l’ou
Contoso.com Mayberr y du domaine, utilisez la commande suivante :

ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

Pour restaurer le groupe de sécurité supprimé ContosoPrintAccess dans l’ou Contoso.com


Mayberr y du domaine, utilisez la commande suivante :
ntdsutil "authoritative restore" "restore object
cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

IMPORTANT
L’utilisation de guillemets est requise.

En utilisant ce format Ntdsutil, vous pouvez également automatiser la restauration faisant autorité
de nombreux objets dans un fichier de lots ou un script.

NOTE
Cette syntaxe est disponible uniquement dans Windows Server 2003 et ultérieur. La seule syntaxe
Windows 2000 est d’utiliser : ntdsutil "authoritative restore" "restore subtree object DN path" .

b. Auth restore only the OU or Common-Name (CN) containers that host the deleted user accounts
or groups.
Les restaurations faisant autorité d’une sous-arbre entière sont valides lorsque l’ou ciblée par la
commande de restauration faisant autorité Ntdsutil contient la plupart des objets que vous
essayez de restaurer de manière faisant autorité. Dans l’idéal, l’ouo ciblé contient tous les objets
que vous essayez de restaurer de manière fiable.
Une restauration faisant autorité sur une sous-arbre d’ou restaure tous les attributs et objets qui
résident dans le conteneur. Toutes les modifications qui ont été apportées jusqu’à la restauration
d’une sauvegarde de l’état du système sont restaurées à leurs valeurs au moment de la
sauvegarde. Avec les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité,
cette récupération peut signifier la perte des dernières modifications apportées aux mots de passe,
au répertoire d’accueil, au chemin d’accès au profil, à l’emplacement et aux informations de
contact, à l’appartenance au groupe et à tous les descripteurs de sécurité définis sur ces objets et
attributs.
Ntdsutil utilise la syntaxe suivante :

ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

Par exemple, pour restaurer avec autorité l’ouo Contoso.com Mayberr y du domaine, utilisez la
commande suivante :

ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q

NOTE
Répétez cette étape pour chaque ou plusieurs ou plusieurs groupes d’homologues qui hébergent des
utilisateurs ou des groupes supprimés.

IMPORTANT
Lorsque vous restituer un objet subordonné d’une ou plusieurs de ses boîtes de données, tous les
conteneurs parents des objets subordonnés supprimés doivent être explicitement restaurés.
8. Redémarrez le contrôleur de domaine de récupération en mode Active Directory normal.
9. Répliquer les objets restaurés faisant autorité à partir du contrôleur de domaine de récupération vers les
contrôleurs de domaine dans le domaine et dans la forêt.
Bien que la réplication entrante vers le contrôleur de domaine de récupération reste désactivée, tapez la
commande suivante pour pousser les objets restaurés faisant autorité vers tous les contrôleurs de
domaine réplicas entre sites dans le domaine et vers les catalogues globaux de la forêt :

repadmin /syncall /d /e /P <recovery dc> <Naming Context>

Une fois que tous les contrôleurs de domaine directs et transitifs des serveurs de domaine et de
catalogue global de la forêt ont été répliqués dans les utilisateurs restaurés faisant autorité et tous les
conteneurs restaurés, allez à l’étape 11.
Si toutes les affirmations suivantes sont vraies, les liens d’appartenance aux groupes sont reconstruits
avec la restauration des comptes d’utilisateur supprimés. Allez à l’étape 13.
Votre forêt est en cours d’exécution au niveau fonctionnel de forêt Windows Server 2003 et ultérieur,
ou au niveau fonctionnel de forêt intermédiaire Windows Server 2003 et ultérieur.
Seuls les groupes de sécurité n’ont pas été supprimés.
Tous les utilisateurs supprimés ont été ajoutés à tous les groupes de sécurité dans tous les domaines
de la forêt.
Envisagez d’utiliser Repadmin la commande pour accélérer la réplication sortante des utilisateurs à partir
du contrôleur de domaine restauré.
Si des groupes ont également été supprimés ou si vous ne pouvez pas garantir que tous les utilisateurs
supprimés ont été ajoutés à tous les groupes de sécurité après la transition vers le niveau fonctionnel
intermédiaire ou de forêt Windows Server 2003 et ultérieur, allez à l’étape 12.
10. Répétez les étapes 7, 8 et 9 sans restaurer l’état du système, puis allez à l’étape 11.
11. Si des utilisateurs supprimés ont été ajoutés à des groupes locaux dans des domaines externes, prenez
l’une des mesures suivantes :
Ajoutez manuellement les utilisateurs supprimés à ces groupes.
Restituer l’état du système et l’th restaurer chacun des groupes de sécurité locaux qui contient les
utilisateurs supprimés.
12. Vérifiez l’appartenance au groupe dans le domaine du contrôleur de domaine de récupération et dans les
catalogues globaux dans d’autres domaines.
13. Utilisez la commande suivante pour activer la réplication entrante sur le contrôleur de domaine de
récupération :

repadmin /options recovery dc name -DISABLE_INBOUND_REPL

14. Effectuer une nouvelle sauvegarde de l’état système des contrôleurs de domaine dans le domaine du
contrôleur de domaine de récupération et les catalogues globaux dans d’autres domaines de la forêt.
15. Informez tous les administrateurs de forêt, les administrateurs délégués, les administrateurs du service
d’aide de la forêt et les utilisateurs du domaine que la restauration de l’utilisateur est terminée.
Les administrateurs du service d’aide peuvent être tenus de réinitialiser les mots de passe des comptes
d’utilisateur restaurés et des comptes d’ordinateur dont le mot de passe de domaine a été modifié après
la restauration du système.
Les utilisateurs qui ont modifié leur mot de passe après la sauvegarde de l’état du système trouveront
que leur mot de passe le plus récent ne fonctionne plus. Si ces utilisateurs le connaissent, essayez de se
connecter à l’aide de leurs mots de passe précédents. Dans le cas contraire, les administrateurs du service
d’aide doivent réinitialiser le mot de passe avec l’utilisateur doit modifier le mot de passe lors de la
prochaine case à cocher d’accès. Faites-le de préférence sur un contrôleur de domaine dans le même site
Active Directory que celui où se trouve l’utilisateur.

Comment récupérer des utilisateurs supprimés sur un contrôleur de


domaine lorsque vous n’avez pas de sauvegarde d’état système valide
Si vous n’avez pas de sauvegardes d’état système actuelles dans un domaine où des comptes d’utilisateurs ou
des groupes de sécurité ont été supprimés et que la suppression s’est produite dans les domaines qui
contiennent Windows Server 2003 et les contrôleurs de domaine ultérieurs, suivez ces étapes pour réanimer
manuellement les objets supprimés du conteneur d’objets supprimés :
1. Suivez les étapes de la section suivante pour animer les utilisateurs, les ordinateurs, les groupes ou tous les
utilisateurs supprimés :
Comment supprimer manuellement des objets dans un conteneur d’objets supprimés
2. Utilisez utilisateurs et ordinateurs Active Directory pour modifier le compte de désactivé à activé. (Le compte
apparaît dans l’ou d’origine.)
3. Utilisez les fonctionnalités de réinitialisation en bloc dans Windows Server 2003 et les versions ultérieures
d’Utilisateurs et ordinateurs Active Directory pour effectuer des réinitialisations en bloc sur le mot de passe
doivent être modifiées au prochain paramètre de stratégie d’inscription, dans l’annuaire d’accueil, sur le
chemin d’accès du profil et sur l’appartenance au groupe pour le compte supprimé, le cas échéant. Vous
pouvez également utiliser un équivalent par programme de ces fonctionnalités.
4. Si Microsoft Exchange 2000 ou une ultérieure a été utilisé, réparez la boîte aux lettres Exchange’utilisateur
supprimé.
5. Si Exchange 2000 ou ultérieure a été utilisé, réassociez l’utilisateur supprimé à la boîte aux lettres
Exchange’utilisateur.
6. Vérifiez que l’utilisateur récupéré peut se connecter et accéder aux répertoires locaux, aux répertoires
partagés et aux fichiers.
Vous pouvez automatiser une partie ou l’ensemble de ces étapes de récupération à l’aide des méthodes
suivantes :
Écrivez un script qui automatise les étapes de récupération manuelle répertoriées à l’étape 1. Lorsque vous
écrivez un tel script, envisagez d’étudier la portée de l’objet supprimé par date, heure et dernier conteneur
parent connu, puis automatisez la réanimation de l’objet supprimé. Pour automatiser la réanimation,
isDeleted modifiez l’attribut de TRUE à FALSE et modifiez le nom commun relatif lastKnownParent à la
valeur définie dans l’attribut ou dans un nouveau conteneur d’ou de nom commun (CN) spécifié par
l’administrateur. (Le nom de distinction relatif est également appelé RDN.)
Obtenez un programme non Microsoft qui prend en charge la réanimation d’objets supprimés sur Windows
Server 2003 et les contrôleurs de domaine ultérieurs. L’un de ces utilitaires est AdRestore. AdRestore utilise
la Windows Server 2003 et les primitives ultérieures pour ne plusdelete les objets individuellement. Aelita
Software Corporation et Commvault Systems proposent également des produits qui offrent des
fonctionnalités de non-delete sur Windows Server 2003 et les contrôleurs de domaine ultérieurs.
Pour obtenir AdRestore, voir AdRestore v1.1.
Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support
technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas la
précision de ces informations de contact tierces.
Comment supprimer manuellement des objets dans le conteneur
d’un objet supprimé
Pour supprimer manuellement les objets du conteneur d’un objet supprimé, suivez les étapes suivantes :
1. Sélectionnez Démarrer , Exécuter , puis tapez ldp.exe.
ldp.exe est disponible :
Sur les ordinateurs sur lequel le rôle contrôleur de domaine a été installé.
Sur les ordinateurs où les outils d’administration de serveur distant (RSAT) ont été installés.
2. Utilisez le menu Connexion dans Ldp pour effectuer les opérations de connexion et les opérations de
liaison à un contrôleur de domaine Windows Server 2003 et ultérieur.
Spécifiez les informations d’identification de l’administrateur de domaine pendant l’opération de liaison.
3. Dans le menu Options , sélectionnez Contrôles .
4. Dans la liste Load Predefined , sélectionnez Renvoyer les objets supprimés .

NOTE
Le contrôle 1.2.840.113556.1.4.417 se déplace vers la fenêtre Contrôles actifs.

5. Sous Type de contrôle , sélectionnez Ser veur et OK .


6. Dans le menu Affichage, sélectionnez Arborescence , tapez le chemin d’accès au nom du conteneur
d’objets supprimés dans le domaine où la suppression s’est produite, puis sélectionnez OK .

NOTE
Le chemin d’accès au nom est également appelé chemin d’accès DN. Par exemple, si la suppression s’est produite
dans le contoso.com domaine, le chemin d’accès DN est le chemin d’accès suivant :
cn=deleted Objects,dc=contoso,dc=com

7. Dans le volet gauche de la fenêtre, double-cliquez sur le conteneur d’objets supprimés .

NOTE
À la suite d’une requête Idap, seuls 1 000 objets sont renvoyés par défaut. Par exemple, s’il existe plus de 1 000
objets dans le conteneur Objets supprimés, tous les objets n’apparaissent pas dans ce conteneur. Si votre objet
cible n’apparaît pas, utilisez ntdsutil, puis définissez le nombre maximal à l’aide de maxpagesize pour obtenir les
résultats de la recherche.

8. Double-cliquez sur l’objet que vous souhaitez déséliser ou animer.


9. Cliquez avec le bouton droit sur l’objet que vous souhaitez animer, puis sélectionnez Modifier .
Modifiez la valeur de l’attribut isDeleted et du chemin d’accès DN dans une seule opération de
modification LDAP (Lightweight Directory Access Protocol). Pour configurer la boîte de dialogue Modifier,
suivez les étapes suivantes :
a. Dans la zone Modifier l’attribut d’entrée , tapez isDeleted. Laissez la zone Valeur vide.
b. Sélectionnez la bouton d’option Supprimer, puis sélectionnez Entrée pour effectuer la première
des deux entrées de la boîte de dialogue Liste d’entrées .
IMPORTANT
Ne sélectionnez pas Exécuter .

c. Dans la zone Attribut, tapez distinguishedName.


d. Dans la zone Valeurs , tapez le nouveau chemin d’accès DN de l’objet réanimé.
Par exemple, pour animer le compte d’utilisateur JohnDoe dans l’UO Mayberry, utilisez le chemin
DN suivant : cn= JohnDoe,ou = Mayberr y,dc = contoso,dc = com

NOTE
Si vous souhaitez réanimer un objet supprimé dans son conteneur d’origine, vous devez lui attribuer la
valeur du dernier attributKnownParent de l’objet supprimé, puis coller le chemin d’accès DN complet dans
la zone Valeurs.

e. Dans la zone Opération , sélectionnez REMPL ACER .


f. Sélectionnez Entrée .
g. Cochez la case Synchrone.
h. Cochez la case Étendue.
i. Sélectionnez EXÉCUTER .
10. Après avoir réanimé les objets, sélectionnez Contrôles dans le menu Options , sélectionnez le bouton
d’achat à supprimer (1.2.840.113556.1.4.417) de la liste des contrôles actifs .
11. Réinitialisez les mots de passe, les profils, les répertoires d’accueil et les appartenances aux groupes des
utilisateurs supprimés.
Lorsque l’objet a été supprimé, toutes les valeurs d’attribut à l’exception SID de , ObjectGUID et
LastKnownParent``SAMAccountName ont été supprimées.

12. Activez le compte réanimé dans Utilisateurs et ordinateurs Active Directory.

NOTE
L’objet réanimé possède le même SID principal qu’avant la suppression, mais l’objet doit être ajouté à nouveau aux
mêmes groupes de sécurité pour avoir le même niveau d’accès aux ressources. La première version de Windows
Server 2003 et version ultérieure ne conserve pas l’attribut sur les comptes d’utilisateur, les comptes d’ordinateur
sIDHistory et les groupes de sécurité réanimés. Windows Server 2003 et les ultérieures avec Service Pack 1
sIDHistory conservent l’attribut sur les objets supprimés.

13. Supprimez les attributs Exchange Microsoft et reconnectez l’utilisateur à la boîte aux lettres
Exchange’utilisateur.

NOTE
La réanimation des objets supprimés est prise en charge lorsque la suppression se produit sur un contrôleur de
domaine Windows Server 2003 et ultérieur. La réanimation des objets supprimés n’est pas prise en charge lorsque
la suppression se produit sur un contrôleur de domaine Windows 2000 qui est ensuite mis à niveau vers Windows
Server 2003 et ultérieur.
NOTE
Si la suppression se produit sur un contrôleur de domaine Windows 2000 dans le domaine, lastParentOf
l’attribut n’est pas rempli sur Windows Server 2003 et les contrôleurs de domaine ultérieurs.

Comment déterminer quand et où une suppression s’est produite


Lorsque des utilisateurs sont supprimés en raison d’une suppression en bloc, vous pouvez découvrir l’origine de
la suppression. Pour ce faire, procédez comme suit :
1. Pour localiser les principaux de sécurité supprimés, suivez les étapes 1 à 7 de la section Comment
supprimer manuellement les objets de la section conteneur d’un objet supprimé. Si une arborescence a
été supprimée, suivez ces étapes pour localiser un conteneur parent de l’objet supprimé.
2. Copiez la valeur de l’attribut objectGUID dans Windows presse-papiers. Vous pouvez coller cette valeur
lorsque vous entrez la commande Repadmin à l’étape 4.
3. Sur la ligne de commande, exécutez la commande suivante :

repadmin /showmeta GUID=<objectGUID> <FQDN>

Par exemple, objectGUID si le conteneur ou l’objet supprimé est 791273b2-eba7-4285-a117-


aa804ea76e95 et que le nom de domaine complet (FQDN) dc.contoso.com est , exécutez la commande
suivante :

repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com

La syntaxe de cette commande doit inclure le GUID de l’objet ou conteneur supprimé et le nom de sujet
du serveur à partir de qui vous souhaitez vous sourcer.
4. Dans la sortie Repadmin de la commande, recherchez la date, l’heure et le contrôleur de domaine
d’origine pour l’attribut isDeleted . Par exemple, les informations de l’attribut isDeleted apparaissent
dans la cinquième ligne de l’exemple de sortie suivant :

O RG. T IM E/ DAT
LO C . USN DC D’O RIGIN E O RG. USN E VER AT T RIB UT

134759 Default-First- 134759 Date/heure 1 objectClass


Site-Name\NA-
DC1

134760 Default-First- 134760 Date/heure 2 ou


Site-Name\NA-
DC1

134759 Default-First- 134759 Date/heure 1 instanceType


Site-Name\NA-
DC1

134759 Default-First- 134759 Date/heure 1 whenCreated


Site-Name\NA-
DC1
O RG. T IM E/ DAT
LO C . USN DC D’O RIGIN E O RG. USN E VER AT T RIB UT

134760 Default-First- 134760 Date/heure 1 isDeleted


Site-Name\NA-
DC1

134759 Default-First- 134759 Date/heure 1 nTSecurityDescr


Site-Name\NA- iptor
DC1

134760 Default-First- 134760 Date/heure 2 nom


Site-Name\NA-
DC1

134760 Default-First- 134760 Date/heure 1 lastKnownParen


Site-Name\NA- t
DC1

134760 Default-First- 134760 Date/heure 2 objectCategory


Site-Name\NA-
DC1

5. Si le nom du contrôleur de domaine d’origine apparaît en tant que GUID alpha-numérique à 32


caractères, utilisez la commande Ping pour résoudre le GUID en adresse IP et le nom du contrôleur de
domaine à l’origine de la suppression. La commande Ping utilise la syntaxe suivante :

ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>

NOTE
L’option -a est sensible à la cas. Utilisez le nom de domaine complet du domaine racine de la forêt, quel que soit
le domaine où réside le contrôleur de domaine d’origine.

Par exemple, Contoso.com si le contrôleur de domaine d’origine réside dans un domaine de la forêt et
qu’il a un GUID 644eb7e7-1566-4f29-a778-4b487637564b, exécutez la commande suivante :

ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com

La sortie renvoyée par cette commande est similaire à la suivante :

Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128


Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128

Comment réduire l’impact des suppressions en bloc à l’avenir


Les clés pour minimiser l’impact de la suppression en bloc d’utilisateurs, d’ordinateurs et de groupes de sécurité
sont :
Assurez-vous que vous avez des sauvegardes d’état système à jour.
Contrôlez étroitement l’accès aux comptes d’utilisateur privilégiés.
Contrôlez étroitement ce que ces comptes peuvent faire.
Pratique de récupération à partir de suppressions en bloc.
Les changements d’état système se produisent tous les jours. Ces modifications peuvent inclure les éléments
suivants :
Réinitialisations de mot de passe sur les comptes d’utilisateur et les comptes d’ordinateur
Modifications apportées à l’appartenance aux groupes
Autres modifications d’attribut sur les comptes d’utilisateur, les comptes d’ordinateur et les groupes de
sécurité.
Si votre matériel ou logiciel tombe en panne, ou si votre site rencontre un autre sinistre, vous pouvez restaurer
les sauvegardes qui ont été apportées après chaque ensemble important de modifications dans chaque
domaine et site Active Directory dans la forêt. Si vous ne conservez pas les sauvegardes actuelles, vous risquez
de perdre des données ou de devoir restaurer des objets restaurés.
Microsoft recommande de prendre les mesures suivantes pour empêcher les suppressions en bloc :
1. Ne partagez pas le mot de passe des comptes d’administrateur intégrés ou autorisez le partage des
comptes d’utilisateurs d’administration courants. Si le mot de passe du compte d’administrateur intégré
est connu, modifiez-le et définissez un processus interne qui déconseille son utilisation. Les événements
d’audit pour les comptes d’utilisateurs partagés empêchent de déterminer l’identité de l’utilisateur qui
modifie Active Directory. Par conséquent, l’utilisation de comptes d’utilisateurs partagés doit être
déconseillée.
2. Il est rare que les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité soient
supprimés intentionnellement. C’est particulièrement vrai pour les suppressions d’arborescence.
Dissociez la possibilité pour les administrateurs de service et délégués de supprimer ces objets de la
possibilité de créer et de gérer des comptes d’utilisateurs, des comptes d’ordinateur, des groupes de
sécurité, des conteneurs d’ou et leurs attributs. Accordez uniquement aux comptes d’utilisateurs ou
groupes de sécurité les plus privilégiés le droit d’effectuer des suppressions d’arborescence. Ces comptes
d’utilisateur privilégiés peuvent inclure des administrateurs d’entreprise.
3. Accordez aux administrateurs délégués un accès uniquement à la classe d’objet que ces administrateurs
sont autorisés à gérer. Par exemple, la tâche principale d’un administrateur du service d’aide consiste à
modifier les propriétés des comptes d’utilisateurs. Il n’est pas autorisé à créer et supprimer des comptes
d’ordinateur, des groupes de sécurité ou des conteneurs d’ou. Cette restriction s’applique également pour
supprimer des autorisations pour les administrateurs d’autres classes d’objets spécifiques.
4. Testez les paramètres d’audit pour suivre les opérations de suppression dans un domaine d’atelier. Une
fois que vous êtes à l’aise avec les résultats, appliquez votre meilleure solution au domaine de production.
5. Les modifications apportées au contrôle d’accès et à l’audit sur les conteneurs qui hébergent des dizaines
de milliers d’objets peuvent faire croître considérablement la base de données Active Directory, en
particulier dans Windows 2000 domaines. Utilisez un domaine de test qui reflète le domaine de
production pour évaluer les modifications potentielles apportées à l’espace disque disponible. Vérifiez les
volumes de disque dur qui hébergent les fichiers Ntds.dit et les fichiers journaux des contrôleurs de
domaine dans le domaine de production pour obtenir de l’espace disque disponible. Évitez de définir des
modifications de contrôle d’accès et d’audit sur l’en-tête du contrôleur de réseau de domaine. Ces
modifications s’appliquent inutilement à tous les objets de toutes les classes dans tous les conteneurs de
la partition. Par exemple, évitez d’apporter des modifications à l’inscription des enregistrements DNS
(Domain Name System) et DLT (Distributed Link Tracking) dans le dossier CN=SYSTEM de la partition de
domaine.
6. Utilisez la structure d’unité d’organisation des meilleures pratiques pour séparer les comptes d’utilisateur,
les comptes d’ordinateur, les groupes de sécurité et les comptes de service, dans leur propre unité
d’organisation. Lorsque vous utilisez cette structure, vous pouvez appliquer des listes de contrôle d’accès
discrétionnaire (DACL) aux objets d’une classe unique pour l’administration déléguée. Vous pouvez
également restaurer des objets en fonction de la classe d’objet s’ils doivent être restaurés. La structure
d’unité d’organisation des meilleures pratiques est abordée dans la section Création d’une conception
d’unité d’organisation de l’article suivant :
Best Practice Active Directory Design for Managing Windows Networks
7. Testez les suppressions en bloc dans un environnement de laboratoire qui reflète votre domaine de
production. Choisissez la méthode de récupération qui vous semble logique, puis personnalisez-la pour
votre organisation. Vous pouvez identifier :
Les noms des contrôleurs de domaine dans chaque domaine qui est régulièrement backed up
L’endroit où les images de sauvegarde sont stockées
Dans l’idéal, ces images sont stockées sur un disque dur supplémentaire local à un catalogue global
dans chaque domaine de la forêt.
Les membres de l’organisation du service d’aide à contacter
La meilleure façon d’effectuer ce contact
8. La plupart des suppressions en bloc de comptes d’utilisateurs, de comptes d’ordinateurs et de groupes de
sécurité que Microsoft voit sont accidentelles. Discutez de ce scénario avec votre équipe technique et
développez un plan d’action interne. Concentrez-vous sur la détection précoce. Et renvoyez les
fonctionnalités à vos utilisateurs de domaine et à votre entreprise aussi rapidement que possible. Vous
pouvez également prendre des mesures pour empêcher les suppressions accidentelles en bloc en éditant
les listes de contrôle d’accès des unités d’organisation.
Pour plus d’informations sur l’utilisation des outils d’interface Windows pour empêcher les suppressions
accidentelles en bloc, voir Protection contre les suppressions accidentelles en bloc dans Active Directory.
Pour plus d’informations sur la prévention des suppressions accidentelles en bloc à l’aide Dsacls.exe ou
d’un script, consultez l’article suivant :
Script pour protéger les unités d’organisation contre la suppression accidentelle.

Outils et scripts qui peuvent vous aider à récupérer des suppressions


en bloc
L’utilitaire de ligne de commande Groupadd.exe lit l’attribut sur une collection d’utilisateurs memberOf dans une
ou plusieurs personnes et crée un fichier .ldf qui ajoute chaque compte d’utilisateur restauré aux groupes de
sécurité dans chaque domaine de la forêt.
Groupadd.exe détecte automatiquement les domaines et les groupes de sécurité dont les utilisateurs supprimés
étaient membres et les ajoute à ces groupes. Ce processus est expliqué plus en détail à l’étape 11 de la méthode
1.
Groupadd.exe s’exécute sur Windows Server 2003 et les contrôleurs de domaine ultérieurs.
Groupadd.exe utilise la syntaxe suivante :

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Ici, ldf_file représente le nom du fichier .ldf à utiliser avec l’argument précédent, after_restore représente la
source de données du fichier utilisateur et before_restore représente les données utilisateur de
l’environnement de production. (La source de données du fichier utilisateur est la bonne source de données
utilisateur.)
Pour obtenir Groupadd.exe, contactez les services de support technique Microsoft.
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de
Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces
produits.

References
Pour plus d’informations sur l’utilisation de la fonctionnalité Corbeille AD incluse dans Windows Server 2008
R2, voir le Guide pas à pas de la Corbeille Active Directory.
Aucune erreur n’est disponible pour les serveurs
d’enregistrement après le clonage du contrôleur de
domaine
22/09/2022 • 2 minutes to read

Cet article fournit une solution à une erreur qui se produit après le clone d’un nouveau VDC et tente de se
connecter de manière interactive.
S’applique à : Windows Server 2016, Windows Server 2019
Numéro de la ko d’origine : 2742908

Symptômes
Vous utilisez la fonctionnalité de clonage VDC (Virtualized Domain Controller) introduite dans Windows Server
2012. Une fois que vous clonez un nouveau VDC, vous essayez de vous connectez de manière interactive.
Toutefois, vous recevez l’erreur suivante :

Il n’existe actuellement aucun serveur d’accès disponible pour le service de demande d’accès.

Cause
Le processus de clonage a échoué et le serveur a démarré en mode de réparation des services d’annuaire
(DSRM). Il n’y a aucune indication visuelle que le contrôleur de domaine a démarré dans la gestion des données
de gestion des données dans la page de signature Ctrl+Alt+Supprim de Windows Server.

Résolution
1. Sélectionnez la flèche gauche ou appuyez sur la touche Échap.
2. Sélectionnez Autre utilisateur .
3. Tapez le nom d’utilisateur comme suit : .\administrator
4. Fournissez le mot de passe utilisateur DSRM qui est actuellement définie sur le contrôleur de domaine
source et qui a été utilisé pour cloner cet ordinateur. Ce mot de passe a été spécifié lors de la promotion
d’origine. Notez que ce mot de passe a peut-être été modifié ultérieurement à l’aide NTDSUTIL.EXE.
5. Lorsque vous vous connectez, le serveur affiche le MODE SANS ÉCHEC dans les quatre coins de l’écran.
Résoudre les problèmes qui empêchaient le clonage, supprimer l’indicateur de démarrage DSRM, puis
essayer de cloner à nouveau le contrôleur de domaine

Informations supplémentaires
Ce comportement visuel et l’erreur ne sont pas spécifiques au clonage. Ce comportement et cette erreur sont
spécifiques uniquement à la gestion des problèmes de gestion des problèmes de gestion des accès aux détails
des problèmes. La gestion des droits numériques en cas de DSRM est intentionnellement invoquée dans le
cadre du processus de clonage pour protéger le réseau et le domaine contre les contrôleurs de domaine
dupliqués.
Le mode de réparation des services d’annuaire était appelé mode de restauration des services d’annuaire
Windows systèmes d’exploitation.
Pour plus d’informations sur la configuration et la résolution des problèmes de VDC avec des détails et des
instructions détaillées, voir Virtualized Domain Controller Technical Reference (Level 300).
Effectuer la défragmentation hors connexion de la
base de données Active Directory
22/09/2022 • 3 minutes to read

Cet article explique comment effectuer la défragmentation hors connexion de la base de données Active
Directory.
S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine : 232122

Résumé
Active Directory effectue automatiquement la défragmentation en ligne de la base de données à certains
intervalles dans le cadre du processus de garbage collection. (Par défaut, cela se produit toutes les 12 heures.) La
défragmentation en ligne ne réduit pas la taille du fichier de base de données (Ntds.dit), mais optimise le
stockage des données dans la base de données et récupère de l’espace dans le répertoire pour les nouveaux
objets.
L’utilisation d’une défragmentation hors connexion crée une nouvelle version du fichier de base de données
sans fragmentation interne. Il crée également tous les index. Selon la fragmentation du fichier de base de
données d’origine, le nouveau fichier peut être beaucoup plus petit.

Effectuer la défragmentation hors connexion de la base de données


Active Directory
Pour effectuer la défragmentation hors connexion de la base de données Active Directory, suivez les étapes
suivantes :
1. Back up Active Directory. Windows La sauvegarde du serveur prend en charge la sauvegarde d’Active
Directory en ligne. Cela se produit automatiquement lorsque vous sélectionnez l’option de sauvegarde de
tout l’ordinateur dans l’Assistant Sauvegarde, ou de manière indépendante en sélectionnant de
sauvegarder l’état du système dans l’Assistant.
2. Prenez l’une des actions suivantes :
Arrêtez les ser vices de domaine Active Director y ou l’instance LDS.
Démarrez msconfig et allez dans le volet de démarrage. Sélectionnez l’installation du système
d’exploitation que vous souhaitez configurer. Sélectionnez Coffre démarrer dans la section Options
de démarrage, puis sélectionnez l’élément de réparation Active Director y. Une fois que vous avez
cliqué sur OK, l’outil vous demande de redémarrer. Redémarrez l'ordinateur.
3. Connectez-vous au compte d’administrateur à l’aide du mot de passe défini pour le compte
d’administrateur local dans le mode sam de restauration du service d’annuaire.
4. Ouvrez une fenêtre d’invite de commandes.
5. NTDSUTIL utilise les variables d’environnement TEMP et TMP pour créer une base de données temporaire
pendant la défragmentation. Si l’espace libre de votre volume standard utilisé est inférieur à la taille de la
base de données compactée, vous recevez l’erreur suivante :

maintenance de fichiers : compacter en d:\compactDB


Lancer le mode DÉFRAGMENTATION...
Base de données source : D:\windows\NTDS\ntds.dit
Base de données cible : d:\compactDB\ntds.dit
État de la défragmentation (% achevé)
0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
.......................... L’opération s’est terminée avec l’erreur -1808( JET_errDiskFull, aucun espace laissé sur le
disque).

Dans ce cas, définissez les variables d’environnement TMP et TEMP sur un volume qui dispose de
suffisamment d’espace libre pour la tâche. Par exemple, utilisez les paramètres suivants :

Md d:\temp
Set tmp=d:\temp
Set temp=d:\temp

NOTE
Ce problème peut également se produire lors d’une vérification de l’intégrité de la base de données.

6. Exécutez NTDSUTIL.
7. Tapez activer les instances ntd pour sélectionner l’instance de base de données Active Directory. Utilisez le
nom de l’instance LDS si vous souhaitez compacter une base de données LDS.
8. Tapez des fichiers, puis appuyez sur Entrée.
9. Tapez des informations, puis appuyez sur Entrée. Cela affiche les informations actuelles sur le chemin
d’accès et la taille de la base de données Active Directory et de ses fichiers journaux. Notez le chemin
d’accès.
10. Établir un emplacement qui dispose d’un espace disque suffisant pour stocker la base de données
compactée.
11. compact to <drive>:\<directory> Tapez, puis appuyez sur Entrée. Dans cette commande, les espaces
réservé et représentent le chemin d’accès de l’emplacement que vous avez établi <drive> <directory> à
l’étape précédente.

NOTE
Vous devez spécifier un chemin d’accès au répertoire. Si le chemin contient des espaces, le chemin entier doit être
entre guillemets. Par exemple, tapez compact en « c:\ndossier ew».

12. Une nouvelle base de données nommée Ntds.dit ou AdamNtds.dit est créée dans le chemin d’accès que
vous avez spécifié.
13. Tapez quit, puis appuyez sur Entrée. Tapez à nouveau quitter pour revenir à l’invite de commandes.
14. Si la défragmentation réussit sans erreur, suivez Ntdsutil.exe instructions à l’écran. Supprimez tous les
fichiers journaux dans le répertoire des journaux en tapant la commande
del drive :\ pathToLogFiles \*.log suivante.

Copiez le nouveau fichier Ntds.dit ou AdamNtds.dit sur l’ancien fichier de base de données dans le
chemin d’accès actuel à la base de données que vous avez noté à l’étape 5.

NOTE
Vous n’avez pas supprimé le fichier Edb.chk.

15. Si vous avez arrêté les services de domaine Active Directory ou l’instance LDS, vous pouvez le
redémarrer maintenant.
16. Si vous travaillez en mode restauration Active Directory, démarrez msconfig et allez dans le volet de
démarrage. Sélectionnez l’installation du système d’exploitation que vous souhaitez configurer. Cliquez
pour effacer Coffre démarrage dans la section Options de démarrage. Lorsque vous cliquez sur OK,
l’outil vous demande de redémarrer. Redémarrez l'ordinateur.
Comment déplacer une arborescence SYSVOL qui
utilise FRS pour la réplication
22/09/2022 • 9 minutes to read

Cet article décrit deux options pour déplacer l’arborescence du volume système (SYSVOL) sur votre contrôleur
de domaine.
S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine : 842162

Résumé
SYSVOL est un ensemble de dossiers, de points d’parse du système de fichiers et de paramètres de stratégie de
groupe répliqués par le service de réplication de fichiers (FRS). La réplication distribue une copie cohérente des
paramètres et des scripts de stratégie de groupe entre les contrôleurs de domaine dans un domaine. Les
ordinateurs membres et les contrôleurs de domaine accèdent au contenu de l’arborescence SYSVOL via deux
dossiers partagés, Sysvol et Netlogon.
Cet article explique comment déplacer l’arborescence SYSVOL et ses partages vers une lettre de lecteur logique
ou physique différente.
Cette section explique comment déplacer l’arborescence SYSVOL du dossier C:\Winnt\Sysvol vers le dossier
X:\Winnt\Sysvol. Dans cet exemple, le contrôleur de domaine est nommé DC1 et le nom de domaine est
CONTOSO.COM .

Utiliser l’Assistant Installation d’Active Directory pour rétrograder et


réentribuer le contrôleur de domaine
1. Confirmez que la réplication entrante et sortante se produit pour le service d’annuaire Active Directory et
pour l’arborescence SYSVOL.
2. Utilisez l’Assistant Installation d’Active Directory pour rétrograder le contrôleur de domaine DC1 sur le
réseau. Redémarrez DC1 immédiatement après la rétrogradation.
3. Avant de reprogrammer DC1, attendez que les événements suivants se produisent :
Tous les contrôleurs de domaine de la forêt doivent répliquer la suppression de l’objet de
paramètres du système de fichiers NTDS du contrôleur de domaine rétrogradé. Cet objet se trouve
dans la partition de configuration. L’objet paramètres NTDS est le parent des objets de connexion
Active Directory visibles dans le logiciel en ligne Sites et services Active Directory.
Tous les contrôleurs de domaine de catalogue global dans la forêt doivent répliquer la copie en
lecture seule de la partition de domaine de DC1.
4. Utilisez l’Assistant Installation d’Active Directory pour spécifier un nouveau lecteur et un nouveau chemin
d’accès sur une partition au format NTFS. La rétrogradation et la rétrogradation d’un contrôleur de
domaine est une option simple et prise en charge pour déplacer l’arborescence SYSVOL et ses partages si
les conditions suivantes sont vraies :
Un petit à moyen nombre d’objets existent dans Active Directory.
La connectivité à la vitesse du réseau local (LAN) est disponible.
Des contrôleurs de domaine supplémentaires sont disponibles dans le domaine Active Directory
concerné et le site Active Directory.
Toutefois, les promotions de l’Assistant Installation Active Directory basées sur le réseau dans les domaines avec
des bases de données Active Directory à plusieurs gigaoctets peuvent prendre entre 2 et 7 jours si la
connectivité réseau est lente.
Pour éviter les retards lors de la promotion de contrôleurs de domaine réplica qui exécutent Windows Server
2003 ou une ultérieure, vous pouvez faire des installations à partir de promotions basées sur des supports, où
l’essentiel d’Active Directory est issu d’une sauvegarde de l’état du système restaurée localement.
Pour estimer le temps nécessaire pour une promotion basée sur le réseau, comparez les heures de début et de
fin d’une promotion précédente comparable au niveau de l’étendue. Ces heures sont disponibles dans le fichier
%Systemroot%\Debug\Dcpromo.log.

Déplacer manuellement une arborescence SYSVOL existante vers un


nouvel emplacement
Dans le cycle de vie d’un contrôleur de domaine qui utilise le service de réplication de fichiers (FRS), vous de
devez peut-être déplacer l’arborescence SYSVOL vers un autre lecteur logique ou physique. Vous pouvez
déplacer l’arborescence SYSVOL pour améliorer les performances du système ou pour obtenir plus d’espace
disque disponible pour l’arborescence SYSVOL ou pour le dossier intermédiaire FRS.
Pour plus d’informations sur la modification du dossier de transit FRS à un emplacement indépendant de
l’arborescence SYSVOL, voir Comment réinitialiser le dossier de transit du service de réplication de fichiers sur
un autre lecteur logique.
Pour déplacer une arborescence SYSVOL vers un nouveau lecteur, utilisez l’une des options suivantes :
Faire une rétrogradation de l’Assistant Installation Active Directory (Dcpromo.exe) en réseau. Spécifiez un
nouveau lecteur et un nouveau chemin d’accès pour l’arborescence SYSVOL lors de la promotion.
Modifiez le Registre et déplacez manuellement l’arborescence SYSVOL vers un nouveau lecteur.

IMPORTANT
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des
problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces
étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le
restaurer en cas de problème. Pour plus d’informations sur la façon de back up et restore the registry, voir How to back
up and restore the registry in Windows.

Pour déplacer manuellement l’arborescence SYSVOL, déplacez l’arborescence SYSVOL de son lecteur et de son
chemin vers un nouveau lecteur et chemin de destination en modifiant plusieurs clés de Registre et en
réinitialisation des points d’parparage dans le système de fichiers. Pour ce faire, suivez les étapes suivantes :
1. Préparez votre contrôleur de domaine. Pour ce faire, suivez les étapes suivantes :
a. Confirmez que la réplication Active Directory entrante et sortante se produit sur le contrôleur de
domaine.
b. Confirmez que la réplication FRS entrante et sortante du jeu de réplicas SYSVOL se produit sur le
contrôleur de domaine.
c. Désactiver les programmes antivirus ou d’autres services qui créent des verrous sur des fichiers
ou des dossiers qui résident dans l’arborescence SYSVOL.
d. Back up the system state of the domain controller. Back up the file system part of the SYSVOL tree
on the domain controller so that you can return the computer to its current configuration if you
experience problems with the relocalisation process.
e. Arrêtez le frs.
2. Utilisez Windows Explorer ou un programme équivalent pour copier l’arborescence de domaine SYSVOL
d’origine dans le Presse-papiers.
Par exemple, si l’arborescence de domaine SYSVOL se trouve dans le dossier C:\Winnt\Sysvol, cliquez
pour sélectionner ce dossier, cliquez sur Modifier dans la barre de menus, puis cliquez sur Copier .
3. Utilisez Windows Explorer ou un programme équivalent pour coller le contenu du Presse-papiers dans le
nouveau chemin d’accès.
Par exemple, pour déplacer l’arborescence SYSVOL vers le dossier, cliquez pour sélectionner ce dossier,
cliquez sur Modifier, puis X:\Winnt\Sysvol cliquez sur Coller .
Le dossier parent de l’arborescence SYSVOL déplacée peut être modifié. Toutefois, nous vous
recommandons de conserver le même chemin d’accès relatif pour l’arborescence SYSVOL déplacée. Par
exemple, si l’arborescence SYSVOL se trouvait à l’origine dans le dossier et que vous souhaitez déplacer
l’arborescence SYSVOL sur le lecteur logique X, créez un dossier t, puis collez l’arborescence
C:\Winnt\Sysvol SYSVOL dans ce X:\Winn dossier.

4. Utilisez les Ldp.exe ou ADSIedit.msc pour modifier la valeur de l’attribut FRSRootPath dans Active
Directory. L’attribut FRSRootPath doit refléter le nouveau lecteur racine du jeu de réplicas et le dossier
que vous avez spécifié à l’étape 3. Dans cet exemple, vous devez modifier l’attribut FRSRootPath comme
suit :
Chemin d’accès DN :
cn=Domain System Volume (SYSVOL share),CN=NTFRS Subscriptions,CN=DC1,OU=Domain
Controller,DC=CONTOSO.COM
Valeur FRSRootPath : X:\Winnt\Sysvol\Domain
5. Utilisez les Ldp.exe ou ADSIedit.msc pour modifier la valeur de l’attribut FRSStagingPath. Cet attribut doit
refléter le nouveau chemin d’accès intermédiaire, y compris le nouveau lecteur et le nouveau dossier que
vous avez sélectionnés à l’étape 3.
Chemin d’accès DN :
cn=Domain System Volume (SYSVOL share),CN=NTFRS Subscriptions,CN=DC1,OU=Domain
Controller,DC=CONTOSO.COM
Valeur FRSStagingPath : X:\Winnt\Sysvol\Staging\Domain
6. Modifiez le Registre pour qu’il reflète le nouveau dossier et lecteur de transit. Pour ce faire, suivez ces
étapes.
a. Cliquez sur Démarrer, cliquez sur Exécuter, tapez regedt32, puis cliquez sur OK.
b. Recherchez, puis cliquez avec le bouton droit sur la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
c. Cliquez avec le bouton droit sur la valeur SYSVOL, puis cliquez sur Modifier. Tapez un nouveau chemin
d’accès pour la racine du jeu de réplicas SYSVOL. Par exemple, tapez X:\Winnt\sysvol\sysvol .
7. Configurez FRS pour une restauration non faisant autorité du jeu de réplicas SYSVOL. Pour ce faire,
suivez les étapes suivantes :
a. Recherchez et sélectionnez la sous-clé de Registre suivante :
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process
at Startup

b. Cliquez avec le bouton droit sur la valeur BurFlags, puis sélectionnez Modifier . Définissez la
valeur sur D2 hexadécimal s’il existe d’autres contrôleurs de domaine dans le même domaine.
Définissez la valeur BurFlags sur D4 hexadécimal si un seul contrôleur de domaine existe dans
le domaine.

IMPORTANT
Ne redémarrez pas FRS maintenant.

NOTE
Si le contrôleur de domaine héberge des racines ou des liens DFS répliqués par FRS, vous pouvez définir la clé de
Registre BurFlags spécifique au jeu de réplicas pour éviter une panne temporaire du service et une réplication de
données dans des racines ou des liaisons DFS répliquées par FRS.

Pour plus d’informations, voir Utiliser la clé de Registre BurFlags pour réinitialiserle service de réplication
de fichiers.
8. Appliquez les autorisations par défaut au nouveau chemin d’accès de l’arborescence SYSVOL. Pour ce
faire, copiez le texte suivant, puis collez-le dans Bloc-notes fichier :

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$ »
Revision=1
[Description du profil]
Description=perms par défaut pour sysvol
[Sécurité des fichiers]
;" %SystemRoot%\SYSVOL »,0,"D:AR(A;OICI;FA;; ; BA) »
; ---------------------------------------------------------------------------------------------
; Sysvol. CETTE VARIABLE D’ENVIRONNEMENT DOIT ÊTRE DÉFINIE!!!!!!!!!!!!!!!!!!!!!!!!!
; ---------------------------------------------------------------------------------------------
« %Sysvol% »,2,"D:P(A; CIOI; GRGX;;; AU)(A; CIOI; GRGX;; ; SO)(A; CIOI; GA;;; BA)(A; CIOI; GA;;; SY)(A;
CIOI; GA;;; CO) »
« %Sysvol%\domain\policies »,2,"D:P(A; CIOI; GRGX;; ; AU)(A; CIOI; GRGX;; ; SO)(A; CIOI; GA;;; BA)(A;
CIOI; GA;;; SY)(A; CIOI; GA;;; CO)(A; CIOI; GRGWGXSD;;; PA) »

9. Utilisez les paramètres suivants pour enregistrer le contenu du fichier Bloc-notes que vous avez créé à
l’étape 8 :
Nom de fichier : %systemroot%\security\templates\sysvol.inf
Type d’enregistrer : Tous les fichiers
Codage : Unicode

NOTE
La variable d’environnement SYSVOL doit être définie pour pointer vers le nouvel emplacement. Sinon, la
commande Secedit ne s’exécute pas correctement.

10. Importez le modèle de sécurité SYSVOL. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd, puis
sélectionnez OK. Tapez ce qui suit, puis appuyez sur Entrée :
secedit /configure /cfg %systemroot%\security\templates\sysvol.inf /db
%systemroot%\security\templates\sysvol.db /overwrite

11. Utilisez la commande pour mettre à jour les points d’parse dans le système de fichiers afin de refléter le
nouveau chemin d’accès de Linkd l’arborescence SYSVOL. Par exemple, si votre contrôleur de domaine
se trouve dans le domaine et que l’arborescence SYSVOL se trouve dans le dossier, tapez les commandes
suivantes à l’invite de commandes sur votre contrôleur de CONTOSO.COM X:\Windows\Sysvol domaine.
Appuyez sur Entrée après chaque commande.

linkd X:\Winnt\Sysvol\Sysvol\CONTOSO.COM X:\Winnt\Sysvol\Domain


linkd X:\Winnt\Sysvol\Staging areas\CONTOSO.COM X:\Winnt\Sysvol\Staging\Domain

NOTE
Assurez-vous que l’arborescence du répertoire SYSVOL est créée avant d’exécuter la commande Linkd. La
commande échoue s’il existe des données dans CONTOSO.COM répertoire ou sous-répertoires.

12. Redémarrez FRS.


13. Recherchez dans le journal des événements FRS des événements qui indiquent que le jeu de réplicas est
joint et que le dossier SYSVOL a été modifié.
14. Sur le contrôleur de domaine, utilisez la commande ou la commande d’affichage net pour vérifier que le
contrôleur de domaine a partagé les net logon dossiers Netlogon et Sysvol. Si les dossiers partagés
n’existent pas, suivez les étapes suivantes :
a. Si la valeur de la
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\Sysvolready sous-clé
de Registre est 1, redémarrez le service Netlogon. Si cette valeur de sous-clé est 0, allez à l’étape c.
b. Recherchez de nouveau les dossiers partagés. Si les dossiers ne sont toujours pas disponibles,
tapez la commande à l’invite de commandes, puis nltest /dbflag:2080FFFF appuyez sur Entrée :
Recherchez les erreurs dans le %Systemroot%\Debug\Netlogon.log fichier.
c. Si la valeur de la sous-clé de Registre est 0, ne définissez pas la valeur de
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\Sysvolready Registre
sur 1. Examinez les journaux de débogage FRS dans le dossier pour vérifier que la réplication FRS
entrante et sortante %Systemroot%\Debug se produit.
15. Redémarrez les services que vous avez arrêtés à l’étape 1c.
RodC réplique les mots de passe lorsqu’il a reçu des
autorisations incorrectes dans Windows Server
22/09/2022 • 4 minutes to read

Cet article traite d’un problème dans lequel RODC réplique les mots de passe lorsqu’il se fait accorder des
autorisations incorrectes dans Windows Server.
S’applique à : Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine : 4050867

Symptôme
Normalement, les contrôleurs de domaine en lecture seule répliquent uniquement les mots de passe utilisateur
pour les comptes d’utilisateur qui sont membres du groupe de réplication de mot de passe RODC autorisé ou
qui sont répertoriés dans l’attribut msDS-RevealOnDemandGroup du compte RODC.
Toutefois, pour certains comptes d’utilisateur qui ne sont pas membres du groupe de réplication de mot de
passe RODC autorisé ou qui ne sont pas répertoriés dans l’attribut msDS-RevealOnDemandGroup du compte
RODC, vous pouvez trouver que les mots de passe des comptes authentifiés par le rodc peuvent être mis en
cache par le RODC.
Par exemple, lorsque vous comparez la sortie de la propriété Stratégie de réplication de mot de passe avancée à
l’aide des utilisateurs et ordinateurs Active Directory et de la sortie de , les entrées répertoriées diffèrent entre
les repadmin /prp view RODC_name reveal deux.

Cause
Ce problème est dû à une configuration d’autorisation incorrecte.
Par défaut, le Enterprise contrôleurs de domaine qui contient uniquement des DCS accessibles en écriture
dispose de l’autorisation Réplication des changements de répertoire sur la partition de domaine. Par exemple,
sur « DC=contoso,DC=com » dans Active Directory.
Toutefois, lorsque le problème se produit, le problème RODC dispose également de l’autorisation Réplication du
répertoire Change Tout sur le domaine, car elle a été accordée par un administrateur soit au groupe
contrôleurs de domaine Enterprise en lecture seule, soit à l’objet RODC directement ou indirectement via une
autre appartenance au groupe.
Normalement, les rodcs répliquent uniquement les mots de passe utilisateur si les comptes d’utilisateur sont
membres du groupe de réplication de mot de passe RODC autorisé ou sont répertoriés dans l’attribut msDS-
RevealOnDemandGroup du compte RODC.
Avec l’autorisation Réplication des changements de répertoire, tous les attributs utilisateur, y compris les mots
de passe, sont répliqués du dc source vers le RODC comme s’il s’agit d’un code RWDC (Read Write DC) normal.

Résolution
Pour résoudre ce problème, modifiez l’autorisation Réplication du répertoire change toutes les autorisations
accordées à l’objet Enterprise Contrôleurs de domaine en lecture seule en réplication des changements de
répertoire.
Informations supplémentaires
Suivez ces étapes pour valider les autorisations et déterminer d’où viennent les mauvaises autorisations.
Étape 1
Utilisez LDP pour afficher les autorisations « contrôler l’accès » sur le domaine. Pour ce faire, vous pouvez suivre
les étapes suivantes :
1. Exécutez la LDP.exe sur un contrôleur de domaine.
2. Connecter l’arborescence (par exemple, DC=contoso,DC=com).
3. Cliquez avec le bouton droit sur le nœud DC=contoso,DC=com, sélectionnez Avancé, puis sélectionnez
Descripteur de sécurité.
4. Choisissez l’option Vidage de texte pour un affichage texte des autorisations ou laissez-la désactivée pour
obtenir un éditeur de sécurité GUI.
5. Vérifiez les autorisations pour vous assurer que le groupe Enterprise contrôleurs de domaine en lecture
seule dispose uniquement de l’autorisation Réplication des modifications de réper toire.
Étape 2
Vérifiez les appartenances aux groupes du rodc pour déterminer si la réplication des changements de
répertoire tout est accordée par le biais d’un autre groupe.
Pour obtenir la véritable appartenance au RODC, vous pouvez utiliser une requête pour l’attribut TokenGroups
afin de récupérer la liste de groupes effective de l’utilisateur à l’aide de l’outil LDP.

Veillez à sélectionner l’étendue de base et à ajouter l’attribut requis. Lorsque vous copiez la recherche sur un
utilisateur individuel, vous obtenez la liste de cet utilisateur. Si l’utilisateur fait partie de nombreux groupes, vous
devez étendre la quantité de données imprimées par LDP dans la fenêtre de droite, sélectionner
Options\Général dans le menu et ajuster les chars par champ à une valeur supérieure :
Étape 3
Sur Windows Server 2008 R2, Windows 7, Windows Server 2008 ou Windows Vista, vérifiez si vous rencontrez
le problème décrit dans l’article suivant :
Le logiciel en cache MMC « Utilisateurs et ordinateurs Active Directory » n’indique pas tous les comptes dont les
mots de passe sont mis en cache sur le RODC dans Windows
Étape 4
Confirmez la cohérence des propriétés du compte d’ordinateur du RODC sur tous les contrôleurs de domaine du
domaine.
L’une des méthodes consiste à exporter les métadonnées de réplication du compte d’ordinateur du RODC à
partir de repadmin tous les contrôleurs de domaine. Pour ce faire, exécutez la commande suivante :

repadmin /showobjmeta *<dn of RODC account>' > rodc_meta.txt

Étape 5
Comme à l’étape 4, confirmez la cohérence du groupe de réplication de mot de passe RODC autorisé et de tout
autre groupe configuré sur l’attribut msDS-RevealOnDemandGroup pour voir si les mots de passe
d’utilisateur mis en cache incorrectement peuvent être expliqués par l’appartenance incohérente au groupe sur
différents DCS qui peuvent être causées par un problème de réplication.
Étape 6
Vérifiez que les utilisateurs dont les mots de passe sont mis en cache par le RODC ne sont pas accidentellement
membres d’un groupe configuré pour mettre en cache leurs mots de passe.

NOTE
La MMC collecte les informations de stratégie de réplication de mot de passe à partir de n’importe quel contrôleur de
domaine (même le contrôleur de domaine en cours), tandis que la commande interroge toujours un contrôleur de
domaine en repadmin /prp lecture-écriture.

S’il existe des incohérences de réplication entre le RODC et un dc RW, cela peut expliquer la différence de sortie
de ces deux utilitaires/méthodes.
Syskey.exe'utilitaire n’est plus pris en charge dans
Windows 10, Windows Server 2016 et versions
ultérieures
22/09/2022 • 2 minutes to read

Windows 10, version 1709, Windows Server, version 2004 et versions ultérieures de Windows ne peuvent plus
syskey.exe utilitaire.
S’applique à : Windows 10 - toutes les éditions, Windows Server 2019, Windows Server 2016
Numéro de la ko d’origine : 4025993

Détail des modifications


Les modifications suivantes sont apportées :
L’utilitaire syskey.exe n’est plus inclus dans Windows.
Windows ne demande jamais de mot de passe syskey au démarrage.
Windows ne prendra plus en charge l’installation d’un contrôleur de domaine Active Directory à l’aide
d’Install-From-Media (IFM) qui a été chiffré en externe par l’utilitaire syskey.exe.
Si un système d’exploitation a été chiffré en externe par l’utilitaire syskey.exe, vous ne pouvez pas le mettre à
niveau vers Windows 10 version 1709, Windows Server version 2004 ou une version ultérieure de Windows.

Solution de contournement
Si vous souhaitez utiliser la sécurité du système d’exploitation au démarrage, nous vous recommandons
d’utiliser BitLocker ou des technologies similaires au lieu de l’utilitaire syskey.exe de démarrage.
Si vous utilisez un support IFM Active Directory pour installer des contrôleurs de domaine Active Directory
réplicas, nous vous recommandons d’utiliser BitLocker ou d’autres utilitaires de chiffrement de fichiers pour
protéger tous les supports IFM.
Pour mettre à niveau un système d’exploitation chiffré en externe par l’utilitaire syskey.exe vers Windows 10 RS3
ou Windows Server 2016 RS3, le système d’exploitation doit être configuré pour ne pas utiliser de mot de passe
de clé syskey externe. Pour plus d’informations, voir l’étape 5 de l’utilisation de l’utilitaire SysKeypour sécuriser
la base de données Sécurité Windows Accounts Manager.

Informations supplémentaires
Syskey est une clé de chiffrement racine interne Windows qui est utilisée pour chiffrer d’autres données
sensibles sur l’état du système d’exploitation, telles que les hages de mot de passe de compte d’utilisateur.
L’utilitaire SysKey peut être utilisé pour ajouter une couche supplémentaire de protection, en chiffrant la clé
syskey pour utiliser un mot de passe externe. Dans cet état, le système d’exploitation bloque le processus de
démarrage et invite les utilisateurs à obtenir le mot de passe (de manière interactive ou en lisant à partir d’une
disquette).
Malheureusement, la clé de chiffrement syskey et l’utilisation de syskey.exe ne sont plus considérés comme
sécurisés. La clé Syskey est basée sur un chiffrement faible qui peut facilement être rompu dans les temps
modernes. Les données protégées par la clé syskey sont limitées et ne couvrent pas tous les fichiers ou données
sur le volume du système d’exploitation. Lsyskey.exe'utilitaire a également été connu pour être utilisé par les
pirates informatiques dans le cadre des attaques de ransomware.
Active Directory a précédemment pris en charge l’utilisation d’une clé syskey chiffrée en externe pour les
médias IFM. Lorsqu’un contrôleur de domaine est installé à l’aide d’un support IFM, le mot de passe de clé
syskey externe doit également être fourni. Malheureusement, cette protection subit les mêmes failles de
sécurité.

Référence
L’utilitaire syskey.exe et sa prise en charge sous-jacente dans le système d’exploitation Windows a été introduit
pour la première fois dans Windows 2000 et est backporté vers Windows NT 4.0. Pour plus d’informations, voir
Comment utiliser l’utilitaire SysKeypour sécuriser la base de données Sécurité Windows Accounts Manager .
Les ID d’événement 13552 et 13555 sont enregistrés
dans le journal du service de réplication de fichiers
sur Windows de domaine basé sur Windows de
domaine
22/09/2022 • 5 minutes to read

Cet article permet de résoudre un problème dans lequel le dossier SYSVOL n’est pas répliqué entre les
contrôleurs de domaine qui exécutent Windows Server 2012 R2, Windows Server 2012, Windows Server 2008
R2, Windows Server 2008 ou Windows Server 2003.
S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine : 2986364

Symptômes
Ce problème peut se produire dans l’une des conditions suivantes sur un contrôleur de domaine qui exécute
Windows Server :
Vous modifiez la configuration des périphériques système ou la configuration des périphériques système
échoue.
Une altération se produit dans la base de données du service de réplication de fichiers (FRS).
Informations sur l’événement
Les deux événements ressemblent à ce qui suit :

Événement 13555 :
Le service de réplication de fichiers est dans un état d’erreur
Événement 13552 :
Le service de réplication de fichiers ne peut pas ajouter cet ordinateur au jeu de réplicas suivant : « VOLUME
DU SYSTÈME DE DOMAINE (SYSVOL SHARE) »

Ces journaux des événements indiquent que le dossier SYSVOL n’est pas répliqué entre les contrôleurs de
domaine. Par conséquent, ce problème entraîne des paramètres de stratégie de groupe incohérents et le résultat
incorrect de la stratégie est définie sur chaque ordinateur client.

Cause
Ce problème se produit car NTFS détecte une mise à jour du microprogramme en tant que modification de
configuration sur les disques, puis modifie l’ID du journal. Par conséquent, un ID de fichier pour les données
dans la base de données FRS ne correspond pas à l’ID de fichier pour les données dans la base de données de
journal du numéro de séquence de mise à jour (USN).

Solution de contournement
IMPORTANT
Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre
de façon incorrecte. Avant de modifier le Registre, sauvegardez-le pour restauration en cas de problèmes.

Pour contourner ce problème, sur les contrôleurs de domaine enregistrés, suivez les étapes suivantes :
1. Prenez une sauvegarde complète ou de l’état du système pour chaque contrôleur de domaine.
2. Arrêtez le frs. Pour ce faire, à l’invite de commandes sur chaque contrôleur de domaine, tapez la
commande suivante, puis appuyez sur Entrée : net stop ntfrs

NOTE
À ce stade, sélectionnez un contrôleur de domaine de référence qui peut être basé sur la connectivité et les
ressources serveur physiques. Ce contrôleur de domaine sera le « contrôleur de domaine de référence » dans
toutes les étapes suivantes.

3. Supprimez les fichiers des trois dossiers suivants pour initialiser le frs sur le contrôleur de domaine de
référence.
Ne supprimez pas les trois dossiers. Supprimez les sous-dossiers et les fichiers dans ces trois dossiers :
%systemroot%\ntfrs\jet
%systemroot%\sysvol\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\sysvol\staging\domainIf these folders and files aren’t shown, perform the additional
steps to show the hidden files or folders.
4. Forcer la synchronisation de FRS sur le contrôleur de domaine de référence. Pour cela, procédez comme
suit :
a. Ouvrez l’Éditeur du Registre et recherchez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\NTFRS\Parameters\Backup/Restore\Process at
Startup
b. Cliquez avec le bouton droit sur l’entrée BurFlags, puis cliquez sur Modifier.
c. Dans la zone Données de la valeur, tapez D4, puis cliquez sur OK.
d. Fermez l’Éditeur du Registre.
5. À l’invite de commandes sur le contrôleur de domaine de référence, exécutez la commande suivante pour
redémarrer le service FRS : net start ntfrs

NOTE
Les étapes 6 à 10 doivent être réalisées uniquement sur d’autres contrôleurs de domaine.

6. Téléchargez et installez l’outil PsTools sur d’autres contrôleurs de domaine. Cet outil contient les outils en
ligne de commande PsExec qui peuvent être utilisés pour supprimer des dossiers sous le dossier SYSVOL.
7. Supprimez des fichiers dans les trois dossiers ci-dessous pour initialiser le frs sur d’autres contrôleurs de
domaine.
Ne supprimez pas les trois dossiers. Supprimez les sous-dossiers et les fichiers dans les trois dossiers
suivants :
%systemroot%\ntfrs\jet
%systemroot%\sysvol\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\sysvol\staging\domainIf these folders and files aren’t shown, perform the additional
steps to show the hidden files or folders.
8. Supprimez les dossiers suivants sous le chemin d’accès « %systemroot%\sysvol\domain » :
%systemroot%\sysvol\domain\policies
%systemroot%\sysvol\domain\scripts
%systemroot%\sysvol\domain\policies_NTFRS_ xxxxxxx
%systemroot%\sysvol\domain\scripts_NTFRS_ xxxxxxx
%systemroot%\sysvol\domain\NtFrs_PreExisting__See_Evntlog

NOTE
« xxxxxxx » est un espace réservé qui représente des caractères alphanumériques. Ignorez cette étape s’il n’existe
pas de tels dossiers et fichiers.

En outre, si les dossiers et les fichiers ne peuvent pas être supprimés, suivez ces étapes pour les
supprimer à l’aide de l’outil PsExec.
Étapes pour supprimer des dossiers et des fichiers à l’aide de l’outil PsExec :
a. Exécutez l’invite de commandes avec des droits d’administration.
b. Changez le répertoire actuel en lecteur où se trouve les fichiers d’installation de l’outil PsTools (par
exemple, exécutez cd c:\PsTools).
c. Exécutez la commande suivante : Psexec.exe -i -s cmd .
d. À l’invite de commandes, tapez rd /s pour supprimer les fichiers et dossiers suivants sous le dossier
SYSVOL (par exemple, exécutez rd %systemroot%\sysvol\domain\policies /s) :
%systemroot%\sysvol\domain\policies
%systemroot%\sysvol\domain\scripts
%systemroot%\sysvol\domain\policies_NTFRS_ xxxxxxx
%systemroot%\sysvol\domain\scripts_NTFRS_ xxxxxxx
%systemroot%\sysvol\domain\NtFrs_PreExisting__See_Evntlog

NOTE
« xxxxxxx » est un espace réservé qui représente des caractères alphanumériques. Ignorez cette étape s’il n’existe
pas de tels dossiers et fichiers.

9. Forcer la synchronisation de FRS sur d’autres contrôleurs de domaine. Pour cela, procédez comme suit :
a. Ouvrez l’Éditeur du Registre et recherchez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\NTFRS\Parameters\Backup/Restore\Process at
Startup
b. Cliquez avec le bouton droit sur l’entrée BurFlags, puis cliquez sur Modifier.
c. Dans la zone Données de la valeur, tapez D2, puis cliquez sur OK.
d. Fermez l’Éditeur du Registre.
10. À l’invite de commandes, exécutez la commande suivante pour redémarrer FRS sur d’autres contrôleurs
de domaine : net start ntfrs
11. Confirmez la réplication.
Les entrées de journal « Erreur » ou « Avertissement » ne seront plus enregistrées dans le journal des
événements. Si la réplication a réussi, l’ID d’événement 13516 est enregistré.
Vérifiez la cohérence en comparant les fichiers et dossiers des dossiers SYSVOL entre tous les
contrôleurs de domaine.
12. Redémarrez le service FRS sur le contrôleur de domaine de référence en exécutant la commande suivante
: net stop ntfrs && net start ntfrs

NOTE
Le contrôleur de domaine avec « BurFlags = D4 » fonctionne comme contrôleur de domaine de référence jusqu’à ce
que le service soit redémarré. La valeur de l’entrée BurFlags est réinitialisée en redémarrage de FRS.
Pour les contrôleurs de domaine qui ont « BurFlags = D2 », la valeur de l’entrée BurFlags est également réinitialisée
automatiquement en redémarrage de FRS.

Après avoir terminé toutes les étapes, consultez le journal des événements FRS. Les ID d’événement 13553,
13554 et 13516 sont enregistrés en quelques minutes. Ces journaux indiquent que la réplication SYSVOL se
termine correctement.

Statut
Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés dans la section «
S’applique à ».

Informations supplémentaires
Affichez les fichiers et dossiers masqués dans Windows Explorer :
1. Dans Windows’explorateur, dans le menu Outils, cliquez sur Options de dossier.
2. Sous l’onglet Affichage, activez l’option Afficher les fichiers et dossiers masqués.

NOTE
Dans Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2, activez l’option Afficher les
fichiers, dossiers et lecteurs masqués dans l’onglet Affichage.
Une autorité de certification ne peut pas utiliser un
modèle de certificat
22/09/2022 • 2 minutes to read

Cet article fournit une solution à un problème dans lequel un modèle de certificat ne peut pas charger et les
demandes de certificat échouent à l’aide du même modèle.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 283218

Résumé
Lorsque les services de certificat démarrent sur une autorité de certification, un modèle de certificat ne peut pas
charger et les demandes de certificat échouent à l’aide du même modèle.

Informations supplémentaires
Le comportement se produit car le groupe Utilisateurs authentifiés est supprimé de la liste de contrôle d’accès
(ACL) du modèle. Le groupe Utilisateurs authentifiés se trouve sur une ACL de modèle, par défaut. (L’ac elle-
même est incluse dans ce groupe.) Si le groupe Utilisateurs authentifiés est supprimé, l’autorité de certification
(entreprise) elle-même ne peut plus lire le modèle dans Active Directory, et c’est pourquoi les demandes de
certificats peuvent échouent.
Si un administrateur souhaite supprimer le groupe Utilisateurs authentifiés, chaque compte d’ordinateur de
l’ac.ca doit être ajouté aux ACA de modèle et avoir la valeur Lecture.
Si des utilisateurs authentifiés ont été supprimés des listes de sécurité d’un modèle, les erreurs suivantes
peuvent être observées au démarrage de l’ac et lorsqu’un certificat est demandé par rapport au modèle.

Erreurs observées en cas d’échec de l’inscription


Pour le client :
Inscription au moyen d’une page Web :

Demande de certificat refusée


Votre demande de certificat a été refusée.
Pour plus d’informations, contactez votre administrateur. Inscription à l’aide de la console MMC
(Microsoft Management Console) : Assistant Demande de certificat : l’autorité de certification a rejeté
la demande. Erreur non spécifiée.

Pour l’ac :

Type d’événement : Avertissement


Event Source:CertSvc
Catégorie d’événement :Aucun
ID d’événement : 53
Date : <DateTime>
Heure : <DateTime>
Utilisateur : N/A
Ordinateur : MUSCIEN
Description :
Les services de certificat ont rejeté la demande 9, car le modèle de certificat demandé n’est pas pris
en charge par cette ac. 0x80094800 (-2146875392). La demande était pour TED\administrator.
Informations supplémentaires : Refusé par le module de stratégie. La demande était pour le modèle
de certificat ( <template name> ) qui n’est pas pris en charge par la stratégie des services de
certificats.

Erreur sur l’ac au démarrage des services de certificats


Type d’événement : Erreur
Event Source:CertSvc
Catégorie d’événement :Aucun
ID d’événement : 78
Date : <DateTime>
Heure : <DateTime>
Utilisateur : N/A
Ordinateur : MUSCIEN
Description :
Le module de stratégie « Enterprise module de stratégie autonome » a consigné l’erreur suivante : Le
modèle de certificat <template name> n’a pas pu être chargé. Élément in trouvé. 0x80070490 (WIN32 :
1168).
Back up the recovery agent Encrypting File System
(EFS) private key in Windows
22/09/2022 • 7 minutes to read

Cet article explique comment back up the recovery agent Encrypting File System (EFS) private key on a
computer.
S’applique à : Windows 7 Service Pack 1, Windows Server 2012 R2
Numéro de la ko d’origine : 241201

Résumé
Utilisez la clé privée de l’agent de récupération pour récupérer des données dans les situations où la copie de la
clé privée EFS située sur l’ordinateur local est perdue. Cet article contient des informations sur l’utilisation de
l’Assistant Exportation de certificat pour exporter la clé privée de l’agent de récupération à partir d’un ordinateur
membre d’un groupe de travail et d’un contrôleur de domaine Windows Server 2003 basé sur Windows 2000,
basé sur Windows Server 2008 ou Windows Server 2008 R2.

Introduction
Cet article explique comment back up the recovery agent Encrypting File System (EFS) private key in Windows
Server 2003, in Windows 2000, in Windows XP, in Windows Vista, in Windows 7, in Windows Server 2008, and
in Windows Server 2008 R2. Vous pouvez utiliser la clé privée de l’agent de récupération pour récupérer des
données dans les situations où la copie de la clé privée EFS située sur l’ordinateur local est perdue.
Vous pouvez utiliser EFS pour chiffrer des fichiers de données afin d’empêcher tout accès non autorisé. EFS
utilise une clé de chiffrement qui est générée dynamiquement pour chiffrer le fichier. La clé de chiffrement de
fichier (FEK) est chiffrée avec la clé publique EFS et est ajoutée au fichier en tant qu’attribut EFS nommé Data
Decryption Field (DDF). Pour déchiffrer le FEK, vous devez avoir la clé privée EFS correspondante de la paire de
clés publique/privée. Après avoir déchiffré le FEK, vous pouvez utiliser le FEK pour déchiffrer le fichier.
Si votre clé privée EFS est perdue, vous pouvez utiliser un agent de récupération pour récupérer des fichiers
chiffrés. Chaque fois qu’un fichier est chiffré, le FEK est également chiffré avec la clé publique de l’agent de
récupération. Le FEK chiffré est joint au fichier avec la copie chiffrée avec votre clé publique EFS dans le champ
de récupération de données (DRF). Si vous utilisez la clé privée de l’agent de récupération, vous pouvez
déchiffrer le FEK, puis déchiffrer le fichier.
Par défaut, si un ordinateur exécutant Microsoft Windows 2000 Professional est membre d’un groupe de travail
ou d’un domaine Microsoft Windows NT 4.0, l’administrateur local qui se connecte d’abord à l’ordinateur est
désigné comme agent de récupération par défaut. Par défaut, si un ordinateur exécutant Windows XP ou
Windows 2000 est membre d’un domaine Windows Server 2003 ou d’un domaine Windows 2000, le compte
Administrateur intégré sur le premier contrôleur de domaine du domaine est désigné comme agent de
récupération par défaut.
Un ordinateur qui exécute Windows XP et qui est membre d’un groupe de travail n’a pas d’agent de
récupération par défaut. Vous devez créer manuellement un agent de récupération local.
IMPORTANT
Après avoir exporté la clé privée vers une disquette ou un autre support amovible, stockez la disquette ou le support
dans un emplacement sécurisé. Si quelqu’un accède à votre clé privée EFS, cette personne peut accéder à vos données
chiffrées.

Exporter la clé privée de l’agent de récupération à partir d’un ordinateur membre d’un groupe de travail
Pour exporter la clé privée de l’agent de récupération à partir d’un ordinateur membre d’un groupe de travail,
suivez les étapes suivantes :
1. Connectez-vous à l’ordinateur à l’aide du compte d’utilisateur local de l’agent de récupération.
2. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable . Cliquez
ensuite sur Ajouter Windows Server 2003, dans Windows XP ou Windows 2000. Vous pouvez également
cliquer sur OK dans Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2.
4. Sous Les logiciels en snap-in autonomes disponibles, cliquez sur Cer tificats, puis cliquez sur
Ajouter.
5. Cliquez sur Mon compte d’utilisateur, puis sur Terminer.
6. Cliquez sur Fermer, puis sur OK dans Windows Server 2003, Windows XP ou Windows 2000. Vous
pouvez également cliquer sur OK dans Windows Vista, Windows 7, Windows Server 2008 ou Windows
Server 2008 R2.
7. Double-cliquez sur Cer tificats - Utilisateur actuel, double-cliquez sur Personnel, puis double-
cliquez sur Cer tificats.
8. Recherchez le certificat qui affiche les mots « File Recovery » (sans les guillemets) dans la colonne
Intended Purposes.
9. Cliquez avec le bouton droit sur le certificat que vous avez localisé à l’étape 8, pointez sur Toutes les
tâches, puis cliquez sur Expor ter . L’Assistant Exportation de certificat démarre.
10. Cliquez sur Suivant .
11. Cliquez sur Oui, expor tez la clé privée, puis cliquez sur Suivant.
12. Cliquez sur Informations personnelles Exchange - PKCS #12 (. PFX).

NOTE
Nous vous recommandons vivement de cliquer également pour activer une protection forte (nécessite la case à
cocher IE 5.0, NT 4.0 SP4 ou supérieure pour protéger votre clé privée contre tout accès non autorisé).

Si vous cliquez pour sélectionner la case à cocher Supprimer la clé privée si l’exportation réussit, la clé
privée est supprimée de l’ordinateur et vous ne pourrez pas déchiffrer les fichiers chiffrés.
13. Cliquez sur Suivant .
14. Spécifiez un mot de passe, puis cliquez sur Suivant .
15. Spécifiez un nom de fichier et un emplacement où vous souhaitez exporter le certificat et la clé privée,
puis cliquez sur Suivant .
NOTE
Nous vous recommandons de sauvegarder le fichier sur un disque ou sur un périphérique multimédia amovible,
puis de stocker la sauvegarde à un emplacement où vous pouvez confirmer la sécurité physique de la sauvegarde.

16. Vérifiez les paramètres affichés dans la page Fin de l’Assistant Exportation de certificat, puis cliquez sur
Terminer.
Exporter la clé privée de l’agent de récupération de domaine
Le premier contrôleur de domaine d’un domaine contient le profil d’administrateur intégré qui contient le
certificat public et la clé privée de l’agent de récupération par défaut du domaine. Le certificat public est importé
dans la stratégie de domaine par défaut et est appliqué aux clients de domaine à l’aide de la stratégie de groupe.
Si le profil Administrateur ou si le premier contrôleur de domaine n’est plus disponible, la clé privée utilisée pour
déchiffrer les fichiers chiffrés est perdue et les fichiers ne peuvent pas être récupérés via cet agent de
récupération.
Pour localiser la stratégie de récupération de données chiffrées, ouvrez la stratégie de domaine par défaut dans
le logiciel en snap-in Éditeur d’objets de stratégie de groupe, développez Configuration ordinateur,
développez Windows Paramètres, développez Sécurité Paramètres, puis développez Stratégies de clé
publique.
Pour exporter la clé privée de l’agent de récupération de domaine, suivez les étapes suivantes :
1. Recherchez le premier contrôleur de domaine promu dans le domaine.
2. Connectez-vous au contrôleur de domaine à l’aide du compte Administrateur intégré.
3. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
4. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable . Cliquez
ensuite sur Ajouter Windows Server 2003 ou dans Windows 2000. Vous pouvez également cliquer sur
OK Windows Server 2008 ou dans Windows Server 2008 R2.
5. Sous Les logiciels en snap-in autonomes disponibles, cliquez sur Cer tificats, puis cliquez sur
Ajouter.
6. Cliquez sur Mon compte d’utilisateur, puis sur Terminer.
7. Cliquez sur Fermer, puis sur OK dans Windows Server 2003 ou Windows 2000. Vous pouvez
également cliquer sur OK Windows Server 2008 ou dans Windows Server 2008 R2.
8. Double-cliquez sur Cer tificats - Utilisateur actuel, double-cliquez sur Personnel, puis double-
cliquez sur Cer tificats.
9. Recherchez le certificat qui affiche les mots « File Recovery » (sans les guillemets) dans la colonne
Intended Purposes.
10. Cliquez avec le bouton droit sur le certificat que vous avez localisé à l’étape 9, pointez sur Toutes les
tâches, puis cliquez sur Expor ter . L’Assistant Exportation de certificat démarre.
11. Cliquez sur Suivant .
12. Cliquez sur Oui, expor tez la clé privée, puis cliquez sur Suivant.
13. Cliquez sur Informations personnelles Exchange - PKCS #12 (. PFX).
NOTE
Nous vous recommandons vivement de cliquer pour activer une protection forte (nécessite la case à cocher IE
5.0, NT 4.0 SP4 ou supérieure pour protéger votre clé privée contre tout accès non autorisé).

Si vous cliquez pour sélectionner la case à cocher Supprimer la clé privée si l’exportation réussit, la clé
privée est supprimée du contrôleur de domaine. En tant que meilleure pratique, nous vous
recommandons d’utiliser cette option. Installez la clé privée de l’agent de récupération uniquement
lorsque vous en avez besoin pour récupérer des fichiers. À tout autre moment, exportez, puis stockez la
clé privée de l’agent de récupération hors connexion pour maintenir sa sécurité.
14. Cliquez sur Suivant .
15. Spécifiez un mot de passe, puis cliquez sur Suivant .
16. Spécifiez un nom de fichier et un emplacement où vous souhaitez exporter le certificat et la clé privée,
puis cliquez sur Suivant .

NOTE
Nous vous recommandons de sauvegarder le fichier sur un disque ou sur un périphérique multimédia amovible,
puis de stocker la sauvegarde à un emplacement où vous pouvez confirmer la sécurité physique de la sauvegarde.

17. Vérifiez les paramètres affichés dans la page Fin de l’Assistant Exportation de certificat, puis cliquez sur
Terminer.
Impossible de sélectionner Windows Server 2016
modèles de certificat compatibles avec l’Windows
Server 2016 des cae ou des serveurs CEP basés sur
une base ultérieure
22/09/2022 • 2 minutes to read

Cet article fournit une solution de contournement pour le problème Windows Server 2016 les modèles de
certificat compatibles avec l’AC ne peuvent pas être sélectionnés à partir de Windows Server 2016 ou de
serveurs CA ou CEP basés sur une base ultérieure.
S’applique à : Windows Server 2019, Windows Server 2016
Numéro de la ko d’origine : 4508802

Symptômes
Envisagez l’un des scénarios suivants :
Vous configurez un serveur Windows Server 2016 d’inscription de certificats (CEP) ou un serveur
d’inscription de certificats (CES).
Vous installez une nouvelle autorité de Windows Server 2016 certification.
Vous configurez les paramètres de compatibilité d’un modèle de certificat en configurant l’autorité de
cer tification sur Windows Ser ver 2016 et le destinataire du certificat sur Windows 10 /Windows
Ser ver 2016 .
Lorsque Windows 10 utilisateurs tentent de demander des certificats à l’aide de la page d’inscription Web de
l’AC (URL CEP), le modèle de certificat que vous avez configuré comme décrit ici n’est pas répertorié comme
modèle disponible.

Cause
Il s’agit d’un problème connu dans Windows Server 2016 versions ultérieures. Le serveur CEP ou CES fournit
des modèles de certificats uniquement aux clients qui ont les paramètres de compatibilité suivants :
Autorité de cer tification : Windows Server 2012 R2 ou une version antérieure
Destinataire du certificat : Windows 8.1 (ou une version antérieure) et Windows Server 2012 R2 (ou une
version antérieure)

Solution de contournement
Pour contourner ce problème, suivez les étapes suivantes :
1. Configurez les paramètres de compatibilité du modèle de certificat comme suit :
Autorité de cer tification : Windows Ser ver 2012 R2
Destinataire du certificat : Windows 8.1 /Windows Ser ver 2012 R2

2. Attendez 30 minutes que le serveur CEP reçoie les informations du modèle mis à jour (ou utilisez l’outil
IISReset pour redémarrer le serveur).
3. Sur l’ordinateur client, effacer le cache de stratégie d’inscription côté client à l’aide de la commande
suivante dans une fenêtre d’invite de commandes :

certutil -f -policyserver * -policycache delete

4. Sur l’ordinateur client, essayez à nouveau d’inscrire le certificat. Le modèle doit maintenant être
disponible.
Vous ne pouvez pas partager des fichiers qui ont
plusieurs certificats EFS
22/09/2022 • 2 minutes to read

Cet article décrit un problème dans lequel vous ne pouvez pas partager des fichiers chiffrés à l’aide de plusieurs
certificats EFS.
S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 - toutes
les éditions
Numéro de la ko d’origine : 3118620

Symptômes
Prenons l’exemple du scénario suivant :
Vous souhaitez que les utilisateurs partagent des fichiers chiffrés à l’aide de plusieurs certificats de
système de fichiers EFS( Encrypting File System).
Les utilisateurs U1 et U2 ont des certificats EFS valides.
Le fichier F1 existe sur un ordinateur sur lequel le système EFS est activé, et les utilisateurs U1 et U2 ont
des autorisations de lecture et d’écriture sur le fichier.
L’utilisateur U1 suit les étapes suivantes pour chiffrer le fichier F1 :
1. Recherchez le fichier F1 sur le disque.
2. Cliquez avec le bouton droit sur le fichier F1.
3. Cliquez sur Propriétés .
4. Cliquez sur Avancé .
5. Sélectionnez Chiffrer le contenu pour sécuriser les données.
6. Cliquez sur OK .
7. Cliquez sur Appliquer .
L’utilisateur U1 crée le partage de fichiers pour le fichier F1 en ajoutant le certificat EFS approprié pour
l’utilisateur U2 au fichier F1.
Les utilisateurs U1 et U2 suivent les étapes suivantes pour accéder au fichier F1 :
1. Recherchez le fichier F1 sur le disque.
2. Cliquez avec le bouton droit sur le fichier F1.
3. Cliquez sur Propriétés .
4. Cliquez sur Avancé .
5. Cliquez sur Détails .
6. Cliquez sur Ajouter .
7. Sélectionnez l’utilisateur que vous souhaitez ajouter.
8. Cliquez sur OK .
L’utilisateur U1 ou l’utilisateur U2 modifie le fichier F1.
Dans ce scénario, les métadonnées EFS ne sont pas conservées et seul l’utilisateur actuel peut déchiffrer le
fichier. Toutefois, vous vous attendez à ce que les métadonnées EFS soient conservées et que l’utilisateur que
vous avez ajouté à l’étape 7 soit toujours là.
Cause
Si une application ouvre et enregistre un fichier à l’aide de l’API, et si ce fichier a été chiffré à l’aide du système
EFS alors que plusieurs certificats étaient présents, le fichier résultant contient uniquement le certificat de
l’utilisateur qui a enregistré le replacefile() fichier. Ce comportement est inhérent au produit.

Statut
Cette méthode de partage de fichiers chiffrés n’est pas pris en cas d’utilisation pour le moment.
Les services de certificats (certsvc) ne démarrent pas
après la mise à niveau vers Windows Server 2016
22/09/2022 • 2 minutes to read

Cet article fournit une solution à un problème dans lequel les services de certificats (certsvc) ne démarrent pas
après la mise à niveau vers Microsoft Windows Server 2016.
S’applique à : Windows Server 2016
Numéro de la ko d’origine : 3205641

Symptômes
Après avoir effectué une mise à niveau sur place de Windows Server 2012 ou Windows Server 2012 R2 vers
Windows Server 2016, il se peut que les services de certificats Active Directory (certsvc) ne démarrent pas. Si
vous essayez de démarrer manuellement le service à partir de services Management Console (services.msc), la
tentative peut échouer avec le message d’erreur suivant :
Windows n’a pas pu démarrer le service Services de certificats Active Directory sur l’ordinateur local. Erreur
1058 : le service ne peut pas être démarré, soit parce qu’il est désactivé, soit parce qu’il n’a pas activé les
appareils qui lui sont associés.
En outre, lorsque vous essayez de démarrer les services de certificats Active Directory à partir du logiciel en
ligne des services de certificats, celui-ci peut échouer, puis vous recevez le message d’erreur suivant :

Titre : Services de certificats Microsoft Active Directory


Le service ne peut pas être démarré, soit parce qu’il est désactivé, soit parce qu’il n’a pas activé les appareils
qui lui sont associés.
0x422 (WIN32 : 1058 ERROR_SERVICE_DISABLED)

NOTE
Aucun événement n’est enregistré dans les journaux système ou d’application lorsque le service ne parvient pas à
démarrer.
Ce problème peut se produire sur différentes configurations. Par exemple : joint à un domaine, non joint à un domaine,
Enterprise autorité de certification et autorité de certification autonome

Solution de contournement
Pour récupérer à partir de ce problème, redémarrez l’ordinateur. Les services de certificats Active Directory sont
automatiquement démarrés après le redémarrage de l’ordinateur.

Statut
Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés dans la section «
S’applique à ».
Les services de certificats peuvent ne pas démarrer
sur un ordinateur exécutant Windows Server 2003
ou Windows 2000
22/09/2022 • 14 minutes to read

Cet article fournit une solution à un problème dans lequel les services de certificats (CS) peuvent ne pas
démarrer sur un ordinateur exécutant Windows Server 2003 ou Windows 2000.
S’applique à : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la ko d’origine : 842210

Symptômes
Sur un ordinateur exécutant Microsoft Windows Server 2003 ou Microsoft Windows Server 2000, il se peut que
les services de certificats ne démarrent pas.
En outre, le message d’erreur suivant peut être enregistré dans le journal des applications dans l’Observateur
d’événements.

Cause
Avant de commencer, les services de certificats édent toutes les clés et les certificats qui ont été délivrés à
l’autorité de certification, même si les clés et les certificats ont expiré. Les services de certificats ne démarrent
pas si l’un de ces certificats a été supprimé du magasin de certificats personnels de l’ordinateur local.

Résolution
Pour résoudre ce problème, vérifiez que le nombre d’empreintes numériques de certificat dans le Registre est
égal au nombre de certificats délivrés à l’autorité de certification. Si des certificats sont manquants, importez les
certificats manquants dans le magasin de certificats personnels de l’ordinateur local. Après avoir importé les
certificats manquants, utilisez la commande pour réparer la liaison entre les certificats importés et le magasin
de clés certutil -repairstore privé associé.
Pour ce faire, utilisez l’une des méthodes suivantes, selon la version du système d’exploitation que votre
ordinateur exécute.

Méthode 1 : Windows Server 2003


Pour résoudre ce problème sur un ordinateur Windows Server 2003, suivez ces étapes.
Étape 1 : Rechercher les certificats manquants

IMPORTANT
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des
problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces
étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le
restaurer en cas de problème. Pour plus d’informations, voir Comment faire pour la back up et restaurer leRegistre dans
Windows .
Les empreintes numériques de certificat indiquent tous les certificats qui ont été délivrés à cette ca. Chaque fois
qu’un certificat est renouvelé, une nouvelle empreinte de certificat est ajoutée à la liste CaCertHash dans le
Registre. Le nombre d’entrées de cette liste doit être égal au nombre de certificats délivrés à l’ac et répertoriés
dans le magasin de certificats personnels de l’ordinateur local.
Pour rechercher les certificats manquants, suivez les étapes suivantes :
1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit, puis sélectionnez OK.
2. Recherchez, puis sélectionnez la sous-clé suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name
*
3. Dans le volet droit, double-cliquez sur CaCer tHash .
4. Notez le nombre d’empreintes numériques de certificat que contient la liste de données Valeur.
5. Démarrez l’invite de commandes.
6. Tapez la commande suivante, puis appuyez sur Entrée : certutil -store

Comparez le nombre de certificats répertoriés dans le magasin de certificats personnels de l’ordinateur


local au nombre d’empreintes numériques de certificat répertoriées dans l’entrée de Registre CaCertHash.
Si les numéros sont différents, allez à l’étape 2 : Importer les certificats manquants. Si les chiffres sont
identiques, allez à l’étape 3 : Installer Windows Pack d’outils d’administration server 2003.
Étape 2 : Importer les certificats manquants
1. Sélectionnez Démarrer, pointez sur Tous les programmes, pointez sur Outils d’administration, puis
sélectionnez Cer tificats.
Si les cer tificats n’apparaissent pas dans la liste, suivez les étapes suivantes :
a. Sélectionnez Démarrer, sélectionnez Exécuter, tapez mmc, puis sélectionnez OK.
b. Dans le menu Fichier , sélectionnez Ajouter/Supprimer un composant logiciel enfichable .
c. Sélectionnez Ajouter .
d. Dans la liste des logiciels en snap-in, sélectionnez Cer tificats, puis ajoutez .
Si la boîte de dialogue Cer tificats s’affiche, sélectionnez Mon compte d’utilisateur, puis
terminez.
e. Sélectionnez Fermer puis OK .
Le répertoire Certificats est maintenant ajouté à la Console de gestion Microsoft (MMC).
f. Dans le menu Fichier, sélectionnez Enregistrer sous , tapez Certificats dans la zone Nom de
fichier, puis sélectionnez Enregistrer .
Pour ouvrir les certificats à l’avenir, sélectionnez Démarrer, pointez sur Tous les programmes,
pointez sur Outils d’administration, puis sélectionnez Cer tificats.
2. Développez Cer tificats, développez Personnel, cliquez avec le bouton droit sur Cer tificats, pointez
sur Toutes les tâches, puis sélectionnez Impor ter .
3. Dans la page d’accueil, sélectionnez Suivant.
4. Dans la page Fichier à importer, tapez le chemin d’accès complet du fichier de certificat à importer dans
la zone Nom de fichier, puis sélectionnez Suivant . Au lieu de cela, sélectionnez Parcourir, recherchez le
fichier, puis sélectionnez Suivant .
5. Si le fichier que vous souhaitez importer est un fichier d’informations Exchange - PKCS #12 (*. PFX), vous
serez invité à nous demander le mot de passe. Tapez le mot de passe, puis sélectionnez Suivant.
6. Dans la page Magasin de cer tificats, sélectionnez Suivant.
7. Dans la page Fin de l’Assistant Impor tation de certificat, sélectionnez Terminer.

NOTE
L’ac publie toujours ses certificats d’ac dans le %systemroot%\System32\CertSvc\CertEnroll dossier. Il se peut que vous
trouviez les certificats manquants dans ce dossier.

Étape 3 : Installer le pack d’outils Windows Administration Server 2003


Après avoir importé les certificats, vous devez utiliser l’outil Certutil pour réparer la liaison entre les certificats
importés et le magasin de clés privées associé. L’outil Certutil est inclus dans les outils de certificat de l’ac. Les
outils Windows certificat d’ac server 2003 se trouvent dans le pack d’outils d’administration Windows Server
2003. Si les outils de certificat d’ac ne sont pas installés sur votre ordinateur, installez-les maintenant.
Étape 4 : Réparer les liens
Après avoir installé Windows Pack d’outils d’administration Server 2003, suivez les étapes suivantes :
1. Démarrez l’invite de commandes.
2. Tapez ce qui suit, puis appuyez sur Entrée :
cd %systemroot%\system32\certsrv\certenroll

3. Notez le certificat dans le dossier Certenroll qui ressemble à ce qui suit : Your_Ser ver .
Your_Domain .com_rootca.crt
4. Tapez les commandes suivantes, puis appuyez sur Entrée après chaque commande :
%systemroot%\system32\certutil -addstore my
%systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
%systemroot%\System32\certutil -dump
%systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
Your_Ser ver.Your_Domain .com_rootca.crt est le nom du certificat dans le dossier Certenroll que vous
avez noté à l’étape 3.
5. Dans la sortie de la dernière commande, vers la fin, vous verrez une ligne semblable à la suivante :
Key Id Hash(sha1) : ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Les données de hachage d’ID de clé sont spécifiques à votre ordinateur. Notez cette ligne.
6. Tapez la commande suivante, y compris les guillemets, puis appuyez sur Entrée :
%systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data »
Dans cette commande, Key_Id_Hash_Data est la ligne que vous avez noté à l’étape 4. Par exemple, tapez
ce qui suit :
%systemroot%\system32\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5
09 d9 b6 32 1b »
Vous recevrez ensuite la sortie suivante :

CertUtil: -repairstore command completed successfully.

7. Pour vérifier les certificats, tapez ce qui suit, puis appuyez sur Entrée :
%systemroot%\system32\certutil -verifykeys Une fois cette commande s’exécute, vous recevrez la sortie
suivante :
CertUtil: -verifykeys command completed successfully.

Étape 5 : Démarrer le service services de certificats


1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Ser vices.
2. Cliquez avec le bouton droit sur Ser vices de certificats, puis sélectionnez Démarrer.

Méthode 2 : Windows 2000


Pour résoudre ce problème sur un ordinateur Windows 2000, suivez ces étapes.
Étape 1 : Recherche des certificats manquants

IMPORTANT
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des
problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces
étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le
restaurer en cas de problème. Pour plus d’informations, voir Comment faire pour la back up et restaurer leRegistre dans
Windows .

Les empreintes numériques de certificat indiquent tous les certificats qui ont été délivrés à cette ca. Chaque fois
qu’un certificat est renouvelé, une nouvelle empreinte de certificat est ajoutée à la liste CaCertHash dans le
Registre. Le nombre d’entrées de cette liste doit être égal au nombre de certificats délivrés à l’ac et répertoriés
dans le magasin de certificats personnels de l’ordinateur local.
Pour rechercher les certificats manquants, suivez les étapes suivantes :
1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit, puis sélectionnez OK.
2. Recherchez et sélectionnez la sous-clé suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name
*
3. Dans le volet droit, double-cliquez sur CaCer tHash .
4. Notez le nombre d’empreintes numériques de certificat que contient la liste de données Valeur.
5. Démarrez l’invite de commandes.
6. Tapez ce qui suit, puis appuyez sur Entrée : certutil -store

Comparez le nombre de certificats répertoriés dans le magasin de certificats personnels de l’ordinateur local au
nombre d’empreintes numériques de certificat répertoriées dans l’entrée de Registre CaCertHash. Si les
numéros sont différents, allez à l’étape 2 : Importer les certificats manquants. Si les chiffres sont identiques, allez
à l’étape 3 : Installer Windows Pack d’outils d’administration server 2003.
Étape 2 : Importation des certificats manquants
1. Sélectionnez Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis
sélectionnez Cer tificats.
Si les certificats n’apparaissent pas dans la liste, suivez les étapes suivantes :
a. Sélectionnez Démarrer, sélectionnez Exécuter, tapez mmc, puis sélectionnez OK.
b. Dans le menu Console, sélectionnez Ajouter/Supprimer un logiciel en un clin d’œil.
c. Sélectionner Ajouter
d. Dans la liste des logiciels en snap-in, sélectionnez Cer tificats, puis ajoutez .
Si la boîte de dialogue Cer tificats s’affiche, sélectionnez Mon compte d’utilisateur, puis terminez. 5.
Sélectionnez Fermer . 6. Sélectionnez OK . 7. Le répertoire Certificats est maintenant ajouté à la Console
de gestion Microsoft (MMC). 8. Dans le menu Console, sélectionnez Enregistrer sous , tapez
Certificats comme nom de fichier, puis sélectionnez Enregistrer .
Pour ouvrir les certificats à l’avenir, sélectionnez Démarrer, pointez sur Programmes, pointez sur Outils
d’administration, puis sélectionnez Cer tificats.
2. Développez Cer tificats, développez Personnel, cliquez avec le bouton droit sur Cer tificats, pointez
sur Toutes les tâches, puis sélectionnez Impor ter .
3. Dans la page d’accueil, sélectionnez Suivant.
4. Dans la page Fichier à importer, tapez le chemin d’accès complet du fichier de certificat à importer dans
la zone Nom de fichier, puis sélectionnez Suivant . Au lieu de cela, sélectionnez Parcourir, recherchez le
fichier, puis sélectionnez Suivant .
5. Si le fichier que vous souhaitez importer est un fichier d’informations Exchange - PKCS #12 (*. PFX), le
mot de passe vous est invité. Tapez le mot de passe, puis sélectionnez Suivant.
6. Dans la page Magasin de cer tificats, sélectionnez Suivant.
7. Dans la page Fin de l’Assistant Impor tation de certificat, sélectionnez Terminer.

NOTE
L’ac publie toujours ses certificats d’ac dans le %systemroot%\System32\CertSvc\CertEnroll dossier. Il se peut que vous
trouviez les certificats manquants dans ce dossier.

Étape 3 : Installer les outils Windows Server 2003 Certutil


Après avoir importé les certificats, vous devez utiliser les outils de certificat de l’ac Windows Server 2003 pour
réparer la liaison entre les certificats importés et le magasin de clés privées associé.
Les versions Windows Server 2003 de Certutil.exe et Certreq.exe sont incluses dans le pack d’outils
d’administration Windows Server 2003. Pour installer les outils sur un ordinateur Windows 2000, vous devez
d’abord installer le pack d’outils d’administration Windows Server 2003 sur un ordinateur exécutant Windows
Server 2003 ou Microsoft Windows XP avec Service Pack 1 (SP1) ou un Service Pack ultérieur. Le pack Windows
Outils d’administration Server 2003 ne peut pas être installé directement sur un ordinateur Windows 2000.

IMPORTANT
Après avoir copié les outils de certificat d’ac Windows Server 2003 sur l’ordinateur Windows 2000, deux versions de l’outil
Certutil résident sur l’ordinateur Windows 2000. Ne supprimez pas l Windows 2000 Certutil. D’autres programmes
dépendent de la Windows 2000 de cet outil. Par exemple, le logiciel en ligne MMC Certificats nécessite Windows’outil
Certutil 2000. En outre, n’inscrivez pas les fichiers Windows Server 2003 Certcli.dll et Certadm.dll sur l’ordinateur
Windows 2000.

Pour utiliser les outils Windows certificat de l’ac server 2003 sur un ordinateur Windows 2000, suivez les étapes
suivantes :
1. Télécharger le pack Windows Outils d’administration Server 2003
2. Connectez-vous à un ordinateur exécutant Windows Server 2003 ou Windows XP avec SP1 ou avec un
Service Pack ultérieur.
3. Installez le Windows Pack d’outils d’administration Server 2003.
4. Dans le pack d’outils d’administration Windows Server 2003, recherchez les fichiers suivants, puis copiez-
les dans un support de stockage amovible, tel qu’un disque de 3,5 pouces :
Certreq.exe
Certutil.exe
Certcli.dll
Certadm.dll
5. Connectez-vous à l Windows 2000 en tant qu’administrateur.
6. Insérez le support de stockage amovible que vous avez utilisé à l’étape 4 dans le lecteur approprié de
l’ordinateur Windows 2000.
7. Démarrez l’invite de commandes.
8. Make a new folder, and then copy the files on the removable storage medium to the new folder. Pour ce
faire, tapez les commandes suivantes, puis appuyez sur Entrée après chaque commande :
cd\
md W2k3tool
cd w2k3tool
copier Removable_Media_Drive_Letter :\cert*

NOTE
Pour éviter les conflits avec les versions Windows 2000 de l’outil Certutil qui se trouve déjà sur l’ordinateur,
n’incluez pas le dossier W2k3tool dans le chemin de recherche de votre système.

Étape 4 : Réparation des liens


Une fois que vous avez copié les fichiers Windows Server 2003 CA Certificate Tools sur l’ordinateur Windows
2000, suivez les étapes suivantes :
1. Démarrez l’invite de commandes.
2. Tapez ce qui suit, puis appuyez sur Entrée :
cd %systemroot\system32\certsrv\certenroll

3. Notez le certificat dans le dossier Certenroll qui ressemble à ce qui suit :


Your_Ser ver.Your_Domain.com_rootca.cr t
4. Tapez les commandes suivantes, puis appuyez sur Entrée après chaque commande :
Root_Drive_Letter : \ w2k3tool \certutil -addstore my %systemroot%\system32\certsrv\certenroll\
Your_Ser ver.Your_Domain .com_rootca.crt
Root_Drive_Letter : \ w2k3tool \certutil -dump %systemroot%\system32\certsrv\certenroll\
Your_Ser ver.Your_Domain .com_rootca.crt
Root_Drive_Letter est la lettre du répertoire racine.
Your_Ser ver.Your_Domain .com_rootca.crt est le nom du certificat dans le dossier Certenroll que vous
avez noté à l’étape 3.
5. Dans la sortie de la dernière commande, vers la fin, vous verrez une ligne semblable à la suivante : Key Id
Hash(sha1) : ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Les données de hachage d’ID de clé sont spécifiques à votre ordinateur. Notez cette ligne.
6. Tapez la commande suivante, y compris les guillemets, puis appuyez sur Entrée :
Root_Drive_Letter : \ w2k3tool \certutil -repairstore my "Key_Id_Hash_Data »
Dans cette commande, Key_Id_Hash_Data est la ligne que vous avez notée à l’étape 5. Par exemple, tapez
ce qui suit :
c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32
1b »
Une fois cette commande terminée, vous recevrez le résultat suivant :

CertUtil: -repairstore command completed successfully.

7. Pour vérifier les certificats, tapez la commande suivante, puis appuyez sur Entrée :
Root_Drive_Letter : \ w2k3tool \certutil -verifykeys
Une fois cette commande s’exécute, vous recevrez la sortie suivante :

CertUtil: -verifykeys command completed successfully.

Étape 5 : Démarrage du service services de certificats


1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Ser vices.
2. Cliquez avec le bouton droit sur Ser vices de certificats, puis sélectionnez Démarrer.

Informations supplémentaires
Vous devez désaffecter et remplacer l’ac si l’une des conditions suivantes est vraie :
Vous ne pouvez pas localiser les certificats manquants.
Les certificats ne peuvent pas être réinstallés.
La certutil -repairstore commande ne peut pas être terminée car les clés privées ont été supprimées.
Pour désaffecter et remplacer l’ac, suivez les étapes suivantes :
1. Révoquer les certificats pour l’ac qui a cessé de fonctionner correctement. Pour ce faire, suivez les
étapes suivantes :
a. Connectez-vous en tant qu’administrateur à l’ordinateur qui a émis les certificats que vous
souhaitez révoquer.
b. Sélectionnez Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis
sélectionnez Autorité de cer tification.
c. Développez CA_Name, puis sélectionnez Cer tificats émis.
d. Dans le volet droit, sélectionnez le certificat à révoquer.
e. Dans le menu Action, pointer sur Toutes les tâches, puis sélectionnez Révoquer le
cer tificat.
f. Dans la liste de code Raison, sélectionnez la raison de la révocation du certificat, puis
sélectionnez Oui .
Cela révoque tous les certificats émis par l’ac qui ont cessé de fonctionner correctement.
2. Publiez la liste de révocation de certificats (CRL) sur l’ac la plus élevée suivante. Pour ce faire,
suivez les étapes suivantes :
a. Connectez-vous en tant qu’administrateur à l’ordinateur qui exécute l’ac la plus élevée suivante.
b. Sélectionnez Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis
sélectionnez Autorité de cer tification.
c. Développez CA_Name, puis sélectionnez Cer tificats révoqués.
d. Dans le menu Action, pointez sur Toutes les tâches, puis sélectionnez Publier.
e. Sélectionnez Oui pour réécrire la CRL publiée précédemment.
3. Si l’autorité de sécurité qui a cessé de fonctionner correctement a été publiée dans les services
d’annuaire Active Directory, supprimez-la. Pour supprimer l’autorité de contrôle d’accès d’Active
Directory, suivez les étapes suivantes :
a. Démarrez l’invite de commandes.
b. Tapez ce qui suit, puis appuyez sur Entrée :
certutil -dsdel CA_Name
4. Supprimez les services de certificats du serveur où l’ac a cessé de fonctionner correctement. Pour
ce faire, suivez les étapes suivantes :
a. Sélectionnez Démarrer, pointez sur Paramètres, puis sélectionnez Panneau de contrôle.
b. Double-cliquez sur Ajouter/Supprimer des programmes, puis sélectionnez
Ajouter/Supprimer Windows composants.
c. Dans la liste Composants, cliquez pour effacer la case Ser vices de certificats, sélectionnez
Suivant, puis Terminer.
5. Installez les services de certificats. Pour ce faire, suivez les étapes suivantes :
a. Sélectionnez Ajouter/Supprimer Windows composants.
b. Dans la liste Composants, sélectionnez la case à cocher Ser vices de certificats, sélectionnez
Suivant, puis Terminer.
6. Tous les utilisateurs, les ordinateurs ou les services avec des certificats émis par l’ac qui ont cessé
de fonctionner correctement doivent s’inscrire pour les certificats de la nouvelle CA.

NOTE
Si ce problème se produit sur l’autorité de sécurité racine de la hiérarchie de l’infrastructure à clé publique (PKI) et si le
problème ne peut pas être réparé, vous devez remplacer toute la hiérarchie pKI. Pour plus d’informations sur la
suppression de la hiérarchie PKI, voir Comment désaffecter une autorité de certification Windows entreprise et supprimer
tous les objets associés.
Modifier la date d’expiration des certificats émis par
l’autorité de certification
22/09/2022 • 3 minutes to read

Cet article explique comment modifier la période de validité d’un certificat émis par l’autorité de certification .
S’applique à : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la ko d’origine : 254632

Résumé
Par défaut, la durée de vie d’un certificat émis par une autorité de certification autonome est d’un an. Au bout
d’un an, le certificat expire et n’est pas approuvé pour une utilisation. Il peut se passer de la date d’expiration par
défaut pour les certificats émis par une cae intermédiaire ou émettrice.
La période de validité définie dans le Registre affecte tous les certificats émis par des autorité de certification
autonomes Enterprise de certification. Pour les Enterprise, le paramètre de Registre par défaut est de deux ans.
Pour les autorité de configuration autonomes, le paramètre de Registre par défaut est un an. Pour les certificats
émis par des autorité de certification autonomes, la période de validité est déterminée par l’entrée de Registre
décrite plus loin dans cet article. Cette valeur s’applique à tous les certificats émis par l’ac.
Pour les certificats émis par les Enterprise de certification, la période de validité est définie dans le modèle utilisé
pour créer le certificat. Windows 2000 et Windows Server 2003 ne Édition Standard pas la modification de ces
modèles. Windows Server 2003 Êdition Entreprise prend en charge les modèles de certificat de version 2 qui
peuvent être modifiés. La période de validité définie dans le modèle s’applique à tous les certificats émis par une
autorité de certification Enterprise dans la forêt Active Directory. Un certificat émis par une cae est valide pour
les périodes suivantes :
La période de validité du Registre qui est notée plus tôt dans cet article.
Cela s’applique à l’ac autonome et aux certificats d’ac subordonnés émis par l’Enterprise ac.
Période de validité du modèle.
Cela s’applique à l’Enterprise ac. Les modèles pris en charge Windows 2000 et Windows Server 2003 Édition
Standard ne peuvent pas être modifiés. Les modèles pris en charge par Windows Server Êdition Entreprise
(modèles de version 2) ne peuvent pas être modifiés.
Pour une Enterprise de certification, la période de validité d’un certificat émis est définie sur la valeur minimale
de toutes les valeurs suivantes :
La période de validité du Registre de l’autorité de contrôle d’autorité de données (par exemple :
ValidityPeriod == Years, ValidityPeriodUnits == 1)
Période de validité du modèle
Période de validité restante du certificat de signature de l’autorité de certification
Si le bit EDITF_ATTRIBUTEENDDATE est activé dans la valeur de Registre EditFlags du module de stratégie, la
période de validité spécifiée via les attributs de la demande (ExpirationDate:Date ou
ValidityPeriod:Years\nValidityPeriodUnits:1)
NOTE
La syntaxe ExpirationDate:Date n’a pas été prise en charge Windows Server 2008.
Pour une ca autonome, aucun modèle n’est traitée. Par conséquent, la période de validité du modèle ne s’applique pas.

Date d’expiration du certificat de l’ac


Une autorité de certification ne peut pas émettre un certificat dont la validité est plus longue que celle de son
propre certificat d’autorité de certification.

NOTE
Le nom de l’attribut de demande est composé de paires de chaînes de valeurs qui accompagnent la demande et qui
spécifient la période de validité. Par défaut, ce paramètre est activé par un paramètre de Registre sur une autorité de
configuration autonome uniquement.

Modifier la date d’expiration des certificats émis par l’ac


Pour modifier les paramètres de période de validité d’une autorité de configuration, suivez ces étapes.

IMPORTANT
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des
problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces
étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le
restaurer en cas de problème. Pour plus d’informations sur la façon de back up et restore the registry, voir How to back
up and restore the registry in Windows.

1. Cliquez sur Démarrer , puis sur Exécuter .


2. Dans la zone Ouvrir, tapez regedit, puis cliquez sur OK.
3. Recherchez, puis cliquez sur la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

4. Dans le volet droit, double-cliquez sur ValidityPeriod .


5. Dans la zone de données Valeur, tapez l’une des valeurs suivantes, puis cliquez sur OK :
Jours
Semaines
Mois
Années
6. Dans le volet droit, double-cliquez sur ValidityPeriodUnits .
7. Dans la zone Données de la valeur, tapez la valeur numérique que vous souhaitez, puis cliquez sur OK .
Par exemple, tapez 2.
8. Arrêtez, puis redémarrez le service des services de certificats. Pour ce faire, procédez comme suit :
a. Cliquez sur Démarrer , puis sur Exécuter .
b. Dans la zone Ouvrir , tapez cmd, puis cliquez sur OK .
c. À l’invite de commandes, tapez les lignes suivantes. Appuyez sur Entrée après chaque ligne.

net stop certsvc


net start certsvc

d. Tapez exit pour quitter l’invite de commandes.


Échecs de sauvegarde DPAPI MasterKey lorsque
RWDC n’est pas disponible
22/09/2022 • 8 minutes to read

Cet article fournit une solution pour résoudre les échecs de sauvegarde MasterKey DPAPI qui se produisent
lorsque RWDC n’est pas disponible.
S’applique à : Windows 10, version 1809, Windows Server 2012 R2, Windows Server 2016, Windows Server
2019
Numéro de la ko d’origine : 3205778

Symptômes
Le comportement suivant se produit dans Windows 8.1 et Windows Server 2012 R2 après l’installation de
MS14-066, KB2992611, KB3000850 ou des mises à jour plus nouvelles qui incluent ces correctifs.
Le même comportement se produit également dans toutes les versions de Windows 10 et les versions
ultérieures de Windows. Les utilisateurs de domaine qui se connectent pour la première fois à un nouvel
ordinateur dans un site qui est fourni par un contrôleur de domaine en lecture seule (RODC) rencontrent les
erreurs et problèmes suivants.
Problèmes génériques
1. L’ouverture du Gestionnaire d’informations d’identification échoue avec 0x80090345 erreur de
connexion, qui est m’adonne à ce qui suit :

H EX DÉC IM A L SY M B O L IQ UE C O N VIVIA L

0x80090345 -2146892987 SEC_E_DELEGATION_REQ L’opération demandée ne


UIRED peut pas être terminée.
L’ordinateur doit être
approuvé pour la
délégation et le compte
d’utilisateur actuel doit
être configuré pour
autoriser la délégation.

2. L’enregistrement d’un mot de passe RDP échoue sans erreur apparente.


3. La modification des mots de passe prend plus de temps que prévu.
4. L’Explorateur se bloque lorsque vous chiffrez un fichier.
5. Dans Office et Office 365, l’ajout d’un nouveau compte dans Windows Live Mail 2012 échoue avec une
erreur 0x80090345.
6. Outlook création de profil échoue avec l’erreur suivante :
Une connexion chiffrée à votre serveur de messagerie n’est pas disponible.
7. La signature de Lync et Skype se bloque ou subit un long retard pendant l’étape « Contacting server and
signing in ».
8. SQL service ne parvient pas à démarrer sous un compte de domaine et déclenche l’erreur suivante :
Impossible d’initialiser le chiffrement SSL car un certificat valide est in trouvé et il n’est pas possible
de créer un certificat auto-signé.

9. SQL Server’installation échoue avec l’erreur suivante :

Erreur : SQL configuration du serveur a rencontré l’erreur suivante : « génération du code d’erreur du
document XML 0x8410001.

10. Les utilisateurs de domaine ne peuvent pas gérer SQL de données à partir de SMSS. (SQL Server
Management Studio). This issue occurs when the database is navigated from via SSMS
DataBasesCustomerDatabaseTablesTable -> -> -> name .
Si vous cliquez avec le bouton droit sur le tableau, puis sélectionnez Conception , l’erreur suivante se
produit :

L’opération demandée ne peut pas être terminée. L’ordinateur doit être approuvé pour la délégation
et le compte d’utilisateur actuel doit être configuré pour autoriser la délégation. Cette exception
provient de System_Security_ni ! System.Security.Cryptography.ProtectedData.Protect(Byte[], Byte[],
System.Security.Cryptography.DataProtectionScope). »

11. L’installation ADFS WAP ne parvient pas à créer un certificat auto-signé et déclenche l’erreur suivante :

Exception : une erreur s’est produite lors de la tentative de création du certificat d’autorisation de
proxy.

12. L’installation ADLDS dans un site couvert par rodc uniquement échoue avec l’erreur suivante :

Taper un utilisateur et un mot de passe valides pour un compte de service sélectionné

a. Dans ce cas, le fichier AdamInstall.log affiche les données suivantes :

adamsetup D20.10F8 0255 15:30:22.002 Enter GetServiceAccountError


adamsetup D20.10F8 0256 15:30:22.002 Tapez un nom d’utilisateur et un mot de passe
valides pour le compte de service sélectionné.
adamsetup D20.10F8 0257 15:30:22.002 ADAMERR_SERVICE_INVALID_CREDS

b. Un exemple de suivi réseau pris au cours de l’échec montre que les ADLDS envoient un mot de
passe incorrect et que la demande TGT Kerberos échoue avec KDC_ERR_PREAUTH_FAILED :

SO URC E DEST IN AT IO N P ROTO C O L E DESC RIP T IO N

ADLDS RODC KerberosV5 AS Request Cname:


ADLDSSvc Realm:
CONTOSO Sname:
krbtgt/contoso
{TCP:375, IPv4:7}

RODC ADLDS KerberosV5 KerberosV5:KRB_ERROR


-
KDC_ERR_PREAUTH_FAI
LED (24) {TCP:376,
IPv4:7}

c. L’ID d’événement 4625 est consigné dans le journal de sécurité du serveur ADLDS, comme suit :
ID d’événement : 4625
Mots clés : échec d’audit
Description : un compte n’a pas réussi à se connecter.
..
Informations sur l’échec :
Raison de l’échec : nom d’utilisateur inconnu ou mot de passe incorrect.
Status: 0xC000006D
Sub Status: 0xC000006A
..
Informations sur le processus :
Nom du processus de l’appelant : C:\Windows\ADAM\adaminstall.exe

Où l’état état et sub se traduit par :

H EX DÉC IM A L SY M B O L IQ UE C O N VIVIA L

0xc000006a -1073741718 STATUS_WRONG_PASS Lorsque vous essayez


WORD de mettre à jour un mot
de passe, ce statut de
retour indique que la
valeur fournie en tant
que mot de passe actuel
n’est pas correcte.

0xc000006d -1073741715 STATUS_LOGON_FAILUR La tentative d’logo n’est


E pas valide. Cela est dû à
un nom d’utilisateur ou
à des informations
d’authentification
mauvaises.

Dans tous les cas, NETLOGON. LOG affiche les demandes DsGetDcName qui appellent des
contrôleurs de domaine accessibles en writable :

[MISC] [3736] Fonction DsGetDcName appelée : client PID=568, Dom:VS Acct:(null) Indicateurs
: DS WRITABLE NETBIOS RET_DNS
[CRITIQUE] [3736] NetpDcMatchResponse: CON-DC4: CONTOSO.COM .: Le répondeur n’est pas un
serveur accessible en writable.
[MISC] [2600] La fonction DsGetDcName renvoie 1355 (piD client=564) : Indicateurs Dom:VS
Acct:(null) : FORCE DS WRITABLE NETBIOS RET_DNS

Où :

H EX DÉC IM A L SY M B O L IQ UE C O N VIVIA L

0x54b 1355 ERROR_NO_SUCH_DO Le domaine spécifié


MAIN n’existe pas ou n’a pas
pu être contacté.

Cause
Lorsqu’un utilisateur se connecte à un ordinateur pour la première fois et tente de chiffrer des données pour la
première fois, le système d’exploitation doit créer une clé MasterKey DPAPI préférée, qui est basée sur le mot de
passe actuel de l’utilisateur. Lors de la création de la DPAPI MasterKey, une tentative de back up de cette clé
principale est réalisée en contactant un RWDC. Si la sauvegarde échoue, la clé MasterKey ne peut pas être créée
et une erreur 0x80090345 est renvoyée.
Cet échec est un nouveau comportement, introduit par la KB2992611. Dans les systèmes d’exploitation plus
anciens et sur les systèmes où la KB2992611 n’est pas installée, si le client ne parvient pas à contacter un RWDC
lors de la sauvegarde de masterKey, la création de la clé principale est toujours autorisée et une sauvegarde
locale est créée.
Autrement dit, le comportement hérité effectue une sauvegarde locale de la clé principale si aucun RWDC n’est
disponible.
Conformément au bref de conception que les GUID ne stockent pas de clés secrètes, ces derniers ne stockent
pas ou ne gèrent pas la sauvegarde de la clé MasterKey. Par conséquent, dans les sites où aucun RWDC n’est
disponible, les problèmes décrits dans la section « Symptômes » peuvent se produire.

NOTE
Lorsqu’une clé principale préférée existe mais qu’elle a expiré (cas de mot de passe expiré), une tentative de génération
d’une nouvelle clé principale est réalisée. S’il n’est pas possible de créer une sauvegarde de domaine de la nouvelle clé
principale, le client revient à l’ancienne et le comportement décrit dans la section « Symptômes » ne se produit pas.

Le problème se produit uniquement en l’absence de MasterKey et lorsque l’utilisateur n’a jamais ouvert de
session sur l’ordinateur.

Résolution
1. Vérifiez que les stations de travail et les serveurs joints au domaine où le problème se produit ont accès
aux RWDCs.
Exécutez la ligne de commande suivante pour vérifier qu’un RWDC existe et qu’il est dans un état sain :

nltest /dsgetdc:<domain> /writable [/force]

Utilisez NETLOGON. Log et un suivi réseau avec les exemples de journaux fournis dans cet article pour
vérifier la résolution des noms et la connectivité à un RWDC.
Pour déterminer si vous rencontrez ce problème, essayez d’ouvrir CREDMAN dans le Panneau de
contrôle. Si la tentative échoue avec une erreur 0x80090345, vous l’avez vérifié.
2. Si possible, rendez l’ordinateur sur un site où un RWDC existe, puis connectez-vous pour la première fois.
Après cela, la clé MasterKey DPAPI est créée et le problème est résolu.
3. Si vous n’avez pas accès à un RWDC et si l’utilisateur n’est pas en itinérance entre les ordinateurs, l’entrée
de Registre suivante peut être utilisée pour résoudre le problème.
La définition de cette valeur sur 1 entraîne la sauvegarde locale des clés maîtres DPAPI au lieu d’utiliser
une sauvegarde de domaine. En outre, les clés créées précédemment ne déclenchent pas d’appels pour
un contrôleur de domaine accessible en création, sauf dans des cas limités, comme expliqué ci-dessous.
Ce paramètre de Registre s’applique uniquement aux comptes de domaine. Les comptes locaux utilisent
toujours des sauvegardes locales.

H K EY _LO C A L _M A C H IN E\ SO F T WA RE\ M IC RO SO F T \ C RY P T
O GRA P H Y \ P ROT EC T \ P RO VIDERS\ DF 9D8C D0- 1501- 11D1-
PAT H 8C 7A - 00C 04F C 297EB

Paramètre ProtectionPolicy
H K EY _LO C A L _M A C H IN E\ SO F T WA RE\ M IC RO SO F T \ C RY P T
O GRA P H Y \ P ROT EC T \ P RO VIDERS\ DF 9D8C D0- 1501- 11D1-
PAT H 8C 7A - 00C 04F C 297EB

Type de données DWORD

Valeur 1

Redémarrage du système d’exploitation demandé Oui

Notes Système d’exploitation

WARNING
N’utilisez pas cette clé de Registre si les utilisateurs du domaine se connectent à plusieurs ordinateurs ! Étant donné que
les clés sont backed localement, toute modification de mot de passe non locale peut déclencher une situation dans
laquelle toutes les clés maîtres DPAPI sont enveloppées à l’aide de l’ancien mot de passe, puis la récupération de domaine
n’est pas possible. Cette clé de Registre doit être définie uniquement dans un environnement où la perte de données est
acceptable.

Plus d’informations
RUB RIQ UE DÉTA IL S

Windows protection des données Windows protection des données

Sauvegarde et restauration clés dans DPAPI


Lorsqu’un ordinateur est membre d’un domaine, la DPAPI
dispose d’un mécanisme de sauvegarde pour autoriser la
non-protection des données. Lorsqu’une clé MasterKey est
générée, la DPAPI parle à un contrôleur de domaine. Les
contrôleurs de domaine ont une paire de clés
publique/privée à l’échelle du domaine, associée uniquement
à la DPAPI. Le client DPAPI local obtient la clé publique du
contrôleur de domaine auprès d’un contrôleur de domaine à
l’aide d’un appel RPC mutuellement authentifié et protégé
par la confidentialité. Le client chiffre la clé MasterKey avec la
clé publique du contrôleur de domaine. Il stocke ensuite
cette sauvegarde MasterKey avec la clé MasterKey protégée
par le mot de passe de l’utilisateur. Lors de la non-protection
des données, si la DPAPI ne peut pas utiliser la clé MasterKey
protégée par le mot de passe de l’utilisateur, elle envoie la clé
MasterKey de sauvegarde à un contrôleur de domaine à
l’aide d’un appel RPC mutuellement authentifié et protégé
par la confidentialité. Le contrôleur de domaine déchiffre
ensuite la clé MasterKey avec sa clé privée et la renvoie au
client à l’aide du même appel RPC protégé. Cet appel RPC
protégé permet de s’assurer que personne à l’écoute sur le
réseau ne peut obtenir la clé MasterKey.

Considérations sur le placement rodc Considérations sur le placement rodc

La ko liée qui modifie le comportement/démarre ce Mise à jour de novembre 2014 pour Windows RT 8.1,
problème. Windows 8.1 et Windows Server 2012 R2 (KB3000850)
RUB RIQ UE DÉTA IL S

Document de protocole distant de clé de sauvegarde Annexe B : Comportement du produit


Utilisation du Client-Side de secrets

Un serveur BackupKey Remote Protocol n’effectue pas


réellement de sauvegarde à distance des secrets. Au lieu de
cela, le serveur encapsule chaque secret et le renvoie au
client. Le client est responsable du stockage de la question
secrète jusqu’à ce qu’elle soit de nouveau nécessaire, auquel
moment le client peut demander au serveur de déballer la
question secrète.

Voir 3.1.4.1.3 BACKUPKEY_RETRIEVE_BACKUP_KEY_GUID


Comment exporter un certificat d’autorité de
certification racine
22/09/2022 • 2 minutes to read

Cet article explique comment exporter le certificat d’autorité de certification racine.


S’applique à : Windows Server 2003
Numéro de base de connaissances d’origine : 555252

Conseils
1. Demande du certificat d’autorité de certification racine à l’aide de la ligne de commande :
a. Connectez-vous au serveur d’autorité de certification racine avec un compte administrateur.
b. Accédez à Star tRun > . Entrez la cmd de texte, puis sélectionnez Entrée .
c. Pour exporter le serveur d’autorité de certification racine vers un nouveau nom de fichier
ca_name.cer, tapez :

certutil -ca.cert ca_name.cer

2. Demande du certificat d’autorité de certification racine à partir du site d’inscription web :


a. Connectez-vous au site d’inscription web de l’autorité de certification racine.
En règle générale, le site d’inscription web se trouve dans les liens suivants :
<ip_address>http:///certsrv
ou
<fqdn>http:///certsrv
ip_address = Adresse IP du serveur d’autorité de certification racine.
fqdn = Nom de domaine complet du serveur d’autorité de certification racine.
b. Sélectionnez Télécharger un cer tificat d’autorité de cer tification, une chaîne de
cer tificats ou une liste de révocation de cer tificats .
c. Sélectionnez Télécharger le cer tificat d’autorité de cer tification .
d. Enregistrez le fichier « cer tnew.cer » dans le magasin de disques local.
Exclusion de contenu communautaire Solutions
MICROSOFT CORPORATION ET/OU SES FOURNISSEURS RESPECTIFS NE FONT AUCUNE DÉCLARATION SUR
LA PERTINENCE, DE FIABILITÉ OU L’EXACTITUDE DES INFORMATIONS ET DES ÉLÉMENTS GRAPHIQUES
ASSOCIÉS CONTENUS DANS LE PRÉSENT DOCUMENT. TOUTES CES INFORMATIONS ET ÉLÉMENTS
GRAPHIQUES ASSOCIÉS SONT FOURNIS « EN L’ÉTAT » SANS GARANTIE D’AUCUNE SORTE. MICROSOFT ET/OU
SES FOURNISSEURS RESPECTIFS EXCLUENT TOUTES LES GARANTIES ET CONDITIONS RELATIVES À CES
INFORMATIONS ET LES GRAPHIQUES ASSOCIÉS, NOTAMMENT TOUTE GARANTIE IMPLICITE DE QUALITÉ
MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER, LOIS ET D’ABSENCE DE CONTREFAÇON. VOUS
RECONNAISSEZ SPÉCIFIQUEMENT QU’EN AUCUN CAS MICROSOFT ET/OU SES FOURNISSEURS EST
RESPONSABLES POUR DES DOMMAGES DIRECTS, INDIRECTS, PUNITIFS, OU ACCESSOIRES, SPÉCIALES, NI LES
DOMMAGES QUELCONQUES Y COMPRIS, SANS LIMITATION, LES DOMMAGES POUR PERTE D’UTILISATION, DE
DONNÉES OU DE BÉNÉFICES, DÉCOULANT D’OU DANS N’IMPORTE QUEL LIÉS À L’UTILISATION D’OU DE
L’INCAPACITÉ À UTILISER LES INFORMATIONS ET LES ÉLÉMENTS GRAPHIQUES ASSOCIÉS CONTENUS DANS LE
PRÉSENT DOCUMENT , BASÉ SUR LE CONTRAT, RESPONSABILITÉ DÉLICTUELLE, NÉGLIGENCE,
RESPONSABILITÉ STRICTE OU AUTREMENT, MÊME SI MICROSOFT OU L’UN DE SES FOURNISSEURS A ÉTÉ
AVERTI DE L’ÉVENTUALITÉ DE DOMMAGES.
Comment trouver le nom du serveur Enterprise
autorité de certification racine
22/09/2022 • 2 minutes to read

Cet article vous aide à trouver le nom du Enterprise de l’autorité de certification racine.
S’applique à : Windows Server 2003
Numéro de la ko d’origine : 555529

Résumé
Le contenu suivant décrit deux options pour trouver le nom du Enterprise autorité de certification racine.

Option 1
1. Connectez-vous à l’aide de l’administrateur de domaine à l’ordinateur qui se connecte au domaine.
2. Go to Star t -> Run -> Write cmd and press on Enter button.
3. Écrivez «cer tutil.exe » et appuyez sur le bouton Entrée.

Option 2
1. Connectez-vous à l’aide de l’administrateur de domaine à l’ordinateur qui se connecte au domaine.
2. Installez les Windows de support technique.
3. Go to Star t -> Run -> Write adsiedit.msc and press on Enter button.
4. Accédez à :
CN=Autorités de certification,CN=Clé publique
Services,CN=Services,CN=Configuration,DC=ntdomain,DC=com
Sous Autorités de certification, vous trouverez votre Enterprise d’autorité de certification racine.
Exclusion de contenu communautaire Solutions
MICROSOFT CORPORATION ET/OU SES FOURNISSEURS RESPECTIFS NE FONT AUCUNE DÉCLARATION SUR
LA PERTINENCE, DE FIABILITÉ OU L’EXACTITUDE DES INFORMATIONS ET DES ÉLÉMENTS GRAPHIQUES
ASSOCIÉS CONTENUS DANS LE PRÉSENT DOCUMENT. TOUTES CES INFORMATIONS ET ÉLÉMENTS
GRAPHIQUES ASSOCIÉS SONT FOURNIS « EN L’ÉTAT » SANS GARANTIE D’AUCUNE SORTE. MICROSOFT ET/OU
SES FOURNISSEURS RESPECTIFS EXCLUENT TOUTES LES GARANTIES ET CONDITIONS RELATIVES À CES
INFORMATIONS ET LES GRAPHIQUES ASSOCIÉS, NOTAMMENT TOUTE GARANTIE IMPLICITE DE QUALITÉ
MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER, LOIS ET D’ABSENCE DE CONTREFAÇON. VOUS
RECONNAISSEZ SPÉCIFIQUEMENT QU’EN AUCUN CAS MICROSOFT ET/OU SES FOURNISSEURS EST
RESPONSABLES POUR DES DOMMAGES DIRECTS, INDIRECTS, PUNITIFS, OU ACCESSOIRES, SPÉCIALES, NI LES
DOMMAGES QUELCONQUES Y COMPRIS, SANS LIMITATION, LES DOMMAGES POUR PERTE D’UTILISATION, DE
DONNÉES OU DE BÉNÉFICES, DÉCOULANT D’OU DANS N’IMPORTE QUEL LIÉS À L’UTILISATION D’OU DE
L’INCAPACITÉ À UTILISER LES INFORMATIONS ET LES ÉLÉMENTS GRAPHIQUES ASSOCIÉS CONTENUS DANS LE
PRÉSENT DOCUMENT , BASÉ SUR LE CONTRAT, RESPONSABILITÉ DÉLICTUELLE, NÉGLIGENCE,
RESPONSABILITÉ STRICTE OU AUTREMENT, MÊME SI MICROSOFT OU L’UN DE SES FOURNISSEURS A ÉTÉ
AVERTI DE L’ÉVENTUALITÉ DE DOMMAGES.
Réinstaller le rôle d’ac dans Windows Server 2012
Essentials
22/09/2022 • 4 minutes to read

Cet article explique comment désinstaller puis réinstaller le rôle d’autorité de certification dans Windows Server
2012 Essentials.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 2795825

Désinstaller le rôle serveur d’accès au contrôle d’accès


1. Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Supprimer les rôles et les
fonctionnalités.
2. Sur la page Avant de commencer , cliquez sur Suivant .
3. Dans la page Sélectionner un ser veur de destination, sélectionnez le serveur dans le pool de
serveurs, puis cliquez sur Suivant.
4. Dans la page Supprimer les rôles serveur, développez Services de cer tificats Active Director y,
activez la case à cocher Inscription web de l’autorité de cer tification, puis cliquez sur Suivant .
5. Sur la page Supprimer des fonctionnalités , cliquez sur Suivant .
6. Dans la page Confirmer les sélections de suppression, vérifiez les informations, puis cliquez sur
Supprimer.
7. Cliquez sur Fermer une fois la suppression terminée.
8. Répétez les étapes 1 à 3.
9. Dans la page Supprimer les rôles ser veur, activez la case à cocher Services de cer tificats Active
Director y.

NOTE
Lorsque vous êtes invité à supprimer les outils d’administration de serveur distant, cliquez sur Supprimer des
fonctionnalités, puis cliquez sur Suivant .

10. Sur la page Supprimer des fonctionnalités , cliquez sur Suivant .


11. Dans la page Confirmer les sélections de suppression, vérifiez les informations, puis cliquez sur
Supprimer.
12. Une fois la suppression terminée, cliquez sur Fermer, puis redémarrez le serveur.

Réinstaller le rôle serveur d’accès au ca


1. Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajouter des rôles et des
fonctionnalités.
2. Dans la page Avant de commencer, cliquez sur Suivant.
3. Dans la page Sélectionner un type d’installation, cliquez sur Installation basée sur un rôle ou sur une
fonctionnalité, puis cliquez sur Suivant .
4. Dans la page Sélectionner un ser veur de destination, sélectionnez le serveur dans le pool de
serveurs, puis cliquez sur Suivant.
5. Dans la page Sélectionner des rôles ser veur, cliquez sur le rôle Ser vices de cer tificats Active
Director y.
6. Lorsque vous êtes invité à installer les outils d’administration de serveur distant, cliquez sur Ajouter
des fonctionnalités, puis sur Suivant .
7. Dans la page Sélectionner des fonctionnalités, cliquez sur Suivant.
8. Dans la page Ser vices de cer tificats Active Director y, cliquez sur Suivant.
9. Dans la page Sélectionner des ser vices de rôle, sélectionnez Autorité de cer tification et Inscription
web de l’autorité de cer tification, puis cliquez sur Suivant .
10. Dans la page Confirmer les sélections d’installation, vérifiez les informations, puis cliquez sur
Installer.
11. Attendez la fin de l’installation. Une fois l’installation terminée, cliquez sur Configurer les services de
cer tificats Active Director y sur le lien du serveur de destination.
12. Dans la page Informations d’identification, cliquez sur Suivant .

NOTE
Vous pouvez modifier les informations d’identification si nécessaire.

13. Dans la page Ser vices de rôle, sélectionnez Autorité de cer tification et Inscription web de l’autorité de
cer tification, puis cliquez sur Suivant .
14. Dans la page Type d’installation, cliquez Enterprise CA, puis cliquez sur Suivant .
15. Dans la page Type d’ac, cliquez sur Ca racine, puis sur Suivant .
16. Dans la page Clé privée, cliquez sur Utiliser une clé privée existante, cliquez sur Sélectionner un
certificat et utiliser sa clé privée associée, puis cliquez sur Suivant .
17. Dans la page Cer tificat existant, sélectionnez <Ser ver_Name> le cer tificat -CA, puis cliquez sur
Suivant .

NOTE
<Ser ver_Name> est le nom du serveur de destination.

18. Dans la page Base de données de l’ac, acceptez les emplacements par défaut, puis cliquez sur Suivant .
19. Dans la page Confirmation, confirmez vos sélections, puis cliquez sur Configurer .
20. Lorsque la configuration est terminée, cliquez sur Fermer.

Vérifier l'installation
1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Autorité de cer tification.
2. Cliquez avec le bouton droit sur le nom de l’ac, puis cliquez sur Propriétés.
3. Dans la boîte de dialogue Propriétés, cliquez sur l’onglet Extensions.
4. Dans la liste qui s’affiche, cliquez
http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl sur .
5. Assurez-vous que les options suivantes sont sélectionnées :
Inclure dans les CRL. Les clients l’utilisent pour rechercher des emplacements de la CRL
delta.
Inclure dans l’extension CDP des cer tificats émis.
6. Cliquez sur OK pour enregistrer vos modifications.
7. Lorsque vous êtes invité à redémarrer les services de certificats Active Directory, cliquez sur Oui.
8. Fermez la console de l’autorité de certification.

Ajouter un modèle de certificat à l’ac


1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Autorité de cer tification.
2. Double-cliquez sur le nom de l’ac pour développer l’élément.
3. Right-Click modèles de cer tificat, cliquez sur Nouveau, puis sur Modèle de certificat à émettre.
4. Dans la liste, cliquez sur Windows modèle de certificat d’ordinateur solutions serveur, puis cliquez sur OK .
5. Fermez la console de l’autorité de certification.

Ajouter le serveur et les clients au tableau de bord


1. Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur.
2. Tapez cd « \Program Files\Windows Server\Bin », puis appuyez sur entrée.
3. Tapez WssPowerShell.exe, puis appuyez sur la touche Entrée.
4. Tapez Add-WssLocalMachineCert, puis appuyez sur entrée.
5. Redémarrez le serveur.
6. Ré-exécutez l’installation du connecteur sur tous les ordinateurs clients.
Lier le certificat aux sites web Internet Information Services (IIS )
1. Ouvrez le Gestionnaire de services Internet.
2. Choisissez tous les sites web qui utilisent les anciens certificats d’ordinateur, puis remplacez-les par les
nouveaux certificats.
Comment supprimer manuellement Enterprise
Windows certificat d’un domaine Windows
2000/2003
22/09/2022 • 4 minutes to read

Cet article a été rédigé par Yuval Sinay, MVP Microsoft.


S’applique à : Windows Server 2003
Numéro de la ko d’origine : 555151

Symptômes
Dans certaines organisations, il existe des procédures de sauvegarde régulières pour Enterprise Windows
autorité de certification. En cas de problème de serveur (logiciel/matériel), vous devrez peut-être réinstaller
l’Enterprise Windows de certification. Avant de pouvoir réinstaller l’autorité de certification Enterprise Windows,
vous devrez peut-être supprimer manuellement les objets et les données qui appartiennent à l’Enterprise
Windows d’origine et qui résident dans le Windows Active Directory.

Cause
Enterprise Windows’autorité de certification enregistre les paramètres de configuration et les données dans
Windows Active Directory.

Résolution
R. Sauvegarde :
Il est recommandé de back up all the nodes that contain Active Directory-related data before and after you
follow this procedure, including:
Windows Contrôleurs de domaine
Serveurs Exchange
Connecteur Active Directory
Windows Serveur avec services pour Unix
IsA Server Enterprise
Enterprise Windows certificate authority
Utilisez la procédure suivante en dernier recours. Cela peut affecter votre environnement de production et
nécessiter le redémarrage de certains nodes/services.
B. Active Director y Clean :
NOTE
Connectez-vous au système avec un compte qui dispose des autorisations :
1. Administrateur d’entreprise
2. Administrateur de domaine
3. Administrateur d’autorité de certification
4. Administrateur de schéma (le serveur qui fonctionne en tant que gestionnaire de schéma FSMO doit être en ligne
pendant le processus).

Pour supprimer tous les objets des services de certification d’Active Directory :
1. Démarrez « Sites et ser vices Active Director y ».
2. Sélectionnez l’option de menu « Affichage », puis le nœud «Afficher les ser vices ».
3. Développez «Ser vices », puis «Ser vices à clé publique ».
4. Sélectionnez le nœud « AIA ».
5. Dans le volet droit, recherchez l’objet « cer tificateAuthority » pour votre autorité de certification.
Supprimez l’objet.
6. Sélectionnez le nœud « CDP ».
7. Dans le volet droit, recherchez l’objet Container du serveur sur lequel les services de certification sont
installés. Supprimez le conteneur et les objets qu’il contient.
8. Sélectionnez le nœud «Autorités de certification ».
9. Dans le volet droit, recherchez l’objet « cer tificateAuthority » pour votre autorité de certification.
Supprimez l’objet.
10. Sélectionnez le nœud « Enrollment Ser vices ».
11. Dans le volet droit, vérifiez que l’objet « pKIEnrollmentSer vice » pour votre autorité de certification,
supprimez-le.
12. Sélectionnez le nœud « Modèles de certificats ».
13. Dans le volet droit, supprimez tous les modèles de certificat.

NOTE
Supprimez tous les modèles de certificats uniquement si aucune autre Enterprise de certification n’est installée
dans la forêt. Si les modèles sont supprimés par inadvertance, restituer les modèles à partir de la sauvegarde.

14. Sélectionnez le nœud «Ser vices à clé publique » et recherchez l’objet « NTAuthCer tificates ».
15. S’il n’existe aucune autre Enterprise ou des ca autonomes installés dans la forêt, supprimez l’objet, sinon
laissez-le seul.
16. Utilisez la commande « Sites et ser vices Active Director y » ou « du kit de ressources Windows pour
forcer la réplication vers les autres contrôleurs de domaine dans le Repadmin domaine/la forêt.
Nettoyage du contrôleur de domaine
Une fois l’ac supprimée, les certificats qui ont été délivrés à tous les contrôleurs de domaine doivent être
supprimés. Vous pouvez le faire facilement à l’aide DSSTORE.EXE du Kit de ressources :
Vous pouvez également supprimer les anciens certificats de contrôleur de domaine à l’aide de la certutil
commande :
1. À l’invite de commandes sur un contrôleur de domaine, tapez : certutil -dcinfo deleteBad .
2. Certutil.exe tentera de valider tous les certificats dc délivrés aux contrôleurs de domaine. Les certificats
qui échouent à la validation seront supprimés. À ce stade, vous pouvez réinstaller les services de
certificats. Une fois l’installation terminée, le nouveau certificat racine est publié dans Active Directory.
Lorsque le domaine
les clients actualisent leur stratégie de sécurité, ils téléchargent automatiquement le nouveau certificat
racine dans leurs magasins racines de confiance. o forcer l’application de la stratégie de sécurité.
3. À l’invite de commandes, tapez gpupdate /target: computer .

NOTE
Si l’autorité de certification Enterprise Windows a publié un certificat ordinateur/utilisateur ou d’autres types de
certificats (certificat de serveur web, etc.), il est recommandé de supprimer les anciens certificats avant de
réinstaller le certificat Enterprise Windows.

Informations supplémentaires
Exclusion de contenu communautaire Solutions
MICROSOFT CORPORATION ET/OU SES FOURNISSEURS RESPECTIFS NE FONT AUCUNE DÉCLARATION SUR
LA PERTINENCE, DE FIABILITÉ OU L’EXACTITUDE DES INFORMATIONS ET DES ÉLÉMENTS GRAPHIQUES
ASSOCIÉS CONTENUS DANS LE PRÉSENT DOCUMENT. TOUTES CES INFORMATIONS ET ÉLÉMENTS
GRAPHIQUES ASSOCIÉS SONT FOURNIS « EN L’ÉTAT » SANS GARANTIE D’AUCUNE SORTE. MICROSOFT ET/OU
SES FOURNISSEURS RESPECTIFS EXCLUENT TOUTES LES GARANTIES ET CONDITIONS RELATIVES À CES
INFORMATIONS ET LES GRAPHIQUES ASSOCIÉS, NOTAMMENT TOUTE GARANTIE IMPLICITE DE QUALITÉ
MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER, LOIS ET D’ABSENCE DE CONTREFAÇON. VOUS
RECONNAISSEZ SPÉCIFIQUEMENT QU’EN AUCUN CAS MICROSOFT ET/OU SES FOURNISSEURS EST
RESPONSABLES POUR DES DOMMAGES DIRECTS, INDIRECTS, PUNITIFS, OU ACCESSOIRES, SPÉCIALES, NI LES
DOMMAGES QUELCONQUES Y COMPRIS, SANS LIMITATION, LES DOMMAGES POUR PERTE D’UTILISATION, DE
DONNÉES OU DE BÉNÉFICES, DÉCOULANT D’OU DANS N’IMPORTE QUEL LIÉS À L’UTILISATION D’OU DE
L’INCAPACITÉ À UTILISER LES INFORMATIONS ET LES ÉLÉMENTS GRAPHIQUES ASSOCIÉS CONTENUS DANS LE
PRÉSENT DOCUMENT , BASÉ SUR LE CONTRAT, RESPONSABILITÉ DÉLICTUELLE, NÉGLIGENCE,
RESPONSABILITÉ STRICTE OU AUTREMENT, MÊME SI MICROSOFT OU L’UN DE SES FOURNISSEURS A ÉTÉ
AVERTI DE L’ÉVENTUALITÉ DE DOMMAGES.
Comment déplacer une autorité de certification vers
un autre serveur
22/09/2022 • 14 minutes to read

Cet article explique comment déplacer une autorité de certification vers un autre serveur.
S’applique à : Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2,
Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows
Server 2022
Numéro de base de connaissances d’origine : 298138

NOTE
Cet article s’applique à Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows
Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. Le support
pour Windows 2000 a pris fin le 13 juillet 2010. Le centre de solutions de fin de support Windows 2000 est un point de
départ pour la planification de votre stratégie de migration à partir de Windows 2000. La prise en charge de Windows
2008 et 2008 R2 a pris fin le 14 janvier 2020. Pour plus d’informations, consultez la politique de cycle de vie Support
Microsoft.

Résumé
Les autorités de certification sont la composante centrale de l’infrastructure à clé publique (PKI) d’une
organisation. Les autorités de certification sont configurées pour exister pendant de nombreuses années ou
décennies, pendant lesquelles le matériel qui héberge l’autorité de certification est probablement mis à niveau.

NOTE
Pour déplacer une autorité de certification d’un serveur qui exécute Windows serveur 2000 vers un serveur qui exécute
Windows Server 2003, vous devez d’abord mettre à niveau le serveur d’autorité de certification qui exécute Windows
serveur 2000 vers Windows Server 2003. Vous pouvez ensuite suivre les étapes décrites dans cet article.

Assurez-vous que %Systemroot% du serveur cible correspond au %Systemroot% du serveur à partir duquel la
sauvegarde de l’état du système est effectuée.
Vous devez modifier le chemin des fichiers d’autorité de certification lorsque vous installez les composants du
serveur d’autorité de certification afin qu’ils correspondent à l’emplacement de la sauvegarde. Par exemple, si
vous sauvegardez à partir du dossier Certlog D:\Winnt\System32\, vous devez restaurer la sauvegarde dans le
dossier Certlog D:\Winnt\System32\. Vous ne pouvez pas restaurer la sauvegarde dans le dossier Certlog
C:\Winnt\System32\. Après avoir restauré la sauvegarde, vous pouvez déplacer les fichiers de base de données
d’autorité de certification vers l’emplacement par défaut.
Si vous essayez de restaurer la sauvegarde et que % Systemroot% de la sauvegarde et le serveur cible ne
correspondent pas, vous pouvez recevoir le message d’erreur suivant :

La restauration d’une image incrémentielle ne peut pas être effectuée avant d’effectuer une restauration à
partir d’une image complète. Le nom du répertoire est non valide. 0x8007010b (WIN32/HTTP:267)

Le déplacement des services de certificats d’un système d’exploitation 32 bits vers un système d’exploitation 64
bits ou inversement peut échouer avec l’un des messages d’erreur suivants :

Les données attendues n’existent pas dans ce répertoire.

Impossible d’effectuer la restauration d’une image incrémentielle avant d’effectuer une restauration à partir
d’une image complète 0x8007010b (WIN32/HTTP:267)

Le format de la base de données passe de la version 32 bits à la version 64 bits provoque des incompatibilités et
la restauration est bloquée. Cela ressemble au passage de Windows 2000 à Windows Server 2003 CA. Toutefois,
il n’existe aucun chemin de mise à niveau entre une version 32 bits de Windows Server 2003 et une version 64
bits. Par conséquent, vous ne pouvez pas déplacer une base de données 32 bits existante vers une base de
données 64 bits sur un ordinateur Windows Server 2003. Toutefois, vous pouvez effectuer une mise à niveau de
l’autorité de certification Windows Server 2003 (exécutée sur Windows Server 2003 x86) vers Windows autorité
de certification Server 2008 R2 (en cours d’exécution sur Windows Server 2008 R2 x64). Cette mise à niveau est
prise en charge.
Une version x64 de Windows Server 2003 R2 CD2 met uniquement à jour les versions 64 bits de Windows
Server 2003 basées sur l’architecture EM64T ou sur l’architecture AMD64.

Sauvegarder et restaurer les clés et la base de données de l’autorité


de certification
IMPORTANT
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des
problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces
étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le
restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre,
consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

1. Notez les modèles de certificat qui sont configurés dans le dossier Modèles de certificat dans le
composant logiciel enfichable Autorité de certification. Les paramètres des modèles de certificat sont
stockés dans Active Directory. Ils ne sont pas automatiquement sauvegardés. Vous devez configurer
manuellement les paramètres des modèles de certificat sur la nouvelle autorité de certification pour
conserver le même ensemble de modèles.

NOTE
Le dossier Modèles de certificats existe uniquement sur une autorité de certification d’entreprise. Les autorités de
certification autonomes n’utilisent pas de modèles de certificat. Par conséquent, cette étape ne s’applique pas à
une autorité de certification autonome.

2. Utilisez le composant logiciel enfichable Autorité de certification pour sauvegarder la base de données
d’autorité de certification et la clé privée. Pour cela, procédez comme suit :
a. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le nom
de l’autorité de certification, cliquez sur Toutes les tâches , puis sur Sauvegarder l’autorité de
cer tification pour démarrer l’Assistant Sauvegarde de l’autorité de certification.
b. Cliquez sur Suivant , puis sur Clé privée et cer tificat d’autorité de cer tification .
c. Cliquez sur La base de données de cer tificat et le journal de la base de données de
cer tificats .
d. Utilisez un dossier vide comme emplacement de sauvegarde. Assurez-vous que le nouveau serveur
peut accéder au dossier de sauvegarde.
e. Cliquez sur Suivant . Si le dossier de sauvegarde spécifié n’existe pas, l’Assistant Sauvegarde de
l’autorité de certification le crée.
f. Tapez, puis confirmez un mot de passe pour le fichier de sauvegarde de clé privée d’autorité de
certification.
g. Cliquez sur Suivant , puis vérifiez les paramètres de sauvegarde. Les paramètres suivants doivent être
affichés :
Clé privée et cer tificat d’autorité de cer tification
Journal émis et demandes en attente
h. Cliquez sur Terminer .
3. Enregistrez les paramètres du Registre pour cette autorité de certification. Pour cela, procédez comme
suit :
a. Cliquez sur Démarrer , puis Exécuter , entrez regedit dans la zone Ouvrir et cliquez sur OK .
b. Recherchez la sous-clé de Registre suivante et cliquez dessus avec le bouton droit :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
c. Cliquez sur Expor ter .
d. Enregistrez le fichier de Registre dans le dossier de sauvegarde de l’autorité de certification que vous
avez défini à l’étape 2d.
4. Supprimez Certificate Services de l’ancien serveur.

NOTE
Cette étape supprime des objets d’Active Directory. N’effectuez pas cette étape dans l’ordre. Si la suppression de
l’autorité de certification source est effectuée après l’installation de l’autorité de certification cible (étape 6 dans
cette section), l’autorité de certification cible devient inutilisable.

5. Renommez l’ancien serveur ou déconnectez-le définitivement du réseau.


6. Installez Certificate Services sur le nouveau serveur. Pour cela, procédez comme suit.

NOTE
Le nouveau serveur doit avoir le même nom d’ordinateur que l’ancien serveur.

a. Dans le Panneau de configuration, double-cliquez sur Ajout/Suppression de programmes .


b. Cliquez sur Ajouter/Supprimer Windows Composants , cliquez sur Ser vices de cer tificats dans
l’Assistant Composants Windows, puis sur Suivant .
c. Dans la boîte de dialogue Type d’autorité de certification, cliquez sur le type d’autorité de
certification approprié.
d. Cliquez sur Utiliser les paramètres personnalisés pour générer la paire de clés et le
cer tificat d’autorité de certification, puis cliquez sur Suivant .
e. Cliquez sur Impor ter , tapez le chemin d’accès du . Fichier P12 dans le dossier de sauvegarde, tapez le
mot de passe que vous avez choisi à l’étape 2f, puis cliquez sur OK .
f. Dans la boîte de dialogue Paire de clés publique et privée , vérifiez que l’option Utiliser des
clés existantes est cochée.
g. Cliquez deux fois sur Suivant .
h. Acceptez les paramètres par défaut de la base de données de certificats Paramètres, cliquez sur
Suivant , puis cliquez sur Terminer pour terminer l’installation des services de certificats.
IMPORTANT
Si le nouveau serveur a un nom d’ordinateur différent , procédez comme suit :

a. Dans le Panneau de configuration, double-cliquez sur Ajout/Suppression de programmes .


b. Cliquez sur Ajouter/Supprimer Windows Composants , cliquez sur Ser vices de cer tificats dans
l’Assistant Composants Windows, puis sur Suivant .
c. Dans la boîte de dialogue Type d’autorité de certification, cliquez sur le type d’autorité de
certification approprié.
d. Cliquez sur Utiliser les paramètres personnalisés pour générer la paire de clés et le
cer tificat d’autorité de certification, puis cliquez sur Suivant .
e. Cliquez sur Impor ter , tapez le chemin d’accès du . Fichier P12 dans le dossier de sauvegarde, tapez le
mot de passe que vous avez choisi à l’étape 2f, puis cliquez sur OK .
f. Dans la boîte de dialogue Paire de clés publique et privée , vérifiez que l’option Utiliser des
clés existantes est cochée.
g. Cliquez deux fois sur Suivant .
h. Acceptez les paramètres par défaut de la base de données de certificats Paramètres, cliquez sur
Suivant , puis cliquez sur Terminer pour terminer l’installation des services de certificats.
i. Modifiez la clé de Registre précédemment exportée à l’étape 3 comme suit :
a. Cliquez avec le bouton droit sur la clé exportée.
b. Modifier.
c. Remplacez la valeur CASer verName par le nouveau nom du serveur.
d. Enregistrer et fermer.
7. Arrêtez le service Certificate Services.
8. Recherchez le fichier de Registre que vous avez enregistré à l’étape 3, puis double-cliquez dessus pour
importer les paramètres du Registre. Si le chemin d’accès affiché dans l’exportation du Registre à partir
de l’ancienne autorité de certification diffère du nouveau chemin d’accès, vous devez ajuster votre
exportation de Registre en conséquence. Par défaut, le nouveau chemin d’accès est C:\Windows dans
Windows Server 2003.
9. Utilisez le composant logiciel enfichable Autorité de certification pour restaurer la base de données de
l’autorité de certification. Pour cela, procédez comme suit :
a. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le
nom de l’autorité de certification, cliquez sur Toutes les tâches , puis sur Restaurer l’autorité
de cer tification .
L’Assistant Restauration de l’autorité de certification démarre.
b. Cliquez sur Suivant , puis sur Clé privée et cer tificat d’autorité de cer tification .
c. Cliquez sur La base de données de cer tificat et le journal de la base de données de
cer tificats .
d. Tapez l’emplacement du dossier de sauvegarde, puis cliquez sur Suivant .
e. Vérifiez les paramètres de sauvegarde. Les paramètres Journal émis et Demandes en attente
doivent être affichés.
f. Cliquez sur Terminer , puis sur Oui pour redémarrer Les services de certificats lorsque la base de
données de l’autorité de certification est restaurée.
Vous pouvez recevoir l’erreur suivante pendant le processus d’autorité de certification de restauration si
le dossier de sauvegarde de l’autorité de certification n’est pas au format de structure de dossiers correct :

---------------------------
Services de certificats Microsoft
---------------------------
Les données attendues n’existent pas dans ce répertoire.
Choisissez un autre répertoire. Le nom du répertoire est non valide. 0x8007010b (WIN32/HTTP : 267)

La structure de dossiers correcte est la suivante :


C:\Ca_Backup\CA_NAME.p12
C:\Ca_Backup\Database\certbkxp.dat
C:\Ca_Backup\Database\edb#####.log
C:\Ca_Backup\Database\CA_NAME.edb
Où C:\Ca_Backup est le dossier que vous avez choisi lors de la phase d’autorité de certification de
sauvegarde à l’étape 2.
10. Dans le composant logiciel enfichable Autorité de certification, ajoutez ou supprimez manuellement des
modèles de certificat pour dupliquer les paramètres de modèles de certificat que vous avez notés à
l’étape 1.

NOTE
Si vous rencontrez des problèmes lors de la publication de nouveaux modèles ou de vos modèles personnalisés, suivez les
étapes ci-dessous.

1. À partir d’un contrôleur de domaine dans la forêt où vous avez migré le rôle d’autorité de certification,
démarrez ADSI Edit.
2. Cliquez avec le bouton droit sur ADSI Edit -> Connecter to -> In Select a well known Naming Context
choose Configuration -> OK.
3. Accédez à CN=Configuration | CN=Services | CN=| des services à clé publique CN=Services d’inscription.
4. Cliquez avec le bouton droit sur l’autorité de certification dans le volet droit à partir duquel vous souhaitez
vous inscrire, puis cliquez sur Propriétés . Recherchez l’attribut indicateurs ; et vérifiez qu’il est défini sur 10.
5. Si ce n’est pas le cas, définissez-le sur 10 et attendez ou forcez manuellement la réplication Active Directory.
6. Fermez ADSI Edit et, à partir de votre serveur d’autorité de certification, assurez-vous que vous pouvez
désormais publier vos nouveaux modèles.

Sauvegarder et restaurer les clés d’autorité de certification et la base


de données dans Windows serveur 2000
IMPORTANT
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des
problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces
étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le
restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre,
consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

1. Notez les modèles de certificat qui sont configurés dans le dossier Modèles de certificat dans le
composant logiciel enfichable Autorité de certification. Les paramètres des modèles de certificat sont
stockés dans Active Directory. Ils ne sont pas automatiquement sauvegardés. Vous devez configurer
manuellement les paramètres des modèles de certificat sur la nouvelle autorité de certification pour
conserver le même ensemble de modèles.

NOTE
Le dossier Modèles de certificats existe uniquement sur une autorité de certification d’entreprise. Les autorités de
certification autonomes n’utilisent pas de modèles de certificat. Par conséquent, cette étape ne s’applique pas à
une autorité de certification autonome.

2. Utilisez le composant logiciel enfichable Autorité de certification pour sauvegarder la base de données
d’autorité de certification et la clé privée. Pour cela, procédez comme suit :
a. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le nom
de l’autorité de certification, cliquez sur Toutes les tâches , puis sur Sauvegarder l’autorité de
cer tification pour démarrer l’Assistant Sauvegarde de l’autorité de certification.
b. Cliquez sur Suivant , puis sur Clé privée et cer tificat d’autorité de cer tification .
c. Cliquez sur Journal des cer tificats émis et file d’attente de demandes de cer tificat en
attente.
d. Utilisez un dossier vide comme emplacement de sauvegarde. Assurez-vous que le nouveau serveur
peut accéder au dossier de sauvegarde.
e. Cliquez sur Suivant . Si le dossier de sauvegarde spécifié n’existe pas, l’Assistant Sauvegarde de
l’autorité de certification le crée.
f. Tapez, puis confirmez un mot de passe pour le fichier de sauvegarde de clé privée d’autorité de
certification.
g. Cliquez deux fois sur Suivant , puis vérifiez les paramètres de sauvegarde. Les paramètres suivants
doivent être affichés :
Clé privée et cer tificat d’autorité de cer tification
Journal émis et demandes en attente
h. Cliquez sur Terminer .
3. Enregistrez les paramètres du Registre pour cette autorité de certification. Pour cela, procédez comme
suit :
a. Cliquez sur Démarrer , puis Exécuter , entrez regedit dans la zone Ouvrir et cliquez sur OK .
b. Recherchez, puis cliquez avec le bouton droit sur la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
c. Cliquez sur Configuration , puis sur Expor ter le fichier de Registre dans le menu Registre .
d. Enregistrez le fichier de Registre dans le dossier de sauvegarde de l’autorité de certification que vous
avez défini à l’étape 2d.
4. Supprimez Certificate Services de l’ancien serveur.

NOTE
Cette étape supprime des objets d’Active Directory. N’effectuez pas cette étape dans l’ordre. Si la suppression de
l’autorité de certification source est effectuée après l’installation de l’autorité de certification cible (étape 6 dans
cette section), l’autorité de certification cible devient inutilisable.

5. Renommez l’ancien serveur ou déconnectez-le définitivement du réseau.


6. Installez Certificate Services sur le nouveau serveur. Pour cela, procédez comme suit.
NOTE
Le nouveau serveur doit avoir le même nom d’ordinateur que l’ancien serveur.

a. Dans le Panneau de configuration, double-cliquez sur Ajout/Suppression de programmes.


b. Cliquez sur Ajouter/Supprimer Windows Composants , cliquez sur Ser vices de cer tificats dans
l’Assistant Composants Windows, puis sur Suivant .
c. Dans la boîte de dialogue Type d’autorité de cer tification , cliquez sur le type d’autorité de
certification approprié.
d. Cliquez sur Options avancées , puis sur Suivant .
e. Dans la boîte de dialogue Paire de clés publique et privée , cliquez sur Utiliser les clés
existantes , puis sur Impor ter .
f. Tapez le chemin d’accès du . Fichier P12 dans le dossier de sauvegarde, tapez le mot de passe que
vous avez choisi à l’étape 2f, puis cliquez sur OK .
g. Cliquez sur Suivant , tapez une description d’autorité de certification le cas échéant, puis cliquez sur
Suivant.
h. Acceptez les paramètres par défaut de l’emplacement Stockage données, cliquez sur Suivant , puis
cliquez sur Terminer pour terminer l’installation des services de certificats.
7. Arrêtez le service Certificate Services.
8. Recherchez le fichier de Registre que vous avez enregistré à l’étape 3, puis double-cliquez dessus pour
importer les paramètres du Registre.
9. Utilisez le composant logiciel enfichable Autorité de certification pour restaurer la base de données de
l’autorité de certification. Pour cela, procédez comme suit :
a. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le
nom de l’autorité de certification, cliquez sur Toutes les tâches , puis sur Restaurer l’autorité
de cer tification .
L’Assistant Restauration de l’autorité de certification démarre.
b. Cliquez sur Suivant , puis sur Journal des cer tificats émis et file d’attente de demandes de
cer tificat en attente .
c. Tapez l’emplacement du dossier de sauvegarde, puis cliquez sur Suivant .
d. Vérifiez les paramètres de sauvegarde. Les paramètres suivants doivent être affichés :
Journal émis
Demandes en attente
e. Cliquez sur Terminer , puis sur Oui pour redémarrer Les services de certificats lorsque la base de
données de l’autorité de certification est restaurée.
10. Dans le composant logiciel enfichable Autorité de certification, ajoutez ou supprimez manuellement des
modèles de certificat pour dupliquer les paramètres de modèles de certificat que vous avez notés à
l’étape 1.

Plus d’informations
Pour plus d’informations sur les scénarios de mise à niveau et de migration pour Windows Server 2003 et
Windows Server 2008, consultez le livre blanc « Guide de mise à niveau et de migration des services de
certificats Active Directory ». Pour consulter le livre blanc, consultez le Guide de mise à niveau et de migration
des services de certificats Active Directory.
Déplacer la base de données du serveur de
certificats et les fichiers journaux
22/09/2022 • 2 minutes to read

Cet article explique comment déplacer la base de données et les fichiers journaux d’un serveur de certificats.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 283193

IMPORTANT
Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, veillez à le back up et
assurez-vous que vous comprenez comment restaurer le Registre en cas de problème. Pour plus d’informations sur la
façon de restaurer, de restaurer et de modifier le Registre, cliquez sur le numéro d’article suivant pour afficher l’article dans
la Base de connaissances Microsoft :
256986 description du Registre microsoft Windows

Déplacer la base de données du serveur de certificats et les fichiers


journaux
WARNING
Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de graves problèmes qui peuvent nécessiter la
réinstallation de votre système d’exploitation. Microsoft ne peut pas garantir que vous pouvez résoudre les problèmes
résultant de l’utilisation incorrecte de l’Éditeur du Registre. Utilisez l’Éditeur du Registre à vos risques et périls.

Pour modifier l’emplacement de la base de données du serveur de certificats et des fichiers journaux, utilisez les
étapes suivantes :
1. Arrêtez le service des services de certificats.
2. Copiez les fichiers de base de données et les fichiers journaux vers un nouvel emplacement. Le chemin
d’accès à la base de données par défaut est : %SystemRoot%\System32\CertLog
3. Modifiez les chemins d’accès aux bases de données dans les entrées de Registre suivantes pour refléter le
nouveau chemin d’accès :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBDirectory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBLogDirectory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBSystemDirectory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBTempDirectory

4. Démarrez le service des services de certificats.


5. Consultez le journal des événements d’application pour l’événement CertSvc 26 pour vérifier que le
service des services de certificats a démarré correctement. Un message d’avertissement s’affiche si le
service ne démarre pas correctement. Si cela se produit, vérifiez la syntaxe des chemins d’accès dans le
Registre.
Vous devrez peut-être modifier les autorisations NTFS pour accorder des autorisations contrôle total au compte
système. Par défaut, le compte système et les groupes Administrateurs et administrateurs Enterprise
administrateurs ont un accès contrôle total pour le dossier CertLog.
Certificats racines de confiance requis
22/09/2022 • 2 minutes to read

Cet article répertorie les certificats racines de confiance requis par Windows d’exploitation. Ces certificats
racines de confiance sont requis pour que le système d’exploitation s’exécute correctement.
S’applique à : Windows 7 Service Pack 1, Windows Server 2012 R2
Numéro de la ko d’origine : 293781

Résumé
Dans le cadre d’une procédure de gestion de la confiance de l’infrastructure à clé publique (PKI), certains
administrateurs peuvent décider de supprimer des certificats racines de confiance d’un domaine, d’un serveur
ou d’un client Windows. Toutefois, les certificats racine répertoriés dans la section Certificats racine nécessaires
et de confiance dans cet article sont requis pour que le système d’exploitation fonctionne correctement. La
suppression des certificats suivants peut limiter les fonctionnalités du système d’exploitation ou entraîner
l’échec de l’ordinateur. Ne les supprimez pas.

Certificats racines nécessaires et fiables


Les certificats suivants sont nécessaires et fiables dans :
Windows 7
Windows Vista
Windows Server 2008 R2
Windows Server 2008

DAT E
N UM ÉRO DE D’EXP IRAT IO RÔ L ES N O M FA C IL E
ÉM IS P O UR ÉM IS PA R SÉRIE N P RÉVUS À RET EN IR ÉTAT

Autorité Autorité 00c1008b3c3 12/31/2020 Tous Autorité R


racine racine c8811d13ef6 racine
Microsoft Microsoft 63ecdf40 Microsoft

Ca du temps Ca du temps 00 12/31/2020 Horodatage Ca du temps R


de de de
décongélation décongélation décongélation

Autorité de Autorité de 79ad16a14aa 5/9/2021 Tous Autorité de R


certification certification 0a5ad4c7358 certification
racine racine f407132e65 racine
Microsoft Microsoft Microsoft

Les certificats ci-après sont nécessaires et fiables dans Windows XP et Windows Server 2003 :
DAT E
N UM ÉRO DE D’EXP IRAT IO RÔ L ES N O M FA C IL E
ÉM IS P O UR ÉM IS PA R SÉRIE N P RÉVUS À RET EN IR ÉTAT

Copyright (c) Copyright (c) 01 12/30/1999 Horodatage Microsoft R


1997 1997 Timestamp
Microsoft Microsoft Root
Corp. Corp.

Autorité Autorité 01 12/31/1999 Messagerie Microsoft R


racine racine sécurisée, Authenticode(
Microsoft Microsoft signature de tm) Root
Authenticode( Authenticode( code
tm) tm)

Autorité Autorité 00c1008b3c3 12/31/2020 Tous Autorité R


racine racine c8811d13ef6 racine
Microsoft Microsoft 63ecdf40 Microsoft

AUCUNE AUCUNE 4a19d2388c8 1/7/2004 Horodatage VeriSign Time R


RESPONSABIL RESPONSABIL 2591ca55d73 Stamping CA
ITÉ ITÉ 5f155ddca3
ACCEPTÉE, ACCEPTÉE,
(c)97 VeriSign, (c)97 VeriSign,
Inc. Inc.

VeriSign VeriSign 03c78f37db9 1/7/2004 Messagerie VeriSign R


Commercial Commercial 228df3cbb1a sécurisée, Commercial
Software Software ad82fa6710 signature de Software
Publishers CA Publishers CA code Publishers CA

Ca du temps Ca du temps 00 12/31/2020 Horodatage Ca du temps R


de de de
décongélation décongélation décongélation

Autorité de Autorité de 79ad16a14aa 5/9/2021 Tous Autorité de R


certification certification 0a5ad4c7358 certification
racine racine f407132e65 racine
Microsoft Microsoft Microsoft

Les certificats ci-après sont nécessaires et fiables dans Microsoft Windows 2000 :

DAT E
N UM ÉRO DE D’EXP IRAT IO RÔ L ES NOM
ÉM IS P O UR ÉM IS PA R SÉRIE N P RÉVUS C O N VIVIA L ÉTAT

Copyright (c) Copyright (c) 01 12/30/1999 Horodatage Microsoft R


1997 1997 Timestamp
Microsoft Microsoft Root
Corp. Corp.

Autorité Autorité 01 12/31/1999 Messagerie Microsoft R


racine racine sécurisée, Authenticode(
Microsoft Microsoft signature de tm) Root
Authenticode( Authenticode( code
tm) tm)
DAT E
N UM ÉRO DE D’EXP IRAT IO RÔ L ES NOM
ÉM IS P O UR ÉM IS PA R SÉRIE N P RÉVUS C O N VIVIA L ÉTAT

Autorité Autorité 00c1008b3c3 12/31/2020 Tous Autorité R


racine racine c8811d13ef6 racine
Microsoft Microsoft 63ecdf40 Microsoft

AUCUNE AUCUNE 4a19d2388c8 1/7/2004 Horodatage VeriSign Time R


RESPONSABIL RESPONSABIL 2591ca55d73 Stamping CA
ITÉ ITÉ 5f155ddca3
ACCEPTÉE, ACCEPTÉE,
(c)97 VeriSign, (c)97 VeriSign,
Inc. Inc.

VeriSign VeriSign 03c78f37db9 1/7/2004 Messagerie VeriSign R


Commercial Commercial 228df3cbb1a sécurisée, Commercial
Software Software ad82fa6710 signature de Software
Publishers CA Publishers CA code Publishers CA

Ca du temps Ca du temps 00 12/31/2020 Horodatage Ca du temps R


de de de
décongélation décongélation décongélation

Certains certificats répertoriés dans les tableaux précédents ont expiré. Toutefois, ces certificats sont nécessaires
pour la compatibilité ascendante. Même s’il existe un certificat racine approuvé expiré, tout ce qui a été signé à
l’aide de ce certificat avant la date d’expiration nécessite la validation du certificat racine approuvé. Tant que les
certificats expirés ne sont pas révoqués, ils peuvent être utilisés pour valider tout ce qui a été signé avant leur
expiration.
Comment définir une autorité de certification
Enterprise subordonnée de manière à avoir une
période de validité de certificat différente de celle
de l’autorité de certification parente
22/09/2022 • 2 minutes to read

Cet article explique comment définir une autorité de certification subordonnée d’entreprise pour qu’elle
présente une période de validité de certificat différente de celle de l’autorité de certification parente.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 281557

Résumé
Vous pouvez utiliser les étapes suivantes pour accorder à une ca subordonnée une période de validation de
certificat différente de celle de l’ac parent. Ce processus est divisé en trois étapes :
Étape 1 : Définir la période de validation sur l’ac parent. Étape 2 : Installer l’ac subordonnée. Étape 3 : Revenir à
l’heure de validation sur l’ac parent.
1. Définissez la période de validation sur l’ac parent. Pour ce faire, utilisez les commandes suivantes pour
définir la période de validation souhaitée sur l’ac parent qui émettra le certificat de l’ac subordonnée :

certutil -setreg ca\ValidityPeriod "Weeks"


certutil -setreg ca\ValidityPeriodUnits "3"

2. Installez l’ac subordonnée. Veillez à utiliser l’ac parent que vous avez utilisée à l’étape 1.
3. Réinitialisez la période de validation sur l’ac parent qui a émis le certificat de l’ac subordonnée (par
exemple, « 2 ans », qui est la valeur par défaut). Pour ce faire, utilisez les commandes suivantes :

certutil -setreg ca\ValidityPeriod "Years"


certutil -setreg ca\ValidityPeriodUnits "2"

NOTE
Si vous exécutez sur l’autorité de certification subordonnée, la propriété ValidityPeriod et la propriété
ValidityPeriodUnits sont toujours synchronisées avec l’autorité de certification parente, même si le certificat de
l’autorité de certification subordonnée n’est valide que pendant trois certutil -getreg ca\val* semaines.
Comment configurer l’authentification basée sur les
certificats dans les forêts sans confiance pour un
serveur web
22/09/2022 • 3 minutes to read

Cet article explique comment configurer un serveur web pour utiliser des cartes à puce pour l’authentification
basée sur des certificats entre forêts lorsque les forêts d’utilisateurs et la forêt de ressources ne s’trustent pas
mutuellement.
S’applique à : Windows Server 2016
Numéro de la ko d’origine : 4509680

Configuration de l’environnement
Envisagez un environnement qui utilise la configuration suivante :
Forêt d’utilisateurs nommée Contoso.com .
Forêt de ressources nommée Fabrikam.com . La forêt a Tailspintoys.com été ajoutée en tant que nom
d’utilisateur principal (UPN) de remplacement.
Il n’existe aucune relation d’confiance entre les deux forêts.
Les cartes à puce utilisateur utilisent des certificats qui ont des entrées SAN (Autre nom de l’objet) au format
user@tailspintoys.com .
Un serveur web IIS configuré pour l’authentification basée sur les certificats Active Directory.
Configurez Active Directory et le serveur web comme décrit dans les procédures suivantes.

Configurer Active Directory


Pour configurer la forêt de ressources pour authentifier les cartes à puce, suivez les étapes suivantes :
1. Assurez-vous qu’un certificat d’authentification Kerberos authentification authentification KDC (EKU) a été
émis aux contrôleurs de domaine.
2. Assurez-vous que le certificat de l’ac émettrice du certificat de l’utilisateur est installé dans Enterprise
magasin NTAUTH.
Pour publier le certificat de l’ac émettrice dans le domaine, exécutez la commande suivante à une invite
de commandes :

certutil -dspublish -f <filename> NTAUTHCA

Dans cette commande, représente le nom du fichier de certificat de l’ac, <filename> qui a une extension
.cer.
3. Les utilisateurs doivent avoir des comptes qui utilisent l’UPN de remplacement de la forêt de ressources.
Pour configurer la forêt d’utilisateurs, suivez les étapes suivantes :
1. Assurez-vous que l’authentification par carte à puce et l’authentification du client sont définies dans le
certificat.
2. Assurez-vous que le SAN du certificat utilise l’UPN de l’utilisateur.

3. Assurez-vous d’installer le certificat d’ac émettrice du certificat utilisateur dans Enterprise magasin
NTAUTH.

NOTE
Si vous souhaitez configurer la délégation sur le serveur frontal ou ignorer l’utilisation de l’UPN dans l’attribut SAN
du certificat (itinéraire AltSecID), consultez la section Plus d’informations.

Configurer le serveur web


Pour configurer le serveur Web IIS dans la forêt de ressources, suivez les étapes suivantes :
1. Installez le rôle serveur Web IIS, puis sélectionnez la fonctionnalité Sécurité de l’authentification par
mappage de certificat client.
2. Sur le serveur Web IIS, activez l’authentification par cer tificat client Active Director y.

3. Sur votre site web, configurez SSL Paramètres demander SSL, puis sous Cer tificats clients,
sélectionnez Exiger .

Assurez-vous qu’aucun autre type d’authentification n’est activé sur le site web. Nous vous déconseillons
d’activer l’authentification basée sur les certificats avec tout autre type d’authentification, car le service de
mappage du certificat présenté par l’utilisateur au compte d’utilisateur dans Active Directory est conçu
pour fonctionner uniquement avec le type d’authentification de certificat client Active Director y. Si vous
activez l’authentification anonyme, vous risquez de connaître des résultats inattendus.

Informations supplémentaires
Si vous souhaitez configurer la délégation sur ce serveur web de ressources pour interroger un serveur
principal, tel qu’un serveur de base de données ou une ca, vous pouvez également configurer la délégation
contrainte à l’aide d’un compte de service personnalisé. En outre, vous devez configurer le serveur web pour la
délégation contrainte (S4U2Self) ou la transition de protocole. Pour plus d’informations, voir Comment
configurer la délégation Kerberos contrainte pour les pages proxy d’inscription web.
Si vous souhaitez ignorer l’UPN dans l’attribut SAN du certificat de carte à puce de l’utilisateur, vous devez
macaler explicitement à l’aide des attributs AltSecIDou utiliser des conseils de nom.

NOTE
Nous ne recommandons pas cette approche de configuration des certificats de carte à puce.

Si vous publiez l’attribut SAN en tant qu’UPN prévu dans le certificat de l’utilisateur, vous ne devez pas activer
AltSecID.
Pour vérifier le magasin NTAuth sur le serveur web, ouvrez une fenêtre d’invite de commandes et exécutez la
commande suivante :

Certutil -viewstore -enterprise NTAUTH

Références
Préparation d’un domaine non routable pour la synchronisation d’annuaires
Comment importer des certificats d’ac tiers
Liste complète des modifications à apporter pour activer le mappage de certificat client sur IIS à l’aide
d’Active Directory
Fonctionnement de la carte à puce dans Windows
Attributs de sécurité utilisateur
HowTo: Map a user to a certificate via all the methods available in the altSecurityIdentities attribute
Les certificats d’ac racine valides distribués à l’aide
d’un GPO peuvent apparaître par intermittence
comme non confiance
22/09/2022 • 4 minutes to read

Cet article fournit une solution de contournement pour un problème dans lequel les certificats d’ac racine
valides distribués à l’aide d’un objet de groupe apparaissent comme non confiance.
S’applique à : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la ko d’origine : 4560600

Symptômes
IMPORTANT
Les problèmes de certificat de l’autorité de certification racine non confiance peuvent être causés par de nombreux
problèmes de configuration pKI. Cet article n’illustre qu’une des causes possibles du certificat d’ac racine non confiance.

Diverses applications qui utilisent des certificats et l’infrastructure à clé publique (PKI) peuvent faire l’expérience
de problèmes intermittents, tels que des erreurs de connectivité, une ou deux fois par jour/semaine. Ces
problèmes se produisent en raison de l’échec de la vérification du certificat d’entité final. Les applications
affectées peuvent renvoyer différentes erreurs de connectivité, mais elles auront toutes des erreurs de certificat
racine non confiance en commun. Voici un exemple d’erreur :

H EX DÉC IM A L SY M B O L IQ UE VERSIO N T EXT E

0x800b0109 -2146762487 (CERT_E_UNTRUSTEDROOT) Chaîne de certificats traitée,


mais terminée dans un
certificat racine

Toute application pKI qui utilise l’architecture système CryptoAPI peut être affectée par une perte intermittente
de connectivité ou une défaillance de la fonctionnalité PKI/Certificate dependent. À compter d’avril 2020, la liste
des applications connues pour être affectées par ce problème inclut, mais ne sont probablement pas limitées à :
Citrix
RdS (Remote Desktop Service)
Skype
Navigateurs Web
Les administrateurs peuvent identifier et résoudre les problèmes de certificat d’ac racine non confiance en
inspectant le journal CAPI2.
Concentrez vos efforts de dépannage sur les erreurs de chaîne de construction/vérifier la stratégie de chaîne
dans le journal CAPI2 contenant les signatures suivantes. Par exemple :

Erreur <DateTime> CAPI2 11 Build Chain


Erreur <DateTime> CAPI2 30 Vérifier la stratégie de chaîne
Résultat Une chaîne de certificats traitée, mais terminée dans un certificat racine qui n’est pas approuvé par
le fournisseur de confiance.
[valeur] 800b0109

Cause
Des problèmes de certificat d’ac racine non confiance peuvent se produire si le certificat d’ac racine est distribué
à l’aide de la stratégie de groupe suivante :
Configuration de l’ordinateur > Windows Paramètres > sécurité Paramètres stratégies de clé publique
Autorités de > > cer tification racines de confiance
Détails de la cause racine
Lors de la distribution du certificat d’ac racine à l’aide d’un GPO, le contenu du certificat
HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates sera supprimé et écrit à nouveau. Cette
suppression est du point de vue de la conception, car la stratégie de groupe applique les modifications du
Registre.
Les modifications apportées à la zone du Registre Windows qui est réservé aux certificats d’autorité de
certification racine avertiront le composant API de chiffrement de l’application cliente. Et l’application commence
la synchronisation avec les modifications du Registre. La synchronisation est la façon dont les applications sont
tenues à jour et prises en compte de la liste la plus à jour des certificats d’ac racines valides.
Dans certains scénarios, le traitement de la stratégie de groupe prend plus de temps. Par exemple, de nombreux
certificats d’ac racine sont distribués via un GPO (semblable à de nombreuses stratégies ou pare-feu).
Applocker Dans ces scénarios, l’application peut ne pas recevoir la liste complète des certificats d’ac racines de
confiance.
Pour cette raison, les certificats d’entité de fin qui se chaînent à ces certificats d’ac racines manquants seront
rendus comme non confiance. Et divers problèmes liés aux certificats commenceront à se produire. Ce problème
est intermittent et peut être temporairement résolu en réen appliquant à la fois le traitement ou le redémarrage
des GPO.
Si le certificat d’ac racine est publié à l’aide d’autres méthodes, les problèmes peuvent ne pas se produire en
raison de la situation mentionnée plus haut.

Solution de contournement
Microsoft est conscient de ce problème et travaille à améliorer l’expérience de certificat et d’API de chiffrement
dans une prochaine version de Windows.
Pour résoudre ce problème, évitez de distribuer le certificat d’ac racine à l’aide d’un GPO. Il peut inclure le
ciblage de l’emplacement du Registre (par exemple) pour remettre le certificat d’autorité de certification racine
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates au client.

Lorsque vous stockez le certificat d’ac racine dans un autre magasin de certificats d’ac racine physique, le
problème doit être résolu.
Exemples d’autres méthodes de publication de certificats d’ac racine
Méthode 1 : Utilisez l’outil en ligne de commande et la racine du certificat d’ac stocké dans certutil le fichier
rootca.cer:

certutil -addstore root c:\tmp\rootca.cer


NOTE
Cette commande ne peut être exécutée que par les administrateurs locaux et n’affectera qu’un seul ordinateur.

Méthode 2 : Démarrez certlm.msc (console de gestion des certificats pour l’ordinateur local) et importez le
certificat d’autorité de certification racine dans le magasin physique du Registre.

NOTE
La console certlm.msc ne peut être démarrée que par les administrateurs locaux. En outre, l’importation n’affectera qu’un
seul ordinateur.

Méthode 3 : Utiliser les préférences DPO pour publier le certificat d’ac racine, comme décrit dans les
préférences de stratégie de groupe
Pour publier le certificat d’ac racine, suivez les étapes suivantes :
1. Importez manuellement le certificat racine sur un ordinateur à l’aide de
certutil -addstore root c:\tmp\rootca.cer la commande (voir la méthode 1).

2. Ouvrez GPMC.msc sur l’ordinateur sur qui vous avez importé le certificat racine.
3. Modifiez l’GPO que vous souhaitez utiliser pour déployer les paramètres de Registre de la manière
suivante :
a. Modifiez la configuration ordinateur > stratégie de groupe préférences > Windows Paramètres
> registre >chemin d’accès au certificat racine.
b. Ajoutez le certificat racine à l’GPO comme présenté dans la capture d’écran suivante.
4. Déployez le nouvel GPO sur les ordinateurs sur lequel le certificat racine doit être publié.

Toute autre méthode, outil ou solution de gestion des clients qui distribue les certificats d’ac racine en les
écrivant dans l’emplacement HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates
fonctionne.

Références
Outil Certutil
Magasins de certificats
Emplacements du magasin système
Préférences de stratégie de groupe
API de chiffrement CertControlStore
Les modèles de version 3 (CNG) n’apparaîtront pas
dans l’inscription web de certificat Windows Server
2008 ou Windows Server 2008 R2
22/09/2022 • 2 minutes to read

Cet article permet de résoudre un problème dans lequel les modèles CNG ou 2008 n’apparaissent pas dans le
menu déroulant modèle demande de certificat avancé.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 2015796

Symptômes
Lorsque vous utilisez la page d’inscription web de certificat sur un serveur Windows Server 2008 ou Windows
Server 2008 R2, la nouvelle version 3, également appelée modèles CNG ou 2008, n’apparaît pas dans le menu
déroulant modèle demande de certificat avancé. Par conséquent, l’inscription web à l’aide d’un modèle CNG ne
peut pas avoir lieu via la méthode d’inscription web.
Lorsque cela se produit, les certificats peuvent être demandés et inscrits correctement à l’aide des mêmes
modèles que d’autres méthodes d’inscription. En d’autres termes, vous pouvez demander un certificat à partir
de ce modèle à l’aide du logiciel en snap-in MMC de certificats, d’un script, d’une inscription automatique ou
d’une demande exportée. Le problème se produit uniquement lorsque l’inscription web n’autorise pas la
sélection du modèle Version 3.
D’autres causes fréquentes de ne pas pouvoir autoriser la demande d’un certificat peuvent être que le serveur
n’est pas un serveur Enterprise ou que le demandeur n’a pas d’autorisations d’autorisation d’autorisation de
lecture et d’autorisation de demande sur le modèle dans Active Directory.

Cause
Ce comportement est inhérent au produit. Les modèles de version 3 peuvent avoir des exigences de demande
supplémentaires que la méthode d’inscription web peut ne pas remplir.

Résolution
Utilisez une méthode de demande différente pour ces certificats. Outre l’inscription web, toutes les autres
méthodes de requête fonctionnent dans ce scénario.

Informations supplémentaires
Une alternative, qui ne doit pas être tentée en production pour les clients sans test approfondi dans un
environnement de test, est disponible pour permettre aux modèles de version 3 d’apparaître dans les pages par
défaut d’inscription web. La raison pour laquelle il n’est pas recommandé est que les pages d’inscription web, là
encore, peuvent ne pas contenir le code nécessaire au certificat pour remplir toutes les données nécessaires, ce
qui peut entraîner un certificat problématique. Gardez cela à l’esprit lorsque vous envisagez d’effectuer les
étapes ci-dessous. Cette option consiste à modifier la version msPKI-Template-Schema-Version de 3 à 2.
En outre, la modification de l’attribut msPKI-Template-Schema-Version entraîne le rechargement du cache de
modèles et du cache CSP disponible.
1. Sur votre contrôleur de domaine, allez à Démarrer, Exécutez, tapez AdsiEdit.msc et appuyez sur
Entrée .
2. Dans AdsiEdit.msc, cliquez avec le bouton droit sur le nœud ADSIEDIT dans le volet gauche et
sélectionnez Connecter À dans le menu qui s’affiche.
3. Dans la boîte de dialogue Paramètres connexion, sélectionnez Configuration dans la section Point
de connexion, puis cliquez sur OK.
4. Développez les nodes dans le volet gauche jusqu’à ce que vous avez atteint votre magasin de modèles
(CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC=).
5. Double-cliquez sur le modèle version 3 que vous souhaitez voir apparaître dans la page d’inscription
web.
6. Faites défiler vers le bas et sélectionnez l’attribut msPKI-Template-Schema-Version.
7. Double-cliquez sur l’attribut msPKI-Template-Schema-Version et modifiez la valeur de 3 à 2, puis
cliquez sur OK .
8. Cliquez sur Appliquer . Cela met à jour le modèle et la liste des CSP. Gardez cela à l’esprit si vous utilisez
des CSP tiers dans votre environnement.
9. Go to your web enrollment page (if ran from your CA server) and attempt to enroll the certificate using
an advanced request.
Vous recevez un message d’erreur « Accès refusé »
sur un contrôleur de domaine lorsque vous essayez
de répliquer le service d’annuaire Active Directory
22/09/2022 • 3 minutes to read

Cet article permet de corriger l’erreur « l’accès est refusé » sur un contrôleur de domaine lorsque vous essayez
de répliquer le service d’annuaire Active Directory.
S’applique à : Windows Server 2012 R2, Windows 10 - toutes les éditions
Numéro de la ko d’origine : 895085

IMPORTANT
Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, veillez à le back up et
assurez-vous que vous comprenez comment restaurer le Registre en cas de problème. Pour plus d’informations sur la
façon de restaurer, de restaurer et de modifier le Registre, cliquez sur le numéro d’article suivant pour afficher l’article dans
la Base de connaissances Microsoft : 256986 Description du Registre Microsoft Windows

Symptômes
Lorsque vous essayez de répliquer le service d’annuaire Active Directory sur un contrôleur de domaine
exécutant Microsoft Windows Server 2003 avec Service Pack 1 (SP1) ou une version x64 de Microsoft Windows
Server 2003, vous recevez le message d’erreur suivant sur le contrôleur de domaine de destination :

accès refusé

Cause
Ce problème se produit lorsque la valeur de l’entrée de Registre RestrictRemoteClients est 2.
Windows Server 2003 SP1 et les versions x64 de Windows Server 2003 lisent les paramètres d’appel de
procédure distante (RPC) à partir de cette entrée. Si la valeur de l’entrée est 2, le trafic RPC doit être authentifié.
Par conséquent, la réplication Active Directory ne réussit pas. D’autres services RPC sur le contrôleur de
domaine peuvent également être affectés.

Résolution
WARNING
Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de graves problèmes qui peuvent nécessiter la
réinstallation de votre système d’exploitation. Microsoft ne peut pas garantir que vous pouvez résoudre les problèmes
résultant de l’utilisation incorrecte de l’Éditeur du Registre. Utilisez l’Éditeur du Registre à vos risques et périls.

Pour résoudre ce problème, activez le port 135 sur Windows pare-feu, puis utilisez l’une des méthodes
suivantes :
Définissez la valeur de l’entrée de Registre RestrictRemoteClients sur 0 ou 1.
Désactivez les restrictions pour l’objet de stratégie de groupe Clients RPC non authentifiés.
Pour cela, procédez comme suit.

NOTE
Par défaut, le port 135 est bloqué dans Windows Server 2003 SP1 et dans les versions x64 de Windows Server 2003.

1. Cliquez sur Démarrer, cliquez sur Exécuter, tapezfirewall.cpl, puis cliquez sur OK.
2. Cliquez sur l’onglet Exceptions, puis sur Ajouter un por t.
3. Dans la zone Nom, tapez un nom pour le port.
Par exemple, tapez TCP 135.
4. Dans la zone Numéro de por t, tapez 135.
5. Cliquez sur TCP, puis sur OK.
Le nouveau port apparaît sous l’onglet Exceptions.
6. Cliquez pour cocher la case en regard du nouveau port, puis cliquez sur OK.
7. Cliquez sur Démarrer et sur Exécuter , tapez regedit, puis cliquez sur OK .
8. Utilisez l’une des méthodes suivantes :
Définissez la valeur de l’entrée de Registre RestrictRemoteClients sur 0 ou 1. Pour cela, procédez comme
suit :
1. Recherchez, puis cliquez sur la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc

2. Dans le volet droit, cliquez sur l’entrée RestrictRemoteClients.

NOTE
Si cette entrée n’existe pas, suivez les étapes suivantes :
1. Dans le menu Edition , pointez sur Nouveau , puis cliquez sur Valeur DWORD .
2. Tapez RestrictRemoteClients, puis appuyez sur Entrée.

3. Dans le menu Edition , cliquez sur Modifier .


4. Dans la zone de données Valeur, tapez 0 ou 1, puis cliquez sur OK.
5. Quittez l’Éditeur du Registre.
Utilisez l’Éditeur d’objets de stratégie de groupe pour désactiver les restrictions pour l’objet de stratégie
de groupe Clients RPC non authentifiés. Pour cela, procédez comme suit :
1. Cliquez sur Démarrer , sur Exécuter , tapez gpedit.msc , puis cliquez sur OK .
2. Dans l’arborescence de la console, double-cliquez sur Configuration ordinateur, double-cliquez sur
Modèles d’administration, double-cliquez sur Système, puis sur Appel de procédure distante.
3. Double-cliquez sur Restrictions pour les clients RPC non authentifiés, cliquez sur Désactiver, puis
sur OK .
4. Quittez l’Éditeur d’objets de stratégie de groupe.

Statut
Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés dans la section «
S’applique à ».

Informations supplémentaires
Pour plus d’informations sur l’entrée de Registre RestrictRemoteClients, visitez le site Web Microsoft suivant : la
clé de Registre RestrictRemoteClients est activée.

Support technique pour Windows éditions x64


Votre fabricant de matériel fournit un support technique et une assistance pour les Windows éditions x64 de
Microsoft. Votre fabricant de matériel assure la prise en charge car Windows édition x64 a été incluse dans votre
matériel. Votre fabricant de matériel a peut-être personnalisé l’installation Windows édition x64 avec des
composants uniques. Les composants uniques peuvent inclure des pilotes de périphérique spécifiques ou
inclure des paramètres facultatifs pour optimiser les performances du matériel. Microsoft vous fournira une
assistance raisonnable si vous avez besoin d’aide technique Windows édition x64. Toutefois, il se peut que vous
deiez contacter directement votre fabricant. Votre fabricant est le mieux qualifié pour prendre en charge les
logiciels que votre fabricant a installés sur le matériel.
Erreur lorsque vous démarrez votre contrôleur de
domaine Windows : les services d’annuaire ne
peuvent pas démarrer
22/09/2022 • 10 minutes to read

Cet article explique comment récupérer à partir d’une base de données Active Directory endommagée ou d’un
problème similaire qui empêche votre ordinateur de démarrer en mode normal.
S’applique à : Windows Server 2003
Numéro de la ko d’origine : 258062

Résumé
Cet article vous guide tout au long d’une série d’étapes qui peuvent vous aider à diagnostiquer la cause de
l’erreur du système de démarrage des ser vices d’annuaire. Ces étapes peuvent inclure les éléments suivants :
Vérification de l’existence des fichiers du service d’annuaire Active Directory.
Vérifier que les autorisations du système de fichiers sont correctes.
Vérification de l’intégrité de la base de données Active Directory.
Effectuer une analyse de base de données sémantique.
Réparation de la base de données Active Directory.
Suppression et recréation de la base de données Active Directory.
Cet article vous explique également comment utiliser Ntdsutil ou Esentutl pour effectuer une réparation de
perte de la base de données Active Directory. Étant donné qu’une réparation avec perte supprime des données
et peut introduire de nouveaux problèmes, n’effectuez une réparation avec perte que s’il s’agit de la seule option
disponible.

Symptômes
Lorsque vous démarrez votre contrôleur de domaine, l’écran peut être vide et vous pouvez recevoir le message
d’erreur suivant :

LSASS.EXE - Erreur système, l’initialisation du gestionnaire de comptes de sécurité a échoué en raison de


l’erreur suivante : Les services d’annuaire ne peuvent pas démarrer. État d'0xc00002e1.
Veuillez cliquer sur OK pour arrêter ce système et redémarrer en mode de restauration des services
d’annuaire, consultez le journal des événements pour obtenir des informations plus détaillées.

En outre, les messages d’ID d’événement suivants peuvent apparaître dans le journal des événements :

ID d’événement : 700
Description : « La défragmentation NTDS (260) Online commence une passe sur la base de données NTDS.
DIT. »
ID d’événement : 701
Description : « La défragmentation NTDS (268) Online a terminé une passe complète sur la base de données
'C:\WINNT\NTDS\ntds.dit'. »
ID d’événement : 101
Description : « NTDS (260) le moteur de base de données s’est arrêté. »
ID d’événement : 1004
Description : « Le répertoire a été fermé avec succès. »
ID d’événement : 1168
Description: « Erreur : 1032 (fffffbf8) s’est produit. (ID interne 4042b). Veuillez contacter les services de
support technique Microsoft pour obtenir de l’aide. »
ID d’événement : 1103
Description : « La base de données des services d’annuaire Windows n’a pas pu être initialisée et a renvoyé
l’erreur 1032. Erreur irrécible, le répertoire ne peut pas continuer. »

Cause
Ce problème se produit car une ou plusieurs des conditions suivantes sont vraies :
Les autorisations du système de fichiers NTFS sur la racine du lecteur sont trop restrictives.
Les autorisations du système de fichiers NTFS sur le dossier NTDS sont trop restrictives.
La lettre de lecteur du volume qui contient la base de données Active Directory a changé.
La base de données Active Directory (Ntds.dit) est endommagée.
Le dossier NTDS est compressé.

Résolution
Pour résoudre ce problème, suivez les étapes suivantes :
1. Redémarrez le contrôleur de domaine.
2. Lorsque les informations du BIOS apparaissent, appuyez sur F8.
3. Sélectionnez le mode restauration des ser vices d’annuaire , puis appuyez sur Entrée.
4. Connectez-vous à l’aide du mot de passe du mode restauration des services d’annuaire.
5. Cliquez sur Démarrer, sélectionnez Exécuter , tapez cmd dans la zone Ouvrir, puis cliquez sur OK .
6. À l’invite de commandes, tapez les informations des fichiers ntdsutil.
La sortie semblable à la sortie suivante s’affiche :

Informations sur le lecteur :


C:\ NTFS (Fixed Drive ) free(533.3 Mb) total(4.1 Gb)
Informations sur le chemin d’accès DS :
Base de données : C:\WINDOWS\NTDS\ntds.dit - 10,1 Mo Backup dir :
C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - 4
2,1 Mo total temp.edb - 2,1 Mo res2.log - 10,0 Mo res1.log - 10,0 Mo edb00001.log - 10,0 Mo edb.log
- 10,0 Mo

NOTE
Les emplacements de fichiers inclus dans cette sortie se trouvent également dans la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Les entrées suivantes de cette clé contiennent les emplacements de fichiers :


Chemin de sauvegarde de base de données
Chemin d’accès aux fichiers journaux de base de données
Annuaire de travail DSA
7. Vérifiez que les fichiers répertoriés dans la sortie à l’étape 6 existent.
8. Vérifiez que les dossiers de la sortie Ntdsutil ont les autorisations correctes. Les autorisations correctes
sont spécifiées dans les tableaux suivants.
Windows Ser ver 2003

C OMPT E A UTO RISAT IO N S H ÉRITA GE

Système Contrôle total Ce dossier, sous-dossiers et fichiers

Administrateurs Contrôle total Ce dossier, sous-dossiers et fichiers

Creator, propriétaire Contrôle total Sous-dossiers et fichiers


uniquement

Local Service Créer des dossiers/ Append Data Ce dossier et ses sous-dossiers

Windows 2000

C OMPT E A UTO RISAT IO N S H ÉRITA GE

Administrateurs Contrôle total Ce dossier, sous-dossiers et fichiers

Système Contrôle total Ce dossier, sous-dossiers et fichiers

NOTE
En outre, le compte système requiert des autorisations contrôle total sur les dossiers suivants :
Racine du lecteur qui contient le dossier Ntds
Dossier %WINDIR%
Dans Windows Server 2003, l’emplacement par défaut du dossier %WINDIR% est C:\WINDOWS. Dans Windows
2000, l’emplacement par défaut du dossier %WINDIR% est C:\WINNT.

9. Vérifiez l’intégrité de la base de données Active Directory. Pour ce faire, tapez intégrité des fichiers
ntdsutil à l’invite de commandes.
Si la vérification de l’intégrité ne signale aucune erreur, redémarrez le contrôleur de domaine en mode
normal. Si la vérification de l’intégrité ne se termine pas sans erreurs, continuez comme suit.
10. Effectuer une analyse sémantique de base de données. Pour ce faire, tapez la commande suivante à
l’invite de commandes, y compris les guillemets :

ntdsutil "sem d a" go

11. Si l’analyse sémantique de la base de données n’indique aucune erreur, continuez comme suit. Si l’analyse
signale des erreurs, tapez la commande suivante à l’invite de commandes, y compris les guillemets :
ntdsutil "sem d a" "go f"

12. Suivez les étapes de l’article suivant de la Base de connaissances Microsoft pour effectuer une
défragmentation hors connexion de la base de données Active Directory :
232122 défragmentation hors connexion de la base de données Active Directory
13. Si le problème existe toujours après la défragmentation hors connexion et qu’il existe d’autres
contrôleurs de domaine fonctionnels dans le même domaine, supprimez Active Directory du serveur, puis
réinstallez Active Directory. Pour ce faire, suivez les étapes de la section « Solution de contournement » de
l’article suivant de la Base de connaissances Microsoft :
332199 contrôleurs de domaine ne rétrogradent pas normalement lorsque vous utilisez l’Assistant
Installation d’Active Directory pour forcer la rétrogradation dans Windows Server 2003 et Windows 2000
Server

NOTE
Si votre contrôleur de domaine exécute Microsoft Small Business Server, vous ne pouvez pas effectuer cette étape,
car Small Business Server ne peut pas être ajouté à un domaine existant en tant que contrôleur de domaine
supplémentaire (réplica). Si vous avez une sauvegarde d’état système plus nouvelle que la durée de vie de
tombstone, restituer cette sauvegarde d’état système au lieu de supprimer Active Directory du serveur. Par défaut,
la durée de vie de tombstone est de 60 jours.

14. Si aucune sauvegarde de l’état du système n’est disponible et qu’il n’existe aucun autre contrôleur de
domaine sain dans le domaine, nous vous recommandons de reconstruire le domaine en supprimant
Active Directory, puis en réinstallant Active Directory sur le serveur, en créant un domaine. Vous pouvez
utiliser à nouveau l’ancien nom de domaine ou un nouveau nom de domaine. Vous pouvez également
reconstruire le domaine en reformatant et en réinstallant Windows sur le serveur. Toutefois, la
suppression d’Active Directory est plus rapide et supprime efficacement la base de données Active
Directory endommagée.
Si aucune sauvegarde de l’état du système n’est disponible, il n’y a aucun autre contrôleur de domaine
sain dans le domaine, et vous devez que le contrôleur de domaine fonctionne immédiatement, effectuer
une réparation avec perte à l’aide de Ntdsutil ou Esentutl.

NOTE
Microsoft ne prend pas en charge les contrôleurs de domaine après l’utilisation de Ntdsutil ou Esentutl pour
récupérer suite à une altération de la base de données Active Directory. Si vous effectuez ce type de réparation,
vous devez reconstruire le contrôleur de domaine pour qu’Active Directory soit dans une configuration prise en
charge. La commande de réparation dans Ntdsutil utilise l’utilitaire Esentutl pour effectuer une réparation de perte
de la base de données. Ce type de réparation corrige l’altération en supprimant des données de la base de
données. Utilisez uniquement ce type de réparation en dernier recours.

Bien que le contrôleur de domaine puisse démarrer et semble fonctionner correctement après la
réparation, son état n’est pas pris en compte, car les données supprimées de la base de données peuvent
provoquer un nombre quelconque de problèmes qui peuvent ne pas apparaître avant plus tard. Il n’existe
aucun moyen de déterminer quelles données ont été supprimées lors de la réparation de la base de
données. Dès que possible après la réparation, vous devez reconstruire le domaine pour rétablir une
configuration prise en charge par Active Directory. Si vous utilisez uniquement les méthodes d’analyse de
base de données sémantique ou de défragmentation hors connexion référencés dans cet article, vous
n’avez pas besoin de reconstruire le contrôleur de domaine par la suite.
15. Avant d’effectuer une réparation avec perte, contactez les services de support technique Microsoft pour
confirmer que vous avez examiné toutes les options de récupération possibles et pour vérifier que la base
de données est réellement dans un état irréparable. Pour obtenir la liste complète des numéros de
téléphone des services de support technique Microsoft et des informations sur les coûts de support,
visitez le site Web Microsoft suivant :
Contacter le support Microsoft
Sur un Windows de domaine server 2000, utilisez Ntdsutil pour récupérer la base de données Active
Directory. Pour ce faire, tapez la réparation des fichiers ntdsutil à l’invite de commandes en mode
restauration du service d’annuaire.
Pour effectuer une réparation à perte d’un contrôleur de domaine Windows Server 2003, utilisez l’outil
Esentutl.exe pour récupérer la base de données Active Directory. Pour ce faire, tapez esentutl /p à une
invite de commandes sur le contrôleur de domaine Windows Server 2003.
16. Une fois l’opération de réparation terminée, renommez les fichiers .log dans le dossier NTDS à l’aide
d’une autre extension telle que .bak et essayez de démarrer le contrôleur de domaine en mode normal.
17. Si vous pouvez démarrer le contrôleur de domaine en mode normal après la réparation, migrez les objets
Active Directory pertinents vers une nouvelle forêt dès que possible. Étant donné que cette méthode de
réparation avec perte corrige l’altération en supprimant des données, elle peut entraîner des problèmes
ultérieurs extrêmement difficiles à résoudre. À la première opportunité après la réparation, vous devez
reconstruire le domaine pour remettre Active Directory dans une configuration prise en charge.
Vous pouvez migrer des utilisateurs, des ordinateurs et des groupes à l’aide de l’outil de migration Active
Directory (ADMT), de Ldifde ou d’un outil de migration non Microsoft. ADMT peut migrer des comptes
d’utilisateurs, des comptes d’ordinateur et des groupes de sécurité avec ou sans l’historique
d’identificateur de sécurité (SID). ADMT migre également les profils utilisateur. Pour utiliser ADMT dans
un environnement Small Business Server, examinez le livre blanc « Migrating from Small Business Server
2000 or Windows 2000 Server ». Pour obtenir ce livre blanc, visitez le site Web Microsoft suivant :
Migration de Small Business Server 2000 ou Windows 2000 Server vers Windows Small Business Server
2003
Vous pouvez utiliser Ldifde pour exporter et importer de nombreux types d’objets du domaine
endommagé vers le nouveau domaine. Ces objets incluent les comptes d’utilisateur, les comptes
d’ordinateur, les groupes de sécurité, les unités d’organisation, les sites Active Directory, les sous-réseaux
et les liens de sites. Ldifde ne peut pas migrer l’historique SID. Ldifde fait partie de Windows 2000 Server
et Windows Server 2003.
Pour plus d’informations sur l’utilisation de Ldifde, cliquez sur le numéro d’article suivant pour afficher
l’article dans la Base de connaissances Microsoft :
237677 Ldifde pour importer et exporter des objets d’annuaire dans Active Directory
Vous pouvez utiliser la Console de gestion des stratégies de groupe (GPMC) pour exporter le système de
fichiers et la partie Active Directory de l’objet de stratégie de groupe du domaine endommagé vers le
nouveau domaine.
Pour obtenir la GPMC, visitez le site Web Microsoft suivant :
Cloud Computing Services
Pour plus d’informations sur la migration des objets de stratégie de groupe à l’aide de la GpMC, voir le
livre blanc « Migrer des objets de stratégie de groupe entre domaines avec gpmc ». Pour obtenir ce livre
blanc, visitez le site Web Microsoft suivant :
Migration des G GPOs sur plusieurs domaines
18. Après la récupération, évaluez votre plan de sauvegarde actuel pour vous assurer que vous avez
programmé des sauvegardes d’état système suffisamment fréquemment. Planifier des sauvegardes de
l’état du système au moins tous les jours ou après chaque modification importante. Les sauvegardes
d’état système doivent contenir le niveau requis de tolérance de panne. Par exemple, ne stockez pas les
sauvegardes sur le même lecteur que l’ordinateur que vous sauvegardez. Dans la mesure du possible,
utilisez plusieurs contrôleurs de domaine pour éviter un point de défaillance unique. Stockez les
sauvegardes dans un emplacement hors site afin que la récupération d’urgence du site (incendie, vol,
débordement, vol d’ordinateur) n’affecte pas votre capacité de récupération. Les sites Web Microsoft
suivants peuvent vous aider à développer un plan de sauvegarde.
Windows Server 2003 : Création d’un plan de sauvegarde et de récupération
Windows 2000 : Chapitre 14 - Sauvegarde et récupération des données
Windows Small Business Server : Windows Server Essentials (Small Business Server)
Échec de la communication Active Directory sur les
contrôleurs de domaine multi-accueil
22/09/2022 • 2 minutes to read

Cet article décrit un problème dans lequel la communication Active Directory, y compris la réplication échoue
par intermittence.
S’applique à : Windows 2000
Numéro de la ko d’origine : 272294

Symptômes
Dans un domaine Windows 2000 qui possède des contrôleurs de domaine multi-accueil, la communication
Active Directory, y compris la réplication, peut échouer par intermittence.

Cause
Ce problème peut se produire si l’une des cartes réseau est attachée à un réseau externe (par exemple, Internet)
sur le contrôleur de domaine multi-accueil, et si le trafic LDAP (Lightweight Directory Access Protocol) et
Kerberos entre les réseaux internes et externes est partiellement ou complètement restreint en raison d’un
proxy, d’ISA Server, de NAT Server ou d’un autre périphérique de pare-feu.
Dans ce scénario, les cartes réseau sur les contrôleurs de domaine multi-accueil enregistrent à la fois les
adresses IP (Internet Protocol) intérieures et externes avec le serveur DNS. Les demandes de recherche de
résolution de noms DNS retournent les enregistrements de manière « tour à tour », en alternant les adresses IP
internes et externes. Les opérations de réplication nécessitent plusieurs demandes de recherche
d’enregistrements SRV. Dans ce cas, la moitié des demandes de recherche DNS retournent une adresse IP qui ne
peut pas être contactée et l’opération de réplication échoue.

Résolution
Pour résoudre ce problème :
1. Désactivez l’inscription sur la carte réseau externe sur le contrôleur de domaine multi-accueil. Pour ce
faire, procédez comme suit :
a. Cliquez sur Démarrer, Paramètres, puis sur Connexions réseau et d’appels d’accès.
b. Cliquez avec le bouton droit sur la connexion de réseau local externe, puis cliquez sur Propriétés.
c. Cliquez sur TCP/IP, puis sur Propriétés.
d. Cliquez sur Avancé, puis sur Pour effacer la case à cocher Inscrire le DNS pour cette connexion.
2. Désactivez la fonctionnalité de tourn robin sur le serveur DNS. Pour ce faire, procédez comme suit :
a. Cliquez sur Démarrer, Paramètres, sur Outils d’administration, puis sur DNS.
b. Ouvrez les propriétés du nom du serveur DNS.
c. Cliquez sur l’onglet Avancé, puis sur pour activer la case à cocher Activer le tour robin.
3. Supprimez les entrées existantes dans DNS. Pour ce faire, procédez comme suit :
a. Accédez à l’emplacement suivant : Sous \ DNS DNS Ser vername \Forward Lookup Zones \ Domain
Name
b. Supprimer les entrées d’enregistrement d’hôte (A) qui font référence au nom d’ordinateur du
contrôleur de domaine pour les adresses IP de carte réseau extérieures.
c. Supprimer des entrées d’enregistrement d’hôte (A) pour le même nom que le dossier parent pour les
adresses IP de carte réseau.
4. Démarrez la console de gestion DNS, cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur
Propriétés.
5. Cliquez sur l’onglet Interfaces, puis supprimez l’adresse IP externe afin que DNS ne l’écoute pas.
6. Ouvrez une invite de commandes, tapez ipconfig /flushdns, appuyez sur Entrée, tapez ipconfig
/registerdns, puis appuyez sur Entrée.
7. Modifiez l’ordre de liaison de vos cartes réseau afin que la carte interne soit la première carte liée. Pour
cela, procédez comme suit :
a. Cliquez sur Démarrer, Paramètres, puis sur Connexions réseau et d’accès à l’accès.
b. Dans le menu Avancé, cliquez sur Avancé.
c. Vérifiez que la carte réseau interne est répertoriée en premier dans la zone Connexions.

Statut
Ce comportement est inhérent au produit.

Informations supplémentaires
Pour plus d’informations, cliquez sur les numéros d’article suivants pour afficher les articles de la Base de
connaissances Microsoft :
246804 comment activer ou désactiver les mises à jour DNS dans Windows 2000 et Windows Server 2003
Le service ADWS se crashe après la mise à niveau
22/09/2022 • 2 minutes to read

Cet article fournit une solution à un problème dans lequel le service ADWS (Active Directory Web Services) se
crashe après la mise à niveau.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 3019069

Symptômes
Après avoir effectué une mise à niveau sur place d’un contrôleur de domaine Microsoft Windows Server 2008
R2 vers Windows Server 2012 R2, le service ADWS (Active Directory Web Services) se crashe au démarrage.

Cause
Il s’agit d’un problème connu concernant le produit.

Résolution
Pour résoudre ce problème, réinstallez le package Microsoft .NET Framework 4.5.2.
Processus de collecte de la garbage de base de
données Active Directory et calcul des intervalles
autorisés
22/09/2022 • 4 minutes to read

Cet article décrit le processus de collecte de la garbage collection de la base de données Active Directory et le
calcul des intervalles autorisés.
S’applique à : Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Numéro de la ko d’origine : 198793

Résumé
La base de données Active Directory intègre un processus de collecte de la garbage collection qui s’exécute
indépendamment sur chaque contrôleur de domaine de l’entreprise.

Informations supplémentaires
Le garbage collection est un processus de mise en service conçu pour libérer de l’espace dans la base de
données Active Directory. Ce processus s’exécute sur chaque contrôleur de domaine de l’entreprise avec un
intervalle de vie par défaut de 12 heures. Vous pouvez modifier cet intervalle en modifiant l’attribut
garbageCollPeriod dans l’objet de configuration DS à l’échelle de l’entreprise (NTDS).
Le chemin d’accès de l’objet dans Contoso.com le domaine ressemble à ce qui suit :
CN=Service d’annuaire,CN=Windows NT,CN=Services,CN=Configuration,DC=CONTOSO,DC=COM
Utilisez un outil d’édition Active Directory pour définir l’attribut garbageCollPeriod. Les outils pris en charge
incluent adsiedit.msc, Ldp.exe et les scripts ADSI (Active Directory Service Interfaces).
Lorsqu’un objet est supprimé, il n’est pas supprimé de la base de données Active Directory. Au lieu de cela,
l’objet est marqué pour suppression ultérieurement. Cette marque est ensuite répliquée sur d’autres contrôleurs
de domaine. Par conséquent, le processus de collecte de la garbage commence par supprimer les restes des
objets précédemment supprimés de la base de données. Ces objets sont appelés tombstones. Ensuite, le
processus de collecte de la garbage collection supprime les fichiers journaux inutiles. Enfin, le processus
démarre un thread de défragmentation pour demander davantage d’espace libre.
En outre, il existe deux méthodes pour défragmenter la base de données Active Directory. Une méthode est une
opération de défragmentation en ligne qui s’exécute dans le cadre du processus de nettoyage de la garbage.
L’avantage de cette méthode est que le serveur n’a pas besoin d’être mis hors connexion pour que l’opération
s’exécute. Toutefois, cette méthode ne réduit pas la taille du fichier de base de données Active Directory
(Ntds.dit). L’autre méthode met le serveur hors connexion et défragmente la base de données à l’aide de
lNtdsutil.exe de base de données. Cette approche nécessite que la base de données démarre en mode
réparation. L’avantage de cette méthode est que la base de données est re resous et que l’espace inutilisé est
supprimé. Par conséquent, et la taille du fichier Ntds.dit est réduite. Pour utiliser cette méthode, le contrôleur de
domaine doit être mis hors connexion.
Limites pour garbageCollPeriod :
La valeur minimale est 1 et la valeur maximale est 168 pour une semaine. La valeur par défaut est 12 heures.
Minimum pour la durée de vie de Tombstone :
La durée de vie minimale de Tombstone est de 2 jours pour les besoins du calcul de la suspension de l’exécution
du KCC.
La couche de base de données AD applique une mesure supplémentaire. Les jours TSL ne doivent pas être
inférieurs à trois fois l’intervalle du garbage collector. Sur la base de la valeur par défaut de 12 heures, TSL est
un minimum de 2 jours. Si l’intervalle gc est de 20 heures, le TSL minimum est de 3 jours (doit être supérieur à
60 heures). Si l’intervalle gc est de 25 heures, vous obtenez plus de trois jours (avec 75 heures) et le TSL
minimum est de 4 jours.
Le hic avec les vérifications effectuées par la couche DB et le KCC est que si TSL est inférieur au minimum
autorisé, il ne revient pas à la valeur minimale de 2 jours ou plus, mais à la valeur par défaut de 60 ou 180 jours.

IMPORTANT
Si le TSL est corrigé par défaut en raison d’une insaltérance, la valeur de l’intervalle de collecte de la garbage collection est
également définie sur la valeur par défaut de 12 heures.

Valeurs par défaut de la durée de vie de Tombstone


Historique
La durée de vie par défaut de tombstone (TSL) dans Windows Server 2003 était de 60 jours et s’est montrée
trop courte. Par exemple, un contrôleur de domaine prétenté peut être en transit pendant plus de 60 jours. Un
administrateur ne peut pas résoudre un échec de réplication ou mettre en fonctionnement un contrôleur de
domaine hors connexion tant que le TSL n’est pas dépassé. Windows Server 2003 Service Pack 1 (SP1) a
augmenté le TSL de 60 à 180 jours dans les scénarios suivants :
Un Windows de domaine NT 4.0 est mis à niveau vers Windows Server 2003 à l’aide du support
d’installation Windows Server 2003 SP1 pour créer une forêt.
Un Windows Server 2003 SP1 crée une forêt.
Windows Server 2003 SP1 ne modifie pas la valeur de TSL lorsque l’une des conditions suivantes est vraie :
Un domaine Windows 2000 est mis à niveau vers Windows Server 2003 à l’aide du support d’installation
pour Windows Server 2003 avec SP1.
Windows Server 2003 SP1 est installé sur un contrôleur de domaine qui exécute la version d’origine de
Windows Server 2003.
L’augmentation du TSL d’un domaine à 180 jours présente les avantages suivants :
Les sauvegardes utilisées dans les scénarios de récupération de données ont une durée de vie plus utile.
Les sauvegardes d’état système utilisées pour l’installation à partir de promotions multimédias ont une
durée de vie plus utile.
Les contrôleurs de domaine peuvent être hors connexion plus longtemps. Les ordinateurs prétentés
approchent moins fréquemment l’expiration du TSL.
Un contrôleur de domaine peut revenir au domaine après une période plus longue hors connexion.
La connaissance des objets supprimés est conservée plus longtemps sur le contrôleur de domaine d’origine.
Le paramètre par défaut dans votre forêt dépend du système d’exploitation à la « naissance » de la forêt et des
méthodes de mise à niveau à partir de là, comme ci-dessus.
Si vous n’êtes pas sûr de la valeur de TSL utilisée dans votre forêt, nous vous recommandons de la définir
explicitement, ainsi que msDS-deletedObjectLifetime si nécessaire.
Référence : La Corbeille AD : compréhension, mise en œuvre, meilleures pratiques et dépannage
Erreur de configuration du contrôleur de domaine
(le serveur n’est pas opérationnel) lorsque vous
configurez un serveur à l’aide du Gestionnaire de
serveur
22/09/2022 • 2 minutes to read

Cet article permet de résoudre une erreur (le serveur n’est pas opérationnel) qui se produit lorsque vous
configurez un serveur à partir d’un groupe de travail en tant que contrôleur de domaine à l’aide du Gestionnaire
de serveur.
S’applique à : Windows Server 2016, Windows Server 2019
Numéro de la ko d’origine : 2738697

Symptômes
Prenons le cas de figure suivant. Vous configurez un serveur qui s’exécute Windows Server 2012 partir d’un
groupe de travail en tant que contrôleur de domaine à l’aide du Gestionnaire de serveur. Ensuite, cliquez sur le
bouton Sélectionner dans la page Configuration du déploiement. Dans ce scénario, vous recevez le
message d’erreur suivant :

Une erreur s’est produite lors du contact du domaine contoso.


Le serveur n’est pas opérationnel.

NOTE
Vous avez une connectivité LDAP, RPC et DNS et pouvez contacter tous les contrôleurs de domaine existants sans
problème pour d’autres opérations.

Cause
Ce problème se produit car l’authentification NTLM est désactivée dans le domaine ou sur les contrôleurs de
domaine.

Résolution
Pour résoudre ce problème, associez le serveur au domaine, puis configurez le serveur comme contrôleur de
domaine. Une fois que vous avez joint le serveur au domaine, l’Assistant Services de domaine Active Directory
(AD DS) dans le Gestionnaire de serveur utilise l’authentification Kerberos au lieu de l’authentification NTLM
pour parcourir la forêt AD DS.

Informations supplémentaires
Pour plus d’informations sur la désactivation de l’authentification NTLM dans les domaines Windows Server
2008 R2 et versions ultérieures, voir les sites web suivants :
Présentation de la restriction de l’authentification NTLM
Blocage NTLM et vous : méthodologies d’analyse et d’audit des applications Windows 7
Les ID d’événement ESENT 1000, 1202, 412 et 454
sont consignés à plusieurs reprises dans le journal
des applications
22/09/2022 • 2 minutes to read

Cet article fournit une solution à un problème dans lequel les ID d’événement ESENT 1000, 1202, 412 et 454
sont enregistrés à plusieurs reprises dans le journal des applications.
S’applique à : Windows 2000
Numéro de la ko d’origine : 278316

Symptômes
Les ID d’événement suivants sont enregistrés toutes les cinq minutes dans le journal des applications :
1000
1202
412
454

Cause
Ce problème se produit si le fichier de base de données de stratégie de groupe local est endommagé.

Résolution
Pour résoudre ce problème, utilisez la procédure décrite dans cette section pour re-créer le fichier de stratégie
de groupe local.

IMPORTANT
L’implémentation d’un modèle de sécurité sur un contrôleur de domaine peut modifier les paramètres de la stratégie de
contrôleur de domaine par défaut ou de la stratégie de domaine par défaut. Le modèle appliqué peut réécrire les
autorisations sur les nouveaux fichiers, clés de Registre et services système créés par d’autres programmes. La restauration
de ces stratégies peut être nécessaire après l’application d’un modèle de sécurité. Avant d’effectuer ces étapes sur un
contrôleur de domaine, créez une sauvegarde du partage SYSVOL.

NOTE
Lorsque vous utilisez la procédure suivante, votre ordinateur revient à l’état d’installation d’origine où la stratégie de
sécurité locale n’est pas définie. Vous de devez peut-être démarrer votre ordinateur en mode Coffre pour renommer ou
déplacer des fichiers. Pour plus d’informations sur la façon de faire, voir Windows 2000 Help.

1. Ouvrez le dossier %SystemRoot%\Security, créez un dossier, puis nommez-le « OldSecurity ».


2. Déplacez tous les fichiers se terminant par .log du dossier %SystemRoot%\Security vers le dossier
OldSecurity.
3. Recherchez le fichier Secedit.sdb dans le dossier %SystemRoot%\Security\Database, puis renommez ce
fichier en « Secedit.old ».
4. Cliquez successivement sur Démarrer et Exécuter, tapez mmc, puis cliquez sur OK.
5. Cliquez sur Console, sur Ajouter/Supprimer un logiciel en snap-in, puis ajoutez le logiciel en snap-in
Sécurité et configuration.
6. Cliquez avec le bouton droit sur Sécurité et configuration et analyse, puis cliquez sur Ouvrir la base de
données.
7. Accédez au dossier %TEMP%, tapez Secedit.sdb dans la zone Nom de fichier, puis cliquez sur Ouvrir .
8. Lorsque vous êtes invité à importer un modèle, cliquez sur Setup Security.inf, puis cliquez sur Ouvrir.
9. Copiez %TEMP%\Secedit.sdb %SystemRoot%\Security\Database.
Les ID d’événement 5788 et 5789 se produisent sur
un ordinateur Windows base de données
22/09/2022 • 7 minutes to read

Cet article fournit des solutions à un problème où l’ID d’événement 5788 et l’ID d’événement 5789 sont
enregistrés lorsque le nom de domaine DNS et le nom de domaine Active Directory diffèrent sur un ordinateur
Windows.
S’applique à : Windows 7 Service Pack 1, Windows Server 2012 R2
Numéro de la ko d’origine : 258503

Symptômes
Vous pouvez être à l’un des problèmes suivants :
Sur Windows Vista et les versions ultérieures, vous recevez le message d’erreur suivant lors de l’logo
interactif :

La base de données de sécurité sur le serveur ne contient pas de compte d’ordinateur pour cette
relation d’confiance de station de travail.

Les connexions interactives avec des comptes basés sur un domaine ne fonctionnent pas. Seules les
connexions avec des comptes locaux fonctionnent.
Les messages d’événement suivants sont consignés dans le journal système :

Type d'événement : Erreur


Source de l’événement : NETLOGON
Catégorie d’événement : Aucun
ID d’événement : 5788
Ordinateur : ComputerName
Description :
Échec de la tentative de mise à jour du nom principal de service (SPN) de l’objet ordinateur dans
Active Directory. L’erreur suivante s’est produite : <Detailed error message that varies,
depending on the cause.>

Type d'événement : Erreur


Source de l’événement : NETLOGON
Catégorie d’événement : Aucun
ID d’événement : 5789
Ordinateur : Ordinateur
Description :
Échec de la tentative de mise à jour du nom d’hôte DNS de l’objet ordinateur dans Active Directory.
L’erreur suivante s’est produite : <Detailed error message that varies, depending on the
cause.>
NOTE
Les messages d’erreur détaillés pour ces événements sont répertoriés dans la section « Cause ».

Cause
Ce comportement se produit lorsqu’un ordinateur tente mais n’écrit pas dans les attributs dNSHostName et
servicePrincipalName pour son compte d’ordinateur dans un domaine AD DS (Active Directory Domain
Services).
Un ordinateur tente de mettre à jour ces attributs si les conditions suivantes sont vraies :
Immédiatement après qu’un ordinateur basé sur Windows rejoint un domaine, l’ordinateur tente de définir
les attributs dNSHostName et servicePrincipalName pour son compte d’ordinateur dans le nouveau
domaine.
Lorsque le canal de sécurité est établi sur un ordinateur Windows qui est déjà membre d’un domaine AD DS,
l’ordinateur tente de mettre à jour les attributs dNSHostName et servicePrincipalName pour son compte
d’ordinateur dans le domaine.
Sur un Windows de domaine basé sur le client, le service Netlogon tente de mettre à jour l’attribut
servicePrincipalName toutes les 22 minutes.
Il existe deux causes possibles des échecs de mise à jour :
L’ordinateur ne peut pas effectuer une demande de modification LDAP des attributs dNSHostName ou
servicePrincipalName pour son compte d’ordinateur.
Dans ce cas, les messages d’erreur qui correspondent aux événements décrits dans la section «
Symptômes » sont les suivants :
Événement 5788

L’accès est refusé.

Événement 5789

Le fichier spécifié est introuvable.

Le suffixe DNS principal de l’ordinateur ne correspond pas au nom DNS du domaine AD DS dont
l’ordinateur est membre. Cette configuration est appelée « espace de noms disjoint ».
Par exemple, l’ordinateur est membre du domaine Active contoso.com Directory. Toutefois, son nom de
domaine complet DNS est member1.nyc.contoso.com . Par conséquent, le suffixe DNS principal ne
correspond pas au nom de domaine Active Directory.
La mise à jour est bloquée dans cette configuration car la validation d’écriture prérequise des valeurs
d’attribut échoue. La validation d’écriture échoue car, par défaut, le Gestionnaire de comptes de sécurité
(SAM) exige que le suffixe DNS principal d’un ordinateur corresponde au nom DNS du domaine AD DS
dont l’ordinateur est membre.
Dans ce cas, les messages d’erreur qui correspondent aux événements décrits dans la section «
Symptômes » sont les suivants :
Événement 5788

La syntaxe d’attribut spécifiée pour le service d’annuaire n’est pas valide.


Événement 5789

Le paramètre est incorrect.

Résolution
Pour résoudre ce problème, recherchez la cause la plus probable, comme décrit dans la section « Cause ».
Ensuite, utilisez la résolution appropriée pour la cause.
Résolution de la cause 1
Pour résoudre ce problème, vous devez vous assurer que le compte d’ordinateur dispose des autorisations
suffisantes pour mettre à jour son propre objet ordinateur.
Dans l’Éditeur de liste de contrôle d’accès, assurez-vous qu’il existe une entrée de contrôle d’accès (ACE) pour le
compte de confiance « SELF » et qu’il dispose de l’accès « Autoriser » pour les droits étendus suivants :
Écriture validée dans le nom d’hôte DNS
Écriture validée dans le nom principal de service
Ensuite, vérifiez les autorisations de refus qui peuvent s’appliquer. À l’exclusion des appartenances de groupe de
l’ordinateur, les administrateurs de sécurité suivants s’appliquent également à l’ordinateur :
Tout le monde
Utilisateurs authentifiés
SELF
Les ace qui s’appliquent à ces trustees peuvent également refuser l’accès à l’écriture aux attributs, ou refuser les
droits étendus « Écriture validée dans le nom d’hôte DNS » ou « Écriture validée dans le nom principal du
service ».
Résolution de la cause 2
Pour résoudre ce problème, utilisez l’une des méthodes suivantes, selon le cas :
Méthode 1 : Corriger un espace de noms disjoint involontaire
Si la configuration disjointe est involontaire et si vous souhaitez revenir à un espace de noms contigu, utilisez
cette méthode.
Pour plus d’informations sur la façon de revenir à un espace de noms contigu sur Windows Server 2003,
consultez l’article Microsoft TechNet suivant :
Transition d’un espace de noms disjoint vers un espace de noms contigu
Pour Windows Server 2008 et Windows Vista et versions ultérieures, consultez l’article Microsoft TechNet
suivant :
Inverser un espace de noms disjoint créé accidentellement
Méthode 2 : Vérifier que la configuration de l’espace de noms disjoint fonctionne correctement
Utilisez cette méthode si vous souhaitez conserver l’espace de noms disjoint. Pour ce faire, suivez ces étapes
pour apporter des modifications de configuration afin de résoudre les erreurs.
Pour plus d’informations sur la façon de vérifier que l’espace de noms disjoint fonctionne correctement sur
Windows Server 2003 R2, Windows Server 2003, Windows Server 2003 avec Service Pack 1 (SP1) et Windows
Server 2003 avec Service Pack 2 (SP2), voir l’article Microsoft TechNet suivant : Créer un espace de noms
disjoint
Pour plus d’informations sur la façon de vérifier que l’espace de noms disjoint fonctionne correctement sur
Windows Server 2008 R2 et Windows Server 2008, voir l’article Microsoft TechNet suivant : Créer un espace de
noms disjoint
En étendant l’exemple mentionné dans la dernière puce principale de la section « Cause », vous ajoutez comme
suffixe autorisé nyc.contoso.com à l’attribut.

Informations supplémentaires
Les versions antérieures de cet article ont mentionné la modification des autorisations sur les objets ordinateur
pour permettre l’accès en écriture général pour résoudre ce problème. Il s’agissait de la seule approche qui
existait Windows 2000. Toutefois, il est moins sécurisé que d’utiliser msDS-AllowedDNSSuffixes.
msDS-AllowedDNSSuffixes empêche le client d’écrire des SNS arbitraires dans Active Directory. La « Windows
2000 » permet au client d’écrire des noms de service qui bloquent l’emploi de Kerberos sur d’autres serveurs
importants (création de doublons). Lorsque vous utilisez msDS-AllowedDNSSuffixes, des collisions SPN telles
que celles-ci peuvent se produire uniquement lorsque l’autre serveur a le même nom d’hôte que l’ordinateur
local.
Un suivi réseau de la réponse à la demande de modification LDAP affiche les informations suivantes :
win: 17368, src: 389 dst: 1044
LDAP : ProtocolOp : ModifyResponse (7)
LDAP : MessageID
LDAP : ProtocolOp = ModifyResponse
LDAP : Code de résultat = Violation de contrainte
LDAP : Message d’erreur = 0000200B : AtrErr : DSID-03151E6D Dans ce suivi réseau, 200B hexadécimal est égal
à 8203 décimal.
La commande net helpmsg 8203 renvoie les informations suivantes : La syntaxe d’attribut spécifiée pour le
service d’annuaire n’est pas valide. » Le moniteur réseau 5.00.943 affiche le code de résultat suivant : « Violation
de contrainte ». Winldap.h maps error 13 to « LDAP_CONSTRAINT_VIOLATION.
Le nom de domaine DNS et le nom de domaine Active Directory peuvent différer si une ou plusieurs des
conditions suivantes sont vraies :
La configuration DNS TCP/IP contient un domaine DNS différent du domaine Active Directory dont
l’ordinateur est membre, et le suffixe DNS principal Change lorsque l’option d’appartenance au domaine
est désactivée. Pour afficher cette option, cliquez avec le bouton droit sur Mon ordinateur, cliquez sur
Propriétés, puis cliquez sur l’onglet Identification réseau.
Windows Les ordinateurs basés sur server 2003 ou Windows XP Professional peuvent appliquer un
paramètre de stratégie de groupe qui définit le suffixe principal sur une valeur qui diffère du domaine
Active Directory. Le paramètre de stratégie de groupe est le suivant : Configuration ordinateur\Modèles
d’administration\Réseau\Client DNS : Suffixe DNS principal
Le contrôleur de domaine se trouve dans un domaine renommé par l’utilitaire Rendom.exe domaine.
Toutefois, l’administrateur a encore changé le suffixe DNS par rapport au nom de domaine DNS
précédent. Le processus de changement de nom de domaine ne met pas à jour le suffixe DNS principal
pour qu’il corresponde au nom de domaine DNS actuel après les noms de domaine DNS. Les domaines
d’une forêt Active Directory qui n’ont pas le même nom de domaine hiérarchique sont dans une
arborescence de domaine différente. Lorsque différentes forêts de domaines sont dans une forêt, les
domaines racines ne sont pas contigus. Toutefois, cette configuration ne crée pas d’espace de noms DNS
disjoint. Vous avez plusieurs domaines racineS DNS ou même Active Directory DNS. Un espace de noms
disjoint se caractérise par une différence entre le suffixe DNS principal et le nom de domaine Active
Directory dont l’ordinateur est membre.
L’espace de noms disjoint peut être utilisé avec précaution dans certains scénarios. Toutefois, il n’est pas pris en
charge dans tous les scénarios.
Comment effectuer une analyse sémantique de
base de données pour la base de données Active
Directory à l’aide de Ntdsutil.exe
22/09/2022 • 2 minutes to read

Cet article décrit les étapes à suivre pour effectuer une analyse de base de données sémantique pour la base de
données Active Directory à l’aide de Ntdsutil.exe
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 315136

Résumé
Cet article pas à pas décrit comment exécuter le contrôle sémantique sur la base de données Active Directory.
Contrairement aux commandes de gestion de fichiers, qui testent l’intégrité de la base de données par rapport à
la sémantique de la base de données ESENT, l’analyse sémantique analyse les données par rapport à la
sémantique Active Directory. Vous pouvez utiliser ce processus pour générer des rapports sur le nombre
d’enregistrements présents, y compris les enregistrements supprimés et fantômes.
Le service Windows Directory 2000 ouvre ses fichiers en mode Exclusif. Cela signifie que les fichiers ne peuvent
pas être gérés pendant que l’ordinateur fonctionne en tant que contrôleur de domaine. La première procédure
consiste à démarrer votre serveur en mode restauration des services d’annuaire.

Démarrage en mode restauration des services d’annuaire


1. Redémarrez le serveur.
2. Une fois que les informations du BIOS apparaissent, appuyez sur F8.
3. Sélectionnez le mode de restauration des ser vices d’annuaire (Windows 2000 contrôleurs de domaine
uniquement), puis appuyez sur Entrée.
4. Sélectionnez votre serveur, puis appuyez sur Entrée.
5. Connectez-vous à l’aide de votre compte d’administration de restauration qui a été effectué lors de la
promotion de ce contrôleur de domaine.

Démarrage Ntdsutil.exe
1. Cliquez sur Démarrer, puis sur Exécuter.
2. Dans la zone Ouvrir, tapez ntdsutil, puis appuyez sur Entrée. Notez que vous pouvez afficher Ntdsutil.exe'aide
en tapant ? à l’invite de commandes, puis en appuyant sur Entrée.

Effectuer une analyse de base de données


Cette procédure démarre l’analyse sémantique du fichier Ntds.dit. Un rapport est généré et écrit dans un fichier
nommé Dsdit.dmp. n, dans le dossier actuel, où n est un incrémenté qui est incrémenté chaque fois que vous
exécutez la commande.
1. À l’invite Ntdsutil.exe commande, tapez Analyse sémantique de la base de données, puis appuyez sur Entrée.
2. À l’invite de commandes du contrôle sémantique, tapez Go, puis appuyez sur Entrée.
3. La vérification s’affiche. Pour quitter, tapez q, appuyez sur Entrée, tapez q, puis appuyez sur Entrée.
Récupérer un enregistrement spécifique
Cette procédure récupère un numéro d’enregistrement spécifique à partir du fichier Ntds.dit à l’aide de la
variable de numéro d’enregistrement DNT. L’une des fonctions de la couche base de données consiste à traduire
chaque nom unique en une structure entière appelée balise de nom unique, utilisée pour tous les accès internes.
La couche de base de données garantit l’unicité de la balise de nom unique pour chaque enregistrement de base
de données. Pour afficher les index et leur DNT associé, utilisez la commande d’intégrité dans le menu Fichiers
de Ntdsutil.exe.
1. À l’invite Ntdsutil.exe commande, tapez Analyse sémantique de la base de données, puis appuyez sur Entrée.
2. À l’invite de commandes du contrôle sémantique, tapez Go, puis appuyez sur Entrée.
3. À l’invite de commandes de vérification sémantique, tapez Obtenir le numéro d’enregistrement DNT, puis
appuyez sur Entrée.
4. La vérification s’affiche. Pour quitter, tapez q, appuyez sur Entrée, tapez q, puis appuyez sur Entrée.
Utilisation de Ntdsutil pour gérer des fichiers Active
Directory à partir de la ligne de commande
Windows Server 2003
22/09/2022 • 5 minutes to read

Cet article explique comment gérer le fichier de base de données Active Directory (AD), Ntds.dit, à partir de la
ligne de commande.
S’applique à : Windows Server 2003
Numéro de la ko d’origine : 816120

Comment démarrer votre ordinateur en mode restauration des


services d’annuaire
Windows Le service d’annuaire Server 2003 ouvre ses fichiers en mode exclusif, ce qui signifie que les fichiers
ne peuvent pas être gérés pendant que le serveur fonctionne en tant que contrôleur de domaine.
Pour démarrer le serveur en mode restauration des services d’annuaire, suivez les étapes suivantes :
1. Redémarrez l'ordinateur.
2. Une fois que les informations du BIOS (Basic Input/Output System) sont affichées, appuyez sur F8.
3. Utilisez la flèche vers le bas pour sélectionner le mode de restauration des services d’annuaire (Windows
Contrôleurs de domaine Ser ver 2003 uniquement), puis appuyez sur Entrée .
4. Utilisez les flèches Haut et Bas pour sélectionner le Windows d’exploitation Server 2003, puis appuyez sur
Entrée .
5. Connectez-vous avec votre compte d’administration et votre mot de passe.

Comment installer les outils de support et démarrer Ntdsutil


Pour installer Windows outils de support technique, suivez les étapes suivantes :
1. Insérez le CD-ROM d’installation Windows Server 2003 dans le lecteur de CD-ROM ou de DVD-ROM.
2. Sélectionnez Démarrer, sélectionnez Exécuter, drive_letter :\Support\Tools\suptools.msi tapez, puis
appuyez sur Entrée.
Pour démarrer Ntdsutil, sélectionnez Démarrer, sélectionnez Exécuter, tapez ntdsutil dans la zone Ouvrir, puis
appuyez sur Entrée .

NOTE
Pour accéder à la liste des commandes disponibles, tapez ?, puis appuyez sur Entrée .

Comment déplacer la base de données


Vous pouvez déplacer le fichier de données Ntds.dit vers un nouveau dossier. Si vous le faites, le Registre est mis
à jour afin que le service d’annuaire utilise le nouvel emplacement lorsque vous redémarrez le serveur.
Pour déplacer le fichier de données vers un autre dossier, suivez les étapes suivantes :
1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez ntdsutil dans la zone Ouvrir, puis appuyez sur
Entrée.
2. À l’invite de commandes Ntdsutil, tapez des fichiers, puis appuyez sur Entrée .
3. À l’invite de commandes de maintenance de fichier, tapez Déplacer la DB vers un nouvel emplacement (où le
nouvel emplacement est un dossier existant que vous avez créé à cet effet), puis appuyez sur Entrée .
4. Pour quitter Ntdsutil, tapez quit, puis appuyez sur Entrée .
5. Redémarrez l'ordinateur.

Comment déplacer des fichiers journaux


Utilisez les journaux de déplacement pour commander le déplacement des fichiers journaux du service
d’annuaire vers un autre dossier. Pour que les nouveaux paramètres prennent effet, redémarrez l’ordinateur
après avoir déplacez les fichiers journaux.
Pour déplacer les fichiers journaux, suivez les étapes suivantes :
1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez ntdsutil dans la zone Ouvrir, puis appuyez sur
Entrée.
2. À l’invite de commandes Ntdsutil, tapez des fichiers, puis appuyez sur Entrée .
3. À l’invite de commandes de maintenance de fichier, tapez déplacer les journaux vers un nouvel emplacement
(où le nouvel emplacement est un dossier existant que vous avez créé à cet effet), puis appuyez sur Entrée .
4. Tapez quit, puis appuyez sur Entrée .
5. Redémarrez l'ordinateur.

Comment récupérer la base de données


Pour récupérer la base de données, suivez les étapes suivantes :
1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez ntdsutil dans la zone Ouvrir, puis appuyez sur
Entrée.
2. À l’invite de commandes Ntdsutil, tapez des fichiers, puis appuyez sur Entrée .
3. À l’invite de commandes de maintenance de fichier, tapez récupérer, puis appuyez sur Entrée.
4. Tapez quit, puis appuyez sur Entrée .
5. Redémarrez l'ordinateur.

NOTE
Vous pouvez également utiliser Esentutl.exe pour effectuer la récupération de base de données lorsque la procédure
décrite précédemment dans cet article échoue (par exemple, la procédure peut échouer lorsque la base de données est
incohérente). Pour utiliser Esentutl.exe de récupération de base de données, suivez les étapes suivantes :

1. Sélectionnez Démarrer, Sélectionnez Exécuter, tapez cmd dans la zone Ouvrir, puis appuyez sur Entrée.
2. Tapez esentutl /r path \ntds.dit, puis appuyez sur Entrée . fait référence à l’emplacement actuel du fichier
Ntds.dit.
3. Supprimez les fichiers journaux de base de données (.log) du dossier WINDOWS\Ntds.
4. Redémarrez l'ordinateur.
Pour plus d’informations sur l’utilitaire esentutl.exe, à l’invite de commandes, tapez esentutl /? , puis appuyez
sur Entrée .
NOTE
Cette procédure implique des journaux de transactions pour récupérer des données. Les journaux de transactions sont
utilisés pour s’assurer que les transactions engagés ne sont pas perdues en cas de panne de votre ordinateur ou en cas de
perte de courant inattendue. Les données de transaction sont écrites d’abord dans un fichier journal, puis dans le fichier
de données. Après avoir redémarré l’ordinateur après un échec, vous pouvez réexécuter le journal pour reproduire les
transactions qui ont été enregistrées dans le fichier de données, mais qui n’ont pas été enregistrées.

Comment définir des chemins d’accès


Vous pouvez utiliser la commande définir le chemin d’accès pour les éléments suivants :
Sauvegarde : utilisez ce paramètre avec la commande définir le chemin d’accès pour définir la cible de
sauvegarde disque à disque sur le dossier spécifié par la variable d’emplacement. Vous pouvez configurer le
service d’annuaire pour qu’il sauvegarde disque à disque en ligne à intervalles réguliers.
Base de données : utilisez ce paramètre avec la commande définir le chemin d’accès pour mettre à jour la
partie du Registre qui identifie l’emplacement et le nom de fichier du fichier de données. Utilisez cette
commande uniquement pour reconstruire un contrôleur de domaine qui a perdu son fichier de données et
qui n’est pas restauré au moyen de procédures de restauration classiques.
Journaux : utilisez ce paramètre avec la commande définir le chemin d’accès pour mettre à jour la partie du
Registre qui identifie l’emplacement des fichiers journaux. Utilisez cette commande uniquement si vous
resserez un contrôleur de domaine qui a perdu ses fichiers journaux et n’est pas restauré au moyen de
procédures de restauration classiques.
Répertoire de travail : utilisez ce paramètre avec la commande définir le chemin d’accès pour définir la partie
du Registre qui identifie le dossier de travail du service d’annuaire sur le dossier spécifié par la variable
d’emplacement. Pour exécuter la commande définir le chemin d’accès, suivez les étapes suivantes :
1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez ntdsutil dans la zone Ouvrir, puis appuyez sur
Entrée.
2. À l’invite de commandes Ntdsutil, tapez des fichiers, puis appuyez sur Entrée .
3. À l’invite de commandes de maintenance de fichier, tapez l’emplacement de l’objet chemin d’accès, puis
appuyez sur Entrée . fait référence à l’un des éléments suivants :
Sauvegarde
Database
Journaux d’activité
Répertoire de travail
fait référence à l’emplacement (dossier) auquel vous souhaitez définir l’objet identifié dans la commande.
4. Tapez quit, puis appuyez sur Entrée .
ISMServ.exe ne démarre pas lorsqu’un contrôleur
de domaine démarre
22/09/2022 • 3 minutes to read

Cet article fournit une solution de contournement pour un problème dans lequel le service IsmServ ne démarre
pas correctement au démarrage d’un contrôleur de domaine.
S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine : 4530043

Symptômes
Lorsque vous démarrez un contrôleur de domaine Windows Server, il ne démarre pas correctement. Lorsque
vous vérifiez le journal système dans l’Observateur d’événements, vous trouvez l’entrée suivante pour l’ID
d’événement 7023 :

Nom du journal : System


Source : Gestionnaire de contrôle de service
ID d’événement : 7023
Niveau : Erreur
Description :
Le service IsmServ s’est terminé par l’erreur suivante :
Le serveur spécifié ne peut pas effectuer l’opération demandée.
Xml d’événement :
<Event xmlns=" http://schemas.microsoft.com/win/2004/08/events/event ">
...
<EventData>
<Data Name="param1">IsmServ</Data>
<Data Name="param2">%%58</Data>
</EventData>
</Event>

Cet événement inclut les paramètres de données suivants :


Valeur du paramètre param1, IsmSer v : Cela représente le service de messagerie intersite (ISMserv.exe).
Valeur du paramètre param2, 58 : cette valeur est m ERROR_BAD_NET_RESP message « Le serveur
spécifié ne peut pas effectuer l’opération demandée »).
Pour collecter plus d’informations sur ce problème, vous pouvez configurer le suivi des événements LDAP pour
que Windows (ETW) s’exécute au démarrage du système. (Pour plus d’informations sur la façon de le faire, voir
plus d’informations.) Après avoir redémarré le dc, vous devez voir les lignes suivantes dans le journal :

[Microsoft-Windows-LDAP-Client/Debug] La connexion Message=LDAP 0xec4b08a8 'localhost' à l’aide de


GetHostByName.
...
[Microsoft-Windows-LDAP-Client/Debug] Message=gethostbyname collected 2 records for
dc1.contoso.com ' '[Microsoft-Windows-LDAP-Client/Debug] Message=LdapParallelConnect
called for connection 0xec4b08a8 with timeout 45 sec 0 usec. Le nombre total est de 2.
[Microsoft-Windows-LDAP-Client/Debug] Message=Aucune réponse pour le moment...
[Microsoft-Windows-LDAP-Client/Debug] Message=LdapParallelConnect terminé pour la connexion
0xec4b08a8. La durée prise était de 1 sec. Le délai d’origine spécifié était de 45 sec 0 usec.
...
[Microsoft-Windows-LDAP-Client/Debug] Message=LdapConnect failed to open connection 0xec4b08a8,
error = 0x5b.
[Microsoft-Windows-LDAP-Client/Debug] Message=LdapConnect thread 0xce0 a une connexion
0xec4b08a8 vers le bas.

Dans ce cas, la valeur du paramètre d’erreur (0x5b ou 91 ) est m LDAP_CONNECT_ERROR message.

Cause
ISMServ dépend des services de domaine Active Directory (AD DS). Toutefois, au démarrage du système,
ISMServ peut essayer de créer une connexion LDAP à AD DS avant la fin de la mise en ligne d’AD DS. Lorsque
cela se produit, le port LDAP (port TCP 389) n’est pas disponible lorsque ISMServ tente de se connecter. Étant
donné que le port n’est pas à l’écoute, ISMServ détermine que la connexion a échoué sans attendre le délai
d’attente de connexion (45 secondes). Par conséquent, ISMServ ne démarre pas.

Solution de contournement
Pour contourner immédiatement ce problème, redémarrez manuellement ISMServ.
Pour éviter ce problème à l’avenir, utilisez le logiciel en snap-in MMC Services et applications pour changer le
type de démarrage d’ISMServ de Automatique à Automatique (Démarrage différé).

Informations supplémentaires
Pour configurer LDAP ETW, suivez les étapes suivantes :
1. Utilisez l’Éditeur du Registre pour créer la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\ISMSERV.EXE

2. Ouvrez une fenêtre d’invite de commandes avec élévation de niveaux et exécutez les commandes
suivantes :

logman create trace "autosession\g_os" -ow -o c:\boot-ldap.etl -p "Microsoft-Windows-LDAP-Client"


0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets reg add
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\g_os /v FileMax /t REG_DWORD /d 2
/F

3. Redémarrez l'ordinateur.
4. Après le démarrage de l’ordinateur, exécutez la commande suivante à une invite de commandes avec
élévation de élévation de niveaux :

logman stop "g_os" -ets

5. Lorsque vous avez terminé la collecte des données, exécutez la commande suivante à une invite de
commandes avec élévation de élévation de niveaux pour arrêter le suivi :

logman delete "autosession\g_os" -et


Statut
Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés au début de cet article.

Références
Comment activer la journalisation du débogage du client LDAP (Wldap32.dll)
Erreur lorsque vous exécutez la commande dans
Windows Server 2008 : Adprep n’a pas pu contacter
un réplica pour Adprep /rodcprep partition
DC=DomainDnsZones,DC=Contoso,DC=com
22/09/2022 • 3 minutes to read

Cet article résout un problème : la commande n’est pas terminée correctement, car le maître d’infrastructure
pour un ou plusieurs Adprep /rodcprep NCS Active Directory n’est pas accessible.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 949257

Symptômes
Lorsque vous exécutez Adprep /rodcprep la commande sur Windows Server 2008, vous recevez le message
d’erreur suivant :

Adprep n’a pas pu contacter un réplica pour partition DC=DomainDnsZones,DC=Contoso,DC=com


Adprep a échoué à l’opération sur la partition DC=DomainDnsZones,DC=Contoso,DC=com Skipping to next
partition.
Adprep n’a pas pu contacter un réplica pour partition DC=ForestDnsZones,DC=Contoso,DC=com
Adprep a rencontré une erreur LDAP. Code d’erreur : 0x0. Code d’erreur étendu du serveur : 0x0, message
d’erreur serveur : (null).
Adprep a échoué à l’opération sur la partition DC=ForestDnsZones,DC=Contoso,DC=com Skipping to next
partition.
Adprep est terminé avec des erreurs. Toutes les partitions ne sont pas mises à jour.

Cause
Ce problème se produit lorsque la commande tente de contacter le maître Adprep /rodcprep d’infrastructure
pour chaque partition d’application dans la forêt. La commande permet de définir les autorisations requises
pour la réplication Read-Only contrôleur de domaine (RODC). La Adprep /rodcprep commande échoue si l’une
des conditions suivantes est vraie :
La partition ou les partitions référencés dans le message d’erreur n’existent plus.
Le maître d’infrastructure pour la ou les partitions référencé(s) a été rétrogradé de force ou est hors
connexion.

Résolution
Pour résoudre ce problème si la partition n’existe plus, faites un nettoyage des métadonnées pour la partition
orpheline à l’aide du paramètre « remove nc » de l’outil Dsmgmt. Pour plus d’informations, visitez le site Web
Microsoft suivant :
gestion des partitions
Si la partition spécifiée existe, spécifiez un propriétaire de rôle d’infrastructure en ligne pour la partition. Vous
pouvez le faire en modifiant manuellement l’attribut fSMORoleOwner sur l’objet, comme décrit dans la section
« Plus d’informations ».

Informations supplémentaires
L’exemple de script suivant modifie l’attribut fSMORoleOwner sur l’objet infrastructure du NDNC (Non-
Domain Naming Context) spécifié en un serveur actif ou contactable. Le NDNC de cet exemple est le contexte
d’appellation NDNC DomainDnsZones,DC=contoso,DC=com. Le script utilise la commande suivante :

cscript fixfsmo.vbs DC=DomainDnsZones,DC=contoso,DC=com


'-------fixfsmo.vbs------------------
const ADS_NAME_INITTYPE_GC = 3
const ADS_NAME_TYPE_1779 = 1
const ADS_NAME_TYPE_CANONICAL = 2

set inArgs = WScript.Arguments

if (inArgs.Count = 1) then
' Assume the command line argument is the NDNC (in DN form) to use.
NdncDN = inArgs(0)
Else
Wscript.StdOut.Write "usage: cscript fixfsmo.vbs NdncDN"
End if

if (NdncDN <> "") then

' Convert the DN form of the NDNC into DNS dotted form.
Set objTranslator = CreateObject("NameTranslate")
objTranslator.Init ADS_NAME_INITTYPE_GC, ""
objTranslator.Set ADS_NAME_TYPE_1779, NdncDN
strDomainDNS = objTranslator.Get(ADS_NAME_TYPE_CANONICAL)
strDomainDNS = Left(strDomainDNS, len(strDomainDNS)-1)

Wscript.Echo "DNS name: " & strDomainDNS

' Find a domain controller that hosts this NDNC and that is online.
set objRootDSE = GetObject("LDAP://" & strDomainDNS & "/RootDSE")
strDnsHostName = objRootDSE.Get("dnsHostName")
strDsServiceName = objRootDSE.Get("dsServiceName")
Wscript.Echo "Using DC " & strDnsHostName

' Get the current infrastructure fsmo.


strInfraDN = "CN=Infrastructure," & NdncDN
set objInfra = GetObject("LDAP://" & strInfraDN)
Wscript.Echo "infra fsmo is " & objInfra.fsmoroleowner

' If the current fsmo holder is deleted, set the fsmo holder to this domain controller.

if (InStr(objInfra.fsmoroleowner, "\0ADEL:") > 0) then

' Set the fsmo holder to this domain controller.


objInfra.Put "fSMORoleOwner", strDsServiceName
objInfra.SetInfo

' Read the fsmo holder back.


set objInfra = GetObject("LDAP://" & strInfraDN)
Wscript.Echo "infra fsmo changed to:" & objInfra.fsmoroleowner

End if

End if

Pour déterminer le maître d’infrastructure d’une partition, interrogez l’attribut fSMORoleOwner sur l’objet
d’infrastructure sous la racine du contexte d’appellation en question. Par exemple, interrogez l’attribut
fSMORoleOwner sur le CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com naming
context root to determine the infrastructure master for the DC=DomainDnsZones,DC=contoso,DC=com
partition. De même, interrogez l’attribut fSMORoleOwner sur l’attribut
CN=Infrastructure,DC=ForestDnsZones,DC=contoso,DC=com naming context root to determine the
infrastructure master for the D C=ForestDnsZones,DC=contoso,DC=com partition.
Vous pouvez utiliser des outils tels que l’outil LDP, l’outil ADSI (Active Directory Service Interfaces) Edit et l’outil
ldifde pour ces requêtes. Par exemple, la requête suivante utilise l’outil Idifde :
ldifde -f Infra_DomainDNSZones.ldf -d « CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com » -l
fSMORoleOwner
Cette requête renvoie le propriétaire du rôle principal d’infrastructure pour la partition
DC=DomainDnsZones,DC=contoso,DC=com au fichier Infra_DomainDNSZones.ldf.

NOTE
Vous pouvez exécuter la Adprep /rodcprep commande plusieurs fois sans endommager la forêt. Les opérations
effectuées lors des exécutions antérieures de la commande rodcprep ne sont pas répétées.

Si vous essayez d’exécuter la commande dans un environnement isolé, le maître d’infrastructure pour chaque
domaine et pour chaque partition d’annuaire d’applications doit être disponible dans l’environnement pour que
l’opération rodcprep réussisse.
Comment configurer la délégation Kerberos
contrainte pour les pages proxy d’inscription web
22/09/2022 • 6 minutes to read

L’article fournit des instructions pas à pas pour implémenter le service pour l’utilisateur au proxy (S4U2Proxy)
ou la délégation Kerberos contrainte uniquement sur un compte de service personnalisé pour les pages proxy
d’inscription Web.
S’applique à : Window Server 2016, Window Server 2019, Windows Server 2012 R2
Numéro de la ko d’origine : 4494313

Résumé
Cet article fournit des instructions pas à pas pour implémenter le service pour l’utilisateur au proxy (S4U2Proxy)
ou la délégation Kerberos contrainte uniquement pour les pages proxy d’inscription Web. Cet article décrit les
scénarios de configuration suivants :
Configuration de la délégation pour un compte de service personnalisé
Configuration de la délégation au compte NetworkService

NOTE
Les flux de travail décrits dans cet article sont spécifiques à un environnement particulier. Les mêmes flux de travail
peuvent ne pas fonctionner pour une situation différente. Toutefois, les principes restent les mêmes. La figure suivante
résume cet environnement.

Scénario 1 : configurer la délégation contrainte pour un compte de


service personnalisé
Cette section décrit comment implémenter le service pour la délégation contrainte d’utilisateur à proxy
(S4U2Proxy) ou Kerberos uniquement lorsque vous utilisez un compte de service personnalisé pour les pages
proxy d’inscription Web.
1. Ajouter un SPN au compte de service
Associez le compte de service à un nom principal de service (SPN). Pour cela, procédez comme suit :
1. Dans Utilisateurs et ordinateurs Active Director y, connectez-vous au domaine, puis sélectionnez
Utilisateurs > PKI .
2. Cliquez avec le bouton droit sur le compte de service (par exemple, web_svc), puis sélectionnez
Propriétés.
3. Select Attribute Editor > ser vicePrincipalName .
4. Tapez la nouvelle chaîne SPN, sélectionnez Ajouter (comme illustré dans la figure suivante), puis
sélectionnez OK .

Vous pouvez également utiliser Windows PowerShell pour configurer le SPN. Pour ce faire, ouvrez une
fenêtre PowerShell avec élévation de niveaux, puis exécutez setspn -s SPN Accountname . Par exemple,
exécutez la commande suivante :

setspn -s HTTP/webenroll2016.contoso.com web_svc

2. Configurer la délégation
1. Configurez la délégation contrainte S4U2proxy (Kerberos uniquement) sur le compte de service. Pour ce
faire, dans la boîte de dialogue Propriétés du compte de service (comme décrit dans la procédure
précédente), sélectionnez Délégation Faites confiance à cet utilisateur pour la délégation aux services
spécifiés > uniquement. Assurez-vous que l’utilisation de Kerberos uniquement est sélectionnée.
2. Fermez la boîte de dialogue.
3. Dans l’arborescence de la console, sélectionnez Ordinateurs, puis le compte d’ordinateur du serveur
frontal d’inscription Web.

NOTE
Ce compte est également appelé « compte d’ordinateur ».

4. Configurez la délégation contrainte S4U2self (transition de protocole) sur le compte d’ordinateur. Pour ce
faire, cliquez avec le bouton droit sur le compte d’ordinateur, puis sélectionnez Délégation de propriétés
Faire confiance à cet ordinateur pour la délégation aux > > ser vices spécifiés uniquement.
Sélectionnez Utiliser tout protocole d’authentification .
3. Créer et lier le certificat SSL pour l’inscription web
Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis l’lier au site Web
par défaut. Pour cela, procédez comme suit :
1. Ouvrez Internet Information Services (IIS).
2. Dans l’arborescence de la console, <HostName _> sélectionnez _Certificats de serveur.

NOTE
<HostName> est le nom du serveur web frontal.

3. Dans le menu Actions, sélectionnez Créer un cer tificat de domaine.


4. Une fois le certificat créé, sélectionnez Site Web par défaut dans l’arborescence de la console, puis
sélectionnez Liaisons.
5. Assurez-vous que por t est définie sur 443 . Ensuite, sous cer tificat SSL, sélectionnez le certificat que
vous avez créé à l’étape 3.
6. Sélectionnez OK pour lier le certificat au port 443.
4. Configurer le serveur frontal d’inscription Web pour utiliser le compte de service

IMPORTANT
Assurez-vous que le compte de service fait partie des administrateurs locaux ou du groupe IIS_Users sur le serveur
web.

1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Advanced Paramètres .

2. Sélectionnez Identité du modèle > de processus, sélectionnez Compte personnalisé, puis


sélectionnez Définir. Spécifiez le nom et le mot de passe du compte de service.
3. Sélectionnez OK dans les boîtes de dialogue Définir les informations d’identification et l’identité du
pool d’applications.
4. Dans Advanced Paramètres , recherchez Charger le profil utilisateur et assurez-vous qu’il a la valeur
True .

5. Redémarrez l'ordinateur.

Scénario 2 : configurer la délégation contrainte sur le compte


NetworkService
Cette section décrit comment implémenter la délégation contrainte S4U2Proxy ou Kerberos uniquement lorsque
vous utilisez le compte NetworkService pour les pages proxy d’inscription Web.
Étape facultative : configurer un nom à utiliser pour les connexions
Vous pouvez attribuer un nom au rôle d’inscription Web que les clients peuvent utiliser pour se connecter. Cette
configuration signifie que les demandes entrantes n’ont pas besoin de connaître le nom d’ordinateur du serveur
frontal d’inscription Web, ni d’autres informations de routage telles que le nom canonique DNS (CNAME).
Par exemple, supposons que le nom d’ordinateur de votre serveur d’inscription web soit WEBENROLLMAC
(dans le domaine Contoso). Vous souhaitez que les connexions entrantes utilisent plutôt le nom
ContosoWebEnroll. Dans ce cas, l’URL de connexion est la suivante :
https://contosowebenroll.contoso.com/certsrv

Il ne serait pas le suivant :


https://WEBENROLLMAC.contoso.com/certsrv

Pour utiliser une telle configuration, suivez les étapes suivantes :


1. Dans le fichier de zone DNS pour le domaine, créez un enregistrement d’alias ou un enregistrement de
nom d’hôte qui m’indique le nouveau nom de connexion à l’adresse IP du rôle d’inscription Web. Utilisez
l’outil Ping pour tester la configuration du routage.
Dans l’exemple mentionné précédemment, le fichier de zone possède un enregistrement d’alias qui maie
ContosoWebEnroll à l’adresse IP du rôle Contoso.com d’inscription Web.
2. Configurez le nouveau nom en tant que SPN pour le serveur frontal d’inscription web. Pour cela,
procédez comme suit :
a. Dans Utilisateurs et ordinateurs Active Directory, connectez-vous au domaine, puis sélectionnez
Ordinateurs.
b. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal d’inscription Web, puis
sélectionnez Propriétés.

NOTE
Ce compte est également appelé « compte d’ordinateur ».

c. Select Attribute Editor > ser vicePrincipalName .


d. Tapez HTTP/ < ConnectionName > . < DomainName .com > , sélectionnez Ajouter, puis
sélectionnez OK .

NOTE
Dans cette chaîne, est le nouveau nom que vous <ConnectionName> avez défini et est le nom du
<DomainName> domaine. Dans l’exemple, la chaîne est HTTP/ContosoWebEnroll.contoso.com .

1. Configurer la délégation
1. Si vous ne vous êtes pas encore connecté au domaine, faites-le maintenant dans Utilisateurs et
ordinateurs Active Director y, puis sélectionnez Ordinateurs .
2. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal d’inscription Web, puis
sélectionnez Propriétés.
NOTE
Ce compte est également appelé « compte d’ordinateur ».

3. Sélectionnez Délégation, puis sélectionnez Faire confiance à cet ordinateur pour la délégation
aux ser vices spécifiés uniquement.

NOTE
Si vous pouvez garantir que les clients utiliseront toujours l’authentification Kerberos lorsqu’ils se connectent à ce
serveur, sélectionnez Utiliser Kerberos uniquement. Si certains clients utilisent d’autres méthodes
d’authentification, telles que l’authentification NTLM ou basée sur les formulaires, sélectionnez Utiliser n’impor te
quel protocole d’authentification.

2. Créer et lier le certificat SSL pour l’inscription web


Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis l’attachez au
premier site par défaut. Pour cela, procédez comme suit :
1. Ouvrez le Gestionnaire de services Internet.
2. Dans l’arborescence de la console, <HostName _> sélectionnez _ Certificats de serveur dans le volet
Actions.
NOTE
<HostName> est le nom du serveur web frontal.

3. Dans le menu Actions, sélectionnez Créer un cer tificat de domaine.


4. Une fois le certificat créé, sélectionnez Site Web par défaut, puis sélectionnez Liaisons.
5. Assurez-vous que por t est définie sur 443 . Ensuite, sous cer tificat SSL, sélectionnez le certificat que
vous avez créé à l’étape 3. Sélectionnez OK pour lier le certificat au port 443.

3. Configurer le serveur frontal d’inscription Web pour utiliser le compte NetworkService


1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Advanced Paramètres .
2. Sélectionnez l’identité du modèle > de processus. Assurez-vous que le compte intégré est
sélectionné, puis sélectionnez NetworkSer vice. Ensuite, sélectionnez OK.

3. Dans les propriétés avancées, recherchez Charger le profil utilisateur, puis assurez-vous qu’il a la
valeur True .
4. Redémarrez le service IIS.

Voir aussi
Pour plus d’informations sur ces processus, voir Authenticating Web Application Users.
Pour plus d’informations sur les extensions de protocole S4U2self et S4U2proxy, consultez les articles suivants :
[MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol
4.1 Exemple de domaine unique S4U2self
4.3 Exemple S4U2proxy
Le processus de promotion du contrôleur de
domaine affiche l’option Windows Server Technical
Preview dans la liste des niveaux fonctionnels
domaine et forêt
22/09/2022 • 2 minutes to read

Cet article fournit une solution à un problème dans lequel le processus de promotion du contrôleur de domaine
affiche « Windows Server Technical Preview » dans la liste des niveaux fonctionnels domaine et forêt.
S’applique à : Windows Server 2016
Numéro de la ko d’origine : 3202325

Symptômes
Prenons l’exemple du scénario suivant :
Vous avez un ordinateur en cours d’exécution Windows Server 2016.
Vous installez le rôle AD DS (Active Directory Domain Service).
Une fois le rôle installé, vous exécutez le processus de promotion du contrôleur de domaine (DC) sur le
serveur.
Toutefois, sur la deuxième page de l’Assistant Promotion dc, vous remarquez que les niveaux fonctionnels Forêt
et Domaine indiquent une version incorrecte de Windows, comme dans la capture d’écran suivante :

Vous vous attendez à ce que l’Assistant Promotion DC affiche Windows Ser ver 2016 au lieu de Windows
Ser ver Technical Preview .
NOTE
Les niveaux fonctionnels Windows Server 2016 domaine et forêt ne sont pas affectés sur le plan fonctionnel.

Cause
Ce problème se produit car la chaîne d’affichage n’a pas été mise à jour dans les niveaux fonctionnels forêt et
domaine avant la publication de Windows Server 2016.

Résolution
Pour résoudre ce problème, appliquez la dernière mise à jour cumulative Windows Server 2016 de Windows
Update avant de promouvoir un ordinateur en contrôleur de domaine.
Comment configurer un pare-feu pour les domaines
et approbations Active Directory
22/09/2022 • 5 minutes to read

Cet article explique comment configurer un pare-feu pour les domaines et approbations Active Directory.
S ʼapplique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows
Server 2012 Standard
Numéro de l’article d’origine dans la base de connaissances : 179442

NOTE
Tous les ports répertoriés dans les tableaux suivants ne sont pas requis dans tous les scénarios. Par exemple, si le pare-feu
sépare les membres et les contrôleurs de domaine, vous n’avez pas à ouvrir les ports FRS ou DFSR. En outre, si vous savez
qu’aucun client n’utilise LDAP avec SSL/TLS, vous n’avez pas à ouvrir les ports 636 et 3269.

Informations supplémentaires
NOTE
Les deux contrôleurs de domaine se trouvent tous les deux dans la même forêt, ou les deux contrôleurs de domaine se
trouvent chacun dans une forêt distincte. En outre, les approbations dans la forêt sont des approbations Windows Server
2003 ou des approbations d'une version ultérieure.

P O RT ( S) C L IEN T ( S) P O RT SERVEUR SERVIC E

1024-65535/TCP 135/TCP Mappeur de point de terminaison RPC

1024-65535/TCP 1024-65535/TCP RPC pour LSA, SAM, NetLogon (*)

1024-65535/TCP/UDP 389/TCP/UDP LDAP

1024-65535/TCP 636/TCP LDAP SSL

1024-65535/TCP 3268/TCP LDAP GC

1024-65535/TCP 3269/TCP LDAP GC SSL

53,1024-65535/TCP/UDP 53/TCP/UDP DNS

1024-65535/TCP/UDP 88/TCP/UDP Kerberos

1024-65535/TCP 445/TCP SMB

1024-65535/TCP 1024-65535/TCP FRS RPC (*)

Les ports NetBIOS répertoriés pour Windows NT sont également requis pour Windows 2000 et Windows
Server 2003 lorsque des approbations à des domaines sont configurées pour prendre en charge uniquement
les communications basées sur NetBIOS. Par exemple, systèmes d’exploitation Windows NT ou contrôleurs de
domaine tiers basés sur Samba.
Pour plus d’informations sur la définition des ports de serveur RPC utilisés par les services RPC LSA, consultez
les ressources suivantes :
Limitation du trafic RPC Active Directory à un port spécifique.
Section Contrôleurs de domaine et Active Directory dans l’article Vue d’ensemble des services et exigences
de ports réseau pour Windows.
Windows Server 2008 et versions ultérieures
Windows Server 2008 et les versions ultérieures de Windows Server ont augmenté la plage de ports clients
dynamiques pour les connexions sortantes. Le nouveau port de début par défaut est 49152 et le nouveau port
de fin par défaut est 65535. Par conséquent, vous devez augmenter la plage de ports RPC dans vos pare-feu.
Cette modification a été apportée pour respecter les recommandations de l’IANA (Internet Assigned Numbers
Authority). Cette situation diffère d’un domaine en mode mixte qui se compose de contrôleurs de domaine
Windows Server 2003, de contrôleurs de domaine serveur Windows 2000 ou de clients hérités, où la plage de
ports dynamiques par défaut est comprise entre 1025 et 5000.
Pour plus d’informations sur la modification de la plage de ports dynamiques dans Windows Server 2012 et
dans Windows Server 2012 R2, consultez les ressources suivantes :
La plage de ports dynamiques par défaut pour TCP/IP a changé.
Ports dynamiques dans Windows Server.

P O RT ( S) C L IEN T ( S) P O RT SERVEUR SERVIC E

49152-65535/UDP 123/UDP W32Time

49152-65535/TCP 135/TCP Mappeur de point de terminaison RPC

49152-65535/TCP 464/TCP/UDP Modification de mot de passe Kerberos

49152-65535/TCP 49152-65535/TCP RPC pour LSA, SAM, NetLogon (*)

49152-65535/TCP/UDP 389/TCP/UDP LDAP

49152-65535/TCP 636/TCP LDAP SSL

49152-65535/TCP 3268/TCP LDAP GC

49152-65535/TCP 3269/TCP LDAP GC SSL

53, 49152-65535/TCP/UDP 53/TCP/UDP DNS

49152-65535/TCP 49152-65535/TCP FRS RPC (*)

49152-65535/TCP/UDP 88/TCP/UDP Kerberos

49152-65535/TCP/UDP 445/TCP SMB (**)

49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

Les ports NetBIOS répertoriés pour Windows NT sont également requis pour Windows 2000 et Server 2003
quand des approbations à des domaines sont configurées pour ne prendre en charge que les communications
NetBIOS. Par exemple, systèmes d’exploitation Windows NT ou contrôleurs de domaine tiers basés sur Samba.
(*) Pour plus d’informations sur la définition des ports serveurs RPC utilisés par les services LSA RPC, consultez
les ressources suivantes :
Limitation du trafic RPC Active Directory à un port spécifique.
Section Contrôleurs de domaine et Active Directory dans l’article Vue d’ensemble des services et exigences
de ports réseau pour Windows.
(**) Ce port n’est pas nécessaire pour le fonctionnement de l’approbation. Il n’est utilisé que pour la création
d’approbation.

NOTE
L’approbation externe 123/UDP n’est nécessaire que si vous avez configuré manuellement le service de temps Windows
pour qu’il se synchronise avec un serveur sur l’approbation externe.

Active Directory
Le client Microsoft LDAP utilise le test Ping ICMP quand une requête LDAP est en attente pendant une période
prolongée et qu’il attend une réponse. Il envoie des demandes ping pour vérifier que le serveur est toujours
présent sur le réseau. S’il ne reçoit pas de réponses ping, la demande LDAP échoue avec LDAP_TIMEOUT.
Le redirecteur Windows utilise également des messages Ping ICMP pour vérifier qu’une adresse IP de serveur
est résolue par le service DNS avant l’établissement d’une connexion, ainsi que quand un serveur est localisé à
l’aide du service DFS. Si vous souhaitez réduire le trafic ICMP, vous pouvez utiliser l’exemple de règle de pare-feu
suivant :

<any> ICMP -> DC IP addr = allow

Contrairement aux couches de protocole TCP et UDP, ICMP n’a pas de numéro de port, car il est hébergé
directement par la couche IP.
Par défaut, les serveurs DNS Windows Server 2003 et Windows 2000 Server utilisent des ports côté client
éphémères quand ils interrogent d’autres serveurs DNS. Toutefois, ce comportement peut être modifié par un
paramètre de Registre spécifique. Vous pouvez également établir une approbation via le tunnel obligatoire PPTP
(Point-to-Point Tunneling Protocol) pour limiter le nombre de ports que le pare-feu doit ouvrir. Pour PPTP, les
ports ci-dessous doivent être activés.

P O RT S C L IEN T S P O RT SERVEUR P ROTO C O L E

1024-65535/TCP 1723/TCP PPTP

En outre, vous devez activer IP PROTOCOL 47 (GRE).


NOTE
Quand vous ajoutez des autorisations à une ressource sur un domaine d’approbation pour les utilisateurs d’un domaine
approuvé, il existe des différences entre le comportement dans Windows 2000 et celui dans Windows NT 4.0. Si
l’ordinateur ne peut pas afficher la liste des utilisateurs du domaine distant, tenez compte du comportement suivant :
Windows NT 4.0 tente de résoudre les noms entrés manuellement en contactant le contrôleur de domaine principal
(CDP) pour le domaine de l’utilisateur distant (UDP 138). Si cette communication échoue, un ordinateur
Windows NT 4.0 contacte son propre CDP, puis demande la résolution du nom.
Windows 2000 et Windows Server 2003 tentent également de contacter le CDP de l’utilisateur distant pour une
résolution sur le port UDP 138. Toutefois, ils n’utilisent pas leur propre CDP. Veillez à ce que tous les serveurs membres
Windows 2000 et Windows Server 2003 qui accorderont l’accès aux ressources disposent d’une connectivité UDP 138
au CDP distant.

Référence
L’article Vue d’ensemble des services et exigences de ports réseau pour Windows décrit les ports, protocoles et
services réseau obligatoires utilisés par les systèmes d’exploitation client et serveur Microsoft, les programmes
serveurs et leurs sous-composants dans le système Microsoft Windows Server. Les administrateurs et les
professionnels de support peuvent utiliser cet article comme feuille de route pour déterminer quels ports et
protocoles sont nécessaires aux systèmes d’exploitation Microsoft et aux programmes pour la connectivité
réseau dans un réseau segmenté.
N’utilisez pas les informations sur les ports fournies dans l’article Vue d’ensemble des services et exigences de
ports réseau pour Windows pour configurer le Pare-feu Windows. Pour plus d’informations sur la configuration
du Pare-feu Windows, consultez l’article Windows Firewall with Advanced Security (en anglais uniquement).
Comment élever les niveaux fonctionnels de
domaine et de forêt Active Directory
22/09/2022 • 24 minutes to read

Cet article explique comment élever les niveaux fonctionnels de domaine et de forêt Active Directory.
S’applique à : Windows Server 2003
Numéro de la ko d’origine : 322692

Résumé
Pour plus d’informationssur Windows Server 2016 et les nouvelles fonctionnalités des services de domaine
Active Directory (AD DS), voir Nouveautés des services de domaine Active Directory pour Windows Server
2016 .
Cet article traite de l’augmentation des niveaux fonctionnels de domaine et de forêt pris en charge par les
contrôleurs de domaine basés sur Microsoft Windows Server 2003 ou plus récents. Il existe quatre version
d’Active Directory et seuls les niveaux qui ont changé depuis Windows NT Server 4.0 nécessitent une attention
particulière. Par conséquent, les autres modifications de niveau sont mentionnées à l’aide des versions plus
récentes, actuelles ou antérieures du système d’exploitation du contrôleur de domaine, du domaine ou du
niveau fonctionnel de la forêt.
Les niveaux fonctionnels sont une extension du mode mixte et des concepts de mode natif introduits dans
Microsoft Windows 2000 Server pour activer de nouvelles fonctionnalités Active Directory. Certaines
fonctionnalités Active Directory supplémentaires sont disponibles lorsque tous les contrôleurs de domaine
exécutent la dernière version de Windows Server dans un domaine ou dans une forêt, et lorsque
l’administrateur active le niveau fonctionnel correspondant dans le domaine ou dans la forêt.
Pour activer les fonctionnalités de domaine les plus récentes, tous les contrôleurs de domaine doivent exécutent
la dernière version du système d’exploitation Windows Server dans le domaine. Si cette exigence est remplie,
l’administrateur peut augmenter le niveau fonctionnel du domaine.
Pour activer les fonctionnalités les plus récentes à l’échelle de la forêt, tous les contrôleurs de domaine de la
forêt doivent exécutent la version du système d’exploitation Windows Server qui correspond au niveau
fonctionnel de forêt souhaité. En outre, le niveau fonctionnel de domaine actuel doit déjà être au niveau le plus
récent. Si ces conditions sont remplies, l’administrateur peut augmenter le niveau fonctionnel de la forêt.
En règle générale, les modifications apportées aux niveaux fonctionnels du domaine et de la forêt sont
irréversibles. Si la modification peut être annulée, une récupération de forêt doit être utilisée. Avec le Windows
d’exploitation Server 2008 R2, les modifications apportées aux niveaux fonctionnels de domaine et aux niveaux
fonctionnels de forêt peuvent être revenir en arrière. Toutefois, la mise à jour peut être effectuée uniquement
dans les scénarios spécifiques décrits dans l’article Technet sur les niveaux fonctionnels d’Active Directory.
NOTE
Les niveaux fonctionnels de domaine les plus récents et les niveaux fonctionnels de forêt les plus récents affectent
uniquement la façon dont les contrôleurs de domaine fonctionnent ensemble en tant que groupe. Les clients qui
interagissent avec le domaine ou la forêt ne sont pas affectés. En outre, les applications ne sont pas affectées par les
modifications apportées aux niveaux fonctionnels du domaine ou aux niveaux fonctionnels de la forêt. Toutefois, les
applications peuvent tirer parti des fonctionnalités de domaine les plus nouvelles et des fonctionnalités de forêt les plus
nouvelles.
Pour plus d’informations, consultez l’article TechNet sur les fonctionnalités associées aux différents niveaux fonctionnels.

Augmentation du niveau fonctionnel


Cau t i on

N’augmentez pas le niveau fonctionnel si le domaine possède ou aura un contrôleur de domaine d’une version
antérieure à la version mentionnée pour ce niveau. Par exemple, un niveau fonctionnel Windows Server 2008
nécessite que tous les contrôleurs de domaine Windows Server 2008 ou un système d’exploitation ultérieur soit
installé dans le domaine ou dans la forêt. Une fois que le niveau fonctionnel du domaine est élevé, il ne peut être
modifié qu’à un niveau plus ancien à l’aide d’une récupération de forêt. Cette restriction existe parce que les
fonctionnalités modifient souvent la communication entre les contrôleurs de domaine ou parce que les
fonctionnalités modifient le stockage des données Active Directory dans la base de données.
La méthode la plus courante pour activer les niveaux fonctionnels de domaine et de forêt consiste à utiliser les
outils d’administration de l’interface utilisateur graphique (GUI) documentés dans l’article TechNet sur les
niveaux fonctionnels d’Active Directory Windows Server 2003. Cet article décrit Windows Server 2003.
Toutefois, les étapes sont les mêmes dans les versions plus récentes du système d’exploitation. En outre, le
niveau fonctionnel peut être configuré manuellement ou à l’aide de Windows PowerShell scripts. Pour plus
d’informations sur la configuration manuelle du niveau fonctionnel, voir la section « Afficher et définir le niveau
fonctionnel ».
Pour plus d’informations sur l’utilisation Windows PowerShell script pour configurer le niveau fonctionnel, voir
Élever le niveau fonctionnel de la forêt.
Afficher et définir manuellement le niveau fonctionnel
Les outils LDAP (Lightweight Directory Access Protocol), tels que Ldp.exe et Adsiedit.msc, peuvent être utilisés
pour afficher et modifier les paramètres fonctionnels actuels du domaine et de la forêt. Lorsque vous modifiez
manuellement les attributs de niveau fonctionnel, la meilleure pratique consiste à apporter des modifications
d’attribut au contrôleur de domaine FSMO (Flexible Single Master Operations) qui est normalement ciblé par les
outils d’administration Microsoft.
Paramètres de niveau fonctionnel du domaine
L’attribut msDS-Behavior-Version se trouve sur l’en-tête NC (naming context) du domaine, c’est-à-dire DC=corp,
DC=contoso, DC=com.
Vous pouvez définir les valeurs suivantes pour cet attribut :
Valeur 0 ou non set=domaine de niveau mixte
Valeur de 1 =Windows niveau de domaine Server 2003
Valeur de 2 =Windows niveau de domaine Server 2003
Valeur de 3 =Windows niveau de domaine Server 2008
Valeur de 4=Windows niveau de domaine Server 2008 R2
Paramètres du mode mixte et du mode natif
L’attribut ntMixedDomain se trouve sur l’en-tête nc (naming context) du domaine, c’est-à-dire DC=corp,
DC=contoso, DC=com.
Vous pouvez définir les valeurs suivantes pour cet attribut :
Valeur 0=Domaine de niveau natif
Valeur 1=Domaine de niveau mixte
Paramètre au niveau de la forêt
L’attribut msDS-Behavior-Version se trouve sur l’objet CN=Partitions dans le contexte d’appellation de
configuration (NC), c’est-à-dire CN=Partitions, CN=Configuration, DC= ForestRootDomain.
Vous pouvez définir les valeurs suivantes pour cet attribut :
Valeur 0 ou non définie =forêt de niveau mixte
Valeur de 1 =Windows niveau de forêt intermédiaire server 2003
Valeur de 2 =Windows forêt Server 2003

NOTE
Lorsque vous augmentez l’attribut msDS-Behavior-Version de la valeur 0 à la valeur 1 à l’aide deAdsiedit.msc, vous
recevez le message d’erreur suivant :
Opération de modification illégale. Certains aspects de la modification ne sont pas autorisés.

Valeur de 3 =Windows niveau de domaine Server 2008


Valeur de 4=Windows niveau de domaine Server 2008 R2
Après avoir utilisé les outils LDAP (Lightweight Directory Access Protocol) pour modifier le niveau fonctionnel,
cliquez sur OK pour continuer. Les attributs sur le conteneur de partitions et sur l’en-tête de domaine sont
correctement augmentés. Si un message d’erreur est envoyé par le Ldp.exe, vous pouvez ignorer le message
d’erreur en toute sécurité. Pour vérifier que l’augmentation du niveau a réussi, actualisez la liste des attributs,
puis vérifiez le paramètre actuel. Ce message d’erreur peut également se produire une fois que vous avez
effectué l’augmentation du niveau sur le FSMO faisant autorité si la modification n’a pas encore été répliquée
sur le contrôleur de domaine local.
Afficher rapidement les paramètres actuels à l’aide Ldp.exe fichier
1. Démarrez le Ldp.exe fichier.
2. Dans le menu Connexion, cliquez sur Connecter .
3. Spécifiez le contrôleur de domaine que vous souhaitez interroger, ou laissez l’espace vide pour vous
connecter à n’importe quel contrôleur de domaine.
Une fois que vous vous êtes connecté à un contrôleur de domaine, les informations RootDSE du contrôleur de
domaine s’affiche. Ces informations incluent des informations sur la forêt, le domaine et les contrôleurs de
domaine. Voici un exemple de contrôleur de domaine Windows Server 2003. Dans l’exemple suivant, supposons
que le mode de domaine est Windows Server 2003 et que le mode forêt est Windows 2000 Server.

NOTE
La fonctionnalité du contrôleur de domaine représente le niveau fonctionnel le plus élevé possible pour ce contrôleur de
domaine.
1> domainFunctionality : 2=(DS_BEHAVIOR_WIN2003)
1> forestFunctionality : 0=(DS_BEHAVIOR_WIN2000)
1> domainControllerFunctionality : 2=(DS_BEHAVIOR_WIN2003)

Conditions requises lorsque vous modifiez manuellement le niveau fonctionnel


Vous devez modifier le mode domaine en mode natif avant d’augmenter le niveau de domaine si l’une
des conditions suivantes est vraie :
Le niveau fonctionnel du domaine est élevé par programme au deuxième niveau fonctionnel en
modifiant directement la valeur de l’attribut msdsBehaviorVersion sur l’objet domainDNS.
Le niveau fonctionnel du domaine est élevé au deuxième niveau fonctionnel à l’aide de l’utilitaire
Ldp.exe ou de l’utilitaire Adsiedit.msc.
Si vous ne modifiez pas le mode domaine en mode natif avant d’augmenter le niveau de domaine,
l’opération ne se termine pas correctement et vous recevez les messages d’erreur suivants :

SV_PROBLEM_WILL_NOT_PERFORM
ERROR_DS_ILLEGAL_MOD_OPERATION

En outre, le message suivant est consigné dans le journal des services d’annuaire :

Active Directory could not update the functional level of the following domain because the domain is
in mixed mode.

Dans ce scénario, vous pouvez modifier le mode domaine en mode natif à l’aide du logiciel en ligne
Utilisateurs & Ordinateurs Active Directory, à l’aide du logiciel en ligne MMC de l’interface utilisateur
d’active directory & Trusts ou en modifiant par programme la valeur de l’attribut ntMixedDomain sur 0
sur l’objet domainDNS. Lorsque ce processus est utilisé pour élever le niveau fonctionnel du domaine à 2
(Windows Server 2003), le mode domaine est automatiquement modifié en mode natif.
La transition du mode mixte au mode natif modifie l’étendue du groupe de sécurité Administrateurs du
schéma et du groupe de sécurité Administrateurs Enterprise en groupes universels. Lorsque ces groupes
ont été modifiés en groupes universels, le message suivant est consigné dans le journal système :

Event Type: Information


Event Source: SAM
Event ID: 16408
Computer:Server Name
Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."

Lorsque les outils d’administration Windows Server 2003 sont utilisés pour appeler le niveau fonctionnel
du domaine, l’attribut ntmixedmode et l’attribut msdsBehaviorVersion sont modifiés dans l’ordre correct.
Toutefois, cela ne se produit pas toujours. Dans le scénario suivant, le mode natif est implicitement définie
sur la valeur 0 sans modifier l’étendue du groupe de sécurité Administrateurs du schéma et du groupe de
sécurité administrateurs de Enterprise sur universel :
L’attribut msdsBehaviorVersion qui contrôle le mode fonctionnel du domaine est manuellement ou
par programme la valeur 2.
Le niveau fonctionnel de la forêt est fixé à 2 à l’aide de n’importe quelle méthode. Dans ce scénario, les
contrôleurs de domaine bloquent la transition vers le niveau fonctionnel de la forêt jusqu’à ce que
tous les domaines qui se trouve dans le réseau local soient configurés en mode natif et que la
modification d’attribut requise soit réalisée dans les étendues du groupe de sécurité.
Niveaux fonctionnels pertinents pour Windows Server 2000
Windows Server 2000 prend en charge uniquement le mode mixte et le mode natif. En outre, il applique
uniquement ces modes à la fonctionnalité de domaine. Les sections suivantes listent les modes de domaine
Windows Server 2003, car ces modes affectent la mise à niveau des domaines Windows NT 4.0 et Windows
Server 2000.
Il existe de nombreuses considérations lors de l’augmentation du niveau de système d’exploitation du contrôleur
de domaine. Ces considérations sont dues aux limitations de stockage et de réplication des attributs liés dans
Windows 2000 Server.
Windows server 2000 mixte (par défaut)
Contrôleurs de domaine pris en charge : Microsoft Windows NT 4.0, Windows Server 2000, Windows Server
2003
Fonctionnalités activées : groupes locaux et globaux, prise en charge du catalogue global
Windows 2000 Server natif
Contrôleurs de domaine pris en charge : Windows Server 2000, Windows Server 2003, Windows Server
2008, Windows Server 2008 R2
Fonctionnalités activées : imbrmbrage de groupes, groupes universels, historique des sids, conversion de
groupes entre groupes de sécurité et groupes de distribution, vous pouvez augmenter les niveaux de
domaine en augmentant les paramètres au niveau de la forêt
Windows Serveur intermédiaire 2003
Contrôleurs de domaine pris en charge : Windows NT 4.0, Windows Server 2003
Fonctionnalités prise en charge : aucune fonctionnalité à l’échelle du domaine n’est activée à ce niveau. Tous
les domaines d’une forêt sont automatiquement élevés à ce niveau lorsque le niveau de la forêt passe à
intermédiaire. Ce mode est utilisé uniquement lorsque vous Windows des domaines NT 4.0 vers Windows
Server 2003.
Windows Server 2003
Contrôleurs de domaine pris en charge : Windows Server 2003, Windows Server 2008, Windows Server
2008 R2
Fonctionnalités prise en charge : changement de nom du contrôleur de domaine, attribut d’timestamp de
l’enregistrement mis à jour et répliqué. Prise en charge du mot de passe utilisateur sur la classe d’objet
InetOrgPerson. La délégation contrainte vous permet de rediriger les conteneurs Utilisateurs et ordinateurs.
Les domaines mis à niveau à partir de Windows NT 4.0 ou créés par la promotion d’un ordinateur basé sur
Windows Server 2003 fonctionnent au niveau fonctionnel mixte Windows 2000. Windows 2000 Server
conservent leur niveau fonctionnel actuel lorsque les contrôleurs de domaine Windows Server 2000 sont mis à
niveau vers le système d’exploitation Windows Server 2003. Vous pouvez élever le niveau fonctionnel du
domaine à Windows 2000 Server natif ou Windows Server 2003.
Niveau intermédiaire : mise à niveau à partir Windows domaine NT 4.0
Windows Server 2003 Active Directory autorise un niveau fonctionnel spécial de forêt et de domaine nommé
Windows Server 2003 intermédiaire. Ce niveau fonctionnel est fourni pour les mises à niveau des domaines NT
4.0 Windows existants dans lequel un ou plusieurs contrôleurs de domaine de sauvegarde Windows NT 4.0 (NT
4.0) doivent fonctionner après la mise à niveau. Windows de domaine Server 2000 ne sont pas pris en charge
dans ce mode. Windows L’intervalle de serveur 2003 s’applique aux scénarios suivants :
Mises à niveau de domaine Windows NT 4.0 vers Windows Server 2003.
Windows Les bdcs NT 4.0 ne sont pas mis à niveau immédiatement.
Windows Domaines NT 4.0 qui contiennent des groupes de plus de 5 000 membres (à l’exception du groupe
d’utilisateurs de domaine).
Il n’est pas prévu d’implémenter Windows contrôleurs de domaine Server2000 dans la forêt à tout moment.
Windows Server 2003 interim provides two important improvements while still permitting replication to
Windows NT 4.0 BDCs:
1. Réplication efficace des groupes de sécurité et prise en charge de plus de 5 000 membres par groupe.
2. Amélioration des algorithmes de générateur de topologie intersessants KCC.
En raison de l’efficacité de la réplication de groupe activée au niveau intermédiaire, le niveau intermédiaire est le
niveau recommandé pour toutes les mises à niveau Windows NT 4.0. Pour plus d’informations, voir la section «
Meilleures pratiques » de cet article.
Définition Windows niveau fonctionnel de forêt intermédiaire server 2003
Windows Server 2003 interim peut être activé de trois manières différentes. Les deux premières méthodes sont
fortement recommandées. Cela est dû au fait que les groupes de sécurité utilisent la réplication des valeurs liées
(LVR) après la mise à niveau du contrôleur de domaine principal (PDC) du domaine Windows NT 4.0 vers un
contrôleur de domaine Windows Server 2003. La troisième option est moins recommandée, car l’appartenance
à des groupes de sécurité utilise un attribut à valeurs multiples unique, ce qui peut entraîner des problèmes de
réplication. Les méthodes d’activation Windows Server 2003 intermédiaire sont les autres :
1. Pendant la mise à niveau.
L’option est présentée dans l’Assistant Installation dcpromo lorsque vous mettre à niveau le PDC d’un
domaine NT 4.0 Windows qui sert de premier contrôleur de domaine dans le domaine racine d’une
nouvelle forêt.
2. Avant de mettre à niveau le PDC Windows NT 4.0 d’un NT 4.0 Windows en tant que premier contrôleur
de domaine d’un nouveau domaine dans une forêt existante en configurant manuellement le niveau
fonctionnel de la forêt à l’aide des outils LDAP (Lightweight Directory Access Protocol).
Les domaines enfants héritent des paramètres de fonctionnalités à l’échelle de la forêt dans qui ils sont
promus. La mise à niveau du PDC d’un domaine NT 4.0 Windows en tant que domaine enfant dans une
forêt Windows Server 2003 existante où des niveaux fonctionnels de forêt intermédiaire ont été
configurés à l’aide du fichier Ldp.exe ou du fichier Adsiedit.msc permet aux groupes de sécurité d’utiliser
la réplication des valeurs liées après la mise à niveau de la version du système d’exploitation.
3. Après la mise à niveau à l’aide des outils LDAP.
Utilisez les deux dernières options lorsque vous rejoignez une forêt Windows Server 2003 existante lors
d’une mise à niveau. Il s’agit d’un scénario courant lorsqu’un domaine « racine vide » est en position. Le
domaine mis à niveau est joint en tant qu’enfant de la racine vide et hérite du paramètre de domaine de
la forêt.
Meilleures pratiques
La section suivante présente les meilleures pratiques en matière d’augmentation des niveaux fonctionnels. La
section est décomposée en deux parties. « Tâches de préparation » décrit le travail à effectuer avant
l’augmentation et « Augmentation optimale des chemins d’accès » décrit les motivations et les méthodes pour
différents scénarios d’augmentation de niveau.
Pour découvrir Windows contrôleurs de domaine NT 4.0, suivez les étapes suivantes :
1. À partir de Windows de domaine basé sur Server 2003, ouvrez Utilisateurs et ordinateurs Active
Director y.
2. Si le contrôleur de domaine n’est pas déjà connecté au domaine approprié, suivez les étapes suivantes
pour vous connecter au domaine approprié :
a. Cliquez avec le bouton droit sur l’objet domaine actuel, puis cliquez sur Connecter domaine.
b. Dans la boîte de dialogue Domaine, tapez le nom DNS du domaine à connecter, puis cliquez sur OK.
Vous pouvez également cliquer sur Parcourir pour sélectionner le domaine dans l’arborescence de
domaines, puis cliquez sur OK.
3. Cliquez avec le bouton droit sur l’objet domaine, puis cliquez sur Rechercher.
4. Dans la boîte de dialogue Rechercher, cliquez sur Recherche personnalisée.
5. Cliquez sur le domaine pour lequel vous souhaitez modifier le niveau fonctionnel.
6. Cliquez sur l’onglet Avancé .
7. Dans la zone de requête Entrer LDAP, tapez ce qui suit et ne laissez aucun espace entre les caractères :
(&(objectCategory=computer)(operatingSystem Version=4 * )
(userAccountControl:1.2.840.113556.1.4.803:=8192))

NOTE
Cette requête n’est pas sensible à la cas.

8. Cliquez sur Rechercher maintenant .


Une liste des ordinateurs du domaine qui exécutent Windows NT 4.0 et fonctionnent en tant que
contrôleurs de domaine apparaît.
Un contrôleur de domaine peut apparaître dans la liste pour l’une des raisons suivantes :
Le contrôleur de domaine exécute Windows NT 4.0 et doit être mis à niveau.
Le contrôleur de domaine est mis à niveau vers Windows Server 2003, mais la modification n’est pas
répliquée sur le contrôleur de domaine cible.
Le contrôleur de domaine n’est plus en service, mais l’objet ordinateur du contrôleur de domaine n’est pas
supprimé du domaine.
Avant de pouvoir modifier le niveau fonctionnel du domaine en Windows Server 2003, vous devez localiser
physiquement n’importe quel contrôleur de domaine dans la liste, déterminer l’état actuel du contrôleur de
domaine, puis mettre à niveau ou supprimer le contrôleur de domaine selon le cas.

NOTE
Contrairement aux contrôleurs de domaine Windows Server 2000, les contrôleurs de domaine Windows NT 4.0 ne
bloquent pas une augmentation de niveau. Lorsque vous modifiez le niveau fonctionnel du domaine, la réplication vers
Windows contrôleurs de domaine NT 4.0 s’arrête. Toutefois, lorsque vous essayez d’Windows niveau de la forêt Server
2003 avec des domaines dans Windows Server 2000, le niveau mixte est bloqué. L’absence de Windows DDC NT 4.0 est
implicite en raison de la nécessité au niveau de la forêt de tous les domaines au niveau natif ou ultérieur de Windows
Server 2000.

Exemple : Tâches de préparation avant l’augmentation du niveau


Dans cet exemple, l’environnement est élevé du mode mixte Windows Server 2000 au mode Windows server
2003.
Inventoriez la forêt pour les versions antérieures des contrôleurs de domaine.
Si une liste de serveurs précise n’est pas disponible, suivez les étapes suivantes :
1. Pour découvrir des domaines de niveau mixte, des contrôleurs de domaine Windows Server 2000 ou des
contrôleurs de domaine avec des objets endommagés ou manquants, utilisez les domaines Active Directory
et le logiciel en snap-in MMC Trusts.
2. Dans le logiciel en snap-in, cliquez sur Raise Forest Functionality, puis cliquez sur Enregistrer sous pour
générer un rapport détaillé.
3. Si aucun problème n’a été trouvé, l’option d’augmentation jusqu’au niveau de la forêt Windows Server 2003
est disponible dans la liste « Niveaux fonctionnels de forêt disponibles ». Lorsque vous essayez d’augmenter
le niveau de forêt, les objets contrôleur de domaine dans les conteneurs de configuration sont recherchés
pour les contrôleurs de domaine dont msds-behavior-version n’est pas définie sur le niveau cible
souhaité. Ils sont supposés être des Windows de domaine Server 2000 ou des objets contrôleurs de domaine
server Windows plus nouveaux endommagés.
4. Si des contrôleurs de domaine ou des contrôleurs de domaine de version antérieure qui ont des objets
ordinateur endommagés ou manquants ont été trouvés, ils sont inclus dans le rapport. L’état de ces
contrôleurs de domaine doit être examiné et la représentation du contrôleur de domaine dans Active
Directory doit être réparée ou supprimée à l’aide du fichier Ntdsutil.
Pour plus d’informations, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de
connaissances Microsoft :
216498 supprimer des données dans Active Directory après une rétrogradation de contrôleur de domaine
infructueuse
Vé r i fi e r q u e l a r é p l i c a t i o n d e b o u t e n b o u t fo n c t i o n n e d a n s l a fo r ê t

Pour vérifier que la réplication de bout en bout fonctionne dans la forêt, utilisez la version Windows Server 2003
ou une version plus récente de Repadmin par rapport aux contrôleurs de domaine Windows Server 2000 ou
Windows Server 2003 :
Repadmin/Replsum * /Sort:Delta[/Errorsonly] pour l’inventaire initial.
Repadmin/Showrepl * /CSV>showrepl.csv. Importez dans Excel, puis utilisez le filtre automatique de
>données pour identifier les fonctionnalités de réplication.
Utilisez des outils de réplication tels que Repadmin pour vérifier que la réplication à l’échelle de la forêt
fonctionne correctement.
Vérifiez la compatibilité de tous les programmes ou services avec les contrôleurs de domaine Windows Server
les plus nouveaux et avec le mode Windows server et de forêt plus élevé. Utilisez un environnement de
laboratoire pour tester minutieusement les programmes et services de production pour les problèmes de
compatibilité. Contactez les fournisseurs pour confirmer la fonctionnalité.
Préparez un plan de sortie qui inclut l’une des actions suivantes :
Déconnectez au moins deux contrôleurs de domaine de chaque domaine de la forêt.
Créez une sauvegarde d’état système d’au moins deux contrôleurs de domaine à partir de chaque domaine
de la forêt.
Avant de pouvoir utiliser le plan de récupération, tous les contrôleurs de domaine de la forêt doivent être
désaffectés avant le processus de récupération.

NOTE
Les augmentations de niveau ne peuvent pas faire autorité. Cela signifie que tous les contrôleurs de domaine qui ont
répliqué l’augmentation du niveau doivent être désaffectés.

Une fois tous les contrôleurs de domaine précédents désaffectés, faites monter les contrôleurs de domaine
déconnectés ou restituer les contrôleurs de domaine à partir de la sauvegarde. Supprimez les métadonnées de
tous les autres contrôleurs de domaine, puis reomotez-les. Il s’agit d’un processus difficile à éviter.
Exemple : Comment passer du niveau mixte Windows Server 2000 au niveau de la forêt Windows Server 2003
Augmentez tous les domaines Windows niveau natif server 2000. Une fois cette approche terminée, augmentez
le niveau fonctionnel du domaine racine de la forêt Windows niveau de la forêt Server 2003. Lorsque le niveau
de la forêt est répliqué sur les PC de chaque domaine de la forêt, le niveau de domaine passe automatiquement
au niveau du domaine Windows Server 2003. Cette méthode présente les avantages suivants :
L’augmentation du niveau à l’échelle de la forêt n’est effectuée qu’une seule fois. Vous n’avez pas besoin
d’augmenter manuellement chaque domaine de la forêt jusqu’au niveau fonctionnel de Windows Server
2003.
Une vérification des Windows de domaine Server 2000 est effectuée avant l’augmentation du niveau (voir
les étapes de préparation). L’augmentation est bloquée jusqu’à ce que les contrôleurs de domaine
problématiques soient supprimés ou mis à niveau. Un rapport détaillé peut être généré en répertoriant les
contrôleurs de domaine bloquants et en fournissant des données actionnables.
Une vérification des domaines au niveau intermédiaire Windows Server 2000 mixte ou Windows Server
2003 est effectuée. L’augmentation est bloquée jusqu’à ce que les niveaux de domaine soient augmentés
jusqu’Windows server 2000 natif. Les domaines de niveau intermédiaire doivent être augmentés Windows
niveau de domaine Server 2003. Un rapport détaillé peut être généré en répertoriant les domaines
bloquants.
Windows Mises à niveau NT 4.0
Windows Les mises à niveau NT 4.0 utilisent toujours le niveau intermédiaire pendant la mise à niveau du PDC,
sauf si des contrôleurs de domaine Windows Server 2000 ont été introduits dans la forêt dans le PDC. Lorsque
le mode intermédiaire est utilisé pendant la mise à niveau du PDC, les grands groupes existants utilisent
immédiatement la réplication LVR, évitant ainsi les problèmes de réplication potentiels décrits plus tôt dans cet
article. Utilisez l’une des méthodes suivantes pour passer au niveau intermédiaire pendant la mise à niveau :
Sélectionnez le niveau intermédiaire pendant Dcpromo. Cette option est présentée uniquement lorsque le
PDC est mis à niveau vers une nouvelle forêt.
Définissez le niveau de forêt d’une forêt existante sur intermédiaire, puis rejoignez la forêt pendant la mise à
niveau du PDC. Le domaine mis à niveau hérite du paramètre de forêt.
Une fois tous les CCI NT 4.0 Windows mis à niveau ou supprimés, chaque domaine doit être transitioné au
niveau de la forêt et peut être passé en mode forêt Windows Server 2003.
Une raison d’éviter d’utiliser le mode intermédiaire est si vous envisagez d’implémenter des contrôleurs de
domaine Windows Server 2000 après la mise à niveau, ou à tout moment à l’avenir.
Considération spéciale pour les grands groupes dans Windows NT 4.0
Dans les domaines Windows NT 4.0, des groupes de sécurité contenant bien plus de 5 000 membres peuvent
exister. Dans Windows NT 4.0, lorsqu’un membre d’un groupe de sécurité change, seule la modification unique
d’appartenance est répliquée sur les contrôleurs de domaine de sauvegarde. Dans Windows Server 2000, les
appartenances aux groupes sont des attributs liés stockés dans un attribut à valeurs multiples unique de l’objet
groupe. Lorsqu’une seule modification est apporté à l’appartenance d’un groupe, le groupe entier est répliqué
en tant qu’unité unique. Étant donné que l’appartenance au groupe est répliquée en tant qu’unité unique, il est
possible que les mises à jour de l’appartenance au groupe soient « perdues » lorsque différents membres sont
ajoutés ou supprimés en même temps sur différents contrôleurs de domaine. En outre, la taille de cet objet
unique peut être plus importante que la mémoire tampon utilisée pour valider une entrée dans la base de
données. Pour plus d’informations, voir la section « Problèmes du magasin de versions avec les grands groupes
» de cet article. Pour ces raisons, la limite recommandée pour les membres du groupe est de 5 000.
L’exception à la règle de membre 5000 est le groupe principal (par défaut, il s’agit du groupe « Utilisateurs du
domaine »). Le groupe principal utilise un mécanisme « calculé » basé sur le « primarygroupID » de l’utilisateur
pour déterminer l’appartenance. Le groupe principal ne stocke pas les membres en tant qu’attributs liés à
valeurs multiples. Si le groupe principal de l’utilisateur est modifié en groupe personnalisé, son appartenance au
groupe Utilisateurs du domaine est écrite dans l’attribut lié pour le groupe et n’est plus calculée. Le nouveau
groupe principal Rid est écrit sur « primarygroupID » et l’utilisateur est supprimé de l’attribut membre du
groupe.
Si l’administrateur ne sélectionne pas le niveau intermédiaire pour le domaine de mise à niveau, vous devez
suivre les étapes suivantes avant la mise à niveau :
1. Inventoriez tous les grands groupes et identifiez les groupes de plus de 5 000, à l’exception du groupe
d’utilisateurs de domaine.
2. Tous les groupes qui ont plus de 5 000 membres doivent être divisés en groupes de moins de 5 000
membres.
3. Recherchez toutes les listes de contrôle d’accès dans laquelle les grands groupes ont été entrés et ajoutez les
petits groupes que vous avez créés à l’étape 2. Windows Le niveau de forêt intermédiaire de Server 2003
permet aux administrateurs de ne pas avoir à découvrir et réaffecter des groupes de sécurité globaux de plus
de 5 000 membres.
Problèmes du magasin de versions avec des groupes importants
Pendant les opérations de longue durée, telles que les recherches approfondies ou les validations sur un attribut
unique et de grande taille, Active Directory doit s’assurer que l’état de la base de données est statique jusqu’à ce
que l’opération soit terminée. Un exemple de recherches approfondies ou de validations sur des attributs de
grande taille est un grand groupe qui utilise le stockage hérité.
À mesure que les mises à jour de la base de données se produisent en permanence localement et à partir de
partenaires de réplication, Active Directory fournit un état statique en interrogeant toutes les modifications
entrantes jusqu’à ce que l’opération de longue durée soit terminée. Une fois l’opération terminée, les
modifications en file d’attente sont appliquées à la base de données.
L’emplacement de stockage de ces modifications en file d’attente est appelé « magasin de versions » et est
d’environ 100 mégaoctets. La taille du magasin de versions varie et dépend de la mémoire physique. Si une
opération de longue durée ne se termine pas avant l’épuisement du magasin de versions, le contrôleur de
domaine cesse d’accepter les mises à jour tant que l’opération de longue durée et les modifications en file
d’attente ne sont pas enregistrées. Les groupes qui atteignent un grand nombre (plus de 5 000 membres)
risquent d’épuiser le magasin de versions tant que le groupe important est engagé.
Windows Server 2003 introduit un nouveau mécanisme de réplication pour les attributs liés à valeurs multiples
appelé réplication de valeurs de lien (LVR). Au lieu de répliquer l’ensemble du groupe en une seule opération de
réplication, le système de réponse vocale lv permet de répondre à ce problème en réplication de chaque
membre du groupe en tant qu’opération de réplication distincte. Le LVR devient disponible lorsque le niveau
fonctionnel de la forêt est élevé au niveau de la forêt intermédiaire Windows Server 2003 ou au niveau de la
forêt Windows Server 2003. Dans ce niveau fonctionnel, la fonction LVR permet de répliquer des groupes entre
Windows de domaine Server 2003.
Résoudre les problèmes d’authentification unique
avec Services ADFS (AD FS)
22/09/2022 • 44 minutes to read

Cet article vous aide à résoudre les problèmes d’authentification unique avec Services ADFS (AD FS).
Sélectionnez l’une des sections suivantes en fonction du type de problème que vous rencontrez.
S’applique à : Services ADFS numéro de base de connaissances d’origine : 4034932

Invite d’authentification NTLM ou basée sur les formulaires


Lors de la résolution des problèmes d’authentification unique avec Services ADFS (AD FS), si les utilisateurs ont
reçu une invite d’authentification NTLM ou basée sur des formulaires inattendue, suivez les étapes décrites dans
cet article pour résoudre ce problème.
Vérifier les paramètres d’authentification intégrée Windows
Pour résoudre ce problème, vérifiez les paramètres d’authentification intégrée de Windows dans le navigateur
client, les paramètres AD FS et les paramètres de demande d’authentification.
Vérifier le navigateur client de l’utilisateur
Vérifiez les paramètres suivants dans Les options Internet :
Sous l’onglet Avancé , vérifiez que le paramètre Activer l’authentification Windows intégrée est activé.
Après Les sites > intranet > locaux de sécurité > avancés , vérifiez que l’URL AD FS figure dans la liste des
sites web.
Après sécurité > intranet local > niveau personnalisé , assurez-vous que l’ouver ture de session
automatique uniquement dans le paramètre Zone Intranet est sélectionnée.
Si vous utilisez Firefox, Chrome ou Safari, vérifiez que les paramètres équivalents dans ces navigateurs sont
activés.
Vérifier les paramètres AD FS
Vé r i fi e r l e p a r a m è t r e W i n d o w s I n t e g r a t e d F a l l b a c k

1. Ouvrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur.


2. Obtenez la stratégie d’authentification globale en exécutant la commande suivante :

Get-ADFSGlobalAuthenticationPolicy | fl WindowsIntegratedFallbackEnabled

3. Examinez la valeur de l’attribut WindowsIntegratedFallbackEnabled .


Si la valeur est True , l’authentification basée sur les formulaires est attendue. Cela signifie que la demande
d’authentification provient d’un navigateur qui ne prend pas en charge l’authentification intégrée Windows.
Consultez la section suivante sur la prise en charge de votre navigateur.
Si la valeur est False , l’authentification intégrée Windows doit être attendue.
Vé r i fi e r l e p a r a m è t r e W I A Su p p o r t e d U se r s A g e n t s

1. Obtenez la liste des agents utilisateur pris en charge en exécutant la commande suivante :

Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents


2. Examinez la liste des chaînes de l’agent utilisateur retournées par la commande.
Vérifiez si la chaîne de l’agent utilisateur de votre navigateur figure dans la liste. Si ce n’est pas le cas, ajoutez la
chaîne de l’agent utilisateur en suivant les étapes ci-dessous :
1. Accédez à http://useragentstring.com/ cette option pour détecter et afficher la chaîne de l’agent utilisateur
de votre navigateur.
2. Obtenez la liste des agents utilisateur pris en charge en exécutant la commande suivante :

$wiaStrings = Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

3. Ajoutez la chaîne d’agent utilisateur de votre navigateur en exécutant la commande suivante :

$wiaStrings = $wiaStrings+"NewUAString"

Exemple :

$wiaStrings = $wiaStrings+" =~Windows\s*NT.*Edge"+"Mozilla/5.0"

4. Mettez à jour le paramètre WIASupportedUserAgents en exécutant la commande suivante :

Set-ADFSProperties -WIASupportedUserAgents $wiaStrings

Vérifier les paramètres de la demande d’authentification


Vé r i fi e r si l a d e m a n d e d ’ a u t h e n t i fi c a t i o n sp é c i fi e l ’ a u t h e n t i fi c a t i o n b a sé e su r l e s fo r m u l a i r e s c o m m e m é t h o d e d ’ a u t h e n t i fi c a t i o n

1. Si la demande d’authentification est une demande WS-Federation, vérifiez si la demande inclut wauth=
urn:oasis:names:tc:SAML:1.0:am:password .
2. Si la demande d’authentification est une demande SAML, vérifiez si la demande inclut un élément
samlp:AuthnContextClassRef avec la valeur urn:oasis:names:tc:SAML:2.0:ac:classes:Password .
Pour plus d’informations, consultez Vue d’ensemble des gestionnaires d’authentification des pages de connexion
AD FS.
Vé r i fi e z si l ’ a p p l i c a t i o n e st M i c r o so ft O n l i n e Se r v i c e s p o u r O ffi c e 3 6 5

Si l’application à laquelle vous souhaitez accéder n’est pas Microsoft Online Services, ce que vous rencontrez est
attendu et contrôlé par la demande d’authentification entrante. Collaborez avec le propriétaire de l’application
pour modifier le comportement.
Si l’application est Microsoft Online Services, ce que vous rencontrez peut être contrôlé par le paramètre
PromptLoginBehavior de l’objet de domaine approuvé. Ce paramètre contrôle si les locataires Azure AD
envoient prompt=login à AD FS. Pour définir le paramètre PromptLoginBehavior , procédez comme suit :
1. Ouvrez Windows PowerShell avec l’option « Exécuter en tant qu’administrateur ».
2. Obtenez le paramètre de fédération de domaine existant en exécutant la commande suivante :

Get-MSOLDomainFederationSettings -DomainName DomainName | FL *

3. Définissez le paramètre PromptLoginBehavior en exécutant la commande suivante :


Set-MSOLDomainFederationSettings -DomainName DomainName -PromptLoginBehavior
<TranslateToFreshPasswordAuth|NativeSupport|Disabled> -SupportsMFA <$TRUE|$FALSE> -
PreferredAuthenticationProtocol <WsFed|SAMLP>

Les valeurs du paramètre PromptLoginBehavior sont les suivantes :


a. TranslateToFreshPasswordAuth : Azure AD envoie wauth et wfresh à AD FS au lieu
d’prompt=login. Cela aboutit à une demande d’authentification pour utiliser l’authentification basée
sur les formulaires.
b. NativeSuppor t : le paramètre prompt=login est envoyé tel qu’il est à AD FS.
c. Désactivé : rien n’est envoyé à AD FS.
Pour en savoir plus sur la commande Set-MSOLDomainFederationSettings, consultez Services ADFS prise en
charge des paramètres prompt=login.
Scénario Azure Active Directory (Azure AD)
Si la demande d’authentification envoyée à Azure AD inclut le paramètre prompt=login, désactivez la
fonctionnalité prompt=login en exécutant la commande suivante :

Set-MsolDomainFederationSettings –DomainName DomainName -PromptLoginBehavior Disabled

Après avoir exécuté cette commande, Office 365 applications n’incluent pas le paramètre prompt=login dans
chaque demande d’authentification.
Scénario non Azure AD
Les méthodes d’authentification peuvent être spécifiées pour les paramètres de requête tels que WAUTH et
RequestedAuthNContext dans les demandes d’authentification. Vérifiez si d’autres paramètres de requête
appliquent l’invite d’authentification inattendue. Si c’est le cas, modifiez le paramètre de requête pour utiliser la
méthode d’authentification attendue.
Vérifier si l’authentification unique est désactivée
Si l’authentification unique est désactivée, activez-la et testez si le problème est résolu.

Invite d’authentification multifacteur


Pour résoudre ce problème, vérifiez si les règles de revendication dans la partie de confiance sont correctement
définies pour l’authentification multifacteur.
L’authentification multifacteur peut être activée sur un serveur AD FS, à une partie de confiance ou spécifiée
dans un paramètre de demande d’authentification. Vérifiez les configurations pour voir si elles sont
correctement définies. Si l’authentification multifacteur est attendue mais que vous y êtes invité à plusieurs
reprises, vérifiez les règles d’émission de partie de confiance pour voir si les revendications d’authentification
multifacteur sont transmises à l’application.
Pour plus d’informations sur l’authentification multifacteur dans AD FS, consultez les articles suivants :
Visite guidée de Multi-Factor Authentication dans ADFS – Partie 1 : Stratégie
Visite guidée sous le capot sur l’authentification multifacteur dans ADFS – Partie 2 : Parties de confiance
tenant compte de l’authentification multifacteur
Vérifier la configuration sur le serveur AD FS et la partie de confiance
Pour vérifier la configuration sur le serveur AD FS, validez les règles d’authentification supplémentaires globales.
Pour vérifier la configuration sur la partie de confiance, validez les règles d’authentification supplémentaires
pour l’approbation de partie de confiance.
1. Pour vérifier la configuration sur le serveur AD FS, exécutez la commande suivante dans une fenêtre
Windows PowerShell.

Get-ADFSAdditionalAuthenticationRule

Pour vérifier la configuration sur la partie de confiance, exécutez la commande suivante :

Get-ADFSRelyingPartyTrust -TargetName RelyingParty | Select -ExpandProperty


AdditionalAuthenticationRules

NOTE
Si les commandes ne retournent rien, les règles d’authentification supplémentaires ne sont pas configurées.
Ignorez cette section.

2. Observez l’ensemble de règles de revendication configuré.


Vérifier si l’authentification multifacteur est activée dans l’ensemble de règles de revendication
Un ensemble de règles de revendication est composé des sections suivantes :
Instruction de condition : C:[Type=``…,Value=…]
L’instruction issue : => issue (Type=``…,Value=…)
Si l’instruction issue contient la revendication suivante, l’authentification multifacteur est spécifiée.
Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value =
"http://schemas.microsoft.com/claims/multipleauthn"

Voici des exemples qui nécessitent l’utilisation de l’authentification multifacteur pour les appareils non joints au
lieu de travail et pour l’accès extranet, respectivement :
c:[Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value ==
"false"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod",
Value = "http://schemas.microsoft.com/claims/multipleauthn")
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] =>
issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value =
"http://schemas.microsoft.com/claims/multipleauthn")

Vérifier les règles d’émission de partie de confiance


Si l’utilisateur reçoit à plusieurs reprises des invites d’authentification multifacteur après avoir effectué la
première authentification, il est possible que la partie de réponse ne passe pas les revendications
d’authentification multifacteur à l’application. Pour vérifier si les revendications d’authentification sont
transmises, procédez comme suit :
1. Exécutez la commande suivante dans Windows PowerShell:

Get-ADFSRelyingPartyTrust -TargetName ClaimApp

2. Observez l’ensemble de règles défini dans les attributs IssuanceAuthorizationRules ou


IssuanceAuthorizationRulesFile.
L’ensemble de règles doit inclure la règle d’émission suivante pour passer par les revendications
d’authentification multifacteur :
C:[Type==http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod, Value==”
http://schemas.microsoft.com/claims/multipleauthn”]=>issue(claim = c)

Vérifier le paramètre de demande d’authentification


Vérifier si la demande d’authentification spécifie l’authentification multifacteur comme méthode d’authentification
Si la demande d’authentification est une demande WS-Federation, vérifiez si la demande inclut
wauth= http://schemas.microsoft.com/claims/multipleauthn .
Si la demande d’authentification est une demande SAML, vérifiez si la demande inclut un élément
samlp:AuthnContextClassRef avec une valeur http://schemas.microsoft.com/claims/multipleauthn .

Pour plus d’informations, consultez Vue d’ensemble des gestionnaires d’authentification des pages de connexion
AD FS.
Vérifiez si l’application est Microsoft Online Services pour Office 365
Si l’application à laquelle vous souhaitez accéder est Microsoft Online Services pour Office 365, vérifiez le
paramètre de fédération de domaine SupportsMFA.
1. Obtenez le paramètre actuel de fédération de domaine SupportsMFA en exécutant la commande suivante
:

Get-MSOLDomainFederationSettings -DomainName DomainName | FL *

2. Si le paramètre SupportsMFA est FALSE, définissez-le sur TRUE en exécutant la commande suivante :

Set-MSOLDomainFederationSettings -DomainName DomainName -SupportsMFA $TRUE

Vérifier si l’authentification unique est désactivée


Si l’authentification unique est désactivée, activez-la et testez si le problème est résolu.

Les utilisateurs ne peuvent pas se connecter au site ou au service


cible
Ce problème peut se produire sur la page de connexion AD FS ou côté application.
Si le problème se produit sur la page de connexion AD FS, vous recevez un message d’erreur « Une erreur s’est
produite », « Le service HTTP 503 n’est pas disponible » ou un autre message d’erreur. L’URL de la page d’erreur
affiche le nom du service AD FS, par exemple fs.contoso.com .
Si le problème se produit côté application, l’URL de la page d’erreur affiche l’adresse IP ou le nom du site du
service cible.
Suivez les étapes décrites dans la section suivante en fonction de l’endroit où vous rencontrez ce problème.
Ce problème se produit sur la page de connexion AD FS
Pour résoudre ce problème, vérifiez si tous les utilisateurs sont concernés par le problème et si les utilisateurs
peuvent accéder à toutes les parties de confiance.
Tous les utilisateurs sont affectés par le problème, et l’utilisateur ne peut accéder à aucune des parties de confiance
Vérifions la fonctionnalité de connexion interne à l’aide d’IdpInitiatedSignOn. Pour ce faire, utilisez la page
IdpInititatedSignOn pour vérifier si le service AD FS est opérationnel et si la fonctionnalité d’authentification
fonctionne correctement. Pour ouvrir la page IdpInitiatedSignOn, procédez comme suit :
1. Activez la page IdpInitiatedSignOn en exécutant la commande suivante sur le serveur AD FS :

Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

2. À partir d’un ordinateur qui se trouve à l’intérieur de votre réseau, visitez la page suivante :
https://<FederationInstance>/adfs/ls/idpinitiatedsignon.aspx
3. Entrez les informations d’identification correctes d’un utilisateur valide dans la page de connexion.
L a c o n n e x i o n a r é u ssi

Si la connexion réussit, vérifiez si l’état du service AD FS est en cours d’exécution.


1. Sur le serveur AD FS, ouvrez Gestionnaire de serveur.
2. Dans le Gestionnaire de serveur, cliquez sur Outils > Ser vices .
3. Vérifiez si l’état de Ser vices ADFS est en cours d’exécution .
Ensuite, vérifiez la fonctionnalité de connexion externe à l’aide d’IdpInitiatedSignOn. Utilisez la page
IdpInititatedSignOn pour vérifier rapidement si le service AD FS est opérationnel et si la fonctionnalité
d’authentification fonctionne correctement. Pour ouvrir la page IdpInitiatedSignOn, procédez comme suit :
1. Activez la page IdpInitiatedSignOn en exécutant la commande suivante sur le serveur AD FS :

Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

2. À partir d’un ordinateur situé en dehors de votre réseau, visitez la page suivante :
https://<FederationInstance>/adfs/ls/idpinitiatedsignon.aspx

3. Entrez les informations d’identification correctes d’un utilisateur valide dans la page de connexion.
Si la connexion échoue, consultez Vérifier les composants et services associés à AD FS et vérifier la relation
d’approbation du proxy.
Si la connexion réussit, poursuivez la résolution des problèmes en suivant les étapes décrites dans Tous les
utilisateurs concernés par le problème, et l’utilisateur peut accéder à certaines des parties de confiance.
La c o n n exi o n éc h o u e

Si la connexion échoue, vérifiez les composants et services associés à AD FS.


Vérifiez si l’état du service AD FS est en cours d’exécution.
1. Sur le serveur AD FS, ouvrez Gestionnaire de serveur.
2. Dans le Gestionnaire de serveur, cliquez sur Outils > Ser vices .
3. Vérifiez si l’état de Ser vices ADFS est en cours d’exécution .
Vérifiez si les points de terminaison sont activés. AD FS fournit différents points de terminaison pour différents
scénarios et fonctionnalités. Tous les points de terminaison ne sont pas activés par défaut. Pour vérifier l’état des
points de terminaison, procédez comme suit :
1. Sur le serveur AD FS, ouvrez la console de gestion AD FS.
2. Développez les points de terminaison de ser vice > .
3. Recherchez les points de terminaison et vérifiez si les états sont activés sur la colonne Activé .
Ensuite, vérifiez si Azure AD Connect est installé. Nous vous recommandons d’utiliser Azure AD Connect pour
faciliter la gestion des certificats SSL.
Si Azure AD Connect est installé, veillez à l’utiliser pour gérer et mettre à jour les certificats SSL.
Si Azure AD Connect n’est pas installé, vérifiez si le certificat SSL répond aux exigences AD FS suivantes :
Le certificat est issu d’une autorité de certification racine approuvée.
AD FS requiert que les certificats SSL proviennent d’une autorité de certification racine approuvée. Si AD
FS est accessible à partir d’ordinateurs non joints à un domaine, nous vous recommandons d’utiliser un
certificat SSL à partir d’une autorité de certification racine tierce approuvée comme DigiCert, VeriSign,
etc. Si le certificat SSL ne vient pas d’une autorité de certification racine approuvée, la communication
SSL peut s’interrompre.
Le nom d’objet du certificat est valide.
Le nom de l’objet doit correspondre au nom du service de fédération, et non au nom du serveur AD FS
ou à un autre nom. Pour obtenir le nom du service de fédération, exécutez la commande suivante sur le
serveur AD FS principal :
Get-AdfsProperties | select hostname

Le certificat n’est pas révoqué.


Recherchez la révocation de certificat. Si le certificat est révoqué, la connexion SSL ne peut pas être
approuvée et sera bloquée par les clients.
Si le certificat SSL ne répond pas à ces exigences, essayez d’obtenir un certificat qualifié pour la communication
SSL. Nous vous recommandons d’utiliser Azure AD Connect pour faciliter la gestion des certificats SSL.
Consultez Mettre à jour le certificat TLS/SSL pour une batterie de serveurs Services ADFS (AD FS).
Si le certificat SSL répond à ces exigences, vérifiez les configurations suivantes du certificat SSL.
V é ri f i e r s i l e c e rt i f i c a t SSL e s t c o rre c t e me n t i n s t a l l é

Le certificat SSL doit être installé dans le magasin personnel de l’ordinateur local sur chaque serveur de
fédération de votre batterie de serveurs. Pour installer le certificat, double-cliquez sur . Fichier PFX du certificat
et suivez l’Assistant.
Pour vérifier si le certificat est installé à l’emplacement approprié, procédez comme suit :
1. Répertoriez les certificats qui se trouvent dans le magasin personnel de l’ordinateur local en exécutant la
commande suivante :
dir Cert:\LocalMachine\My
2. Vérifiez si le certificat figure dans la liste.
V é ri f i e r s i l e c e rt i f i c a t SSL c o rre c t e s t u t i l i s é

Obtenez l’empreinte numérique du certificat utilisé pour la communication SSL et vérifiez si l’empreinte
numérique correspond à l’empreinte du certificat attendue.
Pour obtenir l’empreinte numérique du certificat en cours d’utilisation, exécutez la commande suivante dans
Windows PowerShell :

Get-AdfsSslCertificate

Si le certificat incorrect est utilisé, définissez le certificat approprié en exécutant la commande suivante :

Set-AdfsSslCertificate –Thumbprint CorrectThumprint

V é ri f i e r s i l e c e rt i f i c a t SSL e s t d é f i n i c o mme c e rt i f i c a t d e c o mmu n i c a t i o n d e s e rv i c e


Le certificat SSL doit être défini comme certificat de communication de service dans votre batterie de serveurs
AD FS. Cela ne se produit pas automatiquement. Pour vérifier si le certificat correct est défini, procédez comme
suit :
1. Dans la console de gestion AD FS, développez Cer tificats de ser vice > .
2. Vérifiez si le certificat répertorié sous Communications de ser vice est le certificat attendu.
Si le certificat incorrect est répertorié, définissez le certificat approprié, puis accordez au service AD FS
l’autorisation de lecture sur le certificat. Pour cela, procédez comme suit :
1. Définissez le certificat correct :
a. Cliquez avec le bouton droit sur Cer tificats , puis cliquez sur Définir le cer tificat de
communication de ser vice .
b. Sélectionnez le certificat approprié.
2. Vérifiez si le service AD FS dispose de l’autorisation de lecture sur le certificat :
a. Ajoutez le composant logiciel enfichable Cer tificats pour le compte d’ordinateur local à la console de
gestion Microsoft (MMC).
b. Développez Cer tificats (Ordinateur local) > Personnel > Cer tificats .
c. Cliquez avec le bouton droit sur le certificat SSL, puis cliquez sur Toutes les tâches > gérer les clés
privées .
d. Vérifiez si adfssr v est répertorié sous Les noms de groupes et d’utilisateurs avec l’autorisation
Lecture .
3. Si adfssrv n’est pas répertorié, accordez au service AD FS l’autorisation de lecture sur le certificat :
a. Cliquez sur Ajouter , cliquez sur Emplacements , sur le serveur, puis sur OK .
b. Sous Entrez les noms d’objets à sélectionner , entrez nt ser vice\adfssr v , cliquez sur Vérifier
les noms , puis cliquez sur OK .
Si vous utilisez AD FS avec le service d’inscription d’appareil (DRS), entrez nt ser vice\drs à la place.
c. Accordez l’autorisation lecture , puis cliquez sur OK .
V é ri f i e r s i l e s e rv i c e d ’ i n s c ri p t i o n d ’ a p p a re i l ( DR S) e s t c o n f i g u ré d a n s A D F S

Si vous avez configuré AD FS avec DRS, assurez-vous que le certificat SSL est également correctement configuré
pour RDS. Par exemple, s’il existe deux suffixes contoso.com UPN et fabrikam.com , le certificat doit avoir
enterpriseregistration.contoso.com et enterpriseregistration.fabrikma.com en tant que nom d’alternative de
sujet (SAN).
Pour vérifier si le certificat SSL a les noms d’accès partagés appropriés, procédez comme suit :
1. Répertoriez tous les suffixes UPN utilisés dans l’organisation en exécutant la commande suivante :

Get-AdfsDeviceRegistratrionUpnSuffix

2. Vérifiez si les noms d’accès partagés requis sont configurés pour le certificat SSL.
3. Si le certificat SSL n’a pas les noms DRS corrects en tant que noms SAN, obtenez un nouveau certificat
SSL qui contient les noms d’accès partagés appropriés pour DRS, puis utilisez-le comme certificat SSL
pour AD FS.
Ensuite, vérifiez la configuration du certificat sur les serveurs WAP et les liaisons de secours :
Vérifiez si le certificat SSL correct est défini sur tous les serveurs WAP.
1. Assurez-vous que le certificat SSL est installé dans le magasin Personnel de l’ordinateur local sur
chaque serveur WAP.
2. Obtenez le certificat SSL utilisé par WAP en exécutant la commande suivante :

Get-WebApplicationProxySslCertificate

3. Si le certificat SSL est incorrect, définissez le certificat SSL correct en exécutant la commande
suivante :

Set-WebApplicationProxySslCertificate -Thumbprint Thumbprint

Vérifiez les liaisons de certificat et mettez-les à jour si nécessaire.


Pour prendre en charge les cas autres que SNI, les administrateurs peuvent spécifier des liaisons de
secours. Outre la liaison federationservicename:443 standard, recherchez les liaisons de secours sous les
ID d’application suivants :
{5d89a20c-beab-4389-9447-324788eb944a} : ID d’application pour AD FS.
{f955c070-e044-456c-ac00-e9e4275b3f04} : il s’agit de l’ID d’application pour le Proxy d'application
web.
Par exemple, si le certificat SSL est spécifié pour une liaison de secours comme 0.0.0.0:443, assurez-vous
que la liaison est mise à jour en conséquence lorsque le certificat SSL est mis à jour.
Tous les utilisateurs sont affectés par le problème, et l’utilisateur peut accéder à certaines des parties de confiance
Tout d’abord, obtenons les informations de la partie de confiance et du client OAuth. Si vous utilisez une partie
de confiance conventionnelle, procédez comme suit :
1. Sur le serveur AD FS principal, ouvrez Windows PowerShell avec l’option Exécuter en tant
qu’administrateur .
2. Ajoutez le composant AD FS 2.0 à Windows PowerShell en exécutant la commande suivante :

Add-PSSnapin Microsoft.Adfs.PowerShell

3. Obtenez les informations de la partie de confiance en exécutant la commande suivante :

$rp = Get-AdfsRelyingPartyTrust RPName

4. Obtenez les informations du client OAuth en exécutant la commande suivante :

$client = Get-AdfsClient ClientName

Si vous utilisez la fonctionnalité Groupe d’applications dans Windows Server 2016, suivez les étapes ci-dessous :
1. Sur le serveur AD FS principal, ouvrez Windows PowerShell avec l’option Exécuter en tant
qu’administrateur .
2. Obtenez les informations de la partie de confiance en exécutant la commande suivante :
$rp = Get-AdfsWebApiApplication ResourceID

3. Si le client OAuth est public, obtenez les informations du client en exécutant la commande suivante :

$client = Get-AdfsNativeClientApplication ClientName

Si le client est confidentiel, obtenez les informations du client en exécutant la commande suivante :
$client = Get-AdfsServerApplication ClientName

Continuez maintenant avec les méthodes de dépannage suivantes.


Vé r i fi e r l e s p a r a m è t r e s d e l a p a r t i e d e c o n fi a n c e e t d u c l i e n t

L’identificateur de partie de confiance, l’ID client et l’URI de redirection doivent être fournis par le propriétaire de
l’application et le client. Toutefois, il peut toujours y avoir une incompatibilité entre ce que le propriétaire fournit
et ce qui est configuré dans AD FS. Par exemple, une incompatibilité peut être due à une faute de frappe. Vérifiez
si les paramètres fournis par le propriétaire correspondent à ceux configurés dans AD FS. Les étapes de la page
précédente vous permettent d’obtenir les paramètres configurés dans AD FS via PowerShell.

PA RA M ÈT RES F O URN IS PA R L E P RO P RIÉTA IRE PA RA M ÈT RES C O N F IGURÉS DA N S A D F S

ID de partie de confiance $rp. Identificateur

URI de redirection de partie de confiance Correspondance de préfixe ou de caractère générique de


$rp. WSFedEndpoint pour une partie de confiance
WS-Fed
$rp. SamlEndpoints pour une partie de confiance
SAML

ID du client $client. Clientid

URI de redirection du client Correspondance de préfixe de $client. RedirectUri

Si les éléments du tableau correspondent, vérifiez également si ces paramètres correspondent entre ce qu’ils
apparaissent dans la demande d’authentification envoyée à AD FS et ce qui est configuré dans AD FS. Essayez de
reproduire le problème pendant lequel vous capturez une trace Fiddler sur la demande d’authentification
envoyée par l’application à AD FS. Examinez les paramètres de requête pour effectuer les vérifications suivantes
en fonction du type de requête.
De ma n d e s O A u t h

Une requête OAuth se présente comme suit :


https://sts.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=ClientID&redirect_uri=https://www.TestApp.com&resource=https://www.TestApp.com

Vérifiez si les paramètres de requête correspondent aux paramètres configurés dans AD FS.

PA RA M ÈT RES DE L A REQ UÊT E PA RA M ÈT RES C O N F IGURÉS DA N S A D F S

client_id $client. Clientid

redirect_uri Correspondance de préfixe de @client_RedirectUri

Le paramètre « resource » doit représenter une partie de confiance valide dans AD FS. Obtenez les informations
de partie de confiance en exécutant l’une des commandes suivantes.
Si vous utilisez une partie de confiance conventionnelle, exécutez la commande suivante :
Get-AdfsRelyingPartyTrust -Identifier "ValueOfTheResourceParameter"
Si vous utilisez la fonctionnalité Groupe d’applications dans Windows Server 2016, exécutez la commande
suivante :
Get-AdfsWebApiApplication "ValueOfTheResourceParameter"
d e ma n d e s W S-F e d

Une demande WS-Fed ressemble à ce qui suit :


https://fs.contoso.com/adfs/ls/?
wa=wsignin1.0&wtrealm=https://claimsweb.contoso.com&wctx=rm=0&id=passive&ru=/&wct=2014-10-21T22:15:42Z

Vérifiez si les paramètres de requête correspondent aux paramètres configurés dans AD FS :

PA RA M ÈT RES DE L A REQ UÊT E PA RA M ÈT RES C O N F IGURÉS DA N S A D F S

wtrealm $rp. Identificateur

wreply Correspondance de préfixe ou de caractère générique de


$rp. WSFedEndpoint
De ma n d e s SA M L

Une requête SAML se présente comme suit :


https://sts.contoso.com/adfs/ls/?
SAMLRequest=EncodedValue&RelayState=cookie:29002348&SigAlg=http://www.w3.org/2000/09/Fxmldsig#rsa-
sha1&Signature=Signature

Décodez la valeur du paramètre SAMLRequest à l’aide de l’option « From DeflatedSAML » dans l’Assistant Texte
Fiddler. La valeur décodée ressemble à ce qui suit :

<samlp:AuthnRequest ID="ID" Version="2.0" IssueInstant="2017-04-28T01:02:22.664Z"


Destination="https://TestClaimProvider-Samlp-Only/adfs/ls"
Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" ForceAuthn="true"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer
xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://fs.contoso.com/adfs/services/trust</Issuer>
<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" />
</samlp:AuthnRequest>

Effectuez les vérifications suivantes dans la valeur décodée :


Vérifiez si le nom d’hôte dans la valeur destination correspond au nom d’hôte AD FS.
Vérifiez si la valeur de l’émetteur correspond $rp.Identifier .
Remarques supplémentaires pour SAML :
$rp. SamlEndpoints : affiche tous les types de points de terminaison SAML. La réponse d’AD FS est envoyée
aux URL correspondantes configurées dans les points de terminaison. Un point de terminaison SAML peut
utiliser des liaisons de redirection, de publication ou d’artefact pour la transmission de messages. Toutes ces
URL peuvent être configurées dans AD FS.
$rp. SignedSamlRequestsRequired : si la valeur est définie, la requête SAML envoyée par la partie de
confiance doit être signée. Les paramètres « SigAlg » et « Signature » doivent être présents dans la requête.
$rp. RequestSigningCertificate : il s’agit du certificat de signature utilisé pour générer la signature sur la
requête SAML. Assurez-vous que le certificat est valide et demandez au propriétaire de l’application de faire
correspondre le certificat.
Vé r i fi e r l e c e r t i fi c a t d e c h i ffr e m e n t

Si $rp.EncryptClaims les retours sont activés , le chiffrement de partie de confiance est activé. AD FS utilise le
certificat de chiffrement pour chiffrer les revendications. Effectuez les vérifications suivantes :
$rp. EncryptionCertificate : utilisez cette commande pour obtenir le certificat et vérifier s’il est valide.
$rp. EncryptionCertificateRevocationCheck : utilisez cette commande pour vérifier si le certificat répond aux
exigences de vérification de révocation.
L e s d e u x m é t h o d e s p r é c é d e n t e s n e fo n c t i o n n e n t p a s

Pour poursuivre la résolution des problèmes, consultez Utiliser l’application De jeton de vidage.
Tous les utilisateurs ne sont pas affectés par le problème et l’utilisateur ne peut accéder à aucune des parties de confiance
Dans ce scénario, effectuez les vérifications suivantes.
Vé r i fi e r si l ’ u t i l i sa t e u r e st d é sa c t i v é

Vérifiez l’état de l’utilisateur dans Windows PowerShell ou l’interface utilisateur. Si l’utilisateur est désactivé,
activez-le.
V é ri f i e r l ’ é t a t d e l ’ u t i l i s a t e u r a v e c W i n d o w s P o w e r Sh e l l

1. Connectez-vous à l’un des contrôleurs de domaine.


2. Ouvrez Windows PowerShell.
3. Vérifiez l’état de l’utilisateur en exécutant la commande suivante :

Get-ADUser -Identity <samaccountname of the user> | Select Enabled

V é ri f i e r l ’ é t a t d e l ’ u t i l i s a t e u r d a n s l ’ i n t e rf a c e u t i l i s a t e u r

1. Connectez-vous à l’un des contrôleurs de domaine.


2. Ouvrez la console de gestion Utilisateurs et ordinateurs Active Director y .
3. Cliquez sur le nœud Utilisateurs , cliquez avec le bouton droit sur l’utilisateur dans le volet droit, puis
cliquez sur Propriétés .
4. Cliquez sur l’onglet Compte .
5. Sous Options de compte , vérifiez si le compte est désactivé .

6. Si l’option est cochée, décochez-la.


Vé r i fi e r si l e s p r o p r i é t é s d e l ’ u t i l i sa t e u r o n t é t é m i se s à j o u r r é c e m m e n t

Si une propriété de l’utilisateur est mise à jour dans Active Directory, cela entraîne une modification des
métadonnées de l’objet utilisateur. Vérifiez l’objet de métadonnées utilisateur pour voir quelles propriétés ont été
mises à jour récemment. Si des modifications sont trouvées, assurez-vous qu’elles sont récupérées par les
services associés. Pour vérifier si des modifications de propriété ont été apportées à un utilisateur, procédez
comme suit :
1. Connectez-vous à un contrôleur de domaine.
2. Ouvrez Windows PowerShell.
3. Obtenez les métadonnées de l’objet utilisateur en exécutant la commande suivante :
repadmin /showobjmeta <destination DC> "user DN"

Voici un exemple de la commande :


repadmin /showobjmeta localhost "CN=test user,CN=Users,DC=fabidentity,DC=com"

4. Dans les métadonnées, examinez la colonne Heure/Date de chaque attribut pour trouver un indice de
modification. Dans l’exemple suivant, l’attribut userPrincipleName prend une date plus récente que les
autres attributs, ce qui représente une modification des métadonnées de l’objet utilisateur.
Vé r i fi e r l ’ a p p r o b a t i o n d e fo r ê t si l ’ u t i l i sa t e u r a p p a r t i e n t à u n e a u t r e fo r ê t

Dans un environnement AD FS à forêts multiples, une approbation de forêt bidirectionnelle est requise entre la
forêt où AD FS est déployé et les autres forêts qui utilisent le déploiement AD FS pour l’authentification. Pour
vérifier si l’approbation entre les forêts fonctionne comme prévu, procédez comme suit :
1. Connectez-vous à un contrôleur de domaine dans la forêt où AD FS est déployé.
2. Ouvrez la console de gestion des domaines et approbations Active Director y .
3. Dans la console de gestion, cliquez avec le bouton droit sur le domaine qui contient l’approbation que
vous souhaitez vérifier, puis cliquez sur Propriétés .
4. Cliquez sur l’onglet Approbations .
5. Sous Domaines approuvés par ce domaine (approbations sor tantes) ou Domaines qui
approuvent ce domaine (approbations entrantes), cliquez sur l’approbation à vérifier, puis cliquez
sur Propriétés .
6. Cliquez sur Valider .
Dans la boîte de dialogue ser vices de domaine Active Director y , sélectionnez l’une des options.
Si vous sélectionnez Non , nous vous recommandons de répéter la même procédure pour le
domaine réciproque.
Si vous sélectionnez Oui , fournissez des informations d’identification d’utilisateur administratif
pour le domaine réciproque. Il n’est pas nécessaire d’effectuer la même procédure pour le domaine
réciproque.

Si ces étapes ne vous ont pas aidé à résoudre le problème, poursuivez la résolution des problèmes avec les
étapes de la section Non tous les utilisateurs ne sont pas affectés par le problème, et l’utilisateur peut accéder à
certaines parties de confiance .
Tous les utilisateurs ne sont pas affectés par le problème, et l’utilisateur peut accéder à certaines des parties de confiance
Dans ce scénario, vérifiez si ce problème se produit dans un scénario Azure AD. Si c’est le cas, effectuez ces
vérifications pour résoudre ce problème. Si ce n’est pas le cas, consultez Utiliser l’application De jeton de vidage
pour résoudre ce problème.
Vé r i fi e r si l ’ u t i l i sa t e u r e st sy n c h r o n i sé a v e c A z u r e A D

Si un utilisateur tente de se connecter à Azure AD, il est redirigé vers AD FS pour l’authentification d’un domaine
fédéré. L’une des raisons possibles d’un échec de connexion est que l’utilisateur n’est pas encore synchronisé
avec Azure AD. Vous pouvez voir une boucle d’Azure AD vers AD FS après la première tentative
d’authentification sur AD FS. Pour déterminer si l’utilisateur est synchronisé avec Azure AD, procédez comme
suit :
1. Téléchargez et installez le module Azure AD PowerShell pour Windows PowerShell.
2. Ouvrez Windows PowerShell avec l’option « Exécuter en tant qu’administrateur ».
3. Lancez une connexion à Azure AD en exécutant la commande suivante :
Connect-MsolService
4. Fournissez les informations d’identification de l’administrateur général pour la connexion.
5. Obtenez la liste des utilisateurs dans Azure AD en exécutant la commande suivante :
Get-MsolUser
6. Vérifiez si l’utilisateur figure dans la liste.
Si l’utilisateur ne figure pas dans la liste, synchronisez-le avec Azure AD.
Vé r i fi e r i m m u t a b l e I D e t U P N d a n s l a r è g l e d e r e v e n d i c a t i o n d ’ é m i ssi o n

Azure AD nécessite immutableID et l’UPN de l’utilisateur pour authentifier l’utilisateur.

NOTE
immutableID est également appelé sourceAnchor dans les outils suivants :
Azure AD Sync
Azure Active Directory Sync (DirSync)

Les administrateurs peuvent utiliser Azure AD Connect pour la gestion automatique de l’approbation AD FS avec
Azure AD. Si vous ne gérez pas l’approbation via Azure AD Connect, nous vous recommandons de le faire en
téléchargeant Azure AD Connect Azure AD Connect pour activer la gestion automatique des règles de
revendication en fonction des paramètres de synchronisation.
Pour vérifier si les règles de revendication pour immutableID et UPN dans AD FS correspondent à ce qu’Azure
AD utilise, procédez comme suit :
1. Obtenez sourceAnchor et UPN dans Azure AD Connect.
a. Ouvrez Azure AD Connect.
b. Cliquez sur Afficher la configuration actuelle .
c. Dans la page Vérifier votre solution , notez les valeurs source ANCHOR et USER PRINCIPAL
NAME .

2. Vérifiez les valeurs d’immutableID (sourceAnchor) et d’UPN dans la règle de revendication


correspondante configurée sur le serveur AD FS.
a. Sur le serveur AD FS, ouvrez la console de gestion AD FS.
b. Cliquez sur Approbations de par tie de confiance .
c. Cliquez avec le bouton droit sur l’approbation de partie de confiance avec Azure AD, puis cliquez
sur Modifier la stratégie d’émission de revendications .
d. Ouvrez la règle de revendication pour l’ID immuable et l’UPN.
e. Vérifiez si les variables interrogées pour les valeurs immutableID et UPN sont identiques à celles
qui apparaissent dans Azure AD Connect.
3. S’il existe une différence, utilisez l’une des méthodes ci-dessous :
Si AD FS est géré par Azure AD Connect, réinitialisez l’approbation de partie de confiance à l’aide
d’Azure AD Connect.
Si AD FS n’est pas géré par Azure AD Connect, corrigez les revendications avec les attributs
appropriés.
Si ces vérifications ne vous ont pas aidé à résoudre le problème, consultez Utiliser l’application De jeton de
vidage pour résoudre ce problème.
Ce problème se produit côté application
Si le certificat de signature de jeton a été renouvelé récemment par AD FS, vérifiez si le nouveau certificat est
récupéré par le partenaire de fédération. Si AD FS utilise un certificat de déchiffrement de jeton qui a également
été renouvelé récemment, effectuez également la même vérification. Pour vérifier si le certificat de signature de
jeton AD FS actuel sur AD FS correspond à celui du partenaire de fédération, procédez comme suit :
1. Obtenez le certificat de signature de jeton actuel sur AD FS en exécutant la commande suivante :

Get-ADFSCertificate -CertificateType token-signing

2. Dans la liste des certificats retournés, recherchez celui avec IsPrimar y = TRUE et notez l’empreinte
numérique.
3. Obtenez l’empreinte numérique du certificat de signature de jeton actuel sur le partenaire de fédération.
Le propriétaire de l’application doit vous le fournir.
4. Comparez les empreintes numériques des deux certificats.
Vérifiez également si AD FS utilise un certificat de déchiffrement de jeton renouvelé, sauf que la commande
permettant d’obtenir le certificat de déchiffrement de jeton sur AD FS est la suivante :

Get-ADFSCertificate -CertificateType token-decrypting


Les empreintes numériques des deux certificats correspondent
Si les empreintes correspondent, vérifiez que les partenaires utilisent les nouveaux certificats AD FS.
En cas d’incompatibilité de certificat, assurez-vous que les partenaires utilisent les nouveaux certificats. Les
certificats sont inclus dans les métadonnées de fédération publiées par le serveur AD FS.

NOTE
Les partenaires font référence à tous vos partenaires d’organisation de ressources ou d’organisation de comptes,
représentés dans votre AD FS par des approbations de partie de confiance et des approbations de fournisseur de
revendications.

Les partenaires peuvent accéder aux métadonnées de fédération


Si les partenaires peuvent accéder aux métadonnées de fédération, demandez aux partenaires d’utiliser
les nouveaux certificats.
Les partenaires ne peuvent pas accéder aux métadonnées de fédération
Dans ce cas, vous devez envoyer manuellement aux partenaires les clés publiques des nouveaux
certificats. Pour cela, procédez comme suit :
1. Exportez les clés publiques en tant que fichiers .cert ou en tant que fichiers .p7b pour inclure
l’ensemble des chaînes de certificats.
2. Envoyez les clés publiques aux partenaires.
3. Demandez aux partenaires d’utiliser les nouveaux certificats.
Les empreintes numériques des deux certificats ne correspondent pas
Ensuite, vérifiez s’il existe une incompatibilité d’algorithme de signature de jetons. Pour cela, procédez comme
suit :
1. Déterminez l’algorithme utilisé par la partie de confiance en exécutant la commande suivante :

Get-ADFSRelyingPartyTrust -Name RPName | FL SignatureAlgorithm

Les valeurs possibles sont SHA1 ou SHA256.


2. Vérifiez auprès du propriétaire de l’application l’algorithme utilisé côté application.
3. Vérifiez si les deux algorithmes correspondent.
Si les deux algorithmes correspondent, vérifiez si le format d’ID de nom correspond à ce dont l’application a
besoin.
1. Sur le serveur AD FS, videz les règles de transformation d’émission en exécutant la commande suivante :

(Get-AdfsRelyingPartyTrust -Name RPName).IssuanceTransformRules

2. Recherchez la règle qui émet la revendication NameIdentifier. Si une telle règle n’existe pas, ignorez cette
étape.
Voici un exemple de règle :
c:[Type == "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"] => issue(Type =
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c.Value,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =
"urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");
Notez le format NameIdentifier dans la syntaxe suivante :
Properties["Property-type-URI"] = "ValueURI"

Les formats possibles sont répertoriés ci-dessous. Le premier format est la valeur par défaut.
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifie.
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
3. Demandez au propriétaire de l’application le format NameIdentifier requis par l’application.
4. Vérifiez si les deux formats NameIdentifier correspondent.
5. Si les formats ne correspondent pas, configurez la revendication NameIdentifier pour utiliser le format
requis par l’application. Pour cela, procédez comme suit :
a. Ouvrez la console de gestion AD FS.
b. Cliquez sur Approbations de par tie de confiance , sélectionnez le partenaire de fédération
approprié, puis cliquez sur Modifier la stratégie d’émission des revendications dans le volet
Actions .
c. Ajoutez une nouvelle règle s’il n’existe aucune règle pour émettre la revendication NameIdentifier ou
mettre à jour une règle existante. Sélectionnez l’ID de nom pour le type de revendication
entrante , puis spécifiez le format requis par l’application.

Si les deux algorithmes ne correspondent pas, mettez à jour l’algorithme de signature utilisé par l’approbation
de partie de confiance.
1. Ouvrez la console de gestion AD FS.
2. Cliquez avec le bouton droit sur l’approbation de partie de confiance, puis cliquez sur Propriétés .
3. Sous l’onglet Avancé , sélectionnez l’algorithme pour qu’il corresponde à ce dont l’application a besoin.
À propos du renouvellement automatique de certificat
Si le certificat de signature de jeton ou le certificat de déchiffrement de jeton sont auto-signés,
AutoCertificateRollover est activé par défaut sur ces certificats et AD FS gère le renouvellement automatique des
certificats lorsqu’ils sont proches de l’expiration.
Pour déterminer si vous utilisez des certificats auto-signés, procédez comme suit :
1. Exécutez la commande suivante :

Get-ADFSCerticate -CertificateType "token-signing"

2. Examinez les attributs de certificat.


Si les attributs Objet et Émetteur commencent tous les deux par « Signature CN=ADFS... », le certificat est
auto-signé et géré par AutoCertRollover.
Pour confirmer si les certificats sont renouvelés automatiquement, procédez comme suit :
1. Exécutez la commande suivante :

Get-ADFSProperties | FL AutoCertificateRollover

2. Examinez l’attribut AutoCertificateRollover.


Si AutoCer tificateRollover = TRUE , AD FS génère automatiquement de nouveaux certificats (30
jours avant l’expiration par défaut) et les définit comme certificats principaux (25 jours avant
l’expiration).
Si AutoCer tificateRollover = FALSE , vous devez remplacer manuellement les certificats.

Vérifier les services et composants liés à ADFS


Cet article explique comment vérifier les services et composants liés à ADFS. Ces étapes peuvent vous aider à
résoudre les problèmes d’authentification unique (SSO) liés à Services ADFS (ADFS).
Vérifier DNS
L’accès à ADFS doit pointer directement vers l’un des serveurs WAP (Web Proxy d'application) ou l’équilibreur
de charge devant les serveurs WAP. Effectuez les vérifications suivantes :
Effectuez un test ping sur le nom du service de fédération (par exemple). fs.contoso.com Vérifiez si l’adresse
IP à laquelle ping se résout est de l’un des serveurs WAP ou de l’équilibreur de charge des serveurs WAP.
Vérifiez s’il existe un enregistrement A pour le service de fédération dans le serveur DNS. L’enregistrement A
doit pointer vers l’un des serveurs WAP ou vers l’équilibreur de charge des serveurs WAP.
Si WAP n’est pas implémenté dans votre scénario pour l’accès externe, vérifiez si l’accès à ADFS pointe
directement vers l’un des serveurs ADFS ou l’équilibreur de charge devant les serveurs ADFS :
Effectuez un test ping sur le nom du service de fédération (par exemple). fs.contoso.com Vérifiez si l’adresse
IP que vous obtenez est résolue vers l’un des serveurs ADFS ou l’équilibreur de charge des serveurs ADFS.
Vérifiez s’il existe un enregistrement A pour le service de fédération dans le serveur DNS. L’enregistrement A
doit pointer vers l’un des serveurs ADFS ou vers l’équilibreur de charge des serveurs ADFS.
Vérifier l’équilibreur de charge s’il est utilisé
Vérifiez si le pare-feu bloque le trafic entre :
Serveur ADFS et équilibreur de charge.
Serveur WAP (Web Proxy d'application) et équilibreur de charge si WAP est utilisé.
Si la sonde est activée sur l’équilibreur de charge, vérifiez ce qui suit :
Si vous exécutez Windows Server 2012 R2, vérifiez que le correctif cumulatif d’août 2014 est installé.
Vérifiez si le port 80 est activé dans le pare-feu sur les serveurs WAP et les serveurs ADFS.
Vérifiez que la sonde est définie pour le port 80 et pour le point de terminaison /adfs/probe.
Vérifier les paramètres du pare -feu
Vérifiez si le trafic entrant via le port TCP 443 est activé sur :
le pare-feu entre le serveur web Proxy d'application et la batterie de serveurs de fédération.
le pare-feu entre les clients et le serveur web Proxy d'application.
Vérifiez si le trafic entrant via le port TCP 49443 est activé sur le pare-feu entre les clients et le serveur web
Proxy d'application lorsque les conditions suivantes sont remplies :
L’authentification du client TLS à l’aide du certificat X.509 est activée.
Vous utilisez ADFS sur Windows Server 2012 R2.

NOTE
La configuration n’est pas requise sur le pare-feu entre le serveur web Proxy d'application et les serveurs de fédération.

Vérifier si le point de terminaison est activé sur le proxy


ADFS fournit différents points de terminaison pour différents scénarios et fonctionnalités. Tous les points de
terminaison ne sont pas activés par défaut. Pour vérifier si le point de terminaison est activé sur le proxy,
procédez comme suit :
1. Sur le serveur ADFS, ouvrez la console de gestion ADFS.
2. Développez les points de terminaison de ser vice > .
3. Recherchez le point de terminaison et vérifiez si l’état est activé sur la colonne Proxy activé .
Vérifier la relation d’approbation de proxy
Si web Proxy d'application (WAP) est déployé, la relation d’approbation de proxy doit être établie entre le
serveur WAP et le serveur AD FS. Vérifiez si la relation d’approbation de proxy est établie ou commence à
échouer à un moment donné.

NOTE
Les informations de cette page s’appliquent à AD FS 2012 R2 et versions ultérieures.

Informations contextuelles
La relation d’approbation de proxy est basée sur un certificat client. Lorsque vous exécutez l’Assistant Web Proxy
d'application post-installation, l’Assistant génère un certificat client auto-signé à l’aide des informations
d’identification que vous avez spécifiées dans l’Assistant. Ensuite, l’Assistant insère le certificat dans la base de
données de configuration AD FS et l’ajoute au magasin de certificats AdfsTrustedDevices sur le serveur AD FS.
Pour toute communication SSL, http.sys utilise l’ordre de priorité suivant pour que les liaisons de certificat SSL
correspondent à un certificat :

P RIO RIT É NOM PA RA M ÈT RES DESC RIP T IO N

1 IP IP:port Correspondance exacte


entre l’adresse IP et le port

2 SNI Hostname:port Correspondance exacte du


nom d’hôte (la connexion
doit spécifier SNI)

3 CCS Port Appeler le magasin central


de certificats

4 Caractère générique IPv6 Port Correspondance avec


caractère générique IPv6 (la
connexion doit être IPv6)

5 Caractère générique IP Port Correspondance avec


caractère générique IP (la
connexion peut être IPv4
ou IPv6)

AD FS 2012 R2 et versions ultérieures sont indépendants d’Internet Information Services (IIS) et s’exécutent en
tant que service en plus de http.sys. les liaisons de certificat SSL hostname:port sont utilisées par AD FS. Lors de
l’authentification par certificat client, AD FS envoie une liste d’approbation de certificat (CTL) basée sur les
certificats dans le magasin AdfsTrustedDevices. Si une liaison de certificat SSL pour votre serveur AD FS utilise
IP:port ou si le magasin CTL n’est pas AdfsTrustedDevices, la relation d’approbation de proxy peut ne pas être
établie.
Obtenir les liaisons de certificat SSL pour AD FS
Sur le serveur AD FS, exécutez la commande suivante dans Windows PowerShell :
netsh http show sslcert

Dans la liste des liaisons retournées, recherchez celles avec l’ID d’application 5d89a20c-beab-4389-9447-
324788eb944a. Voici un exemple de liaison saine. Notez la ligne « Nom du magasin Ctl ».

Hostname:port : adfs.contoso.com:443
Certificate Hash : 3638de9b03a488341dfe32fc3ae5c480ee687793
Application ID : {5d89a20c-beab-4389-9447-324788eb944a}
Certificate Store Name : MY
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : AdfsTrustedDevices
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled

Exécuter un script pour détecter automatiquement les problèmes


Pour détecter automatiquement les problèmes liés à la relation d’approbation de proxy, exécutez le script
suivant. En fonction du problème détecté, effectuez l’action en conséquence.

param
(
[switch]$syncproxytrustcerts
)
function checkhttpsyscertbindings()
{
Write-Host; Write-Host("1 – Checking http.sys certificate bindings for potential issues")
$httpsslcertoutput = netsh http show sslcert
$adfsservicefqdn = (Get-AdfsProperties).HostName
$i = 1
$certbindingissuedetected = $false
While($i -lt $httpsslcertoutput.count)
{
$ipport = $false
$hostnameport = $false
if ( ( $httpsslcertoutput[$i] -match "IP:port" ) ) { $ipport = $true }
elseif ( ( $httpsslcertoutput[$i] -match "Hostname:port" ) ) { $hostnameport = $true }
## Check for IP specific certificate bindings
if ( ( $ipport -eq $true ) )
{
$httpsslcertoutput[$i]
$ipbindingparsed = $httpsslcertoutput[$i].split(":")
if ( ( $ipbindingparsed[2].trim() -ne "0.0.0.0" ) -and ( $ipbindingparsed[3].trim() -eq "443") )
{
$warning = "There is an IP specific binding on IP " + $ipbindingparsed[2].trim() + " which
may conflict with the AD FS port 443 cert binding." | Write-Warning
$certbindingissuedetected = $true
}
$i = $i + 14
continue
}
## check that CTL Store is set for ADFS service binding
elseif ( $hostnameport -eq $true )
{
{
$httpsslcertoutput[$i]
$ipbindingparsed = $httpsslcertoutput[$i].split(":")
If ( ( $ipbindingparsed[2].trim() -eq $adfsservicefqdn ) -and ( $ipbindingparsed[3].trim() -eq
"443") -and ( $httpsslcertoutput[$i+10].split(":")[1].trim() -ne "AdfsTrustedDevices" ) )
{
Write-Warning "ADFS Service binding does not have CTL Store Name set to AdfsTrustedDevices"
$certbindingissuedetected = $true
}
$i = $i + 14
continue
}
$i++
}
If ( $certbindingissuedetected -eq $false ) { Write-Host "Check Passed: No certificate binding issues
detected" }
}
function checkadfstrusteddevicesstore()
{
## check for CA issued (non-self signed) certs in the AdfsTrustedDevices cert store
Write-Host; Write-Host "2 – Checking AdfsTrustedDevices cert store for non-self signed certificates"
$certlist = Get-Childitem cert:\LocalMachine\AdfsTrustedDevices -recurse | Where-Object {$_.Issuer -ne
$_.Subject}
If ( $certlist.count -gt 0 )
{
Write-Warning "The following non-self signed certificates are present in the AdfsTrustedDevices store
and should be removed"
$certlist | Format-List Subject
}
Else { Write-Host "Check Passed: No non-self signed certs present in AdfsTrustedDevices cert store" }
}
function checkproxytrustcerts
{
Param ([bool]$repair=$false)
Write-Host; Write-Host("3 – Checking AdfsTrustedDevices cert store is in sync with ADFS Proxy Trust
config")
$doc = new-object Xml
$doc.Load("$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config")
$connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString
$command = "Select ServiceSettingsData from [IdentityServerPolicy].[ServiceSettings]"
$cli = new-object System.Data.SqlClient.SqlConnection
$cli.ConnectionString = $connString
$cmd = new-object System.Data.SqlClient.SqlCommand
$cmd.CommandText = $command
$cmd.Connection = $cli
$cli.Open()
$configString = $cmd.ExecuteScalar()
$configXml = new-object XML
$configXml.LoadXml($configString)
$rawCerts =
$configXml.ServiceSettingsData.SecurityTokenService.ProxyTrustConfiguration._subjectNameIndex.KeyValueOfstri
ngArrayOfX509Certificate29zVOn6VQ.Value.X509Certificate2
#$ctl = dir cert:\LocalMachine\ADFSTrustedDevices
$store = new-object
System.Security.Cryptography.X509Certificates.X509Store("ADFSTrustedDevices","LocalMachine")
$store.open("MaxAllowed")
$atLeastOneMismatch = $false
$badCerts = @()
foreach($rawCert in $rawCerts)
{
$rawCertBytes = [System.Convert]::FromBase64String($rawCert.RawData.'#text')
$cert=New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(,$rawCertBytes)
$now = Get-Date
if ( ($cert.NotBefore -lt $now) -and ($cert.NotAfter -gt $now))
{
$certThumbprint = $cert.Thumbprint
$certSubject = $cert.Subject
$ctlMatch = dir cert:\localmachine\ADFSTrustedDevices\$certThumbprint -ErrorAction SilentlyContinue
if ($ctlMatch -eq $null)
{
{
$atLeastOneMismatch = $true
Write-Warning "This cert is NOT in the CTL: $certThumbprint – $certSubject"
if ($repair -eq $true)
{
write-Warning "Attempting to repair"
$store.Add($cert)
Write-Warning "Repair successful"
}
else
{
Write-Warning ("Please install KB.2964735 or re-run script with -syncproxytrustcerts
switch to add missing Proxy Trust certs to AdfsTrustedDevices cert store")
}
}
}
}
$store.Close()
if ($atLeastOneMismatch -eq $false)
{
Write-Host("Check Passed: No mismatched certs found. CTL is in sync with DB content")
}
}
checkhttpsyscertbindings
checkadfstrusteddevicesstore
checkproxytrustcerts($syncproxytrustcerts)
Write-Host; Write-Host("All checks completed.")

Problème 1 : Il existe une liaison spécifique à l’adresse IP


La liaison peut entrer en conflit avec la liaison de certificat AD FS sur le port 443.
La liaison IP:port a la priorité la plus élevée. Si une liaison IP:port se trouve dans les liaisons de certificat SSL AD
FS, http.sys utilise toujours le certificat pour la liaison pour la communication SSL. Pour résoudre ce problème,
utilisez les méthodes suivantes.
1. Supprimer la liaison IP:port
N’oubliez pas que la liaison IP:port peut revenir après l’avoir supprimée. Par exemple, une application
configurée avec cette liaison IP:port peut la recréer automatiquement lors du prochain démarrage du
service.
2. Utiliser une autre adresse IP pour la communication SSL AD FS
Si la liaison IP:port est requise, résolvez le nom de domaine complet du service ADFS en une autre
adresse IP qui n’est utilisée dans aucune liaison. De cette façon, http.sys utilisera la liaison Hostname:port
pour la communication SSL.
3. Définir AdfsTrustedDevices comme magasin CTL pour la liaison IP:port
Il s’agit du dernier recours si vous ne pouvez pas utiliser les méthodes ci-dessus. Toutefois, il est
préférable de comprendre les conditions suivantes avant de remplacer le magasin CTL par défaut par
AdfsTrustedDevices :
Pourquoi la liaison IP:port est-elle là?
Si la liaison s’appuie sur le magasin CTL par défaut pour l’authentification par certificat client.
Problème 2 : La liaison de certificat AD FS n’a pas le nom du magasin CTL défini sur AdfsTrustedDevices
Si Azure AD Connect est installé, utilisez AAD Connect pour définir le nom du magasin CTL sur
AdfsTrustedDevices pour les liaisons de certificat SSL sur tous les serveurs AD FS. Si Azure AD Connect n’est pas
installé, régénérez les liaisons de certificat AD FS en exécutant la commande suivante sur tous les serveurs AD
FS.
Set-AdfsSslCertificate -Thumbprint Thumbprint

Problème 3 : Un certificat qui n’est pas auto -signé existe dans le magasin de certificats AdfsTrustedDevices
Si un certificat émis par une autorité de certification se trouve dans un magasin de certificats où seuls les
certificats auto-signés existent normalement, la durée de vie générée à partir du magasin contiendra
uniquement le certificat émis par l’autorité de certification. Le magasin de certificats AdfsTrustedDevices est un
magasin qui est censé avoir uniquement des certificats auto-signés. Ces certificats sont les suivants :
MS-Organization-Access : certificat auto-signé utilisé pour émettre des certificats de jointure d’espace de
travail.
Approbation de proxy ADFS : certificats pour chaque serveur web Proxy d'application.

Par conséquent, supprimez tout certificat émis par l’autorité de certification du magasin de certificats
AdfsTrustedDevices.
Problème 4 : Installer KB2964735 ou réexécuter le script avec -syncproxytrustcerts
Lorsqu’une relation d’approbation de proxy est établie avec un serveur AD FS, le certificat client est écrit dans la
base de données de configuration AD FS et ajouté au magasin de certificats AdfsTrustedDevices sur le serveur
AD FS. Pour un déploiement de batterie de serveurs AD FS, le certificat client doit être synchronisé avec les
autres serveurs AD FS. Si la synchronisation ne se produit pas pour une raison quelconque, une relation
d’approbation de proxy fonctionne uniquement sur le serveur AD FS avec lequel l’approbation a été établie,
mais pas avec les autres serveurs AD FS.
Pour résoudre ce problème, utilisez l’une des méthodes suivantes.
Méthode 1
Installez la mise à jour documentée dans KB 2964735 sur tous les serveurs AD FS. Une fois la mise à jour
installée, une synchronisation du certificat client est supposée se produire automatiquement.
Méthode 2
Exécutez le script avec le commutateur – syncproxytrustcerts pour synchroniser manuellement les certificats
clients de la base de données de configuration AD FS vers le magasin de certificats AdfsTrustedDevices. Le script
doit être exécuté sur tous les serveurs AD FS de la batterie de serveurs.

NOTE
Il ne s’agit pas d’une solution permanente, car les certificats clients seront renouvelés régulièrement.

Problème 5 : Toutes les vérifications sont passées. Mais le problème persiste


Vérifiez s’il existe une incompatibilité d’heure ou de fuseau horaire. Si l’heure correspond mais que le fuseau
horaire ne le fait pas, la relation d’approbation de proxy ne sera pas établie.
Vérifier s’il existe un arrêt SSL entre le serveur AD FS et le serveur WAP
Si l’arrêt SSL se produit sur un appareil réseau entre les serveurs AD FS et le serveur WAP, la communication
entre AD FS et WAP s’arrête, car la communication est basée sur le certificat client.
Désactivez l’arrêt SSL sur l’appareil réseau entre les serveurs AD FS et WAP.

Utiliser l’application Dump Token


L’application Dump Token est utile lors du débogage des problèmes avec votre service de fédération et de la
validation des règles de revendication personnalisées. Il ne s’agit pas d’une solution officielle, mais d’une bonne
solution de débogage indépendante qui est recommandée à des fins de résolution des problèmes.
Avant d’utiliser l’application Dump Token
Avant d’utiliser l’application Dump Token, vous devez :
1. Obtenez les informations de la partie de confiance pour l’application à laquelle vous souhaitez accéder. Si
l’authentification OAuth est implémentée, obtenez également les informations du client OAuth.
2. Configurez l’application de jeton de vidage.
Obtenir les informations de la partie de confiance et du client OAuth
Si vous utilisez une partie de confiance conventionnelle, procédez comme suit :
1. Sur le serveur AD FS, ouvrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur .
2. Ajoutez le composant AD FS 2.0 à Windows PowerShell en exécutant la commande suivante :

Add-PSSnapin Microsoft.Adfs.PowerShell

3. Obtenez les informations de la partie de confiance en exécutant la commande suivante :

$rp = Get-AdfsRelyingPartyTrust RPName

4. Obtenez les informations du client OAuth en exécutant la commande suivante :

$client = Get-AdfsClient ClientName

Si vous utilisez la fonctionnalité Groupe d’applications dans Windows Server 2016, suivez les étapes ci-dessous :
1. Sur le serveur AD FS, ouvrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur .
2. Obtenez les informations de la partie de confiance en exécutant la commande suivante :

$rp = Get-AdfsWebApiApplication ResourceID

3. Si le client OAuth est public, obtenez les informations du client en exécutant la commande suivante :

$client = Get-AdfsNativeClientApplication ClientName

Si le client OAuth est confidentiel, obtenez les informations du client en exécutant la commande suivante :
$client = Get-AdfsServerApplication ClientName

Configurer l’application De jeton de vidage


Pour configurer l’application Dump Token, exécutez les commandes suivantes dans la fenêtre Windows
PowerShell :

$authzRules = "=>issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value =


`"true`");"
$issuanceRules = "x:[]=>issue(claim=x);"
$redirectUrl = "https://dumptoken.azurewebsites.net/default.aspx"
$samlEndpoint = New-AdfsSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri $redirectUrl
Add-ADFSRelyingPartyTrust -Name "urn:dumptoken" -Identifier "urn:dumptoken" -IssuanceAuthorizationRules
$authzRules -IssuanceTransformRules $issuanceRules -WSFedEndpoint $redirectUrl -SamlEndpoint $samlEndpoint

Continuez maintenant avec les méthodes de dépannage suivantes. À la fin de chaque méthode, vérifiez si le
problème est résolu. Si ce n’est pas le cas, utilisez une autre méthode.
Méthodes de dépannage
Vérifier la stratégie d’autorisation pour voir si l’utilisateur est impacté
Dans cette méthode, vous commencez par obtenir les détails de la stratégie, puis utilisez l’application Dump
Token pour diagnostiquer la stratégie afin de voir si l’utilisateur est impacté.
O b t e n i r l e s d é t a i l s d e l a st r a t é g i e

$rp. IssuanceAuthorizationRules affiche les règles d’autorisation de la partie de confiance.


Dans Windows Server 2016 et versions ultérieures, vous pouvez utiliser $rp. AccessControlPolicyName pour
configurer la stratégie d’authentification et d’autorisation. Si $rp. AccessControlPolicyName a une valeur, une
stratégie de contrôle d’accès est en place qui régit la stratégie d’autorisation. Dans ce cas, $rp.
IssuanceAuthorizationRules est vide. Utilisez $rp. ResultantPolicy pour en savoir plus sur la stratégie de contrôle
d’accès.
Si $rp. ResultantPolicy n’a pas les détails sur la stratégie. Examinez les règles de revendication réelles. Pour
obtenir les règles de revendication, procédez comme suit :
1. Définissez la stratégie de contrôle d’accès sur $null en exécutant la commande suivante :
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -AccessControlPolicyName $null
2. Obtenez les informations de la partie de confiance en exécutant la commande suivante :
$rp = Get-AdfsRelyingPartyTrust RPName
3. Vérifier $rp.IssuanceAuthorizationRules et $rp. AdditionalAuthenticationRules .
U t i l i se r l ’ a p p l i c a t i o n D u m p To k e n p o u r d i a g n o st i q u e r l a st r a t é g i e d ’ a u t o r i sa t i o n

1. Définissez la stratégie d’authentification du jeton de vidage sur la même valeur que la partie de confiance
défaillante.
2. Faites ouvrir à l’utilisateur l’un des liens suivants en fonction de la stratégie d’authentification que vous
avez définie.
WS-Fed : https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken
SAML-P : https://FerderationInstance/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken
Forcer l’authentification multifacteur :
https://FerderationInstance/adfs/ls?
wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn
3. Connectez-vous à la page Sign-In.
Ce que vous obtenez est l’ensemble des revendications de l’utilisateur. Vérifiez si la stratégie d’autorisation
refuse ou autorise explicitement l’utilisateur en fonction de ces revendications.
Vérifier si une revendication manquante ou inattendue provoque un refus d’accès à la ressource
1. Configurez les règles de revendication dans l’application Dump Token pour qu’elles soient identiques aux
règles de revendication de la partie de confiance défaillante.
2. Configurez la stratégie d’authentification du jeton de vidage pour qu’elle soit identique à la partie de
confiance défaillante.
3. Faites ouvrir à l’utilisateur l’un des liens suivants en fonction de la stratégie d’authentification que vous
avez définie.
WS-Fed : https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken
SAML-P : https://FerderationInstance/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken
Forcer l’authentification multifacteur :
https://FerderationInstance/adfs/ls?
wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn
4. Connectez-vous à la page Sign-In.
Il s’agit de l’ensemble des revendications que la partie de confiance va obtenir pour l’utilisateur. Si des
revendications sont manquantes ou inattendues, examinez la stratégie d’émission pour en déterminer la raison.
Si toutes les revendications sont présentes, contactez le propriétaire de l’application pour voir quelle
revendication est manquante ou inattendue.
Vérifier si un état d’appareil est requis
Si les règles d’autorisation vérifient les revendications d’appareil, vérifiez si l’une de ces revendications
d’appareil est manquante dans la liste des revendications que vous obtenez de l’application Dump Token. Les
revendications manquantes peuvent bloquer l’authentification des appareils. Pour obtenir les revendications de
l’application De jeton de vidage, suivez les étapes de l’application Utiliser le jeton de vidage pour
diagnostiquer la section stratégie d’autorisation dans la stratégie d’autorisation Vérifier si la
méthode d’autorisation de l’utilisateur a été affectée .
Voici les revendications d’appareil. Les règles d’autorisation peuvent utiliser certaines d’entre elles.
http://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid
http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname
http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier
http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype
http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion
http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
http://schemas.microsoft.com/2014/02/deviceusagetime
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
http://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype

En cas de revendication manquante, suivez les étapes de configuration de l’accès conditionnel local à l’aide
d’appareils inscrits pour vous assurer que l’environnement est configuré pour l’authentification des appareils.
Si toutes les revendications sont présentes, vérifiez si les valeurs des revendications de l’application de jeton de
vidage correspondent aux valeurs requises dans la stratégie d’autorisation.
L’ID d’événement 180 est enregistré et les points de
terminaison AD FS sont manquants dans Windows
Server 2016
22/09/2022 • 13 minutes to read

Cet article décrit un problème dans lequel les fonctionnalités des services AD FS (Active Directory Federation
Services) telles que l’authentification d’appareil et la découverte OAuth ne fonctionnent pas.
S’applique à : Windows Server 2012 R2, Windows Server 2016

Symptômes
Vous pouvez être l’un des symptômes suivants :
Les points de terminaison enregistrés par AD FS sont perdus par intermittence.
L’ID d’événement 180 est enregistré toutes les cinq minutes dans le journal des événements AD
FS/Admin, comme suit :

Log Name: AD FS/Admin


Source: AD FS
Event ID: 180
Task Category: None
Level: Error
Keywords: AD FS
Description: An error occurred while upgrading FarmBehaviorLevel 'Max' from Minor Version '0' to
Minor Version '3'.
Exception details: Object reference not set to an instance of an object.

L’exécution de l’cmdlet PowerShell révèle qu’aucune méthode d’authentification client n’est définie,
comme illustré sur la ligne inférieure de Get-AdfsGlobalAuthenticationPolicy la sortie suivante :

Get-AdfsGlobalAuthenticationPolicy

AdditionalAuthenticationProvider : {AzureMfaAuthentication}
DeviceAuthenticationEnabled : True
DeviceAuthenticationMethod : All
TreatDomainJoinedDevicesAsCompliant : False
PrimaryIntranetAuthenticationProvider : {FormsAuthentication, WindowsAuthentication,
AzurePrimaryAuthentication, MicrosoftPassportAuthentication}
PrimaryExtranetAuthenticationProvider : {FormsAuthentication, AzurePrimaryAuthentication,
MicrosoftPassportAuthentication}
WindowsIntegratedFallbackEnabled : True
ClientAuthenticationMethods : None

Ce problème se produit dans une batterie de serveurs AD FS à qui les conditions suivantes s’appliquent :
Un ou plusieurs serveurs AD FS (WS2016) Windows Server 2016 (WS2016) ont été ajoutés à une batterie de
serveurs AD FS Windows Server 2012 R2 (WS2012R2) sur une batterie de serveurs 4041685 de la base de
données (ou des version mensuelles ou d’aperçu ultérieures) installées.
La batterie de serveurs a été mise à niveau vers le niveau de comportement de la batterie WS2016.
La mise à jour de la 4088787 a été installée sur la batterie de serveurs AD FS WS2016.
Cause
L’installation de la mise à jour de la base de données 4088787 du 13 mars 2018 sur un nœud principal dans
une batterie de serveurs AD FS dont le FBL a été élevé de 1 (WS2012R2) à 3 (WS2016) peut provoquer une
régression AD FS et un réordification des lignes dans la base de données AD FS. Ce problème laisse la base de
données dans un état dans lequel certains éléments de données ont des occurrences en double. Cet état
provoque des échecs de démarrage du serveur AD FS et d’autres erreurs.

Résolution
Pour résoudre ce problème, suivez ces étapes.
Étape 1 : Vérifier le problème
Déterminez si le point de terminaison openid-configuration peut être atteint en exécutant la commande suivante
à l’invite de commandes PowerShell :

Get-AdfsEndpoint -AddressPath "/adfs/.well-known/openid-configuration"

Si le point de terminaison est in trouvé, le résultat suivant indique que le problème existe probablement :

Get-AdfsEndpoint : PS0137: No Endpoint found with Address '/adfs/.well-known/openid-configuration'.


At line:1 char:1
+ Get-AdfsEndpoint -AddressPath "/adfs/.well-known/openid-configuration ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidArgument: (:) [Get-AdfsEndpoint], ArgumentException
+ FullyQualifiedErrorId : PS0137,Microsoft.IdentityServer.Management.Commands.GetEndpointCommand

Étape 2 : Enregistrez le script trouvé à la fin de cet article sous le nom « KB4088787_Fix.ps1 »
L’équipe AD FS a développé un script PowerShell que vous pouvez exécuter sur un serveur AD FS pour corriger
les paramètres de configuration AD FS dans la base de données associée à la base de données 4088787.
Ce script se trouve à la fin de cet article. Enregistrez le script sous le nom « KB4088787_Fix.ps1 » et copiez-le sur
le nœud principal de votre batterie AD FS.
Étape 3 : Back up AD FS configuration databas
Avant d’exécuter le script KB4088787_Fix.ps1, il est important que vous back up your AD FS configuration. Cette
configuration AD FS est stockée dans le Base de données interne Windows (WID) ou dans une base Microsoft
SQL Server données.
Si vous utilisez WID pour stocker la configuration AD FS, vous pouvez utiliser l’outil de restauration rapide ADFS
(disponible à partir du Centre de téléchargement Microsoft)pour stocker les données de configuration. Si vous
utilisez SQL Server pour stocker la base de données de configuration AD FS, vous devez créer une sauvegarde
SQL Server supplémentaire avant d’exécuter le script. L’état de la base de données peut être restauré à partir de
l’une de ces sauvegardes, si nécessaire.
Étape 4 : Exécuter le script KB4088787_Fix.ps1
Dans l’Explorateur de fichiers, cliquez avec le bouton droit sur le fichier KB4088787_Fix.ps1 que vous avez
enregistré dans le nœud principal de votre batterie AD FS, puis sélectionnez Exécuter avec PowerShell.
Le script vérifie d’abord que la base de données de serveur AD FS actuelle a été endommagée par le problème
de mise à niveau décrit. Si c’est le cas, le script localise les propriétés rompues et les corrige. Le script
KB4088787_Fix.ps1 vous demande de confirmer les modifications apportées à la base de données, puis
redémarre AD FS si nécessaire.
NOTE
Chaque fois que le script est exécuté, une copie du XML des paramètres de service est enregistrée. Les données sont
enregistrées dans le répertoire de travail au format de nom suivant :
serviceSettingsXml_<yyyy>-<MM>-<dd>-<hh>-<mm>-<ss>.xml

Par exemple, si le script est exécuté le 14 avril 2021 à 10:14:53, il est enregistré comme suit :
serviceSettingsXml_2021-04-14-10-14-53.xml

Une fois le script terminé et un redémarrage des AD FS, toutes les défaillances d’authentification et de point de
terminaison de l’appareil doivent être corrigées.

Informations supplémentaires
Si l’application du correctif de script et le redémarrage du système ne corrigent pas le problème, allez sur le site
web du support Microsoft.

Script PowerShell : KB4088787_Fix.ps1


#
# Version 2.0.0
#

# Helper function - serializes any DataContract object to an XML string


function Get-DataContractSerializedString()
{
[CmdletBinding()]
Param
(
[Parameter(Mandatory = $true, HelpMessage="Any object serializable with the DataContractSerializer")]
[ValidateNotNull()]
$object
)

$serializer = New-Object System.Runtime.Serialization.DataContractSerializer($object.GetType())


$serializedData = $null

try
{
# No simple write to string option, so we have to write to a memory stream
# then read back the bytes...
$stream = New-Object System.IO.MemoryStream
$writer = New-Object System.Xml.XmlTextWriter($stream,[System.Text.Encoding]::UTF8)

$null = $serializer.WriteObject($writer, $object);


$null = $writer.Flush();

# Read back the text we wrote to the memory stream


$reader = New-Object System.IO.StreamReader($stream,[System.Text.Encoding]::UTF8)
$null = $stream.Seek(0, [System.IO.SeekOrigin]::Begin)
$serializedData = $reader.ReadToEnd()
}
finally
{
if ($reader -ne $null)
{
try
{
$reader.Dispose()
}
catch [System.ObjectDisposedException] { }
}
}

if ($writer -ne $null)


{
try
{
$writer.Dispose()
}
catch [System.ObjectDisposedException] { }
}

if ($stream -ne $null)


{
try
{
$stream.Dispose()
}
catch [System.ObjectDisposedException] { }
}
}

return $serializedData
}

function Write-XmlIndent
{
param
(
$xmlData
)

$strWriter = New-Object System.IO.StringWriter


$xmlWriter = New-Object System.XMl.XmlTextWriter $strWriter

# Default = None, change Formatting to Indented


$xmlWriter.Formatting = "indented"

# Gets or sets how many IndentChars to write for each level in


# the hierarchy when Formatting is set to Formatting.Indented
$xmlWriter.Indentation = 1

$xmlData.WriteContentTo($xmlWriter)
$xmlWriter.Flush()
$strWriter.Flush()
$strWriter.ToString()
}

function Get-ADFSXMLServiceSettings
{
param
(
$saveData
)

$doc = new-object Xml


$doc.Load("$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config")
$connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString
$cli = new-object System.Data.SqlClient.SqlConnection
$cli.ConnectionString = $connString
$cli.Open()
try
{
$cmd = new-object System.Data.SqlClient.SqlCommand
$cmd.CommandText = "Select ServiceSettingsData from [IdentityServerPolicy].[ServiceSettings]"
$cmd.Connection = $cli
$configString = $cmd.ExecuteScalar()
$configXml = new-object XML
$configXml.LoadXml($configString)
if($saveData)
{
$script:originalPath = "original_serviceSettingsXml_$(get-date -f yyyy-MM-dd-hh-mm-ss).xml"
Write-XmlIndent($configXml) | Out-File $script:originalPath
Write-Host "Original XML saved to: $script:originalPath"
}

write-output $configXml
}
finally
{
$cli.CLose()
}
}

# Gets internal ADFS settings by extracting them Get-AdfsProperties


function Get-AdfsInternalSettings()
{
$settings = Get-AdfsProperties
$settingsType = $settings.GetType()
$propInfo = $settingsType.GetProperty("ServiceSettingsData", [System.Reflection.BindingFlags]::Instance -
bor [System.Reflection.BindingFlags]::NonPublic)
$internalSettings = $propInfo.GetValue($settings, $null)

return $internalSettings
}

function Set-AdfsInternalSettings()
{
[CmdletBinding()]
Param
(
[Parameter(Mandatory = $true, HelpMessage="Settings object fetched from Get-AdfsInternalSettings")]
[ValidateNotNull()]
$InternalSettings
)

$settingsData = Get-DataContractSerializedString -object $InternalSettings

$doc = new-object Xml


$doc.Load("$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config")
$connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString
$cli = new-object System.Data.SqlClient.SqlConnection
$cli.ConnectionString = $connString
$cli.Open()
try
{
$cmd = new-object System.Data.SqlClient.SqlCommand
$cmd.CommandText = "update [IdentityServerPolicy].[ServiceSettings] SET ServiceSettingsData=@content,
[ServiceSettingsVersion] = [ServiceSettingsVersion] + 1,[LastUpdateTime] = GETDATE()"
$cmd.Parameters.AddWithValue("@content", $settingsData) | out-null
$cmd.Connection = $cli
$rowsAffected = $cmd.ExecuteNonQuery()

# Update service state table for WID sync if required


if ($connString -match "##wid")
{
$cmd = new-object System.Data.SqlClient.SqlCommand
$cmd.CommandText = "UPDATE [IdentityServerPolicy].[ServiceStateSummary] SET [SerialNumber] = [SerialNumber]
+ 1,[LastUpdateTime] = GETDATE() WHERE ServiceObjectType='ServiceSettings'"

$cmd.Connection = $cli
$widRowsAffected = $cmd.ExecuteNonQuery()
}
}
finally
{
$cli.CLose()
}
}

function Create-EndpointConfiguration()
{
Param
(
[ValidateNotNull()]
$xmlData
)

# EndpointConfiguration
$enabled = Create-BoolFromString($xmlData.Enabled)
$proxy = Create-BoolFromString($xmlData.Proxy)
$canProxy = Create-BoolFromString($xmlData.CanProxy)

$endpointConfig = New-Object -TypeName


Microsoft.IdentityServer.PolicyModel.Configuration.EndpointConfiguration -ArgumentList $xmlData.Address,
$enabled , ([Microsoft.IdentityServer.PolicyModel.Configuration.EndpointMode] $xmlData.ModeValue), $proxy,
$xmlData.Version, $canProxy

return $endpointConfig
}

function Create-ClientSecretSettings()
{
Param
(
[ValidateNotNull()]
$xmlData
)

# ClientSecretSettings
$clientSecretSettings = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Client.ClientSecretSettings
$clientSecretSettings.ClientSecretRolloverTimeMinutes = $xmlData.ClientSecretRolloverTimeMinutes
$clientSecretSettings.ClientSecretLockoutThreshold = $xmlData.ClientSecretLockoutThreshold;
$clientSecretSettings.SaltedHashAlgorithm = $xmlData.SaltedHashAlgorithm
$clientSecretSettings.SaltSize = $xmlData.SaltSize
$clientSecretSettings.SecretSize = $xmlData.SecretSize
return $clientSecretSettings
}

function Create-IdTokenIssuer()
{
Param
(
[ValidateNotNull()]
$xmlData
)

#IdTokenIssuer
$idTokenIssuerConfig = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Configuration.IdTokenIssuerConfiguration
$idTokenIssuerConfig.Address = $xmlData.Address
return $idTokenIssuerConfig
}

function Create-CertificateAuthorityConfiguration()
{
Param
(
[ValidateNotNull()]
$xmlData
)

# CertificateAuthorityConfiguration
$certAuthorityConfig = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Configuration.CertificateAuthorityConfiguration
$certAuthorityConfig.Mode.Value =
[Microsoft.IdentityServer.PolicyModel.Configuration.CertificateAuthorityMode] $xmlData.ModeValue
$certAuthorityConfig.GenerationThresholdInMinutes = $xmlData.GenerationThresholdInMinutes
$certAuthorityConfig.PromotionThresholdInMinutes = $xmlData.PromotionThresholdInMinutes
$certAuthorityConfig.CertificateLifetimeInMinutes = $xmlData.CertificateLifetimeInMinutes
$certAuthorityConfig.RolloverIntervalInMinutes = $xmlData.RolloverIntervalInMinutes
$certAuthorityConfig.CriticalThresholdInMinutes = $xmlData.CriticalThresholdInMinutes

# Create Cert reference


if ($xmlData.PrimaryIssuerCertificate.IsEmpty -ne $true)
{
$certReference = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Configuration.CertificateReference
$certReference.IsChainIncluded = Create-BoolFromString($xmlData.PrimaryIssuerCertificate.IsChainIncluded)
$certReference.IsChainIncludedSpecified = Create-
BoolFromString($xmlData.PrimaryIssuerCertificate.IsChainIncludedSpecified)
$certReference.FindValue = $xmlData.PrimaryIssuerCertificate.FindValue
$certReference.RawCertificate = $xmlData.PrimaryIssuerCertificate.RawCertificate
$certReference.EncryptedPfx = $xmlData.PrimaryIssuerCertificate.EncryptedPfx
$certReference.StoreName.Value = [System.Security.Cryptography.X509Certificates.StoreName]
$xmlData.PrimaryIssuerCertificate.StoreNameValue
$certReference.StoreLocation.Value = [System.Security.Cryptography.X509Certificates.StoreLocation]
$xmlData.PrimaryIssuerCertificate.StoreLocationValue
$certReference.X509FindType.Value = [System.Security.Cryptography.X509Certificates.X509FindType]
$xmlData.PrimaryIssuerCertificate.X509FindTypeValue
$certAuthorityConfig.PrimaryIssuerCertificate = $certReference
}

if ($xmlData.QueuedIssuerCertificate.IsEmpty -ne $true){


# Create PromotionCert
$promotionCert = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Configuration.PromotionCertificate
$promotionCert.ObjectId = $xmlData.QueuedIssuerCertificate.ObjectId
$certAuthorityConfig.QueuedIssuerCertificate = $promotionCert
}

$certAuthorityConfig.CriticalThresholdInMinutes = $xmlData.CriticalThresholdInMinutes

if ($xmlData.CertificateAuthority.IsEmpty -ne $true){


$certAuthorityConfig.CertificateAuthority = $xmlData.CertificateAuthority
}

if ($xmlData.EnrollmentAgentCertificateTemplateName.IsEmpty -ne $true)


{
$certAuthorityConfig.EnrollmentAgentCertificateTemplateName =
$xmlData.EnrollmentAgentCertificateTemplateName
}

if ($xmlData.LogonCertificateTemplateName.IsEmpty -ne $true)


{
$certAuthorityConfig.LogonCertificateTemplateName = $xmlData.LogonCertificateTemplateName
}

if ($xmlData.VPNCertificateTemplateName.IsEmpty -ne $true)


{
$certAuthorityConfig.VPNCertificateTemplateName = $xmlData.VPNCertificateTemplateName
}

if ($xmlData.WindowsHelloCertificateTemplateName.IsEmpty -ne $true)


{
$certAuthorityConfig.WindowsHelloCertificateTemplateName = $xmlData.WindowsHelloCertificateTemplateName
}

$certAuthorityConfig.AutoEnrollEnabled = Create-BoolFromString($xmlData.AutoEnrollEnabled)
$certAuthorityConfig.WindowsHelloCertificateProxyEnabled = Create-
BoolFromString($xmlData.WindowsHelloCertificateProxyEnabled)

return $certAuthorityConfig
}
}

function Create-OAuthClientAuthenticationMethods()
{
Param
(
[ValidateNotNull()]
$xmlData
)

# OAuthClientAuthenticationMethods
return 15
}

function Create-BoolFromString()
{
Param
(
[ValidateNotNull()]
$xmlData
)

if ($xmlData -eq $null -or $xmlData.ToLower() -eq "false")


{
return 0
}else{
return 1
}
}

function Get-ObjectFromElement()
{
Param
(
[Parameter(Mandatory = $true, HelpMessage="Settings object fetched from Get-AdfsInternalSettings")]
[ValidateNotNull()]
$xmlData,
[Parameter(Mandatory = $true, HelpMessage="Settings object fetched from Get-AdfsInternalSettings")]
[ValidateNotNull()]
$elementName
)

$endpointConfigs = "DeviceRegistrationEndpoint", "OAuthJwksEndpoint", "OAuthDiscoveryEndpoint",


"WebFingerEndpoint", "CertificateAuthorityCrlEndpoint", "UserInfoEndpoint"
# Microsoft.IdentityServer.PolicyModel.Configuration.EndpointConfiguration

$clientSecretSettings = "ClientSecretSettings"
# Microsoft.IdentityServer.PolicyModel.Client.ClientSecretSettings

$oauthClientAuthMethod = "OAuthClientAuthenticationMethods"
# Microsoft.IdentityServer.PolicyModel.Configuration.ClientAuthenticationMethod

$certAuthorityConfig = "CertificateAuthorityConfiguration"
# Microsoft.IdentityServer.PolicyModel.Configuration.CertificateAuthorityConfiguration

$idTokenIssuer = "IdTokenIssuer"
# Microsoft.IdentityServer.PolicyModel.Configuration.IdTokenIssuerConfiguration

$boolObjs = "EnableIdPInitiatedSignonPage", "IgnoreTokenBinding", "EnableOauthLogout"

$basicObjs = "DeviceUsageWindowInSeconds", "MaxLdapUserNameLength", "FarmBehaviorMinorVersion",


"PromptLoginFederation", "PromptLoginFallbackAuthenticationType"

if ($endpointConfigs.Contains($elementName))
{
return Create-EndpointConfiguration($xmlData)
}elseif ($clientSecretSettings.Contains($elementName))
{
return Create-ClientSecretSettings($xmlData)
return Create-ClientSecretSettings($xmlData)
}elseif ($oauthClientAuthMethod.Contains($elementName))
{
return Create-OAuthClientAuthenticationMethods($xmlData)
}elseif ($certAuthorityConfig.Contains($elementName))
{
return Create-CertificateAuthorityConfiguration($xmlData)
}elseif ($idTokenIssuer.Contains($elementName))
{
return Create-IdTokenIssuer($xmlData)
}elseif ($boolObjs.Contains($elementName))
{
return Create-BoolFromString($xmlData)
}else{
return $xmlData
}
}

$role = (Get-AdfsSyncProperties).Role
if($role -ne "PrimaryComputer")
{
Write-Host "This script must execute on the primary node in the AD FS farm. Cannot continue."
exit
}

Add-Type -Path ('C:\\Windows\\ADFS\\Microsoft.IdentityServer.dll')


$script:originalPath = $null

# Get the XML of the Service Settings blob, and look for duplicate elements
$xmlData = Get-ADFSXMLServiceSettings($true)
$dataObj = Get-AdfsInternalSettings

if($dataObj.SecurityTokenService.DeviceRegistrationEndpoint.Length -ne 1)
{
if(($xmlData.ServiceSettingsData.SecurityTokenService | Select-Object
"DeviceRegistrationEndpoint").DeviceRegistrationEndpoint.IsEmpty[0] -ne $True)
{
# In this case, the service settings object is showing an issue, but the XML data is not.
# This is possible in the case that the sequence of KB applications has occurred, but no Service Settings
write oparation
# has occured.
# To handle this, we will prompt the user to allow us to throttle a Service Setting to force a write
operation

# Do a no-op service settings action so that the duplicates are populated in the database (if issue exists)
$message = "Confirmation required"
$question = "To ensure data detection is possible, we need to perform an AD FS Properties operation. `nIf
you continue, this script will add 1 minute to the value of 'ProxyTrustTokenLifetime', and then the value of
'ProxyTrustTokenLifetime' will be returned to its original setting. `nIf you wish to make a Set-
AdfsProperties operation yourself, answer 'No', and perform the operation yourself. `n`nAre you sure you
want to proceed?"

$choices = New-Object Collections.ObjectModel.Collection[Management.Automation.Host.ChoiceDescription]


$choices.Add((New-Object Management.Automation.Host.ChoiceDescription -ArgumentList '&Yes'))
$choices.Add((New-Object Management.Automation.Host.ChoiceDescription -ArgumentList '&No'))

$decision = $Host.UI.PromptForChoice($message, $question, $choices, 1)

if ($decision -eq 0) {
$prop = Get-AdfsProperties
$original = $prop.ProxyTrustTokenLifetime
Set-AdfsProperties -ProxyTrustTokenLifetime ($original + 1)
Set-AdfsProperties -ProxyTrustTokenLifetime $original

# Refresh the XML and data obj


$xmlData = Get-ADFSXMLServiceSettings($false)
$dataObj = Get-AdfsInternalSettings
}else{
Write-Host "We did not perform a service settings operation. Please make some service settings change by
performing a Set-AdfsProperties command, and try the script again."
performing a Set-AdfsProperties command, and try the script again."
}
}
}

if(($xmlData.ServiceSettingsData.SecurityTokenService | Select-Object
"DeviceRegistrationEndpoint").DeviceRegistrationEndpoint.IsEmpty[0] -eq $True)
{
$possibleDuplicateElements = "DeviceRegistrationEndpoint", "DeviceUsageWindowInSeconds",
"OAuthClientAuthenticationMethods", "MaxLdapUserNameLength", "EnableIdPInitiatedSignonPage",
"ClientSecretSettings", "OAuthDiscoveryEndpoint", "OAuthJwksEndpoint", "IdTokenIssuer",
"CertificateAuthorityConfiguration", "WebFingerEndpoint", "CertificateAuthorityCrlEndpoint",
"UserInfoEndpoint", "IgnoreTokenBinding", "FarmBehaviorMinorVersion", "EnableOauthLogout",
"PromptLoginFederation", "PromptLoginFallbackAuthenticationType"

$existingDups = @()
foreach( $dup in $possibleDuplicateElements )
{
$object = $xmlData.ServiceSettingsData.SecurityTokenService | Select-Object $dup

if( $object.$dup.Count -gt 1 )


{
# We have an element with duplicate values
# Take the last one in the list
$newObj = $object.$dup[$object.$dup.Count - 1]

$savableObj = Get-ObjectFromElement -xmlData $newObj -elementName $dup

$existingDups += $dup

$dataObj.SecurityTokenService.$dup = $savableObj
}
}

# Write the modified Service Settings data object back to the database
if($existingDups.Count -gt 0)
{
$filename = "modified_serviceSettingsXml_$(get-date -f yyyy-MM-dd-hh-mm-ss).xml"
$modifiedData = Get-DataContractSerializedString -object $dataObj
Write-XmlIndent([xml]$modifiedData) | Out-File $filename
Write-Host "Modifed XML saved to: $filename"

$message = "Confirmation required"


$question = "We have located duplicate data in Service Settings, and need to make a modification to the
configuration database. `nIf you continue, the values of some elements will be updated in your database.
`nIf you wish to see the difference, you can compare the following two files from the working directory:
`n`n$script:originalPath `n$filename `n`nAre you sure you want to proceed?"

$choices = New-Object Collections.ObjectModel.Collection[Management.Automation.Host.ChoiceDescription]


$choices.Add((New-Object Management.Automation.Host.ChoiceDescription -ArgumentList '&Yes'))
$choices.Add((New-Object Management.Automation.Host.ChoiceDescription -ArgumentList '&No'))

$decision = $Host.UI.PromptForChoice($message, $question, $choices, 1)


if ($decision -eq 0) {
Write-Host "Performing update to Service Settings"
Set-AdfsInternalSettings -InternalSettings $dataObj
Write-Host "Updated Service Settings`n`n"

Write-Host "The following elements in the service settings data were modified:`n"
foreach($d in $existingDups)
{
Write-Host $d
}

Write-Host "`nAll nodes in this farm should be restarted. This script will attempt to restart the current
node, but no other nodes."
Write-Host "Please manually restart all nodes in your AD FS farm.`n`n"

$message = "Confirmation required"


$question = "An AD FS Service restart is required. Proceed with restart?"
$question = "An AD FS Service restart is required. Proceed with restart?"

$choices = New-Object Collections.ObjectModel.Collection[Management.Automation.Host.ChoiceDescription]


$choices.Add((New-Object Management.Automation.Host.ChoiceDescription -ArgumentList '&Yes'))
$choices.Add((New-Object Management.Automation.Host.ChoiceDescription -ArgumentList '&No'))

$decision2 = $Host.UI.PromptForChoice($message, $question, $choices, 1)

if($decision2 -eq 0){


Write-Host "Stopping AD FS"
net stop adfssrv

Write-Host "Starting AD FS"


net start adfssrv
}else{
Write-Host "You chose not to restart AD FS. Please manually restart AD FS to allow the changes to take
effect."
}
} else {
Write-Host "Cancelling"
}
}else{
Write-Host "No Operations Needed"
}

}else
{
Write-Host "No issues detected. Terminating script."
}
Erreur de certificat ADFS 2.0 : une erreur s’est
produite lors d’une tentative de construction de la
chaîne de certificats
22/09/2022 • 11 minutes to read

Cet article permet de corriger l’erreur de certificat ADFS 2.0 lors d’une tentative de construction de la chaîne de
certificats.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 3044974

Résumé
La plupart des problèmes liés aux services fédérés Active Directory (AD FS) 2.0 appartiennent à l’une des
principales catégories suivantes. Cet article contient des instructions pas à pas pour résoudre les problèmes de
certificat.
Problèmes de connectivité (KB 3044971)
Problèmes de service ADFS (KB 3044973)
Problèmes de certificat (KB 3044974)
Problèmes d’authentification (KB 3044976)
Problèmes liés aux règles de revendication (KB 3044977)

Symptômes
Ce problème démarre après la changement ou le remplacement d’un certificat AD FS.
Le programme cesse d’accepter le jeton émis par AD FS.
AD FS renvoie l’une des erreurs suivantes lorsqu’il reçoit une demande ou une réponse signée, ou s’il
tente de chiffrer un jeton à émettre à une application de partie de confiance :
ID d’événement 316
Une erreur s’est produite lors d’une tentative de construction de la chaîne de certificats pour le
certificat de signature d’autorisation de partie de confiance.
ID d’événement 315
Une erreur s’est produite lors d’une tentative de construction de la chaîne de certificats pour le
certificat de signature de confiance du fournisseur de revendications.
ID d’événement 317
Une erreur s’est produite lors d’une tentative de construction de la chaîne de certificats pour le
certificat de chiffrement d’une confiance de partie de confiance.
Les ID d’événement liés aux certificats suivants sont consignés dans le journal des événements AD FS :
ID d’événement 133
Description : lors du traitement de la configuration du service de fédération, l’élément «
serviceIdentityToken » a été trouvé pour avoir des données non valides. Impossible d’accéder à la clé
privée du certificat configuré. Les valeurs de certificate:Element: serviceIdentityToken sont les
suivantes :
ID d’événement 385
AD FS 2.0 a détecté qu’un ou plusieurs certificats de la base de données de configuration AD FS 2.0
ont besoin d’être mis à jour manuellement.
ID d’événement 381
Une erreur s’est produite lors d’une tentative de construction de la chaîne de certificats pour le
certificat de configuration.
ID d’événement 102
Une erreur s’est produite lors de l’activation des points de terminaison du service de fédération.
Données supplémentaires
Détails de l’exception :
System.ArgumentNullException : la valeur ne peut pas être null.
Nom du paramètre : certificat
ID d’événement : 387
AD FS 2.0 a détecté qu’un ou plusieurs des certificats spécifiés dans le service de fédération n’étaient
pas accessibles au compte de service utilisé par le service Windows AD FS 2.0.
Action de l’utilisateur : assurez-vous que le compte de service AD FS dispose des autorisations de
lecture sur les clés privées du certificat.
Détails supplémentaires :
Certificat de signature de jetons avec empreinte numérique « xxxxxxxx »

Résolution
Pour résoudre ce problème, suivez ces étapes dans l’ordre donné. Ces étapes vous aideront à déterminer la
cause du problème. Veillez à vérifier si le problème est résolu après chaque étape.
Étape 1 : Vérifier les clés privées
Vérifiez si tous les certificats AD FS (communications de service, déchiffrement du jeton et signature de jetons)
sont valides et qu’une clé privée leur est associée. Assurez-vous également que le certificat est dans sa période
de validité.

Où trouver les certificats


Pour les certificats de communications de service :
1. Sur le serveur AD FS, cliquez sur Démarrer, cliquez sur Exécuter, tapez MMC.exe, puis appuyez sur
Entrée.
2. Dans la boîte de dialogue Ajouter/Supprimer un logiciel en snap-in, cliquez sur OK.
3. Dans l’écran du logiciel en ligne Certificats, cliquez sur le magasin de certificats du compte
d’ordinateur.

4. Pour afficher les propriétés du certificat de communications de service, développez Cer tificat
(ordinateur local), développez Personnel, puis cliquez sur Cer tificats .
Pour les certificats de signature et de déchiffrement de jetons :
Si les certificats sont des certificats auto-signés ajoutés par défaut par le serveur ADFS, logonez-vous
de manière interactive sur le serveur ADFS à l’aide du compte de service ADFS et vérifiez le magasin
de certificats de l’utilisateur (certmgr.msc).
Si le certificat est issu d’une autorité de certification (CA), configurée par les administrateurs ADFS
après la désactivation de l’autoCertificateRollover, vous devriez être en mesure de le trouver sous le
magasin de certificats du serveur ADFS.
Étape 2 : Assurez-vous que les certificats n’utilisent pas de clé privée Cryptographic Next Generation (CNG )
Les certificats qui utilisent la clé privée CNG ne sont pas pris en charge pour la signature de jetons et le
déchiffrement du jeton. Si AD FS a généré le certificat auto-signé, ce certificat n’utilise pas CNG. Pour un
certificat émis par une ca, assurez-vous que le certificat n’est pas basé sur CNG. Pour ce faire, suivez les étapes
suivantes : si le modèle d’ac utilise l’un des fournisseurs de services de chiffrement répertoriés, le certificat émis
par cette cae n’est pas pris en charge par le serveur AD FS.
Pour plus d’informations, voir Comment déterminer si un certificat utilise une clé CAPI1 ou CNG.
Étape 3 : Vérifier si la liaison SSL des certificats de communication de service dans IIS est liée au port 443
Comment vérifier et corriger
1. Démarrez le Gestionnaire des iis. Pour ce faire, cliquez sur Démarrer, sur Outils d’administration, puis
sur Internet Information Services (IIS).
2. Cliquez sur le nom du serveur, puis développez le dossier Sites.
3. Recherchez votre site web (généralement, il est appelé « Site Web par défaut ») et sélectionnez-le.
4. Dans le menu Actions sur le côté droit, cliquez sur Liaisons. Assurez-vous que le type d’appel d’offres
https est lié au port 443. Dans le cas contraire, cliquez sur Modifier pour modifier le port.
Étape 4 : vérifiez que le certificat de communication de service est valide, approuvé et qu’il passe un contrôle
de révocation
Voici comment vérifier
1. Ouvrez AD FS 2.0 Management.
2. Développez le ser vice, cliquez sur Cer tificat, cliquez avec le bouton droit sur le certificat de
communications de service, puis cliquez sur Afficher le cer tificat.
3. Dans le volet d’informations, cliquez sur Copier dans le fichier et enregistrez le fichier sous le nom
filename.cer.
4. À l’invite de commandes, exécutez la commande suivante pour déterminer si le certificat de
communication de service est valide :

Run 'Certutil -verify -urlfetch certificate.CER > cert_cerification.txt'

5. Ouvrez le fichier de sortie créé au-dessus de « cert_verification.txt ».


6. Go to the end of the file, and check whether it includes the following for a successful revocation test:

Vérification de révocation de certificat feuilles


CertUtil: -verify command completed successfully.

7. Si le fichier indique que les vérifications de révocation ont échoué ou que le serveur de révocation était
hors connexion, vérifiez le journal pour déterminer quel certificat de la chaîne de certificats n’a pas pu
être vérifié.
Vérifiez si un chemin AIA ou CDP a échoué. Dans un scénario dans lequel plusieurs chemins d’accès sont
spécifiés sous un seul type de fichier, les deux chemins doivent être marqués comme vérifiés.

---------------- certificat AIA ----------------


Durée vérifiée « Certificat (0) » : 0
[0.0] http://www.contoso.com/pki/mswww(6).crt
Failed « AIA » Time: 0
Erreur lors de la récupération de l’URL : le nom ou l’adresse du serveur n’a pas pu être résolu
0x80072ee7 (WIN32 : 12007)
http://corppki/aia/mswww(6).crt

---------------- certificat CDP ----------------


Durée vérifiée « CRL de base (5a) » : 0
[0.0] http://mscrl.contoso.com/pki/crl/mswww(6).crl
Durée vérifiée « CRL de base (5a) » : 0
[1.0] http://crl.contoso.com/pki/crl/mswww(6).crl
Failed « CDP » Time: 0
Erreur lors de la récupération de l’URL : le nom ou l’adresse du serveur n’a pas pu être résolu
0x80072ee7 (WIN32 : 12007)
http://corppki/crl/mswww(6).crl

La collecte d’un suivi réseau peut être utile si l’un des chemins d’accès AIA, CDP ou OCSP n’est pas
disponible.
8. Si l’entrée du journal indique que le certificat est révoqué, vous devez demander un autre certificat valide
et non révoqué.
Étape 5 : Assurez-vous que les comptes de service ADFS disposent de l’autorisation lecture pour la clé privée
des certificats ADFS
Vérifier l’autorisation de lecture
1. Sur le serveur AD FS, cliquez sur Démarrer, cliquez sur Exécuter, entrez MMC.exe, puis appuyez sur
Entrée.
2. Dans la boîte de dialogue Ajouter/Supprimer un logiciel en snap-in, cliquez sur OK.
3. Dans la fenêtre Racine de la console, cliquez sur Cer tificats (ordinateur local) pour afficher les
magasins de certificats de l’ordinateur.
4. Cliquez avec le bouton droit sur le service AD FS, pointez sur Toutes les tâches, puis cliquez sur Gérer
les clés privées.
5. Vérifiez si le compte AD FS dispose de l’autorisation Lecture.

Étape 6 : Vérifier si la fonctionnalité AutoCertificateRollover ADFS est activée pour les certificats de signature
et de déchiffrement de jetons
Comment vérifier la fonctionnalité AutoCertificateRollover ADFS
Si AutoCertificateRollover est désactivé, les certificats de signature et de déchiffrement de jeton ne seront pas
renouvelés automatiquement. Avant l’expiration de ces certificats, assurez-vous qu’un nouveau certificat est
ajouté à la configuration AD FS. Dans le cas contraire, la partie de confiance n’aura pas confiance dans le
jeton émis par le serveur AD FS.
Si AutoCertificateRollover est activé, les nouveaux certificats de signature et de déchiffrement de jetons sont
générés 20 jours avant l’expiration des anciens certificats. Les nouveaux certificats obtiennent l’état Principal
cinq jours après leur génération. Une fois le nouvel ensemble de certificats généré, assurez-vous que les
mêmes informations sont mises à jour sur les confiances de la partie de confiance et du fournisseur de
revendications.
Pour plus d’informations sur la fonctionnalité AutoCertificateRollover AD FS, consultez les rubriques TechNet
suivantes :
AD FS 2.0 : Understanding AutoCertificateRollover Threshold Properties
AD FS 2.0 : Comment activer et utiliser immédiatement AutoCertificateRollover
AD FS 2.0 : Comment remplacer le SSL, les communications de service, la signature de jetons et Token-
Decrypting certificats
Étape 7 : Ajouter le nom du service de fédération dans le SAN du certificat
Si l’attribut SAN (Subject Alternative Name) est activé pour le certificat, le nom du service de fédération doit
également être ajouté dans le SAN du certificat, ainsi que d’autres noms. Pour plus d’informations, voir SSL
Certificate Requirements.
Étape 8 : Vérifier les autorisations du compte de service pour le conteneur de partage de certificat (CN=
<GUID> ,CN=ADFS,CN=Microsoft,CN=Program Data,DC= <Domain> ,DC= <COM> )
Comment vérifier et corriger l’autorisation du compte de service
1. Sur un contrôleur de domaine ( DC), ouvrez Adsiedit.msc.
2. Connecter au contexte d’attribution de noms par défaut.
3. Locate CN= <GUID> ,CN=ADFS,CN=Microsoft,CN=Program Data,DC= <Domain> ,DC=
<COM> .

NOTE
Dans ce nom de conteneur, les paramètres entre crochets représentent les valeurs réelles. Un exemple de GUID
est « 62b8a5cb-5d16-4b13-b616-06caea706ada ».

4. Cliquez avec le bouton droit sur le GUID, puis cliquez sur Propriétés. S’il existe plusieurs GUID, suivez les
étapes suivantes :
a. Démarrez Windows PowerShell sur le serveur qui exécute le service AD FS.
b. Exécutez la commande suivante :

Add-PSSnapin microsoft.adfs.powershellGet-ADFSProperties

c. Recherchez le GUID du service AD FS en cours d’exécution sous Cer tificateShareingContainer .


5. Assurez-vous que le compte de service ADFS dispose des autorisations Lecture, Écriture et « Créer tous
les objets enfants » accordées à cet objet et à tous les descendants.
Étape 9 : Vérifier les fournisseurs de revendications et les parties de confiance pour les mises à jour de
certificats
Si les certificats de signature et de déchiffrement de jetons ont changé, assurez-vous que les fournisseurs de
revendications et les parties de confiance sont mis à jour pour avoir les nouveaux certificats. Si les fournisseurs
de revendications et les parties de confiance ne sont pas mis à jour, ils ne peuvent pas faire confiance au service
AD FS.
Une fois la modification réalisée, partagez le Federationmetadata.xml avec le fournisseur de revendications et
la partie de confiance.
Le fournisseur de revendications et la partie de confiance peuvent exiger uniquement que les nouveaux
certificats de signature de jetons et de déchiffrement de jetons (sans clé privée) soient mis à jour dans
l’autorisation de fédération à leur fin.
Étape 10 : Recherchez une demande signée et une réponse du fournisseur de revendications ou de la partie
de confiance
La demande et la réponse signées peuvent être reçues par le serveur AD FS du fournisseur de revendications ou
de la partie de confiance. Dans ce scénario, le serveur AD FS peut vérifier la validité du certificat utilisé pour la
signature et échouer. AD FS vérifie également la validité du certificat lié à la partie de confiance utilisée pour
envoyer un jeton chiffré au serveur AD FS.
Scénarios
AD FS 2.0 reçoit une demande SAML-P signée envoyée par une partie de confiance.

NOTE
L’utilisation de la signature des demandes de signature est une option configurable. Pour définir cette exigence
pour une confiance de partie de confiance, utilisez le paramètre RequireSignedSamlRequests avec la cmdlet
Set-ADFSRelyingPartyTrust de confiance.

AD FS 2.0 reçoit une demande de signature SAML signée de la partie de confiance. Dans ce scénario, la
demande de signature doit être signée.
AD FS 2.0 reçoit une demande de connexion d’un fournisseur de revendications et chiffre une demande
de connexion pour la partie de confiance. Dans ce scénario, le fournisseur de revendications initie la
signature.
AD FS 2.0 émettra un jeton chiffré pour une partie de confiance.
AD FS 2.0 reçoit un jeton émis par un fournisseur de revendications.
AD FS 2.0 reçoit une demande de signature SAML signée d’un fournisseur de revendications. Dans ce
scénario, la demande de signature doit être signée.
Ce qu’il faut vérifier pour résoudre le problème
Assurez-vous que le certificat de signature de l’trust du fournisseur de revendications est valide et qu’il
n’a pas été révoqué.
Assurez-vous qu’AD FS 2.0 peut accéder à la liste de révocation de certificats si le paramètre de
révocation ne spécifie pas de paramètre « aucun » ou « cache uniquement ».

NOTE
Vous pouvez utiliser Windows PowerShell cmdlets pour AD FS 2.0 pour configurer les paramètres de révocation
suivants :
Paramètre SigningCer tificateRevocationCheck de la cmdlet Set-ADFSClaimsProviderTrust ou Set-
ADFSRelyingPartyTrust
Paramètre Encr yptionCer tificateRevocationCheck de la cmdlet Set-ADFSRelyingPartyTrust ou Set-
ADFSClaimsProviderTrust

Pour plus d’informations, voir Troubleshooting certificate problems with AD FS 2.0.


Erreur ADFS 2.0 : 401 La ressource demandée
requiert l’authentification de l’utilisateur
22/09/2022 • 8 minutes to read

Cet article traite d’un problème dans lequel vous êtes invité à obtenir des informations d’identification et où
l’événement 111 est enregistré lorsque vous authentifier un compte dans Active Directory Federation Services
(AD FS) 2.0.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 3044976

Résumé
La plupart des problèmes liés aux services fédérés Active Directory (AD FS) 2.0 appartiennent à l’une des
principales catégories suivantes. Cet article contient des instructions pas à pas pour résoudre les problèmes
d’authentification.
Problèmes de connectivité (KB 3044971)
Problèmes de service ADFS (KB 3044973)
Problèmes de certificat (KB 3044974)
Problèmes d’authentification (KB 3044976)
Problèmes liés aux règles de revendication (KB 3044977)

Symptômes
Lorsque vous essayez d’authentifier un compte dans Active Directory Federation Services (AD FS) 2.0, les
erreurs suivantes se produisent :
Le serveur AD FS renvoie le message d’erreur suivant :

Erreur 401 non autorisée-HTTP. La ressource demandée nécessite l’authentification de l’utilisateur.

Sur un écran de connexion basé sur un formulaire, le serveur renvoie le message d’erreur suivant :

Le nom d’utilisateur ou le mot de passe est incorrect.

Vous êtes continuellement invité à obtenir des informations d’identification.


L’événement 111 est consigné dans le journal d’administration AD FS, comme suit :

Nom du journal : AD FS 2.0/Admin


ID d’événement : 111
Niveau : Error
Mots clés : AD FS
Description :
Le service de fédération a rencontré une erreur lors du traitement de WS-Trust demande.
Type de requête : http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
Détails de l’exception :
Microsoft.IdentityModel.SecurityTokenService.FailedAuthenticationException: MSIS3019 : Échec de
l’authentification. ---> System.IdentityModel.Tokens.SecurityTokenValidationException : ID4063 : Échec
d’logonUser pour l’utilisateur « user1 ». Assurez-vous que l’utilisateur dispose d’un Windows valide. -
--> System.ComponentModel.Win32Exception : échec d’accès : nom d’utilisateur inconnu ou mot de
passe incorrect

Résolution
Pour résoudre ce problème, suivez ces étapes, dans l’ordre donné. Ces étapes vous aideront à déterminer la
cause du problème.
Étape 1 : Attribuer l’enregistrement de nom de service de fédération AD FS correct
Assurez-vous que le DNS possède un enregistrement HOST (A) pour le nom du service de fédération AD FS et
évitez d’utiliser un enregistrement CNAME. Pour plus d’informations, voir comportements d’Internet Explorer
avec l’authentification Kerberos.
Étape 2 : Vérifier l’inscription du nom du service de fédération
Recherchez le nom du service de fédération et vérifiez si le nom est enregistré sous le compte de service AD FS.
Pour cela, procédez comme suit :
1. Recherchez l’HÔTE/nom <Federation Ser vice Name> :
a. Ouvrez le Gestionnaire AD FS 2.0.
b. Cliquez avec le bouton droit sur ADFS 2.0, puis sélectionnez Modifier les propriétés du ser vice
de fédération.
c. Sous l’onglet Général, recherchez le champ Nom du service de fédération pour voir le nom.

2. Vérifiez si host/name est inscrit sous le compte de <Federation Ser vice Name> service AD FS :
a. Ouvrez le logiciel en snap-in Gestion. Pour ce faire, cliquez sur Démarrer, sur Tous les
programmes, sur Outils d’administration, puis sur Ser vices.
b. Double-cliquez sur AD FS (2.0) Windows Ser vice.
c. Sous l’onglet Connexion, notez le compte de service qui s’affiche dans le champ Ce compte.
d. Cliquez sur Démarrer , sur Tous les programmes , puis sur Accessoires , cliquez avec le bouton
droit sur Invite de commandes , puis cliquez sur Exécuter en tant qu’administrateur .
e. Exécutez la commande suivante :

SETSPN -L domain\<ADFS Service Account>

Si le nom du service de fédération n’existe pas encore, exécutez la commande suivante pour ajouter le nom
principal de service (SPN) au compte AD FS :

SetSPN -a host/<Federation service name> <username of service account>

Étape 3 : Recherchez les SNS en double


Vérifiez qu’il n’existe aucun nom de domaine complet en double pour le nom du compte AD FS. Pour cela,
procédez comme suit :
1. Cliquez sur Démarrer , sur Tous les programmes , puis sur Accessoires , cliquez avec le bouton droit
sur Invite de commandes , puis cliquez sur Exécuter en tant qu’administrateur .
2. Exécutez la commande suivante pour vous assurer qu’il n’existe aucun nom de domaine complet en
double pour le nom du compte AD FS :

SETSPN -X -F

Étape 4 : Vérifier si le navigateur utilise l’authentification Windows intégrée


Assurez-vous que le navigateur Internet Explorer que vous utilisez est configuré pour utiliser
Windows’authentification intégrée. Pour ce faire, démarrez Internet Explorer, cliquez sur Paramètres, sur
Options Internet, sur Avancé, puis sur Activer l’authentification IntegratedWindows .
Étape 5 : Vérifier le type d’authentification
Assurez-vous que le type d’authentification par défaut sur le serveur AD FS est configuré correctement. Pour
cela, procédez comme suit :
1. Dans Windows’explorateur, accédez à C:\inetpub\adfs\ls (cela suppose qu’inetpub se trouve sur le lecteur C).
2. Recherchez Web.config, puis ouvrez le fichier dans Bloc-notes.
3. Dans le fichier, recherchez (Ctrl+F). <localAuthenticationTypes>
4. Sous <localAuthenticationTypes> , recherchez les quatre lignes qui représentent les types
d’authentification locaux.
5. Sélectionnez et supprimez votre type d’authentification local préféré (ligne entière). Ensuite, collez la ligne en
haut de la liste (sous <localAuthenticationTypes> ).
6. Enregistrez et fermez le fichier web.config.
Pour plus d’informations sur le type d’authentification local, consultez la rubrique TechNet suivante :
AD FS 2.0 : Procédure de modification du type d’authentification local
Étape 6 : Vérifier les paramètres d’authentification
Assurez-vous que les répertoires virtuels AD FS sont configurés correctement pour l’authentification dans
Internet Information Services (IIS).
Dans le nœud Site Web par défaut/adfs, ouvrez le paramètre d’authentification, puis assurez-vous que
l’authentification anonyme est activée.
Dans le nœud Site Web par défaut/adfs/ls, ouvrez le paramètre d’authentification, puis assurez-vous que
l’authentification anonyme et l’authentification Windows sont activées.
Étape 7 : Vérifier les paramètres d’confiance du proxy
Si vous avez configuré un serveur proxy AD FS, vérifiez si l’confiance du proxy est renouvelée pendant les
intervalles de connexion entre les serveurs proxy AD FS et AD FS.
Le serveur proxy renouvelle automatiquement l’confiance avec le service de fédération AD FS. Si ce processus
échoue, l’événement 394 est enregistré dans l’Observateur d’événements et vous recevez le message d’erreur
suivant :

Le serveur proxy de fédération n’a pas pu renouveler son accord avec le service de fédération.

Pour résoudre ce problème, réessayez d’exécuter l’Assistant Configuration du proxy AD FS. Lorsque l’Assistant
s’exécute, assurez-vous que les mots de passe et le nom d’utilisateur de domaine valides sont utilisés. Ces
informations d’identification ne sont pas stockées sur le serveur proxy AD FS. Lorsque vous entrez des
informations d’identification pour l’Assistant Configuration de l’trust de proxy, vous avez deux possibilités.
Utilisez les informations d’identification de domaine qui ont des droits d’administration local sur les serveurs
AD FS.
Utiliser les informations d’identification du compte de service AD FS
Étape 8 : Vérifier les paramètres de protection étendue IIS
Certains navigateurs ne peuvent pas s’authentifier si la protection étendue (autrement dit, l’authentification
Windows) est activée dans IIS, comme indiqué à l’étape 5. Essayez de désactiver l’authentification Windows pour
déterminer si cela résout le problème.
Vous pouvez également voir que la protection étendue n’autorise pas l’authentification Windows lorsque le
proxy SSL est effectué par des outils tels que Fiddler ou certains équilibreurs de charge intelligents.
Par exemple : vous pouvez voir des invites d’authentification répétées si fiddler Web Debugger est en cours
d’exécution sur le client.
Pour désactiver la protection étendue de l’authentification, suivez la méthode appropriée, en fonction du type de
client.
Pour les clients passifs
Utilisez cette méthode pour les applications virtuelles « Default Web Site/adfs/ls » sur tous les serveurs de la
batterie de serveurs de fédération AD FS. Pour cela, procédez comme suit :
1. Ouvrez le Gestionnaire des iis, puis recherchez le niveau à gérer.
Pour plus d’informations sur l’ouverture du Gestionnaire des iis, voir Open IIS Manager (IIS 7).
2. Dans l’affichage des fonctionnalités, double-cliquez sur Authentification.
3. Dans la page Authentification, sélectionnez Windows’authentification.
4. Dans le volet Actions, cliquez sur Paramètres .
5. Lorsque la boîte de dialogue Paramètres avancé s’affiche, cliquez sur Off dans le menu Protection
étendue.
Pour les clients actifs
Utilisez cette méthode pour le serveur AD FS principal :
1. Démarrez Windows PowerShell.
2. Pour charger le Windows PowerShell logiciel en snap-in AD FS, exécutez la commande suivante :

Add-PsSnapIn Microsoft.Adfs.Powershell

3. Pour désactiver la protection étendue de l’authentification, exécutez la commande suivante :

Set-ADFSProperties -ExtendedProtectionTokenCheck "None"

Étape 9 : Vérifier l’état du canal sécurisé entre le serveur ADFS et les DCS
Assurez-vous que le canal sécurisé entre AD FS et les DCS est bon. Pour ce faire, exécutez la commande
suivante :

Nltest /dsgetdc:domainname

Si la réponse est autre que « réussite », vous devez résoudre les problèmes du canal sécurisé netlogon. Pour ce
faire, assurez-vous que les conditions suivantes sont vraies :
Le contrôleur de domaine (DC) est accessible
Les noms de dc peuvent être résolus
Les mots de passe sur l’ordinateur et son compte sur le site Active Directory sont synchronisés.
Étape 10 : Vérifier les goulots d’étranglement
Vérifiez si vous rencontrez des goulots d’étranglement liés à l’authentification selon le paramètre
MaxconcurrentAPI sur le serveur AD FS ou sur les DCS. Pour plus d’informations sur la vérification de ce
paramètre, consultez l’article suivant de la Base de connaissances :
Comment régler les performances pour l’authentification NTLM à l’aide du paramètre MaxConcurrentApi
Étape 11 : Vérifier si le serveur proxy ADFS rencontre une congestion
Vérifiez si le serveur proxy ADFS est en cours de limitation des connexions, car il a reçu de nombreuses
demandes ou une réponse différée du serveur AD FS. Pour plus d’informations, consultez la rubrique TechNet
suivante :
AD FS 2.x : Dépannage de l’ID d’événement du serveur proxy 230 (algorithme d’algorithme d’congestion)
Dans ce scénario, vous pouvez remarquer des échecs de connexion intermittents sur ADFS.
Étape 12 : Vérifier les paramètres d’confiance du proxy
Si vous avez configuré un serveur proxy ADFS, vérifiez si l’confiance du proxy est renouvelée pendant les
intervalles de connexion entre les serveurs proxy AD FS et AD FS.
Le serveur proxy renouvelle automatiquement l’confiance avec le service de fédération AD FS. Si ce processus
échoue, l’événement 394 est enregistré dans l’Observateur d’événements et vous recevez le message d’erreur
suivant :

Le serveur proxy de fédération n’a pas pu renouveler son accord avec le service de fédération.

Pour résoudre ce problème, réessayez d’exécuter l’Assistant Configuration du proxy AD FS. Lorsque l’Assistant
s’exécute, assurez-vous que les mots de passe et le nom d’utilisateur de domaine valides sont utilisés. Ces
informations d’identification ne sont pas stockées sur le serveur proxy AD FS.
Étape 13 : Activer l’audit ADFS avec les événements d’audit d’logo : réussite et échec
Pour plus d’informations, voir Configuring ADFS Servers for Troubleshooting.
Erreur ADFS 2.0 : Cette page ne peut pas être
affichée
22/09/2022 • 5 minutes to read

Cet article fournit une solution à une erreur lorsque vous essayez d’accéder à une application sur un site web
qui utilise AD FS 2.0.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 3044971

Résumé
La plupart des problèmes liés aux services fédérés Active Directory (AD FS) 2.0 appartiennent à l’une des
principales catégories suivantes. Cet article contient des instructions pas à pas pour résoudre les problèmes de
connectivité.
Échec du démarrage du service ADFS 2.0 (KB 3044971)
Problèmes de service ADFS (KB 3044973)
Problèmes de certificat (KB 3044974)
Problèmes d’authentification (KB 3044976)
Problèmes liés aux règles de revendication (KB 3044977)

Symptômes
Symptôme 1
Lorsque vous essayez d’accéder à une application web sur un site web qui utilise les services AD FS
(Active Directory Federation Services) 2.0, vous recevez le message d’erreur suivant :

Cette page ne peut pas être affichée.

Symptôme 2
Vous ne pouvez pas accéder à la page d' sign-on initiée par IDP et aux métadonnées AD FS suivantes :
https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml

https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx

Résolution
Pour résoudre ce problème, suivez ces étapes dans l’ordre. Ces étapes vous aideront à déterminer la cause du
problème. Veillez à vérifier si le problème est résolu après chaque étape.
Étape 1 : Vérifier si le client est redirigé vers l’URL AD FS correcte
Voici comment vérifier
1. Démarrez Internet Explorer.
2. Appuyez sur F12 pour ouvrir la fenêtre des outils de développement.
3. Sous l’onglet Réseau, sélectionnez le bouton Démarrer ou appuyez sur Démarrer la capture pour
activer la capture du trafic réseau.
4. Accédez à l’URL de l’application web.
5. Examinez les traces réseau pour voir que le client est redirigé vers l’URL du service AD FS pour
l’authentification. Assurez-vous que l’URL du service AD FS est correcte.
Dans la capture d’écran suivante, la première URL est pour l’application web et la deuxième pour le
service AD FS.

Comment corriger
Si vous êtes redirigé vers une adresse incorrecte, vous avez probablement des paramètres de fédération
AD FS incorrects dans votre application web. Vérifiez ces paramètres pour vous assurer que l’URL du
service de fédération AD FS (fournisseur de services SAML) est correcte.
Étape 2 : Vérifier si le nom du service AD FS peut être résolu en adresse IP correcte
Voici comment vérifier
Sur un ordinateur client et un serveur proxy AD FS (le cas présent), utilisez une commande ping ou
nslookup pour déterminer si le nom du service AD FS est résolu en adresse IP correcte. Utilisez les
instructions suivantes :
Intranet : le nom doit être résolu en ADRESSE IP du serveur AD FS interne ou adresse IP à charge
équilibrée du serveur AD FS (Interne).
Externe : le nom doit être résolu en adresse IP externe/publique du service AD FS. Dans ce cas, le
DNS public est utilisé pour résoudre le nom. Si vous remarquez que différentes IPS publiques sont
renvoyées à partir de différents ordinateurs pour le même nom de service AD FS, la modification
récente du DNS public n’est peut-être pas encore propagée sur tous les serveurs DNS publics dans
le monde entier. Une telle modification peut nécessiter jusqu’à 24 heures pour être répliquée.

IMPORTANT
Sur tous les serveurs AD FS, assurez-vous que les serveurs proxy AD FS peuvent résoudre le nom du
service AD FS sur l’adresse IP interne du serveur AD FS ou sur l’adresse IP à charge équilibrée du serveur
AD FS interne. La meilleure façon de le faire consiste à ajouter une entrée dans le fichier HOST sur le
serveur proxy AD FS ou à utiliser une configuration DNS fractionné dans un réseau de périmètre
(également appelé « DMZ », « zone démilitarisée » et « sous-réseau filtré »).

Exemple de commande nslookup :

Nslookup sts.contoso.com

Comment corriger
Vérifiez l’enregistrement du nom du service AD FS via le serveur DNS ou le fournisseur de services
Internet (ISP). Assurez-vous que l’adresse IP est correcte.
Étape 3 : Vérifier si le port TCP 443 sur le serveur AD FS est accessible
Voici comment vérifier
Utilisez Telnet ou PortQryUI - Interface utilisateur pour l’analyseur de port de ligne de commande
PortQry pour interroger la connectivité du port 443 sur le serveur AD FS. Assurez-vous que le port 443
est à l’écoute.
Comment corriger
Si le serveur AD FS n’est pas à l’écoute sur le port 443, suivez les étapes suivantes :
1. Assurez-vous que le service Windows AD FS 2.0 est démarré.
2. Vérifiez le Windows de pare-feu sur le serveur AD FS pour vous assurer que le port TCP 433 est
autorisé à établir des connexions.
3. Si un équilibreur de charge est utilisé avant les services AD FS, essayez de contourner le processus
d’équilibrage de charge pour vérifier qu’il ne s’agit pas de la cause du problème. (L’équilibrage de
charge est une cause courante.)
Étape 4 : Vérifiez si vous pouvez utiliser une page d’authentification initiée par IdP pour vous authentifier
auprès d’ADFS
Voici comment vérifier
Démarrez Internet Explorer, puis accédez à l’adresse web suivante. Si vous recevez un avertissement de
certificat lorsque vous essayez d’ouvrir cette page, sélectionnez Continuer.
http:// <YourADFSServiceName> /adfs/ls/idpinitiatedsignon.aspx

NOTE
Dans cette URL, représente le nom réel du <YourADFSServiceName> service AD FS.

En règle générale, vous accédez à un écran de connexion, puis vous pouvez vous connectez à l’aide de vos
informations d’identification.

Comment corriger
Si vous pouvez réussir les étapes 1 à 3, mais que vous ne pouvez toujours pas accéder à l’application
web, suivez les étapes suivantes :
1. Utilisez un autre ordinateur client et un autre navigateur pour les tests. Il peut y avoir un problème qui
affecte le client.
2. Pour résoudre les problèmes avancés suivants, vous pouvez :
3. Collectez les informations de suivi et de capture réseau du débogger Web Fiddler pendant que vous
accédez à la IDPInitiatedsignon page. Pour plus d’informations, voir AD FS 2.0: How to Use Fiddler
Web Debugger to Analyze a WS-Federation Passive Sign-In.
4. Collectez les suivis réseau à partir de l’ordinateur client pour vérifier si l’accord SSL s’est correctement
terminé, s’il existe un message chiffré, si vous accédez à l’adresse IP correcte, etc. Pour plus
d’informations, voir Comment activer la journalisation des événements Schannel dans Windows et
Windows Server.
Exclusion de responsabilité de tiers
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de
Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces
produits.
Le démarrage du service AD FS 2.0 échoue
22/09/2022 • 7 minutes to read

Cet article fournit les étapes de résolution des problèmes de configuration et de démarrage du service ADFS.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 3044973

Résumé
La plupart des problèmes ADFS 2.0 appartiennent à l’une des principales catégories suivantes. Cet article
contient les instructions pas à pas pour résoudre les problèmes de service ADFS.
Problèmes de connectivité
Problèmes de service ADFS (KB 3044973)
Problèmes liés aux certificats
Problèmes d’authentification
Problèmes liés aux règles de revendication

Symptômes
Le service AD FS ne démarre pas.
Le service AD FS démarre, mais les erreurs suivantes sont consignées dans le journal d’administration AD
FS après un redémarrage :
ID d’événement : 220
La configuration du service FS n’a pas pu être chargée correctement à partir de la base de données de
configuration AD FS.
ID d’événement : 352
Une SQL Server de configuration AD FS avec la chaîne de connexion %1 a échoué.
ID d’événement : 102
Une erreur s’est produite lors de l’activation des points de terminaison du service de fédération.

Résolution
Pour résoudre ce problème, suivez ces étapes, dans l’ordre donné. Ces étapes vous aideront à déterminer la
cause du problème. Veillez à vérifier si le problème est résolu après chaque étape.
Étape 1 : Vérifier si le service AD FS a un temps d’attente au démarrage
Si le service AD FS n’est plus à l’issue de sa tentative de démarrage, vous recevez le message d’erreur suivant :

Le service n’a pas répondu à la demande de démarrage ou de contrôle en temps voulu.

Corriger les temps de service AD FS


Modifiez les données de valeur pour la valeur DWORD Ser vicesPipeTimeout sur 60000 dans la clé de
contrôle. Pour cela, procédez comme suit :
1. Sur le serveur AD FS, ouvrez l’Éditeur du Registre.
2. Recherchez, puis cliquez sur la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

3. Cliquez sur la sous-clé Contrôle.


4. Cliquez avec le bouton droit sur la valeur DWORD Ser vicesPipeTimeout, puis cliquez sur Modifier. S’il
n’existe aucune valeur Ser vicesPipeTimeout, créez-la.
5. Cliquez sur Décimal .
6. Tapez 60000, puis cliquez sur OK. Pour plus d’informations sur cette erreur de délai d’erreur, voir AD FS
2.0 :Le service ne parvient pas à démarrer : « Le service n’a pas répondu à la demande de démarrage ou
de contrôle en temps voulu ».
Étape 2 : Vérifier si la base de données de configuration AD FS est en cours d’exécution
Si vous utilisez Base de données interne Windows (WID) comme base de données de configuration AD
FS, ouvrez services.msc et vérifiez si le service Base de données interne Windows est en cours
d’exécution.
Si vous utilisez le service SQL Server comme base de données de configuration AD FS, ouvrez
services.msc. Vérifiez si le service SQL Server est en cours d’exécution. Vous pouvez également créer un
fichier Test.udl et remplir la chaîne de connexion pour tester la connectivité Microsoft SQL Server.
Comment corriger
Ouvrez Services.msc, puis démarrez le service Base de données interne Windows service ou SQL Server service.
Pour un serveur AD FS qui utilise SQL Server comme base de données de configuration, vous devez également
vérifier deux paramètres de sécurité, comme suit :
1. Connecter le serveur qui s’exécute SQL Server à l’aide de SQL Management Studio.
2. Vérifiez si l’identité du service Windows AD FS 2.0 existe sur la console SQL Server sur le nœud >
Connexions de sécurité. Si ce n’est pas le cas, ajoutez-le.
3. Vérifiez si l’identité du service Windows AD FS 2.0 existe sous > Databases AdfsConfiguration
Security Users et qu’il possède le schéma > > IdentitySer verPolicy. Si ce n’est pas le cas, ajoutez-le.
Étape 3 : Vérifier le compte de service AD FS
1. Vérifiez si le service AD FS et le service AppPool IIS sont en cours d’exécution sous un compte de service
valide. Si vous avez modifié le mot de passe du compte de service, assurez-vous que le nouveau mot de
passe est mis à jour dans le service AD FS et dans iiS AppPool.
a. Ouvrez Services.msc, cliquez avec le bouton droit sur AD FS 2.0 Ser vice, puis cliquez sur
Propriétés. Sous l’onglet Connexion, assurez-vous que le nouveau compte de service AD FS
est répertorié dans la zone Ce compte.
b. Ouvrez le Gestionnaire des iis, accédez aux pools d’applications, cliquez avec le bouton droit sur
ADFSAppPool, puis cliquez sur Advanced Paramètres . Dans la section Modèle de processus,
assurez-vous que le nouveau compte de service AD FS est répertorié en tant qu’identité.
2. Vérifiez si le compte de service dispose d’autorisations suffisantes dans la base de données AD FS. Vous
devez être préoccupé par l’autorisation si vous avez modifié le compte de service sous le service ADFS en
cours d’exécution.
Si vous utilisez SQL Server serveur de configuration, suivez les étapes suivantes pour réinitialiser
l’autorisation pour le compte de service :
a. À l’invite de commandes, exécutez la commande suivante :
fsconfig.exe /CreateSQLScripts /ServiceAccount <ADFS service account> /ScriptDestinationFolder
<path to create scripts>

b. Copiez le script que vous avez créé sur le serveur qui exécute SQL Server.
c. Exécutez le script sur le serveur.
3. Vérifiez si le compte de service dispose d’autorisations de lecture et de modification sur le conteneur de
partage de certificats (CN= <GUID> ,CN=ADFS,CN=Microsoft,CN=Program Data,DC=
<Domain> ,DC= <COM> ).
a. Sur un contrôleur de domaine, ouvrez ADSIEDIT.msc.
b. Connecter au contexte d’attribution de noms par défaut.
c. Accédez à CN= <GUID> ,CN=ADFS,CN=Microsoft,CN=Program Data,DC= <Domain>
,DC= <COM> . Un exemple de GUID est 62b8a5cb-5d16-4b13-b616-06caea706ada.
d. Cliquez avec le bouton droit sur le GUID, puis cliquez sur Propriétés. S’il existe plusieurs GUID,
suivez ces étapes pour trouver le GUID du serveur qui exécute le service AD FS.
a. Sur le serveur qui exécute le service AD FS, démarrez Windows PowerShell.
b. Exécutez les commandes suivantes :

Add-PSSnapin microsoft.adfs.powershell

Get-ADFSProperties

c. Le GUID est répertorié sous Cer tificateShareingContainer .


4. Vérifiez si le nouveau compte de service dispose de l’autorisation Lecture sur la clé privée du certificat de
communication du service AD FS.
a. Créez une console MMC (Microsoft Management Console) à l’aide du logiciel en ligne Certificats qui
cible le magasin de certificats de l’ordinateur local.
b. Développez la MMC, puis sélectionnez Gérer les clés privées.
c. Sous l’onglet Sécurité, ajoutez le compte de service AD FS et accordez l’autorisation lecture à ce
compte.
5. Vérifiez si l’hôte AD FS Service Principal (SPN) HOST/ADFSServiceName a été ajouté sous le compte de
service et a été supprimé du compte précédent (au cas où le compte de service changerait).
a. Cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant
qu’administrateur.
b. SetSPN -f -q host/ <Federation service name> Tapez, puis appuyez sur Entrée.
Dans cette commande, représente le nom de service de nom de domaine complet (FQDN) du point de
terminaison du <Federation service name> service AD FS. Vous trouverez le nom du service dans la
boîte de dialogue Propriétés du service de fédération :
Pour ajouter ou supprimer le SPN du compte, suivez les étapes suivantes :
a. Sur un contrôleur de domaine, ouvrez ADSIEDIT.msc.
b. Connecter au contexte d’attribution de noms par défaut.
c. Développez vers CN=Utilisateurs,CN=Microsoft,CN=Données de programme,DC=
<Domain> ,DC= <COM> .
d. Recherchez le compte de service. Cliquez avec le bouton droit sur le compte de service, puis
cliquez sur Propriétés.
e. Recherchez l’attribut ser vicePrincipalName, puis cliquez sur Modifier .
f. Ajoutez ou supprimez le SPN du service AD FS. Voici un exemple de SPN de service AD FS :
HOST/newadfs.contoso.com
6. Si vous modifiez le mot de passe du compte de service, assurez-vous que le nouveau mot de passe est
mis à jour dans le service AD FS et dans Lepool d’application IIS AD FS.
7. Vérifiez si le compte de service AD FS se trouve dans le groupe d’administration local. Pour éviter tout
problème potentiel, accordez au compte de service AD FS des droits d’administrateur local.
Étape 4 : Mettre à jour le service AD FS vers la dernière version
Vérifiez si les mises à jour suivantes sont installées. Si ce n’est pas le cas, installez-les.
Rollup Update 2 for ADFS 2.0
Mise à jour de déploiement 3 pour ADFS 2.0
La mise à jour est disponible pour résoudre plusieurs problèmes après l’installation de la mise à jour de
sécurité 2843638 sur un serveur AD FS
Étape 5 : Corriger une défaillance intermittente du service AD FS
Si vous rencontrez une défaillance intermittente du service AD FS, vérifiez si le problème a commencé après
l’application de la mise 2894844 sécurité. Dans ce cas, AD FS échoue et génère un numéro de référence lorsqu’il
est accessible à partir d’un réseau externe ou via une communication basée sur un formulaire.
Si le problème a commencé après l’application de la 2894844 de mise à jour de sécurité, vous rencontrez peut-
être le problème décrit dans la cause 1 : l’application web est en cours d’exécution dans une section de batterie
(environnement multi-ser veur) dans Résolution des erreurs de code d’authentification de message d’état
d’affichage (MAC).
Pour résoudre ce problème, définissez la même clé d’ordinateur statique sur tous les serveurs AD FS et le proxy
AD FS :
1. Dans le Gestionnaire des iis, recherchez et ouvrez le dossier adfs/ls.
2. Dans la section ASP.NET, cliquez sur Touche ordinateur.
3. Désinsécher la générer automatiquement lors de l’utilisation et générer une clé unique pour chaque
application à cocher pour la clé de validation et la clé de déchiffrement.
4. Cliquez sur Générer les clés.
5. Cliquez sur Appliquer .
6. Copiez les clés de validation et de déchiffrement du premier serveur AD FS, puis collez-les sur tous les autres
serveurs.
Étape 6 : assurez-vous que les certificats de communication, de signature de jetons et de déchiffrement de
jeton du service ADFS sont configurés correctement
Pour plus d’informations, voir erreur de certificat ADFS 2.0: une erreur s’est produite lors d’une tentative de
construction de la chaîne de certificats.
Disponibilité et description des services AD FS
(Active Directory Federation Services) 2.0
22/09/2022 • 6 minutes to read

Cet article fournit la disponibilité et la description d’Active Directory Federation Services 2.0.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 974408

Introduction
Active Directory Federation Services (AD FS) 2.0 permet aux utilisateurs de collaborer au-delà des limites de
l’organisation et d’accéder facilement aux applications en local et dans le cloud. De plus, AD FS permet de
maintenir la sécurité des applications. Grâce à une infrastructure basée sur les revendications, le système
informatique peut activer une expérience d’sign-on unique pour les utilisateurs finaux des applications. Une telle
infrastructure basée sur les revendications ne nécessite pas de compte ou mot de passe distinct, que les
applications soient situées dans des organisations partenaires ou hébergées dans le cloud.

Configuration requise
Pour implémenter AD FS 2.0, l’ordinateur doit exécuter l’un des systèmes d’Windows suivants :
Windows Server 2008 R2 (64 bits) :
Datacenter Edition
Enterprise Edition
Standard Edition
Embedded Solution Edition
Small Business Solutions Edition
Small Business Solutions EM Edition
Serveur petite Édition Standard
Small Businesses Server Premium Edition
Solutions Premium Edition
Solutions Edition
Solutions EM Edition
Foundation Server Edition
Small Businesses Edition
Essential Additional Edition
Essential Additional Svc Edition
Essential Management Edition
Essential Management Svc Edition
Windows Server 2008 avec Service Pack 2 (32 bits ou 64 bits) :
Datacenter Edition
Datacenter sans Hyper-V Edition
Enterprise Edition
Enterprise sans Hyper-V Edition
Standard Edition
Édition Moyenne Gestion des entreprises
Medium Business Messaging Edition
Édition Business Security de taille moyenne
Small Business Server Premium Edition
Serveur Petite Entreprise Édition Standard
Small Business Server Prime Edition
Small Businesses Edition
Édition Petites Entreprises sans Hyper-V
Pour installer AD FS 2.0, les logiciels et correctifs suivants doivent être installés. S’ils ne sont pas installés lors de
l’installation d’AD FS 2.0, le programme d’installation d’AD FS 2.0 les installe automatiquement.
Microsoft .NET Framework 3.5 avec Service Pack 1

NOTE
Ce logiciel est installé automatiquement uniquement lorsque l’ordinateur exécute Windows Server 2008 R2.

Windows PowerShell
Internet Information Services (IIS) 7
Windows Identity Foundation (WIF)
Mises à jour logicielles et correctifs logiciels
Windows Server 2008 R2
Le correctif logiciel suivant doit être installé sur les ordinateurs qui exécutent Windows Server
2008 R2 :
981002 un correctif est disponible pour Windows Communication Foundation dans .NET
Framework 3.5 Service Pack 1 pour Windows 7 et Windows Server 2008 R2
Windows Server 2008
Les mises à jour logicielles et les correctifs logiciels suivants doivent être installés sur les
ordinateurs exécutant Windows Server 2008 SP2 :
973917 description de la mise à jour qui implémente la protection étendue de l’authentification
dans Internet Information Services (IIS)

Langues prises en charge


AD FS 2.0 est pris en charge dans les langues suivantes :
Chinois (simplifié)
Chinois (traditionnel)
Tchèque
Néerlandais
Anglais
Français
Allemand
Hongrois
Italien
Japonais
Coréen
Polonais
Portugais (Brésil)
Portugais (Espagnol)
Russe
Espagnol
Suédois
Turc

Télécharger des informations


Les fichiers suivants peuvent être téléchargés à partir du Centre de téléchargement Microsoft :

SY ST ÈM E D W IN DO W S
D’EXP LO ITAT IO N P RIS EN TA IL L E DU F IC H IER DE
N O M DU PA C K A GE C H A RGE P L AT EF O RM E T ÉL ÉC H A RGEM EN T

AdfsSetup.exe Windows Server 2008 R2 x64 24,04 Mo

AdfsSetup.exe Windows Server 2008 SP2 x64 42,64 Mo

AdfsSetup.exe Windows Server 2008 SP2 x86 38,66 Mo

Pour plus d’informations sur le téléchargement des fichiers de support Microsoft, voir Comment obtenir des
fichiers de support Microsoft à partir de services en ligne.
Microsoft a analysé ce fichier à la recherche de virus. Microsoft a utilisé le logiciel de détection de virus le plus
actuel disponible à la date de la date de la mise en ligne du fichier. Le fichier est stocké sur des serveurs à
sécurité améliorée qui permettent d’empêcher toute modification non autorisée du fichier.

Plus d’informations sur Active Directory Federation Services 2.0


Pour plus d’informations sur les détails techniques et les livres blancs, voir Active Directory Federation Services
2.0 Overview.

Informations de mise à niveau pour Windows d’exploitation


Si AD FS 2.0 est déployé sur un ordinateur exécutant Windows Server 2008, AD FS 2.0 est automatiquement
désinstallé lorsque vous effectuez une mise à niveau de votre système d’exploitation Windows vers Windows
Server 2008 R2. Vous devez installer le package d’installation AD FS 2.0 pour Windows Server 2008 R2 après
avoir mis à niveau le Windows d’exploitation.
Si vous souhaitez conserver les données de configuration précédentes sur le serveur de fédération et restaurer
les données après avoir réinstallé AD FS 2.0, suivez les étapes des sections Avant de mettre à niveau les
Windows et Après la mise à niveau Windows.
Avant de mettre à niveau Windows
Copiez le fichier de configuration du service AD FS sur un serveur de fichiers sur le réseau avant de mettre à
niveau le système d’exploitation. Notez également le compte de service utilisé par le service Windows AD FS 2.0.
Pour ce faire, procédez comme suit :
1. Recherchez le dossier d’installation AD FS 2.0 suivant :
%system drive%\Program FilesActive\ Directory Federation Service 2.0
2. Copiez le fichier de configuration suivant dans un emplacement de sauvegarde sécurisé :
Microsoft.IdentityServer.Servicehost.exe.config
3. Cliquez sur Démarrer , sur Exécuter , entrez services.msc, puis cliquez sur OK .
4. Cliquez avec le bouton droit sur AD FS 2.0 Windows Ser vice , puis cliquez sur Propriétés .
5. Sous l’onglet Connexion , notez le compte de service utilisé pour le service Windows AD FS 2.0.
Après la mise à niveau Windows
Réinstallez AD FS 2.0, définissez un paramètre de Registre pour restaurer la configuration précédente, restaurer
le compte de service et démarrer les services appropriés. Pour cela, procédez comme suit.

NOTE
Une fois ces étapes terminés, l’installation précédente d’AD FS 2.0 qui était présente sur ce serveur de fédération avant la
mise à niveau est restaurée.

1. Réinstallez AD FS 2.0.
2. Copiez le fichier de configuration suivant que vous avez enregistré à l’étape 2 de la section Avant
Windows mise à niveau :
Microsoft.IdentityServer.Servicehost.exe.config
3. Recherchez le dossier d’installation AD FS 2.0 suivant, puis copiez le fichier mentionné à l’étape 2 à cet
emplacement :
%system drive%\Program FilesActive\ Directory Federation Service 2.0
4. Cliquez sur Démarrer et sur Exécuter , tapez regedit, puis cliquez sur OK .
5. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adfssrv

6. Dans le menu Édition , pointez sur Nouveau , puis cliquez sur Valeur de chaîne .
7. Tapez InitialConfigurationCompleted, puis appuyez sur Entrée.
8. Cliquez avec le bouton droit sur InitialConfigurationCompleted , puis cliquez sur Modifier .
9. Dans la zone Données de la valeur, tapez TRUE, puis cliquez sur OK .
10. Dans le menu Fichier , cliquez sur Quitter pour quitter l’Éditeur du Registre.
11. Cliquez sur Démarrer , sur Exécuter , entrez services.msc, puis cliquez sur OK .
12. Si vous utilisez Base de données interne Windows comme base de données de configuration AD FS 2.0,
suivez ces étapes. Dans le cas contraire, ignorez l’étape 12 et allez à l’étape 13.
a. Cliquez avec le bouton droit Base de données interne Windows (MICROSOFT##SSEE), puis
cliquez sur Propriétés .
b. Sous l’onglet Général , si le champ État du ser vice n’affiche pas Démarré, cliquez sur Démarrer
pour démarrer Base de données interne Windows service.
c. Cliquez sur OK .
13. Cliquez avec le bouton droit sur AD FS 2.0 Windows Ser vice , puis cliquez sur Propriétés .
14. Sous l’onglet Connexion , fournissez le nom du compte de service d’origine et le mot de passe utilisé
pour le service Windows AD FS 2.0.
15. Sous l’onglet Général , sélectionnez Automatique dans la zone De démarrage .
16. Si le champ État du ser vice n’affiche pas Démarré, cliquez sur Démarrer pour démarrer le service
Windows AD FS 2.0.
17. Cliquez sur OK .

Informations sur la déclaration de confidentialité


AD FS 2.0 est couvert par la déclaration de confidentialité Windows server suivante :
Windows 7 déclaration de confidentialité

Révisions techniques
Le tableau suivant répertorie les révisions techniques importantes apportées à cet article. Le numéro de révision
et la date de la dernière révision de cet article peuvent indiquer des révisions éditoriales mineures ou
structurelles de cet article qui ne sont pas incluses dans le tableau.

DAT E REVISIO N

5 mai 2010 Date de publication d’origine


Comment modifier le certificat de communications
de service AD FS 2.0 après son expiration
22/09/2022 • 2 minutes to read

Cet article décrit les étapes à suivre pour modifier le certificat de communications de service Active Directory
Federation Services 2.0.
S’applique à : Windows Server 2008 R2 Service Pack 1
Numéro de la ko d’origine : 2921805

Symptômes
Un utilisateur souhaite savoir comment modifier le certificat de communication du service AD FS (Active
Directory Federation Services) 2.0 après son expiration ou pour d’autres raisons.

Résolution
Le remplacement d’un certificat de service serveur AD FS 2.0 existant est un processus à plusieurs étapes.

Étape 1
Installez le nouveau certificat dans le magasin de certificats de l’ordinateur local. Pour ce faire, suivez les étapes
suivantes :
1. Sélectionnez Démarrer , puis Exécuter .
2. Tapez MMC .
3. Dans le menu Fichier , sélectionnez Ajouter/Supprimer un composant logiciel enfichable .
4. Dans la liste Des logiciels en snap-in disponibles, sélectionnez Cer tificats, puis ajoutez . L’Assistant
Logiciel en un clin d’œil des certificats démarre.
5. Sélectionnez Compte d’ordinateur , puis sélectionnez Suivant .
6. Sélectionnez Ordinateur local : (l’ordinateur sur qui cette console est en cours d’exécution), puis
sélectionnez Terminer .
7. Sélectionnez OK .
8. Expand Console Root\Cer tificates (Local Computer)\Personal\Cer tificates .
9. Cliquez avec le bouton droit sur Cer tificats, sélectionnez Toutes les tâches, puis sélectionnez
Impor ter.

Étape 2
Ajoutez au compte de service AD FS les autorisations d’accès à la clé privée du nouveau certificat. Pour ce faire,
suivez les étapes suivantes :
1. Une fois que le magasin de certificats de l’ordinateur local est toujours ouvert, sélectionnez le certificat
qui a été importé.
2. Cliquez avec le bouton droit sur le certificat, sélectionnez Toutes les tâches, puis sélectionnez Gérer
les clés privées.
3. Ajoutez le compte qui exécute le ser vice ADFS, puis accordez au moins au compte des autorisations de
lecture.
NOTE
Si vous n’avez pas la possibilité de gérer les clés privées, vous de devez peut-être exécuter la commande suivante :

certutil -repairstore my *

Étape 3
Lier le nouveau certificat au site web AD FS à l’aide du Gestionnaire des iis. Pour ce faire, suivez les étapes
suivantes :
1. Ouvrez le Internet Information Services (IIS) Manager.
2. Accédez au site Web par défaut.
3. Cliquez avec le bouton droit sur Site Web par défaut, puis sélectionnez Modifier les liaisons.
4. Sélectionnez HTTPS, puis modifiez.
5. Sélectionnez le certificat correct sous l’en-tête du certificat SSL.
6. Sélectionnez OK, puis fermez.

Étape 4
Configurez le service AD FS Server pour utiliser le nouveau certificat. Pour ce faire, suivez les étapes suivantes :
1. Ouvrez AD FS 2.0 Management.
2. Accédez à AD FS 2.0\Ser vice\Cer tificates .
3. Cliquez avec le bouton droit sur Cer tificats, puis sélectionnez Définir le cer tificat de
communications de ser vice.
4. Sélectionnez le nouveau certificat dans l’interface utilisateur de sélection de certificat.
5. Sélectionnez OK .

NOTE
Vous pouvez voir une boîte de dialogue contenant le message suivant :
La longueur de la clé de certificat est inférieure à 2 048 bits. Les certificats dont la taille de clé est inférieure à 2
048 bits peuvent présenter un risque de sécurité et ne sont pas recommandés. Voulez-vous continuer ?

Après avoir lu le message, sélectionnez Oui . Une autre boîte de dialogue apparaît. Il contient le message
suivant :

Assurez-vous que la clé privée du certificat choisi est accessible au compte de service pour ce service
de fédération sur chaque serveur de la batterie de serveurs.

Cette étape a déjà été effectuée à l’étape 2. Sélectionnez OK .


Encore besoin d’aide ? Go to Office 365 Community.
Description de la fonctionnalité verrouillage
intelligent extranet dans Windows Server 2016
22/09/2022 • 7 minutes to read

Cet article décrit la fonctionnalité de verrouillage intelligent extranet dans Windows Server 2016.
S’applique à : Windows Server 2016
Numéro de la ko d’origine : 4096478

Présentation
À partir de la mise à jour de mars 2018 pour Windows Server 2016, les services AD FS (Active Directory
Federation Services) disposent d’une nouvelle fonctionnalité nommée ESL (Smart Lockout). Dans une ère
d’attaques accrues sur les services d’authentification, ESL permet aux services AD FS de ne pas différencier les
tentatives de connecteur d’un utilisateur valide et les tentatives de se connectant de ce qui peut être une
personne malveillante. Par conséquent, AD FS peut verrouiller les attaquants tout en permettant aux utilisateurs
valides de continuer à utiliser leur compte. Cela empêche le déni de service pour les utilisateurs et protège
contre les attaques ciblées contre les comptes d’utilisateur connus.
La fonctionnalité ESL est disponible pour AD FS dans Windows Server 2016.

Comment installer et configurer ESL


Installer les mises à jour sur tous les serveurs
Tout d’abord, assurez-vous que tous Windows Server 2016 serveurs AD FS sont à jour depuis les mises à jour
Windows mars 2018.
Mettre à jour les autorisations de base de données d’artefacts
Le verrouillage intelligent extranet nécessite que le compte de service AD FS soit autorisé à créer une table dans
la base de données d’artefacts AD FS. Connectez-vous à n’importe quel serveur AD FS en tant qu’administrateur
AD FS, puis accordez cette autorisation en exécutant les commandes suivantes dans une fenêtre d’invite de
commandes PowerShell :

$cred= Get-Credential
Update-AdfsArtifactDatabasePermission -Credential$cred

NOTE
L$cred un espace réservé est un compte qui dispose des autorisations d’administrateur AD FS. Cela doit fournir les
autorisations d’écriture pour créer le tableau.

Les commandes ci-dessus peuvent échouer en raison d’un manque d’autorisations suffisantes, car votre batterie
de serveurs AD FS utilise SQL Server et les informations d’identification fournies ci-dessus ne disposent pas
d’autorisations d’administrateur sur votre serveur SQL. Dans ce cas, vous pouvez configurer manuellement les
autorisations de base de données dans SQL Server Database en exécutant la commande suivante lorsque vous
êtes connecté à la base de données AdfsArtifactStore.
ALTER AUTHORIZATION ON SCHEMA::[ArtifactStore] TO [db_genevaservice]

Configurer ESL
Un nouveau paramètre nommé ExtranetLockoutMode est ajouté pour prendre en charge ESL. Il contient les
valeurs suivantes :
ADPasswordCounter : il s’agit du mode de « verrouillage souple extranet » AD FS hérité, qui ne se différencie
pas en fonction de l’emplacement. Ceci est la valeur par défaut.
ADFSSmartLockoutLogOnly : il s’agit du verrouillage intelligent extranet. Au lieu de rejeter les demandes
d’authentification, AD FS écrit des événements d’administration et d’audit.
ADFSSmartLockoutEnforce : il s’agit du verrouillage intelligent extranet avec prise en charge complète du
blocage des demandes inconnues lorsque les seuils sont atteints.
Nous vous recommandons de configurer d’abord le fournisseur de verrouillage pour qu’il se connecte
uniquement pendant une courte période (1 à 3 jours) en exécutant l’cmdlet suivante. Examinez les audits (voir
ci-dessous pour plus d’informations) au cours de cette période pour déterminer le nombre de comptes
susceptibles d’être touchés ainsi que la fréquence de ces événements. Après avoir réussi l’évaluation des audits,
définissez le paramètre sur le mode « ADFSSmartLockoutEnforce » :

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartlockoutLogOnly

Dans ce mode, AD FS effectue l’analyse, mais ne bloque aucune demande en raison des compteurs de
verrouillage. Ce mode permet de vérifier que le verrouillage intelligent s’exécute correctement avant d’activer le
mode « appliquer ».
Pour que le nouveau mode prenne effet, redémarrez le service AD FS sur tous les serveurs en exécutant la
commande suivante :

Restart-service adfssrv

Définir le seuil de verrouillage et la fenêtre d’observation


Il existe deux paramètres clés pour ESL : le seuil de verrouillage et la fenêtre d’observation.
Paramètre du seuil de verrouillage
Chaque fois qu’une authentification basée sur un mot de passe réussit, AD FS stocke les adresses IP clientes en
tant qu’emplacements familiers dans la table d’activité du compte.
Si l’authentification basée sur un mot de passe échoue et que les informations d’identification ne proviennent
pas d’un emplacement familier, le nombre d’authentifications qui ont échoué est incrémenté.
Une fois que le nombre d’échec des tentatives de mot de passe à partir d’emplacements inconnus a atteint le
seuil de verrouillage, si l’authentification basée sur un mot de passe à partir d’un emplacement inconnu échoue,
le compte est verrouillé.

NOTE
Le verrouillage continue de s’appliquer aux emplacements familiers séparément de ce nouveau compteur de verrouillage
inconnu.

Le seuil est fixé à l’aide Set-AdfsProperties de .


Exemple :
Set-AdfsProperties -ExtranetLockoutThreshold 10

Paramètre de la fenêtre Observation


Le paramètre de la fenêtre d’observation permet à un compte de se déverrouiller automatiquement après un
certain temps. Une fois le compte déverrouillé, une tentative d’authentification est autorisée. Si l’authentification
réussit, le nombre d’authentifications en échec est réinitialisé à 0. En cas d’échec, le système attend une autre
fenêtre d’observation avant que l’utilisateur puisse essayer à nouveau.
La fenêtre d’observation est définie à l’aide Set-AdfsProperties de l’exemple de commande suivant :

Set-AdfsProperties -ExtranetObservationWindow ( new-timespan -minutes 5 )

Activer le verrouillage
Le verrouillage extranet peut être activé ou désactivé à l’aide du paramètre EnableExtranetLockout, comme dans
les exemples suivants.
Pour activer le verrouillage, exécutez la commande suivante :

Set-AdfsProperties -EnableExtranetLockout $true

Pour désactiver le verrouillage, exécutez la commande suivante :

Set-AdfsProperties -EnableExtranetLockout $false

Activer le mode d’application


Une fois que vous êtes à l’aise avec le seuil de verrouillage et la fenêtre d’observation, ESL peut être déplacé en
mode « appliquer » à l’aide de l';;

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartLockoutEnforce

Pour que le nouveau mode prenne effet, redémarrez le service AD FS sur tous les serveurs à l’aide de la
commande suivante :

Restart-service adfssrv

Gestion d’ESL
Gérer l’activité du compte d’utilisateur
AD FS fournit trois cmdlets pour gérer les données d’activité des comptes d’utilisateurs. Ces cmdlets se
connectent automatiquement au nœud de la batterie de serveurs qui détient le rôle principal.

NOTE
Ce comportement peut être overridden en passant le paramètre -Server.

Get-ADFSAccountActivity

Lire l’activité de compte actuelle pour un compte d’utilisateur. L’cmdlet se connecte toujours
automatiquement au maître de la batterie de serveurs à l’aide du point de terminaison REST activité de
compte. Par conséquent, toutes les données doivent toujours être cohérentes.

Get-ADFSAccountActivity user@contoso.com

Set-ADFSAccountActivity

Mettez à jour l’activité de compte pour un compte d’utilisateur. Cela permet d’ajouter de nouveaux
emplacements familiers ou d’effacer l’état pour n’importe quel compte.

Set-ADFSAccountActivityuser@contoso.com -FamiliarLocation "1.2.3.4"

Reset-ADFSAccountLockout

Réinitialise le compteur de verrouillage d’un compte d’utilisateur.

Reset-ADFSAccountLockoutuser@contoso.com -Familiar

Résolution des problèmes


Mise à jour des autorisations de base de données
Si des erreurs sont renvoyées à partir de la Update-AdfsArtifactDatabasePermission cmdlet, vérifiez les
informations suivantes :
La vérification échoue si les nodes sont sur la liste de la batterie de serveurs mais ne sont plus membres de
la batterie de serveurs. Cette situation peut être corrigée en cours remove-adfsnode <node name> d’exécution.
Vérifiez que la mise à jour est déployée sur tous les serveurs.
Vérifiez que les informations d’identification transmises à la cmdlet sont autorisées à modifier le propriétaire
du schéma de base de données d’artefacts AD FS.
Journalisation/audit
Lorsqu’une demande d’authentification est rejetée parce que le compte dépasse le seuil de verrouillage, AD FS
écrit un extranetLockoutEvent dans le flux d’audit de sécurité.
Exemple d’événement journalisé

Un événement de verrouillage extranet s’est produit. Pour plus d’informations sur l’échec, voir XML.
ID d’activité : 172332e1-1301-4e56-0e00-0080000000db
Données supplémentaires
XML : <?xml version="1.0" encoding="utf-16"?> <AuditBase xmlns:xsd=" http://www.w3.org/2001/XMLSchema
" xmlns:xsi=" http://www.w3.org/2001/XMLSchema-instance " xsi:type="ExtranetLockoutAudit"> <AuditType>
ExtranetLockout</AuditType>
<AuditResult>Échec</AuditResult>
<FailureType>ExtranetLockoutError</FailureType>
<ErrorCode>AccountRestrictedAudit</ErrorCode>
<ContextComponents>
<Component xsi:type="ResourceAuditComponent">
<RelyingParty> http://contoso.com /adfs/services/trust</RelyingParty>
<ClaimsProvider>N/A</ClaimsProvider>
<UserId>TQDFTD\Administrator</UserId>
</Component>
<Component xsi:type="RequestAuditComponent">
<Server>N/A</Server>
<AuthProtocol>WSFederation</AuthProtocol>
<NetworkLocation>Intranet</NetworkLocation>
<IpAddress>4.4.4.4</IpAddress>
<ForwardedIpAddress />
<ProxyIpAddress>1.2.3.4</ProxyIpAddress>
<NetworkIpAddress>1.2.3.4</NetworkIpAddress>
<ProxyServer>N/A</ProxyServer>
<UserAgentString>Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, comme
Gecko) Chrome/63.0.3239.132 Safari/537.36</UserAgentString>
<Endpoint>/adfs/ls</Endpoint>
</Component>
<Component xsi:type="LockoutConfigAuditComponent">
<CurrentBadPasswordCount>5</CurrentBadPasswordCount>
<ConfigBadPasswordCount>5</ConfigBadPasswordCount>
<LastBadAttempt>02/07/2018 21:47:44</LastBadAttempt>
<LockoutWindowConfig>00:30:00</LockoutWindowConfig>
</Component>
</ContextComponents>
</AuditBase>

Désinstaller
SQL Server batteries de serveurs de base de données peuvent désinstaller la mise à jour à l’aide
Paramètres’application sans problème.
Les batteries de serveurs de base de données WID doivent suivre ces étapes en raison du binaire de vérification
de base de données WID mis à jour :
1. Exécutez le script psh Deinstall qui arrête le service et abandonne la table d’activité du compte.
Stop-Service adfssrv -ErrorAction Stop

$doc = new-object Xml


$doc.Load("$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config")
$connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString

if ( -not $connString -like "*##wid*" )


{
Write-Error "SQL installs don't require DB updates, skipping DB table drop"
}
else
{
$connString = "Data Source=np:\\.\pipe\microsoft##wid\tsql\query;Initial
Catalog=AdfsArtifactStore;Integrated Security=True"
stop-service adfssrv
$cli = new-object System.Data.SqlClient.SqlConnection
$cli.ConnectionString = $connString
$cli.Open()
try
{
$cmd = new-object System.Data.SqlClient.SqlCommand
$cmd.CommandText = "IF EXISTS (SELECT * FROM sys.objects WHERE object_id =
OBJECT_ID(N'[ArtifactStore].[AccountActivity]') AND type in (N'U')) DROP TABLE [ArtifactStore].
[AccountActivity]"
$cmd.Connection = $cli
$cmd.ExecuteNonQuery()
}
finally
{
$cli.CLose()
} write-warning "Finish removing the patch using the Settings app and then restart the complete
to complete the uninstall"
}

2. Désinstallez la mise à jour à l’aide de l’application paramètres.


3. Redémarrez l'ordinateur.
Considérations pour la désactivation et le
remplacement de TLS 1.0 dans AD FS
22/09/2022 • 11 minutes to read

Cet article fournit des conseils et des considérations pour la désactivation et le remplacement de TLS 1.0 dans
les services AD FS (Active Directory Federation Services).
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 3194197

Résumé
De nombreux clients envisagent de désactiver les protocoles TLS 1.0 et RC4 dans AD FS et de le remplacer par
TLS 1.1 ou une version ultérieure. Cet article traite des problèmes qui peuvent se produire si vous désactivez
TLS 1.0 et fournit des conseils pour vous aider à terminer le processus.
Après avoir désactivé TLS 1.0 sur les serveurs proxy AD FS ou AD FS, ces serveurs peuvent être en mesure de
faire face à certains des symptômes suivants :
La connectivité entre un proxy AD FS et un serveur AD FS échoue. Cela peut entraîner l’une des
conditions suivantes :
La configuration du proxy échoue dans l’Assistant ou à l’aide Windows PowerShell.
L’ID d’événement 422 est enregistré sur les proxies AD FS :

Impossible de récupérer la configuration du proxy à partir du service de fédération.

Les proxys ne peuvent pas transmettre le trafic aux serveurs AD FS et le message d’erreur suivant
est généré :

Erreur HTTP 503 - Le service n’est pas disponible.

Les services AD FS ne peuvent pas mettre à jour les métadonnées de fédération des trusts de partie de
confiance ou des trusts de fournisseur de revendications configurées.
Vous recevez un message d’erreur HTTP 503 :

Le service n’est pas disponible. Accès HTTP 503 aux services Office 365 pour les domaines fédérés.

Vous recevez un message d’erreur RDP :

Connectivité RDP perdue pour les serveurs.

Cause
Ce problème se produit si les clients désactivent les anciens protocoles à l’aide des clés de Registre SChannel.
Pour obtenir un exemple de cette pratique, consultez la section Désactiver les anciens protocoles dans la section
registre.
Résolution
IMPORTANT
Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre
de façon incorrecte. Avant de modifier le Registre, sauvegardez-le pour restauration en cas de problèmes.

ADFS est développé à l’aide de Microsoft .NET Framework. Pour que les applications .NET soient en charge de la
cryptographie forte (c’est-à-dire, TLS 1.1 et version supérieure), vous devez d’abord installer les mises à jour
décrites dans l’avis de sécurité suivant : Conseil de sécurité Microsoft 2960358.

IMPORTANT
Les clients qui exécutent des applications .NET Framework 3.5 sur des applications Windows 10 ou .NET Framework
4.5/4.5.1/4.5.2 sur des systèmes sur qui .NET Framework 4.6 est installé doivent suivre les étapes fournies dans cet avis
pour désactiver manuellement RC4 dans TLS. Pour plus d’informations, voir la section Actions suggérées de l’avis.

NOTE
Les systèmes qui exécutent le .NET Framework 4.6 uniquement sont protégés par défaut et n’ont pas besoin d’être
mis à jour.
Les étapes supplémentaires de l’avis de sécurité nécessitent que vous créez la clé de Registre
SchUseStrongCr ypto, comme décrit dans l’article de conseil.
Exemples de sous-clés pour cette nouvelle clé de Registre :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft. NETFramework\v2.0.50727]
SchUseStrongCrypto=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft. NETFramework\v4.0.30319]
SchUseStrongCrypto=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft. NETFramework\v4.0.30319]
SchUseStrongCrypto=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft. NETFramework\v2.0.50727]
SchUseStrongCrypto=dword:00000001
Pour appliquer la modification, vous devez redémarrer les applications et services suivants :
Service ADFS (adfssrv)
Device Registration Service (drs)
Toute autre application .NET qui peut être en cours d’exécution sur le serveur
Le pool Internet Information Services d’applications (IIS) pour ADFS (s’applique uniquement aux ADFS 2.0 et
ADFS 2.1)

IMPORTANT
Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre
de façon incorrecte. Avant de modifier le Registre, sauvegardez-le pour restauration en cas de problèmes.

Désactiver les anciens protocoles dans le Registre


Un exemple de désactivation d’anciens protocoles à l’aide de clés de Registre SChannel serait de configurer les
valeurs des sous-clés de Registre de la liste suivante. Ceux-ci désactivent les protocoles SSL 3.0, TLS 1.0 et RC4.
Étant donné que cette situation s’applique à SChannel, elle affecte toutes les connexions SSL/TLS vers et depuis
le serveur.

reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0 » /f


reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL
3.0\Client » /f
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL
3.0\Server » /f
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL
3.0\Client » /v Enabled /t REG_DWORD /d 000000000
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL
3.0\Server » /v Enabled /t REG_DWORD /d 000000000
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0 » /f
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.0\Client » /f
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.0\Server » /f
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.0\Client » /v Enabled /t REG_DWORD /d 000000000
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.0\Server » /v Enabled /t REG_DWORD /d 000000000
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128 »
/f
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128 »
/v Enabled /t REG_DWORD /d 000000000
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128 »
/f
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128 »
/v Enabled /t REG_DWORD /d 000000000
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4
128/128 » /f
reg add « HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4
128/128 » /v Enabled /t REG_DWORD /d 000000000

NOTE
Vous devez redémarrer l’ordinateur après avoir changé ces valeurs.

Pour vérifier qu’un serveur connecté à Internet a correctement désactivé les anciens protocoles, vous pouvez
utiliser n’importe quel outil de vérification de test SSL en ligne, tel que Qualys SSL Labs. Pour plus
d’informations, voir SSL Server Test.

Solution alternative
Comme alternative à l’utilisation de la clé de Registre SchUseStrongCr ypto, vous pouvez utiliser la clé de
Registre SystemDefaultTlsVersions lorsque vous utilisez la .NET Framework 3.5.1.
SystemDefaultTlsVersions est disponible après l’installation de la mise à jour 3154518.
Une fois les clés de Registre définies, le service ADFS honore les valeurs par défaut de SChannel et fonctionne.

Effets secondaires connus


Voici quelques effets secondaires.
Les applications clientes ne peuvent pas se connecter au serveur ADFS ou au proxy ADFS pour
l’authentification
Lorsque vous désactivez TLS 1.0 et les versions antérieures sur les serveurs ADFS et les proxys, les applications
clientes qui tentent de s’y connecter doivent prendre en charge TLS 1.1 ou les versions ultérieures.
Cela est vrai, par exemple, pour Android Mobile 4.1.1 lorsque vous utilisez l’application Portail d'entreprise
Intune pour inscrire cet appareil. L’application Intune ne peut pas afficher la page de signature ADFS.
Ceci est attendu dans cette version Android, car TLS 1.1 est désactivé par défaut.
Vous pouvez obtenir plus de détails sur ces problèmes potentiels en collectant des suivis réseau sur le serveur
ou les proxys ADFS pendant que vous reproduisez l’échec de connexion. Dans ce scénario, vous pouvez
travailler avec le fournisseur de système d’exploitation client ou le fournisseur d’applications pour vérifier que
les versions TLS plus récentes sont pris en charge. Les ADFS ne peuvent pas mettre à jour les métadonnées de
fédération.
Scénario 1
Les services ADFS ne peuvent pas récupérer automatiquement le Federationmetadata.xml des trusts de
partie de confiance ou des trusts de fournisseur de revendications.
Lorsque vous essayez de mettre à jour le fichier XML manuellement, vous recevez le message d’erreur
suivant :

Une erreur s’est produite lors d’une tentative de lecture des métadonnées de fédération.

Sinon, vous recevez le message d’erreur suivant lorsque vous utilisez Windows PowerShell :

La connexion sous-jacente a été fermée. Une erreur inattendue s’est produite lors d’une réception.

En analysant plus attentivement l’exception sous-jacente, nous pouvons voir les informations suivantes :

PS C: > Update-AdfsRelyingPartyTrust -TargetName « Microsoft Office 365 Identity Platform »


Update-AdfsRelyingPartyTrust : la connexion sous-jacente a été fermée : une erreur inattendue s’est produite
lors d’une réception.
À line:1 char:1
+Update-AdfsRelyingPartyTrust -TargetName « Microsoft Office 365 identity platform ...+
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (Microsoft.Ident... relyingPartyTrust:RelyingPartyTrust) [Update-AdfsRelyingP
artyTrust], WebException
+ FullyQualifiedErrorId : La connexion sous-jacente a été fermée : une erreur inattendue s’est produite sur un
receive.,Microso ft.IdentityServer.Management.Commands.UpdateRelyingPartyTrustCommand
PS C: > $error[0] | fl * -f
writeErrorStream : True
PSMessageDetails :
Exception : System.Net.WebException : la connexion sous-jacente a été fermée : une erreur inattendue s’est
produite lors d’une réception. ---> System.ComponentModel.Win32Exception : le client et le serveur ne
peuvent pas communiquer, car ils ne possèdent pas d’algorithme commun
at System.Net.SSPIWrapper.AcquireCredentialsHandle(SSPIInterface SecModule, String package,
CredentialUse intent, SecureCredential scc)
at System.Net.Security.SecureChannel.AcquireCredentialsHandle(CredentialUse credUsage,
SecureCredential& secureCredential)
at System.Net.Security.SecureChannel.AcquireClientCredentials(Byte[]& thumbPrint)
at System.Net.Security.SecureChannel.GenerateToken(Byte[] input, Int32 offset, Int32 count, Byte[]& output)
at System.Net.Security.SecureChannel.NextMessage(Byte[] incoming, Int32 offset, Int32 count)
at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest
asyncRequest)
at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer,
AsyncProtocolRequest asyncRequest)
at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
at System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback
callback, Object state, Boolean preserveSyncCtx)
at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback,
Object state, Boolean preserveSyncCtx)
at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback,
Object state)
at System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
at System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
at System.Net.ConnectStream.WriteHeaders(Boolean async)
--- fin de la trace de pile des exceptions internes ---
at System.Net.HttpWebRequest.GetResponse()
at Microsoft.IdentityServer.Management.Resources.Managers.RelyingPartyTrustManager.ApplyMeta
dataFromUrl(RelyingPartyTrust party, Uri metadataUrl, String& warnings)
at Microsoft.IdentityServer.Management.Commands.UpdateRelyingPartyTrustCommand.OperateOnRely
ingPartyTrust(RelyingPartyTrust party)
at Microsoft.IdentityServer.Management.Commands.RemoveRelyingPartyTrustCommand.ProcessRecord()
TargetObject : Microsoft.IdentityServer.Management.Resources.RelyingPartyTrust
CategoryInfo : NotSpecified: (Microsoft.Ident... relyingPartyTrust:RelyingPartyTrust)
[Update-AdfsRelyingPartyTrust], WebException
FullyQualifiedErrorId : La connexion sous-jacente a été fermée : une erreur inattendue s’est produite sur un
receive.,Microsoft.IdentityServer.Management.Commands.UpdateRelyingPartyTrustCommand
ErrorDetails : la connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’une
réception. InvocationInfo : System.Management.Automation.InvocationInfo
ScriptStackTrace : at <ScriptBlock> , <No file> : line 1
PipelineIterationInfo : {0, 1}

Lorsque nous analysons les traces réseau, nous ne voyons aucun ClientHello. En outre, le client lui-même (ADFS)
ferme la connexion (TCP FIN) lorsque nous nous attendions à ce qu’il envoie le ClientHello :

3794 <DateTime> 4.0967400 (4588) adfs1 nexus.microsoftonline-p.com.nsatc.net TCP 8192 TCP: [Bad
CheckSum]Flags=CE.... S., SrcPort=56156, DstPort=HTTPS(443)
4013 <DateTime> 4.1983176 (0) nexus.microsoftonline-p.com.nsatc.net Adfs1 TCP 2097152 TCP:Flags=... A..
S., SrcPort=HTTPS(443), DstPort=56156
4021 <DateTime> 4.1983388 (0) adfs1 nexus.microsoftonline-p.com.nsatc.net TCP 131328 TCP: [Bad
CheckSum]Flags=... A...., SrcPort=56156, DstPort=HTTPS(443)
4029 <DateTime> 4.1992083 (4588) adfs1 nexus.microsoftonline-p.com.nsatc.net TCP 131328 TCP: [Bad
CheckSum]Flags=... A... F, SrcPort=56156, DstPort=HTTPS(443)
4057 <DateTime> 4.2999711 (0) nexus.microsoftonline-p.com.nsatc.net adfs1 TCP 0 TCP:Flags=...
A.R.,SrcPort=HTTPS(443), DstPort=56156

En effet, les clés de Registre SChannel ont été créées. Celles-ci suppriment la prise en charge de SSL 3.0 ou TLS
1.0 en tant que client.
Toutefois, la clé SchUseStrongCr ypto n’a pas été créée. Ainsi, après avoir établi la session TCP/IP, le
ClientHello doit être envoyé en ayant les conditions suivantes :
.NET à l’aide d’un chiffrement faible (uniquement TLS 1.0 et versions antérieures)
SChannel configuré pour utiliser uniquement TLS 1.1 ou versions ultérieures
Résolution : appliquez SchUseStrongCrypto et redémarrez.
HTTP 503 dans l’accès Office 365 services
Scénario 2
Seuls TLS 1.1 et versions ultérieures sont pris en charge dans le service ADFSOffice.
Vous avez un domaine fédéré O365.
Le client accède à un service O365 qui utilise la proxiedauthentication : l’application cliente a envoyé les
informations d’identification à l’aide de HTTP Basic, et le service O365 utilise ces informations d’identification
dans une nouvelle connexion à ADFS pour authentifier l’utilisateur.
Le service cloud envoie un TLS 1.0 à ADFS et ADFS ferme la connexion.
Le client reçoit une réponse HTTP 503.
Par exemple, cela est vrai lorsque vous accédez à la découverte automatique. Dans ce scénario, Outlook clients
sont affectés. Cela peut être facilement reproduit en ouvrant un navigateur web et en allant à
https://autodiscover-s.outlook.com/Autodiscover/Autodiscover .

xmlRequest envoyé :

GET https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml HTTP/1.1


Hôte : autodiscover-s.outlook.com
Agent utilisateur : Mozilla/5.0 (Windows NT 10.0 ; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept : text/html,application/xhtml+xml,application/xml;q=0.9, / ;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connexion : maintenir la vie
Autorisation : de base (SUPPRIMÉE POUR CONFIDENTIALITÉ)

Réponse reçue de Exchange Online service :

HTTP/1.1 Service 503 indisponible


Cache-Control: private
Retry-After: 30
Serveur : Microsoft-IIS/8.0
request-id: 33c23dc6-2359-44a5-a819-03f3f8e85aae
X-CalculatedBETarget: db4pr04mb394.eurprd04.prod.outlook.com
X-AutoDiscovery-Error: LiveIdBasicAuth:FederatedStsUnreachable: <X-forwarded-for:*<IP Address> >
<FederatedSTSFailure> System.Net.WebException: The underlying connection was closed: An unexpected
error occurred on a send.; X-DiagInfo : DB4PR04MB394 X-BEServer : DB4PR04MB394 X-AspNet-Version :
4.0.30319 Set-Cookie: X-BackEndCookie2=; expires= <DateTime> ; path=/Autodiscover; secure; HttpOnly
Set-Cookie: X-BackEndCookie=; expires= <DateTime> *; path=/Autodiscover; secure; HttpOnly
X-Powered-By: ASP.NET
X-FEServer : AM3PR05CA0056
Date : <DateTime>
Content-Length: 0

En analysant les traces réseau dans le serveur WAP, nous pouvons voir plusieurs connexions provenant de notre
cloud, comme suit. WaP met fin à ces connexions (TCP RST) peu de temps après la réception du Client Hello.

3282 <DateTime> 10.8024332 (0) 132.245.225.68 62047 (0xF25F) 10.10.1.5 443 (0x1BB) TCP 52 (0x34) 32
8192 TCP:Flags=CE.... S., SrcPort=62047, DstPort=HTTPS(443), PayloadLen=0, Seq=1681718623, Ack=0,
Win=8192 ( Facteur d’échelle de négociation 0x8 ) = 8192
3285 <DateTime> 10.8025263 (0) 10.10.1.5 443 (0x1BB) 132.245.225.68 62047 (0xF25F) TCP 52 (0x34) 32
8192 TCP: [Bad CheckSum]Flags=. E.A.. S., SrcPort=HTTPS(443), DstPort=62047, PayloadLen=0,
Seq=3949992650, Ack=1681718624, Win=8192 ( Facteur d’échelle négocié 0x8 ) = 8192
3286 <DateTime> 10.8239153 (0) 132.245.225.68 62047 (0xF25F) 10.10.1.5 443 (0x1BB) TCP 40 (0x28) 20
517 TCP:Flags=... A...., SrcPort=62047, DstPort=HTTPS(443), PayloadLen=0, Seq=1681718624,
Ack=3949992651, Win=517
3293 <DateTime> 10.8244384 (0) 132.245.225.68 62047 (0xF25F) 10.10.1.5 443 (0x1BB) TLS 156 (0x9C)
136 517 TLS:TLS Rec Layer-1 HandShake: Client Hello.
3300 <DateTime> 10.8246757 (4) 10.10.1.5 443 (0x1BB) 132.245.225.68 62047 (0xF25F) TCP 40 (0x28) 20
0 TCP: [Bad CheckSum]Flags=... A.R.,SrcPort=HTTPS(443), DstPort=62047, PayloadLen=0,
Seq=3949992651, Ack=1681718740, Win=0 (facteur d’échelle 0x0) = 0

Nous voyons également que Client Hello utilise TLS 1.0 :

Frame: Number = 3293, Captured Frame Length = 271, MediaType = NetEvent


+ NetEvent :
+ MicrosoftWindowsNDISPacketCapture : Fragment de paquet (170 (0xAA) octets)
+ Ethernet : Etype = Internet IP (IPv4),DestinationAddress:[00-0D-3A-24-43-98],SourceAddress:[12-34-56-
78-9A-BC]
+ Ipv4 : Src = <IP Address> , Dest = <IP Address> , Next Protocol = TCP, Packet ID = 31775, Longueur IP
totale = 156
+ Tcp: Flags=... AP..., SrcPort=62047, DstPort=HTTPS(443), PayloadLen=116, Seq=1681718624 -
1681718740, Ack=3949992651, Win=517
TLSSSLData : Données de charge utile TLS (Transport Layer Security)
- TLS : TLS Rec Layer-1 HandShake : Client Hello.
- TlsRecordLayer : TLS Rec Layer-1 HandShake :
ContentType: HandShake:
- Version : TLS 1.0
Major : 3 (0x3)
Mineure : 1 (0x1)
Longueur : 111 (0x6F)
- SSLHandshake : SSL HandShake ClientHello(0x01)
HandShakeType : ClientHello(0x01)
Longueur : 107 (0x6B)
- ClientHello : TLS 1.0
+ Version : TLS 1.0
+ RandomBytes :
SessionIDLength : 0 (0x0)
CipherSuitesLength : 14
+ TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA { 0xC0,0x14 }
+ TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA { 0xC0,0x13 }
+ TLSCipherSuites : TLS_RSA_WITH_AES_256_CBC_SHA { 0x00, 0x35 }
+ TLSCipherSuites : TLS_RSA_WITH_AES_128_CBC_SHA { 0x00, 0x2F }
+ TLSCipherSuites: TLS_RSA_WITH_3DES_EDE_CBC_SHA { 0x00,0x0A }
+ TLSCipherSuites: TLS_RSA_WITH_RC4_128_SHA { 0x00,0x05 }
+ TLSCipherSuites: TLS_RSA_WITH_RC4_128_MD5 { 0x00,0x04 }
CompressionMethodsLength : 1 (0x1)
CompressionMethods : 0 (0x0)
ExtensionsLength : 52 (0x34)
- ClientHelloExtension: Server Name(0x0000)
ExtensionType: Server Name(0x0000)
ExtensionLength : 19 (0x13)
NameListLength : 17 (0x11)
NameType : nom d’hôte (0)
NameLength : 14 (0xE)
ServerName : sts.contoso.net
+ ClientHelloExtension : Elliptic Curves(0x000A)
+ ClientHelloExtension : EC Point Formats(0x000B)
+ ClientHelloExtension : SessionTicket TLS(0x0023)
+ ClientHelloExtension : type d’extension inconnu
+ ClientHelloExtension: Renegotiation Info(0xFF01)

Dans ce scénario, il est prévu que le proxy ADFS rejette la connexion. This problem has been reported to
Exchange Online team and is under investigation.
Solutions de contournement :
Utiliser l’authentification moderne.

NOTE
Cela n’a pas été testé. Toutefois, d’un point de vue conceptuel, la connexion à ADFS est directement à partir de
l’application cliente. Par conséquent, elle doit fonctionner si elle prend en charge TLS 1.1.

Ré-activez le serveur TLS 1.0 dans le proxy WAP/ADFS.

Références
Norme de sécurité des données (DSS) d’industrie de carte de paiement (PCI)
Erreur lors de la configuration de WAP – « La connexion sous-jacente a été fermée » –Partie 2
Exclusion de responsabilité de tiers
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de
Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces
produits.
Erreur « Échec de découverte de l’espace de travail
» avec le code de sortie 0x80072EE7
22/09/2022 • 2 minutes to read

Cet article fournit une solution à une erreur 0x80072EE7 qui se produit lorsque les utilisateurs effectuent une
joint de l’espace de travail.
S’applique à : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la ko d’origine : 3045385

NOTE
Famille d’utilisateurs : cet article est destiné aux agents de support et aux professionnels de l’informatique, et non aux
utilisateurs à domicile. Pour obtenir de meilleurs résultats de recherche, modifiez vos mots clés de recherche pour inclure
le produit qui déclenche l’erreur et le code d’erreur.

Symptômes
Lorsque les utilisateurs tentent d’effectuer une joint de l’espace de travail, ils reçoivent le message d’erreur
suivant :

Confirmez que vous utilisez les informations de connectez-vous actuelles et que votre lieu de travail utilise
cette fonctionnalité. En outre, la connexion à votre espace de travail peut ne pas fonctionner pour le
moment. Patientez et recommencez.

En outre, un administrateur peut voir les détails de l’événement suivants dans l’Observateur d’événements :

ID d’événement : 102
Nom du journal : Microsoft-Windows-Workplace Join/Admin
Source : Microsoft-Windows-Workplace Join
Niveau : Error
Description :
Échec de la découverte de l’espace de travail.
Code de sortie : 0x80072EE7.
Le nom ou l’adresse du serveur n’a pas pu être résolu. Impossible de se connecter à
https://EnterpriseRegistration.domainTEST.com:443/EnrollmentServer/contract?api-version=1.0 .

Cause
Ce problème se produit si l’une des conditions suivantes est vraie :
L’utilisateur actuellement signé est issu d’un domaine qui ne contient pas d’enregistrement DNS pour le
service DRS.
Un utilisateur qui possède un suffixe de nom d’utilisateur principal (UPN) qui utilise le domaine initial (par
exemple) et qui n’est pas encore activé en tant qu’autorité de gestion des appareils mobiles via Microsoft
Intune pour la gestion des appareils mobiles dans Office 365 tente d’effectuer une jointur de l’espace de
joe@contoso.onmicrosoft.com travail.
Résolution
Vérifier le DNS
Pour résoudre ce problème, suivez les étapes suivantes :
1. Vérifiez l’enregistrement CNAME EnterpriseRegistration pour le suffixe UPN du compte d’utilisateur. Il
s’agit de la partie après le caractère « @ », comme dans john@contoso.com .
2. Ouvrez une fenêtre d’invite de commandes, puis exécutez la commande suivante :

Nslookup enterpriseregistration.domain.com

Si vous utilisez Azure Active Directory Join


Les résultats doivent renvoyer le résultat CNAME de EnterpriseRegistration.windows.net.
Si vous utilisez Windows Server Workplace Join
L’hôte interne doit retourner le nœud ADFS interne.
L’hôte externe doit retourner le proxy ADFS externe (le cas présent).

Références
Pour plus d’informations sur la résolution des problèmes, voir l’article suivant dans la Base de connaissances
Microsoft :
3045377 journalisation des diagnostics pour la résolution des problèmes de jointage de l’espace de travail
Erreur lorsque vous utilisez la commande Set-
MsolADFSContext : Échec de la connexion au
serveur <ServerName> Active Directory Federation
Services 2.0
22/09/2022 • 2 minutes to read

S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numéro de la ko d’origine : 2587730

Symptômes
Lorsque vous exécutez la commande dans le module Microsoft Azure Active Directory pour Windows
PowerShell, vous recevez Set-MsolADFSContext -Computer l’erreur suivante :

Set-MsolADFSContext : la connexion au serveur Active Directory Federation Services 2.0 a échoué en raison
<ServerName> d’informations d’identification non valides.

Cause
Cette erreur se produit si Remote PowerShell n’est pas activé sur le serveur de fédération AD FS (Active
Directory Federation Services) référencé par -computer le paramètre.
Lorsqu’un domaine est correctement ajouté et vérifié dans le portail, vous pouvez utiliser le module Azure
Active Directory pour Windows PowerShell pour configurer l' sign-on unique (SSO) à partir d’une station de
travail de gestion à l’aide de Remote PowerShell.
Toutefois, le module Azure Active Directory pour Windows PowerShell ne peut être installé que sur Windows 7
et Windows Server 2008 SR2. Le module Azure Active Directory pour Windows PowerShell ne peut pas être
installé sur Windows Server 2008 Service Pack 2 (SP2). Par conséquent, ce problème est particulièrement
pertinent lorsque les AD FS sont installés sur une plateforme Windows Server 2008 SP2. Dans ce cas, la
commande Azure Active Directory Module Windows PowerShell associée à AD FS doit être émise à partir d’un
ordinateur distant.

Résolution
Pour activer Remote PowerShell sur le serveur de fédération AD FS, suivez les étapes suivantes :
1. Commencez Windows PowerShell en tant qu’administrateur. Pour ce faire, cliquez avec le bouton droit
sur Windows PowerShell raccourci, puis sélectionnez Exécuter en tant qu’administrateur.
2. Pour configurer la Windows PowerShell pour la mise à la remoting, tapez la commande suivante, puis
appuyez sur Entrée :

Enable-PSRemoting -force

Informations supplémentaires
Pour plus d’informations sur les conditions requises pour Remote PowerShell, voir
About_Remote_Requirements.
Pour plus d’informations sur la fonctionnalité Remote PowerShell, voir Windows PowerShell: Dive Deep into
Remoting.
Encore besoin d’aide ? Accédez à la Communauté Microsoft ou au site Web Forums Azure Active Directory.
Erreur lors de l'Convert-MsolDomainToStandard
cmdlet : Échec de la connexion à Active Directory
Federation Services 2.0 sur l’ordinateur local
22/09/2022 • 2 minutes to read

Cet article fournit une solution pour résoudre un problème dans lequel vous recevez l’erreur « Échec de la
connexion à Active Directory Federation Services 2.0 sur l’ordinateur local » lors de la conversion d’un domaine
fédéré en domaine géré à l’aide de la Convert-MsolDomainToStandard cmdlet.
S’applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numéro de la ko d’origine : 3018485

Symptômes
Lorsque vous exécutez l’cmdlet pour convertir un domaine fédéré en domaine géré, vous recevez
Convert-MsolDomainToStandard le message d’erreur suivant :

Échec de la connexion à Active Directory Federation Services 2.0 sur l’ordinateur local.
Essayez d'Set-MsolADFSContect avant d’exécutez à nouveau cette commande.

Cause
Ce problème se produit si le serveur sur lequel vous exécutez la cmdlet n’exécute pas les
Convert-MsolDomainToStandard services AD FS (Active Directory Federation Services).

Résolution
Faites l’une des choses suivantes, selon votre situation :
Si AD FS est toujours en cours d’exécution, utilisez la cmdlet pour spécifier le serveur sur lequel
Set-MsolADFSContext AD FS est en cours d’exécution.

Par exemple :

Set-MsolADFSContext -Computer <ServerName>

Pour plus d’informations sur Set-MsolADFSContext cmdlet, voir Set-MsolADFSContext.


Si AD FS n’est pas en cours d’exécution, utilisez la cmdlet pour changer le domaine
Set-MsolDomainAuthentication en domaine géré.

Par exemple :

Set-MsolDomainAuthentication -DomainName <DomainName> -Authentication Managed

Pour plus d’informations sur Set-MsolDomainAuthentication cmdlet, voir Set-MsolDomainAuthentication.

Informations supplémentaires
Encore besoin d’aide ? Go to Microsoft Community or Azure Active Directory Forums website.
Comment restaurer IIS et nettoyer Active Directory
lorsque vous désinstallez Active Directory
Federation Services 2.0
22/09/2022 • 4 minutes to read

Cet article explique comment restaurer Internet Information Services (IIS) et nettoyer Active Directory lorsque
vous désinstallez Active Directory Federation Services 2.0.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 982813

Introduction
L’Assistant Désinstallation des services AD FS 2.0 (AD FS 2.0) désinstalle AD FS 2.0 de votre ordinateur. Toutefois,
vous de devez toujours restaurer ou nettoyer manuellement les paramètres dans l’une des situations suivantes :
Lorsque vous désinstallez AD FS 2.0 d’un serveur de fédération ou d’un ordinateur proxy de serveur de
fédération, l’Assistant Désinstallation ne restaure pas IIS à son état d’origine.
Lorsque vous désinstallez AD FS 2.0 du dernier serveur de fédération ajouté dans une batterie de serveurs
de fédération, le processus de désinstallation ne supprime pas le conteneur de partage de certificats créé
dans Active Directory.
Si vous exécutez l’Assistant Configuration du serveur de fédération AD FS 2.0 après avoir réinstallé AD FS 2.0,
mais que vous n’avez pas nettoyé la configuration AD FS 2.0 précédente à partir d’IIS, vous pouvez voir l’un des
symptômes suivants :
La page Résultats de la configuration peut afficher le composant Déployer le site Web de configuration
du navigateur répertorié avec l’état Configuration terminée par des avertissements. Lorsque vous cliquez
sur l’état, vous pouvez voir l’avertissement suivant :

Site Web existant détecté. Par conséquent, le site Web n’a pas été réinstallé. Si vous essayez de
redéployer les sites Web AD FS 2.0 par défaut, voir pour
http://go.microsoft.com/fwlink/?LinkId=181110 plus d’informations.

La page Résultats de la configuration peut afficher le site Web de configuration de déploiement de


composant de navigateur répertorié avec l’état Configuration des composants... lorsque le message
d’erreur suivant s’affiche :

Impossible de copier les fichiers de site Web dans C: \ inetpub \ \ adfs ls, car le répertoire existe déjà.
Supprimez le répertoire et réexécutez l’Assistant Configuration ou mettez à jour le site Web existant
manuellement.

Vous pouvez utiliser les méthodes suivantes pour nettoyer ou restaurer la configuration d’origine :

Restaurer IIS sur un serveur de fédération ou un serveur proxy de


fédération
Lorsqu’AD FS 2.0 est installé sur un ordinateur configuré pour le serveur de fédération ou le rôle proxy de
serveur de fédération, il crée les répertoires virtuels /adfs et /adfs/ls dans IIS. AD FS 2.0 crée également un pool
d’applications nommé ADFSAppPool. Lorsque vous désinstallez AD FS 2.0 d’un serveur de fédération ou d’un
ordinateur proxy de serveur de fédération, ces répertoires virtuels ne sont pas supprimés. En outre, le pool
d’applications n’est pas supprimé. Cela peut créer des problèmes si AD FS 2.0 est installé à nouveau sur le même
ordinateur.
Pour supprimer manuellement ces répertoires du serveur de fédération désaffecté ou de l’ordinateur proxy du
serveur de fédération, suivez les étapes suivantes :
1. Cliquez sur Démarrer, sélectionnez Outils d’administration, puis sélectionnez Gestionnaire des
ser vices IiS.
2. Développez le nœud nom du serveur, développez Sites, puis sélectionnez Site Web par défaut.
3. Dans le volet Actions, sélectionnez Afficher les applications.

NOTE
Vous devriez voir les deux répertoires virtuels suivants associés à AD FS 2.0 :
/adfs
/adfs/ls

4. Cliquez avec le bouton droit sur l’application AD FS 2.0 qui se trouve dans chaque répertoire virtuel, puis
cliquez sur Supprimer.
5. Dans le volet Actions, sélectionnez Pools d’applications.

NOTE
Vous devriez voir un pool d’applications nommé ADFSAppPool.

6. Cliquez avec le bouton droit sur ADFSAppPool, puis sélectionnez Supprimer.

NOTE
Les deux étapes suivantes montrent comment supprimer le répertoire adfs du répertoire \ « inetpub ». Si vous
avez apporté des modifications personnalisées au contenu de ce répertoire, nous vous recommandons de le faire
à un autre emplacement avant de supprimer le répertoire.

7. Dans Windows’explorateur, accédez au répertoire « inetpub ». Ce répertoire se trouve dans le chemin


d’accès suivant :
%systemdrive% \ inetpub
8. Cliquez avec le bouton droit sur le répertoire Adfs, puis cliquez sur Supprimer.

Supprimer le conteneur de partage de certificats dans Active


Directory
Lorsque vous installez AD FS 2.0 et utilisez l’Assistant Configuration du serveur de fédération pour créer un
serveur de fédération dans une nouvelle batterie de serveurs de fédération, l’Assistant crée un conteneur de
partage de certificats dans Active Directory. Ce conteneur est utilisé par tous les serveurs de fédération de la
batterie de serveurs. Lorsque vous désinstallez AD FS 2.0 du dernier serveur de fédération ajouté dans une
batterie de serveurs, ce conteneur n’est pas supprimé d’Active Directory.
Pour supprimer manuellement ce conteneur dans Active Directory, suivez les étapes suivantes :
1. Avant de supprimer AD FS 2.0 du dernier serveur de fédération de la batterie de serveurs, exécutez les
commandes PowerShell suivantes sur le sts AD FS 2.0 pour déterminer l’emplacement du conteneur de
partage de certificats dans Active Directory :

Add-PsSnapin Microsoft.Adfs.Powershell
Get-AdfsProperties

2. Notez la propriété Cer tificateSharingContainer dans la sortie de l’étape précédente.


3. Connectez-vous à un serveur sur lequel l’outil ADSIEdit (ADSIEdit.msc) est installé.
4. Cliquez sur Démarrer, sur Exécuter, tapez ADSIEdit.msc, puis appuyez sur Entrée.
5. Dans l’outil ADSIEdit, connectez-vous au contexte d’attribution de noms par défaut en suivant les étapes
suivantes :
a. Cliquez avec le bouton droit sur ADSI Edit, puis cliquez sur Connecter à .
b. Sous Point de connexion, cliquez sur Sélectionner un contexte d’attribution de noms connu, puis
sélectionnez Contexte d’attribution de noms par défaut.
c. Cliquez sur OK .
6. Développez le nœud suivant :
Contexte d’attribution de noms par défaut, {votre par tition de domaine}, CN=Données de
programme, CN=Microsoft, CN=ADFS

NOTE
Sous CN=ADFS, vous voyez un conteneur nommé CN={GUID} pour chaque batterie de serveurs AD FS 2.0 que
vous avez déployée, où {GUID} correspond à la propriété Cer tificateSharingContainer que vous avez
capturée à l’aide de la commande PowerShell à l’étape Get-AdfsProperties 1.

7. Cliquez avec le bouton droit sur le conteneur {GUID} approprié, puis sélectionnez Supprimer.
Erreur ADFS 2.0 : l’accès est refusé
22/09/2022 • 5 minutes to read

Cet article fournit une solution pour corriger l’erreur AD FS (Active Directory Federated Services) 2.0.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 3044977

Résumé
La plupart des problèmes liés aux AD FS 2.0 appartiennent à l’une des principales catégories suivantes. Cet
article contient des instructions pas à pas pour résoudre les problèmes liés aux règles de revendications.
Problèmes de connectivité (KB 3044971)
Problèmes de service ADFS (KB 3044973)
Problèmes de certificat (KB 3044974)
Problèmes d’authentification (KB 3044976)

Symptômes
Le jeton émis par le service AD FS ne comprend pas les revendications appropriées pour autoriser l’accès
utilisateur à l’application.
Le serveur AD FS renvoie le message d’erreur suivant :

Accès refusé

Si vous activez l’audit AD FS à l’aide de la rubrique Configuration des serveurs ADFS pour la résolution
des problèmes, l’erreur suivante est consignée dans le journal des événements :

ID d’événement 325
Le service de fédération n’a pas pu autoriser l’émission de jeton pour l’appelant.

Résolution
Pour résoudre ce problème, suivez ces étapes dans l’ordre donné. Ces étapes vous aideront à déterminer la
cause du problème. Veillez à vérifier si le problème est résolu après chaque étape.
Étape 1 : Obtenir des détails sur les revendications requises
Déterminez les types de revendications requis dans le jeton SAML du propriétaire de la partie de confiance.
Déterminez le fournisseur de revendications utilisé pour authentifier l’utilisateur.
Par exemple :
Un fournisseur de partie de confiance peut indiquer qu’il souhaite que les valeurs de messagerie, de
nom et de rôle de l’utilisateur soient fournies.
Si le fournisseur de revendications dans cette situation est « Active Directory », vous devez configurer
une règle de revendication d’acceptation au niveau « Active Directory ».
NOTE
Si le fournisseur de revendications est un autre service d’jetons de sécurité (STS), nous devons créer une règle de
revendication pass Through ou Transform pour accepter les valeurs de revendication stockées dans les types de
revendications définis localement qui doivent être transmis à la partie de confiance.

Créez une revendication pass Through pour ces revendications au niveau de la partie de confiance.
Étape 2 : Vérifier si AD FS refuse le jeton en fonction des règles d’autorisation
Pour ce faire, cliquez avec le bouton droit sur la partie de confiance, cliquez sur Modifier les règles de
revendication, puis cliquez sur l’onglet Règles d’autorisation d’émission. Lorsque vous examinez les
informations des règles, prenons en compte les recommandations suivantes :
Toutes les règles de revendications d’autorisation sont traitées.
Si aucune règle n’est définie, le serveur AD FS refuse tous les utilisateurs.
L’approche allowlist peut également être utilisée au lieu d’utiliser une règle Autoriser tout. Dans ce cas, vous
définissez un ensemble de règles qui spécifient les conditions dans lesquelles l’utilisateur doit être émis un
jeton.
Dans l’approche de la liste de blocage, vous aurez besoin d’une règle Autoriser tout, ainsi que d’une ou de
plusieurs règles de refus basées sur une condition.
Une règle de refus remplace toujours une règle d’autoriser. Cela signifie que si les conditions de
revendication Autoriser et Refuser sont vraies pour l’utilisateur, la règle de refus sera suivie.
Pour que les règles d’autorisation basées sur d’autres valeurs de revendication autorisent ou refusent un
jeton, ces revendications doivent déjà être poussées dans le pipeline de revendications à partir du niveau de
confiance du fournisseur de revendications.
Étape 3 : Capturer un suivi Fiddler
Capturez un suivi du débogger Web Fiddler pour capturer la communication vers le service AD FS et déterminer
si un jeton SAML a été émis. Si un jeton SAML a été émis, décodez-le pour déterminer si l’ensemble correct de
revendications est émis.
Pour plus d’informations sur ce processus, voir AD FS 2.0: How to Use Fiddler Web Debugger to Analyze a WS-
Federation Passive Sign-In.
Pour rechercher le jeton SAML émis par le service AD FS :
Dans un suivi de fiddler, examinez la réponse d’AD FS pour déterminer où le service AD FS est en train de
définir les cookies MSISAuth et MSISAuthenticated. Vous pouvez également examiner la demande une fois
qu’AD FS a définit les cookies MSISAuth et MSISAuthenticated.
Sélectionnez le jeton, puis démarrez TextWizard dans Fiddler. Utilisez URLDecode pour un RSTR (WS-Fed) ou
FromDeflatedSAML pour une réponse de protocole SAML 2.0.
Étape 4 : Activer l’audit ADFS et vérifier si le jeton a été émis ou refusé, ainsi que la liste des revendications en
cours de traitement
Configurez les serveurs AD FS pour enregistrer l’audit des événements AD FS dans le journal de sécurité. Pour
configurer le journal Sécurité Windows pour prendre en charge l’audit des événements AD FS, suivez les étapes
suivantes :
1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Stratégie de sécurité locale.
2. Double-cliquez sur Stratégies locales, puis cliquez sur Stratégie d’audit.
3. Dans le volet d’informations, double-cliquez sur Auditer l’accès aux objets.
4. Dans la page Propriétés d’accès à l’objet Audit, sélectionnez Réussite ou Échec ou les deux, puis cliquez
sur OK.
5. Fermez le logiciel en Paramètres sécurité locale.
6. À l’invite de commandes, tapez gpupdate /force, puis appuyez sur Entrée pour actualiser immédiatement la
stratégie locale.
Vous pouvez également utiliser l’GPO suivant pour configurer le Sécurité Windows journal :
Configuration ordinateur\Stratégies\Windows Paramètres\Sécurité Paramètres\Configuration avancée de la
stratégie d’audit\Stratégies d’audit\Accès aux objets\Application d’audit générée - Réussite et échec Configurer
ADFS
Cela est utile dans un scénario dans lequel AD FS a refusé un jeton à l’utilisateur. Le processus d’audit AD FS
signale l’événement et les revendications qui ont été générées avant le refus du jeton. Cela vous permet de
déterminer la revendication à l’origine de l’application de la règle de refus. Examinez en particulier le journal des
événements de sécurité pour les ID d’événement 299, 500, 501 et 325.
Étape 5 : Déterminer si vous avez besoin d’une revendication personnalisée
Si les exigences d’émission de revendications ne peuvent pas être remplies par les modèles de règle de
revendication par défaut, vous devrez peut-être écrire une revendication personnalisée. Pour plus
d’informations, voir Understanding Claim Rule Language in AD FS 2.0 & Higher.
Exclusion de responsabilité de tiers
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de
Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces
produits.
Résoudre les problèmes AD FS dans Azure Active
Directory et Office 365
22/09/2022 • 19 minutes to read

Cet article traite du dépannage des flux de travail pour les problèmes d’authentification pour les utilisateurs
fédérés dans Azure Active Directory ou Office 365.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 3079872

Symptômes
Les utilisateurs fédérés ne peuvent pas se Office 365 ou Microsoft Azure même si les utilisateurs gérés dans
le cloud uniquement qui ont un suffixe UPN domainxx.onmicrosoft.com peuvent se connecter sans problème.
La redirection vers les services AD FS (Active Directory Federation Services) ou STS ne se produit pas pour
un utilisateur fédéré. Sinon, une erreur « La page ne peut pas être affichée » est déclenchée.
Vous recevez un avertissement lié au certificat sur un navigateur lorsque vous essayez de vous authentifier
auprès d’AD FS. Indique que la validation du certificat échoue ou que le certificat n’est pas approuvé.
Erreur ou erreur « Méthode d’th inconnue » indiquant qu’elle n’est AuthnContext pas prise en charge. En
outre, les erreurs au niveau AD FS ou STS lorsque vous êtes redirigé à partir de Office 365.
AD FS envoie une erreur « Accès refusé ».
AD FS envoie une erreur indiquant qu’il y a un problème d’accès au site . qui inclut un numéro d’ID de
référence.
L’utilisateur est invité à plusieurs reprises à obtenir des informations d’identification au niveau AD FS.
Les utilisateurs fédérés ne peuvent pas s’authentifier à partir d’un réseau externe ou lorsqu’ils utilisent une
application qui utilise l’itinéraire réseau externe (Outlook, par exemple).
Les utilisateurs fédérés ne peuvent pas se connecter après la changement d’un certificat de signature de
jetons sur AD FS.
Une erreur « Désolé, mais nous avons des difficultés pour vous mettre en communication » est déclenchée
lorsqu’un utilisateur fédéré se Office 365 dans Microsoft Azure. Cette erreur inclut des codes d’erreur tels que
8004786C, 80041034, 80041317, 80043431, 80048163, 80045C06, 8004789A ou une demande BAD.

Résolution des problèmes de flux de travail


1. Accédez Microsoft Office Home, puis entrez le nom de la signature de l’utilisateur fédéré
(someoneexample @.com ). Après avoir appuyez sur l’onglet pour supprimer le focus de la zone de
connexion, vérifiez si l’état de la page passe à Redirection , puis vous êtes redirigé vers votre service AD
FS (Active Directory Federation Service) pour vous connecter.
Lorsque la redirection se produit, vous voyez la page suivante :
a. Si aucune redirection ne se produit et que vous êtes invité à entrer un mot de passe sur la même
page, ce qui signifie que Azure Active Directory (AD) ou Office 365 ne reconnaît pas l’utilisateur ou
le domaine de l’utilisateur à fédéré. Pour vérifier s’il existe une confiance de fédération entre Azure
AD ou Office 365 et votre serveur AD FS, Get-msoldomain exécutez l’cmdlet à partir de Azure AD
PowerShell. Si un domaine est fédéré, sa propriété d’authentification s’affiche sous la forme
Fédéré , comme dans la capture d’écran suivante :

b. Si la redirection se produit, mais que vous n’êtes pas redirigé vers votre serveur AD FS pour la
connexion, vérifiez si le nom du service AD FS est résolu sur l’adresse IP correcte et s’il peut se
connecter à cette adresse IP sur le port TCP 443.
Si le domaine est affiché comme fédéré , obtenez des informations sur l’autorisation de fédération
en exécutant les commandes suivantes :

Get-MsolFederationProperty -DomainName <domain>


Get-MsolDomainFederationSettings -DomainName <domain>

Vérifiez l’URI, l’URL et le certificat du partenaire de fédération configuré par Office 365 ou Azure
AD.
2. Une fois redirigé vers AD FS, le navigateur peut créer une erreur liée à l’autorisation de certificat et, pour
certains clients et appareils, il peut ne pas vous laisser établir une session SSL (Secure Sockets Layer)
avec AD FS. Pour résoudre ce problème, suivez les étapes suivantes :
a. Assurez-vous que le certificat de communication du service AD FS présenté au client est le même
que celui configuré sur AD FS.

Dans l’idéal, le certificat de communication du service AD FS doit être identique au certificat SSL
présenté au client lorsqu’il tente d’établir un tunnel SSL avec le service AD FS.
Dans AD FS 2.0 :
Lier le certificat à IIS->premier site par défaut.
Utilisez le logiciel en snap-in AD FS pour ajouter le même certificat que le certificat de
communication de service.
Dans AD FS 2012 R2 :
Utilisez le logiciel en snap-in AD FS ou la commande Add-adfscertificate pour ajouter un
certificat de communication de service.
Utilisez la Set-adfssslcertificate commande pour définir le même certificat pour la liaison
SSL.
b. Assurez-vous que le certificat de communication du service AD FS est approuvé par le client.
c. Si des clients non SNI tentent d’établir une session SSL avec AD FS ou WAP 2-12 R2, la tentative
peut échouer. Dans ce cas, envisagez d’ajouter une entrée de retour sur les serveurs AD FS ou WAP
pour prendre en charge les clients non-SNI. Pour plus d’informations, voir Comment prendre en
charge les clients non SNI avec le proxy d’application web et AD FS 2012 R2.
3. AuthnContext Vous pouvez rencontrer une erreur « Méthode d’th inconnue » ou des erreurs indiquant
qu’elle n’est pas prise en charge au niveau AD FS ou STS lorsque vous êtes redirigé à partir de Office 365.
Il est plus courant lorsque vous redirigez vers AD FS ou STS à l’aide d’un paramètre qui applique une
méthode d’authentification. Pour appliquer une méthode d’authentification, utilisez l’une des méthodes
suivantes :
Pour WS-Federation, utilisez une chaîne de requête WAUTH pour forcer une méthode
d’authentification préférée.
Pour SAML2.0, utilisez ce qui suit :

<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>

Lorsque la méthode d’authentification appliquée est envoyée avec une valeur incorrecte ou si cette
méthode d’authentification n’est pas prise en charge sur AD FS ou STS, vous recevez un message d’erreur
avant d’être authentifié.
Le tableau suivant présente les AUTHENTIFICATIONs de type d’authentification reconnues par AD FS pour
lWS-Federation passive.

M ÉT H O DE D’A UT H EN T IF IC AT IO N REC H ERC H ÉE URI WA UT H

Authentification par nom d’utilisateur et mot de passe urn:oasis:names:tc:SAML:1.0:am:password

Authentification du client SSL urn:ietf:rfc:2246

Windows’authentification intégrée urn:federation:authentication:windows

Classes de contexte d’authentification SAML prise en charge


M ÉT H O DES D'A UT H EN T IF IC AT IO N URI DE C L A SSE DE C O N T EXT E D’A UT H EN T IF IC AT IO N

Nom d'utilisateur et mot de passe urn:oasis:names:tc:SAML:2.0:ac:classes:Password

Transport protégé par mot de passe urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtecte


dTransport

Client TLS (Transport Layer Security) urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient

Certificat X.509 urn:oasis:names:tc:SAML:2.0:ac:classes:X509

Authentification Windows intégrée urn:federation:authentication:windows

Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos

Pour vous assurer que la méthode d’authentification est prise en charge au niveau AD FS, vérifiez ce qui
suit.
AD FS 2.0
Sous /adfs/ls/web.config, assurez-vous que l’entrée du type d’authentification est présente.

<microsoft.identityServer.web>
<localAuthenticationTypes>
< add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />
</localAuthenticationTypes>

AD FS 2.0 : Comment modifier le type d’authentification local


AD FS 2012 R2
a. Sous Gestion AD FS, sélectionnez Stratégies d’authentification dans le logiciel en ligne AD FS.
b. Dans la section Authentification principale, sélectionnez Modifier en Paramètres . Vous pouvez
également cliquer avec le bouton droit sur Stratégies d’authentification , puis sélectionner
Modifier l’authentification principale globale . Ou, dans le volet Actions , sélectionnez
Modifier l’authentification principale globale .
c. Dans la fenêtre Modifier la stratégie d’authentification globale, sous l’onglet Principal, vous
pouvez configurer les paramètres dans le cadre de la stratégie d’authentification globale. Par
exemple, pour l’authentification principale, vous pouvez sélectionner les méthodes
d’authentification disponibles sous Extranet et Intranet .
Assurez-vous que la case à cocher de la méthode d’authentification requise est sélectionnée.
4. Si vous arrivez à vos AD FS et entrez vos informations d’identification, mais que vous ne pouvez pas être
authentifié, recherchez les problèmes suivants.
a. Problème de réplication Active Directory
Si la réplication AD est rompue, les modifications apportées à l’utilisateur ou au groupe peuvent
ne pas être synchronisées entre les contrôleurs de domaine. Entre les contrôleurs de domaine, il
peut y avoir une insériorité de mot de passe, UPN, GroupMembership ou Proxyaddress qui affecte
la réponse AD FS (authentification et revendications). Vous devez commencer à regarder les
contrôleurs de domaine sur le même site qu’AD FS. L’exécution repadmin /showreps d’une
DCdiag /v ou d’une commande doit révéler s’il existe un problème sur les contrôleurs de
domaine que les AD FS sont les plus susceptibles de contacter.
Vous pouvez également collecter un résumé de réplication AD pour vous assurer que les
modifications AD sont répliquées correctement sur tous les contrôleurs de domaine. La sortie
repadmin /showrepl * /csv > showrepl.csv est utile pour vérifier l’état de la réplication. Pour plus
d’informations, voir Résolution des problèmes de réplication Active Directory.
b. Compte verrouillé ou désactivé dans Active Directory
Lorsqu’un utilisateur final est authentifié via AD FS, il ne reçoit pas de message d’erreur indiquant
que le compte est verrouillé ou désactivé. À partir d’AD FS et de l’audit d’authentification, vous
devez être en mesure de déterminer si l’authentification a échoué en raison d’un mot de passe
incorrect, si le compte est désactivé ou verrouillé, etc.
Pour activer AD FS et l’audit d’accès sur les serveurs AD FS, suivez les étapes suivantes :
a. Utilisez une stratégie locale ou de domaine pour activer la réussite et l’échec pour les
stratégies suivantes :
Événement d’audit d’une logon, situé dans
Computer configuration\Windows Settings\Security setting\Local Policy\Audit Policy

Auditer l’accès aux objets, situé dans


Computer configuration\Windows Settings\Security setting\Local Policy\Audit Policy

b. Désactivez la stratégie suivante :


Audit : forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou
ultérieur) à remplacer les paramètres de catégorie de stratégie d’audit
Cette stratégie se trouve dans
Computer configuration\Windows Settings\Security setting\Local Policy\Security Option .

Si vous souhaitez la configurer à l’aide d’un audit avancé, voir Configuring Computers for
Troubleshooting AD FS 2.0.
c. Configurez AD FS pour l’audit :
a. Ouvrez le logiciel en snap-in AD FS 2.0 Management.
b. Dans le volet Actions , sélectionnez Modifier les propriétés du ser vice de
fédération .
c. Dans la boîte de dialogue Propriétés du ser vice de fédération, sélectionnez
l’onglet Événements .
d. Cochez les cases Audits de réussite et Échecs .

e. S’exécute GPupdate /force sur le serveur.


c. Le nom principal de service (SPN) est enregistré de manière incorrecte
Il peut y avoir des SPN en double ou un SPN enregistré sous un compte autre que le compte de
service AD FS. Pour une configuration de batterie de serveurs AD FS, assurez-vous que SPN
HOST/AD FSservicename est ajouté sous le compte de service qui exécute le service AD FS. Pour
une configuration AD FS autonome, où le service est en cours d’exécution sous Service réseau, le
nom principal de service doit se trouver sous le compte d’ordinateur serveur qui héberge AD FS.
Assurez-vous qu’il n’existe pas de SDN en double pour le service AD FS, car cela peut entraîner des
échecs d’authentification intermittents avec AD FS. Pour lister les SNS, exécutez
SETSPN -L <ServiceAccount> .

Exécutez SETSPN -A HOST/AD FSservicename ServiceAccount pour ajouter le SPN.


Exécutez SETSPN -X -F cette recherche pour vérifier les SNS dupliqués.
d. UpNs dupliqués dans Active Directory
Un utilisateur peut être en mesure de s’authentifier via AD FS lorsqu’il utilise SAMAccountName,
mais ne peut pas s’authentifier lors de l’utilisation d’UPN. Dans ce scénario, Active Directory peut
contenir deux utilisateurs qui ont le même UPN. Il est possible de finir avec deux utilisateurs qui
ont le même UPN lorsque les utilisateurs sont ajoutés et modifiés par le biais de scripts (ADSIedit,
par exemple).
Lorsque l’UPN est utilisé pour l’authentification dans ce scénario, l’utilisateur est authentifié par
rapport à l’utilisateur en double. Les informations d’identification fournies ne sont donc pas
validées.
Vous pouvez utiliser des requêtes telles que les suivantes pour vérifier si plusieurs objets dans AD
ont les mêmes valeurs pour un attribut :

Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN

Assurez-vous que l’UPN de l’utilisateur en double est renommé, afin que la demande
d’authentification auprès de l’UPN soit validée par rapport aux objets corrects.
e. Dans un scénario où vous utilisez votre adresse de messagerie comme ID de connexion dans
Office 365 et que vous entrez la même adresse de messagerie lorsque vous êtes redirigé vers AD
FS pour l’authentification, l’authentification peut échouer avec une erreur « NO_SUCH_USER »
dans les journaux d’audit. Pour permettre aux AD FS de rechercher un utilisateur pour
l’authentification à l’aide d’un attribut autre que UPN ou SAMaccountname, vous devez configurer
AD FS pour prendre en charge un autre ID de connexion. Pour plus d’informations, voir
Configuring Alternate Login ID.
Sur AD FS 2012 R2
a. Installez update 2919355.
b. Mettez à jour la configuration AD FS en exécutant l’applet de commande PowerShell
suivante sur l’un des serveurs de fédération de votre batterie de serveurs (si vous avez une
batterie WID, vous devez exécuter cette commande sur le serveur AD FS principal de votre
batterie de serveurs) :

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID


<attribute> -LookupForests <forest domain>

NOTE
AlternateLoginID est le nom LDAP de l’attribut que vous souhaitez utiliser pour la connexion. Et
LookupForests est la liste des entrées DNS de forêts à qui appartiennent vos utilisateurs.

Pour activer la fonctionnalité d’ID de connexion de remplacement, vous devez configurer les
paramètres AlternateLoginID et LookupForests avec une valeur valide non null.
f. Le compte de service AD FS n’a pas accès en lecture au jeton AD FS qui signe la clé privée du
certificat. Pour ajouter cette autorisation, suivez les étapes suivantes :
a. Lorsque vous ajoutez un nouveau certificat Token-Signing, vous recevez l’avertissement
suivant :

Assurez-vous que la clé privée du certificat choisi est accessible au compte de service
pour ce service de fédération sur chaque serveur de la batterie de serveurs.

b. Sélectionnez Démarrer , Exécuter , tapez mmc.exe, puis appuyez sur Entrée.


c. Sélectionnez Fichier , puis ajouter /supprimer un logiciel en snap-in .
d. Double-cliquez sur Cer tificats .
e. Sélectionnez le compte d’ordinateur en question, puis sélectionnez Suivant .
f. Sélectionnez Ordinateur local , puis Terminer .
g. Développez Cer tificats (ordinateur local), développez Persona l, puis sélectionnez
Cer tificats .
h. Cliquez avec le bouton droit sur votre nouveau certificat de signature de jetons,
sélectionnez Toutes les tâches, puis sélectionnez Gérer les clés privées .
i. Ajoutez un accès en lecture pour votre compte de service AD FS 2.0, puis sélectionnez OK .
j. Fermez la MMC Certificats.
g. L’option Protection étendue pour Windows’authentification est activée pour le répertoire
virtuel AD FS ou LS. Cela peut entraîner des problèmes avec des navigateurs spécifiques. Parfois,
les services AD FS vous invitent à plusieurs reprises à obtenir des informations d’identification, et
cela peut être lié au paramètre protection étendue activé pour l’authentification Windows pour les
services AD FS ou l’application LS dans IIS.

Lorsque la protection étendue de l’authentification est activée, les demandes d’authentification


sont liées à la fois aux noms principaux de service (SNS) du serveur auquel le client tente de se
connecter et au canal TLS (Transport Layer Security) externe sur lequel l’authentification Windows
intégrée se produit. La protection étendue améliore la fonctionnalité d’authentification Windows
existante pour atténuer les relais d’authentification ou les attaques « de l’intermédiaire ». Toutefois,
certains navigateurs ne fonctionnent pas avec le paramètre protection étendue ; au lieu de cela, ils
invitent à plusieurs reprises à obtenir des informations d’identification, puis refusent l’accès. La
désactivation de la protection étendue est utile dans ce scénario.
Pour plus d’informations, voir AD FS 2.0: Continuously Prompted for Credentials While Using
Fiddler Web Debugger.
Pour AD FS 2012 R2
Exécutez l’cmdlet suivante pour désactiver la protection étendue :

Set-ADFSProperties -ExtendedProtectionTokenCheck None

h. Les règles d’autorisation d’émission dans l’approbation de partie de confiance (RP) peuvent
refuser l’accès aux utilisateurs. Dans l’approbation de partie de confiance AD FS, vous pouvez
configurer les règles d’autorisation d’émission qui contrôlent si un utilisateur authentifié doit être
émis un jeton pour une partie de confiance. Les administrateurs peuvent utiliser les revendications
émises pour décider s’il faut refuser l’accès à un utilisateur membre d’un groupe qui est tiré en
tant que revendication.
Si certains utilisateurs fédérés ne peuvent pas s’authentifier via AD FS, vous voudrez peut-être
vérifier les règles d’autorisation d’émission pour le rp Office 365 et voir si la règle Autoriser l’accès
à tous les utilisateurs est configurée.

Si cette règle n’est pas configurée, consultez les règles d’autorisation personnalisées pour vérifier
si la condition de cette règle est « true » pour l’utilisateur concerné. Pour plus d’informations,
reportez-vous aux ressources suivantes :
Understanding Claim Rule Language in AD FS 2.0 & Higher
Configuration des stratégies d’accès client
Limitation de l’accès Office 365 Services en fonction de l’emplacement du client
Si vous pouvez vous authentifier à partir d’un intranet lorsque vous accédez directement au
serveur AD FS, mais que vous ne pouvez pas vous authentifier lorsque vous accédez à AD FS via
un proxy AD FS, recherchez les problèmes suivants :
Problème de synchronisation de l’heure sur le serveur AD FS et le proxy AD FS
Assurez-vous que l’heure sur le serveur AD FS et l’heure sur le proxy sont synchronisées.
Lorsque le temps sur le serveur AD FS est éteint de plus de cinq minutes à partir du temps
sur les contrôleurs de domaine, des échecs d’authentification se produisent. Lorsque l’heure
sur le proxy AD FS n’est pas synchronisée avec AD FS, l’confiance du proxy est affectée et
rompue. Ainsi, une demande qui passe par le proxy AD FS échoue.
Vérifiez si l’confiance de proxy AD FS avec le service AD FS fonctionne correctement.
Réexécutez la configuration du proxy si vous pensez que l’confiance du proxy est rompue.
5. Une fois que votre AD FS a émis un jeton, Azure AD ou Office 365 une erreur. Dans ce cas, recherchez les
problèmes suivants :
Les revendications émises par AD FS dans le jeton doivent correspondre aux attributs respectifs de
l’utilisateur dans Azure AD. Dans le jeton Azure AD ou Office 365, les revendications suivantes sont
requises.
WSFED :
UPN : la valeur de cette revendication doit correspondre à l’UPN des utilisateurs dans Azure AD.
ImmutableID : la valeur de cette revendication doit correspondre à la sourceAnchor ou
ImmutableID de l’utilisateur dans Azure AD.
Pour obtenir la valeur d’attribut User Azure AD, exécutez la ligne de commande suivante :

Get-MsolUser -UserPrincipalName <UPN>

SAML 2.0 :
IDPEmail : la valeur de cette revendication doit correspondre au nom d’utilisateur principal des
utilisateurs dans Azure AD.
NAMEID : la valeur de cette revendication doit correspondre à la sourceAnchor ou ImmutableID de
l’utilisateur dans Azure AD.
Pour plus d’informations, voir Utiliser un fournisseur d’identité SAML 2.0 pour implémenter l’sign-
on unique.
Exemples :
Ce problème peut se produire lorsque l’UPN d’un utilisateur synchronisé est modifié dans AD,
mais sans mettre à jour l’annuaire en ligne. Dans ce scénario, vous pouvez corriger l’UPN de
l’utilisateur dans AD (pour correspondre au nom de l’utilisateur associé) ou exécuter l’cmdlet
suivante pour modifier le nom de l’utilisateur associé dans l’annuaire en ligne :

Set-MsolUserPrincipalName -UserPrincipalName [ExistingUPN] -NewUserPrincipalName [DomainUPN-


AD]

Il se peut également que vous utilisiez AADsync pour synchroniser MAIL en tant qu’UPN et EMPID
en tant que SourceAnchor, mais les règles de revendication de partie de confiance au niveau AD FS
n’ont pas été mises à jour pour envoyer LE COURRIER en tant qu’UPN et EMPID en tant
qu’ImmutableID.
Il existe une non-distinction entre les certificats de signature de jetons entre AD FS et Office 365.
Il s’agit de l’un des problèmes les plus courants. AD FS utilise le certificat de signature de jetons
pour signer le jeton envoyé à l’utilisateur ou à l’application. L’autorisation entre les services AD FS
et Office 365 est une confiance fédérée basée sur ce certificat de signature de jetons (par exemple,
Office 365 vérifie que le jeton reçu est signé à l’aide d’un certificat de signature de jetons du
fournisseur de revendications [le service AD FS] qu’il a confiance).
Toutefois, si le certificat de signature de jetons sur les AD FS est modifié en raison du rollover
automatique des certificats ou de l’intervention d’un administrateur (après ou avant l’expiration du
certificat), les détails du nouveau certificat doivent être mis à jour sur le client Office 365 pour le
domaine fédéré. Il se peut que cela ne se produise pas automatiquement . cela peut nécessiter
l’intervention d’un administrateur. Lorsque le certificat de signature de jetons principal sur AD FS
est différent de ce que Office 365 connaît, le jeton émis par AD FS n’est pas approuvé par Office
365. L’utilisateur fédéré n’est donc pas autorisé à se connecter.
Office 365 ou Azure AD tenteront d’accéder au service AD FS, en supposant que le service est
accessible sur le réseau public. Nous essayons d’sonder les métadonnées de fédération AD FS à
intervalles réguliers pour obtenir les modifications de configuration sur AD FS, principalement les
informations de certificat de signature de jetons. Si ce processus ne fonctionne pas,
l’administrateur général doit recevoir un avertissement sur le portail Office 365 concernant
l’expiration du certificat de signature de jetons et les actions nécessaires pour le mettre à jour.
Vous pouvez utiliser cette fonction Get-MsolFederationProperty -DomainName <domain> pour vider la
propriété de fédération sur AD FS et Office 365. Vous pouvez comparer l’empreinte numérique
TokenSigningCertificate pour vérifier si la configuration du client Office 365 pour votre domaine
fédéré est synchronisée avec AD FS. Si vous trouvez une non-mise à jour dans la configuration du
certificat de signature de jetons, exécutez la commande suivante pour la mettre à jour :

Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain

Vous pouvez également exécuter l’outil suivant pour planifier une tâche sur le serveur AD FS qui
surveille le passage de certificat automatique du certificat de signature de jetons et met à jour le
client Office 365 automatiquement.
Microsoft Office 365'installation d’Automation de mise à jour des métadonnées de
fédération
Vérifier et gérer l’sign-on unique avec AD FS
Les règles de revendication de transformation d’émission Office 365 rp ne sont pas configurées
correctement.
Dans un scénario où vous avez plusieurs domaines TLD (domaines de niveau supérieur), vous
pouvez avoir des problèmes de logo si le commutateur Supportmultipledomain n’a pas été utilisé
lors de la création et de la mise à jour de l’confiance RP. Pour plus d’informations, voir
Commutateur SupportMultipleDomain, lors de la gestion de l’ingso Office 365.
Assurez-vous que le chiffrement de jeton n’est pas utilisé par AD FS ou STS lorsqu’un jeton est
émis à Azure AD ou à Office 365.
6. Il existe des informations d’identification mises en cache obsolètes dans Windows d’informations
d’identification.
Parfois, lors de la connexion à partir d’une station de travail vers le portail (ou lors de l’utilisation de
Outlook), lorsque l’utilisateur est invité à obtenir des informations d’identification, les informations
d’identification peuvent être enregistrées pour la cible (service Office 365 ou AD FS) dans le Gestionnaire
d’informations d’identification Windows ( Control Panel\User Accounts\Credential Manager ). Cela permet
d’éviter une invite d’informations d’identification pendant un certain temps, mais elle peut provoquer un
problème une fois que le mot de passe de l’utilisateur a changé et que le gestionnaire d’informations
d’identification n’est pas mis à jour. Dans ce scénario, les informations d’identification obsolètes sont
envoyées au service AD FS et c’est pourquoi l’authentification échoue. La suppression ou la mise à jour
des informations d’identification mises en cache dans Windows d’informations d’identification peuvent
vous aider.
7. Assurez-vous que l’algorithme de hachage sécurisé configuré sur l’Office 365 partie de confiance est
configuré sur SHA1.
Lorsque l’relation d’confiance entre sts/AD FS et Azure AD/Office 365 utilise le protocole SAML 2.0,
l’algorithme de hachage sécurisé configuré pour la signature numérique doit être SHA1.
8. Si aucune des causes précédentes ne s’applique à votre situation, créez un dossier de support auprès de
Microsoft et demandez-lui de vérifier si le compte d’utilisateur apparaît de manière cohérente sous le
client Office 365 client. Pour plus d’informations, voir Un utilisateur fédéré est invité à plusieurs reprises à
fournir des informations d’identification lors de la connexion à Office 365, Azure ou Intune.
9. Selon le service cloud (intégré à Azure AD) auquel vous accédez, la demande d’authentification envoyée
aux services AD FS peut varier. Par exemple : certaines requêtes peuvent inclure des paramètres
supplémentaires tels que Wauth ou Wfresh, et ces paramètres peuvent entraîner un comportement
différent au niveau AD FS.
Nous recommandons que les binaires AD FS soient toujours mis à jour pour inclure les correctifs pour les
problèmes connus. Pour plus d’informations sur les dernières mises à jour, consultez le tableau suivant.

A D F S 2. 0 A D F S 2012 R2

Description du rollup de mise à jour 3 pour les Rollup de mise à jour de décembre 2014 pour Windows
services AD FS (Active Directory Federation RT 8.1, Windows 8.1 et Windows Server 2012 R2
Services) 2.0
La mise à jour est disponible pour résoudre
plusieurs problèmes après l’installation de la mise
à jour de sécurité 2843638 sur un serveur AD FS
Les utilisateurs ne peuvent pas se connecter au
domaine après la modification du mot de passe sur
un contrôleur de domaine distant
22/09/2022 • 4 minutes to read

Cet article fournit une solution à un problème dans lequel les utilisateurs ne peuvent pas se connecter au
domaine après la modification du mot de passe sur un contrôleur de domaine distant.
S’applique à : Windows 2000
Numéro de la ko d’origine : 318364

Symptômes
Après avoir changé le mot de passe d’un compte d’utilisateur sur un contrôleur de domaine distant qui détient
le rôle FSMO (Flexible Single Master Operation) du contrôleur de domaine principal, il se peut que l’utilisateur
ne puisse pas se connecte à un contrôleur de domaine local en entrant le nouveau mot de passe. Toutefois, il se
peut que l’utilisateur puisse toujours se connecter au domaine à l’aide de son mot de passe précédent.

Cause
Ce comportement peut se produire lorsque les conditions suivantes sont vraies :
Le contrôleur de domaine distant n’a pas encore été répliqué avec le contrôleur de domaine local.
Kerberos est configuré pour utiliser le protocole UDP (User Datagram Protocol) (configuration par
défaut).
Le jeton de sécurité de l’utilisateur est trop grand pour tenir dans un message UDP Kerberos.

NOTE
Le jeton de sécurité de l’utilisateur peut être important si cet utilisateur est membre de nombreux groupes.

Ce problème est dû à la fonctionnalité anti-relecture de l’authentification Kerberos sur le contrôleur de domaine


local. Les étapes suivantes illustrent ce comportement :
1. Le mot de passe du compte d’utilisateur est modifié sur le contrôleur de domaine distant, mais cette
modification n’a pas encore été répliquée sur le contrôleur de domaine local.
2. L’utilisateur tente de se connecter au domaine à l’aide du nouveau mot de passe. Le message Exchange
service d’authentification Kerberos (KRB_AS_REQ) est envoyé au contrôleur de domaine local à l’aide d’UDP.
3. Le contrôleur de domaine local échoue à l’authentification car il ne comprend pas encore les nouvelles
informations de mot de passe.
4. Le contrôleur de domaine local fait suivre la demande au PDC distant ( KDCSVC!FailedLogon ).
5. Dans la fonction, une entrée pour la demande est entrée dans la table de détection de relecture et le message
KRB_AS_REQ est envoyé au FailedLogon PDC distant.
6. Le PDC distant authentifiera la demande, puis renvoie une réponse positive au contrôleur de domaine local.
7. Le contrôleur de domaine local détecte que la réponse est trop grande pour un paquet UDP et c’est pourquoi
il envoie une demande à l’ordinateur client pour renvoyer la demande à l’aide du protocole TCP
(Transmission Control Protocol).
8. L’ordinateur client retransmet la demande d’authentification à l’aide de TCP.
9. Le contrôleur de domaine local échoue à l’authentification car il ne comprend pas encore les nouvelles
informations de mot de passe (comme à l’étape 3).
10. Le contrôleur de domaine local forwarde la demande au contrôleur de domaine PDC distant
KDCSVC!FailedLogon () (comme à l’étape 4).
11. La vérification de détection de relecture dans la fonction renvoie un message KRB_AP_ERR_REPEAT car une
entrée pour cette demande est déjà présente dans la table de détection FailedLogon de relecture. Il s’agit de
l’entrée créée à l’étape 5.
La tentative d’authentification échoue.

Résolution
Pour résoudre ce problème, obtenez le dernier Service Pack pour Windows 2000.
La version anglaise de ce correctif possède les attributs de fichier (ou version ultérieure) répertoriés dans le
tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC).
Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence
entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et heure du Panneau de
contrôle.

Date Time Version Size File name


-----------------------------------------------------------
22-Mar-2002 23:55 5.0.2195.4959 123,664 Adsldp.dll
30-Jan-2002 00:52 5.0.2195.4851 130,832 Adsldpc.dll
30-Jan-2002 00:52 5.0.2195.4016 62,736 Adsmsext.dll
22-Mar-2002 23:55 5.0.2195.5201 356,624 Advapi32.dll
22-Mar-2002 23:55 5.0.2195.4985 135,952 Dnsapi.dll
22-Mar-2002 23:55 5.0.2195.4985 95,504 Dnsrslvr.dll
22-Mar-2002 23:56 5.0.2195.5013 521,488 Instlsa5.dll
22-Mar-2002 23:55 5.0.2195.5246 145,680 Kdcsvc.dll
22-Mar-2002 23:50 5.0.2195.5246 199,952 Kerberos.dll
07-Feb-2002 19:35 5.0.2195.4914 71,024 Ksecdd.sys
02-Mar-2002 21:32 5.0.2195.5013 503,568 Lsasrv.dll
02-Mar-2002 21:32 5.0.2195.5013 33,552 Lsass.exe
08-Dec-2001 00:05 5.0.2195.4745 107,280 Msv1_0.dll
22-Mar-2002 23:55 5.0.2195.4917 306,960 Netapi32.dll
22-Mar-2002 23:55 5.0.2195.4979 360,208 Netlogon.dll
22-Mar-2002 23:55 5.0.2195.5221 917,264 Ntdsa.dll
22-Mar-2002 23:55 5.0.2195.5201 386,832 Samsrv.dll
30-Jan-2002 00:52 5.0.2195.4874 128,784 Scecli.dll
22-Mar-2002 23:55 5.0.2195.4968 299,792 Scesrv.dll
30-Jan-2002 00:52 5.0.2195.4600 48,400 W32time.dll
06-Nov-2001 19:43 5.0.2195.4600 56,592 W32tm.exe
22-Mar-2002 23:55 5.0.2195.5011 125,712 Wldap32.dll

Solution de contournement
Pour contourner ce problème, modifiez le mot de passe du compte d’utilisateur sur le contrôleur de domaine
local ou forcez Kerberos à utiliser le protocole TCP (Transmission Control Protocol) au lieu de LDP (User
Datagram Protocol).
Pour plus d’informations, voir Comment forcer Kerberos àutiliser TCP au lieu d’UDP dans Windows .

Statut
Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés au début de cet article.
Ce problème a été corrigé pour la première fois dans Windows 2000 Service Pack 3.

Informations supplémentaires
La fonctionnalité anti-relecture Kerberos empêche le même paquet d’être reçu deux fois par le serveur
d’authentification. Une attaque par relecture est une attaque dans laquelle une transmission de données valide
est répétée de manière malveillante ou frauduleuse, soit par l’auteur de l’attaque, soit par un adversaire qui
intercepte les données et les retransmet. Une personne malveillante peut tenter de « relire » le nom d’utilisateur
et le mot de passe d’un utilisateur valide pour tenter de s’authentifier à l’aide des informations d’identification
de cet utilisateur.
Erreur lors de la tentative de saisie du rôle maître
RID avec Ntdsutil
22/09/2022 • 2 minutes to read

Cet article fournit de l’aide pour corriger une erreur qui se produit lorsque vous saisissez le rôle maître d’ID
relatif (RID) avec l’outil Ntdsutil vers un autre contrôleur de domaine.
S’applique à : Windows Server 2012 R2
Numéro de la ko d’origine : 2001165

Symptômes
Supposez le scénario suivant. Le serveur qui détient le rôle maître des opérations RID n’est plus accessible et
doit être reconstruit. Vous tentez de saisir le rôle de maître RID avec l’outil Ntdsutil sur un autre contrôleur de
domaine, mais vous recevez l’erreur suivante :

Tentative de transfert sécurisé du FSMO RID avant la crise.


ldap_modify_sW’erreur 0x34(52 (Non disponible).
Le message d’erreur étendu Ldap est 000020AF : SvcErr : DSID-0321093D, problème 5002 (NON
DISPONIBLE), données 8
L’erreur Win32 renvoyée 0x20af (l’opération FSMO demandée a échoué. Le titulaire actuel du FSMO n’a pas
pu être contacté.)
Selon le code d’erreur, cela peut indiquer une erreur de connexion, ldap ou de transfert de rôle.
Échec du transfert du FSMO RID, suite à une crise...
La recherche n’a pas trouvé de contrôleurs de domaine

Cause
L’attribut fSMORoleOwner de l’objet RID Manager$ dans Active Directory n’est pas valide. Par exemple, la
valeur suivante entraînerait cette erreur :

CN=NTDS Paramètres DEL:a586a105-5a9c-4b2f-8289-bc5b43841ac8,CN=DC01,CN=Servers,CN=Default-


First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com

Résolution
Pour résoudre ce problème, utilisez l’outil AdsiEdit pour mettre à jour l’attribut fSMORoleOwner de l’objet Rid
Manager$ dans Active Directory.
1. Ouvrez AdsiEdit (AdsiEdit.msc).
2. Développez Domaine, puis sélectionnez CN=Système.
3. Avec CN=Système sélectionné dans le volet gauche, cliquez avec le bouton droit sur CN=RID
Manager$ et sélectionnez Propriétés.
4. L’attribut fSMORoleOwner doit correspondre à l’ancien master RID. Par exemple, si DC01 était l’ancien
master RID (le serveur qui n’est plus disponible), l’attribut fSMORoleOwner serait :

CN=NTDS Paramètres,CN=DC01,CN=Servers,CN=Default-First-Site-
Name,CN=Sites,CN=Configuration,DC=contoso,DC=com
Un exemple de valeur non valide pour l’attribut fSMORoleOwner qui peut entraîner une erreur lors de
la tentative de saisie du rôle serait :

CN=NTDS Paramètres DEL:a586a105-5a9c-4b2f-8289-


bc5b43841ac8,CN=DC01,CN=Servers,CN=Default-First-Site-
Name,CN=Sites,CN=Configuration,DC=contoso,DC=com

5. Modifiez la valeur d’attribut fSMORoleOwner pour refléter le contrôleur de domaine que vous
souhaitez attribuer au contrôleur RID. Par exemple, si DC01 est le contrôleur de domaine en échec et
DC02 est le contrôleur de domaine pour lequel vous souhaitez saisir le rôle de maître RID, vous devez
modifier l’attribut pour refléter le fait que DC02 sera le nouveau master RID.

CN=NTDS Paramètres,CN=DC02,CN=Servers,CN=Default-First-Site-
Name,CN=Sites,CN=Configuration,DC=contoso,DC=com

6. La modification de l’attribut fSMORoleOwner permet de réaliser la même chose que de saisir le rôle
avec Ntdsutil. Par conséquent, après avoir changé l’attribut manuellement, vous n’avez pas besoin
d’utiliser Ntdsutil pour saisir le rôle.
Comment trouver des serveurs qui tiennent des
rôles d’opérations maîtres unique flexibles
22/09/2022 • 4 minutes to read

Cet article explique comment rechercher les serveurs qui détiennent les rôles FSMO (Flexible Single Master
Operation) dans une forêt.
Produits concernés : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine : 234790

Résumé
Active Directory définit cinq rôles FSMO :
Contrôleur de schéma
Maître d’attribution de noms de domaine
Master RID
Master PDC
Infrastructure master
Le maître de schéma et le maître d’appellation de domaine sont des rôles par forêt. Par conséquent, il n’existe
qu’un seul maître de schéma et un maître d’attribution de noms de domaine par forêt.
Le maître RID, le maître PDC et le maître d’infrastructure sont des rôles par domaine. Chaque domaine possède
son propre maître RID, maître PDC et maître d’infrastructure. Par conséquent, si une forêt possède trois
domaines, il existe trois maîtres RID, trois maîtres PDC et trois maîtres d’infrastructure.

Déterminer les titulaires FSMO RID, PDC et Infrastructure d’un


domaine sélectionné
1. Cliquez sur Démarrer, sur Exécuter, tapez dsa.msc, puis cliquez sur OK.
2. Cliquez avec le bouton droit sur l’objet Domain sélectionné dans le volet supérieur gauche, puis cliquez sur
Operations Masters.
3. Cliquez sur l’onglet PDC pour afficher le serveur qui détient le rôle principal PDC.
4. Cliquez sur l’onglet Infrastructure pour afficher le serveur qui détient le rôle principal Infrastructure.
5. Cliquez sur l’onglet Pool RID pour afficher le serveur qui détient le rôle principal RID.

Déterminer le titulaire du FSMO du schéma dans une forêt


1. Cliquez successivement sur Démarrer et Exécuter, tapez mmc, puis cliquez sur OK.
2. Dans le menu Console, cliquez sur Ajouter/Supprimer un logiciel en un clin d’œil, cliquez sur Ajouter,
double-cliquez sur Schéma Active Directory, cliquez sur Fermer, puis sur OK.
3. Cliquez avec le bouton droit sur Schéma Active Directory dans le volet supérieur gauche, puis cliquez sur
Operations Masters pour afficher le serveur qui détient le rôle de maître de schéma.
NOTE
Pour que le logiciel en un clin d’œil du schéma Active Directory soit disponible, vous de Schmmgmt.dll fichier. Pour ce faire,
cliquez sur Démarrer, sur Exécuter, tapez regsvr32 schmmgmt.dll dans la zone Ouvrir, puis cliquez sur OK. Un message
s’affiche et indique que l’inscription a réussi.

Déterminer le titulaire FSMO d’attribution de noms de domaine dans


une forêt
1. Cliquez successivement sur Démarrer et Exécuter, tapez mmc, puis cliquez sur OK.
2. Dans le menu Console, cliquez sur Ajouter/Supprimer un logiciel en un clin d’œil, cliquez sur Ajouter,
double-cliquez sur Domaines et trusts Active Director y, cliquez sur Fermer, puis cliquez sur OK.
3. Dans le volet gauche, cliquez sur Domaines et trusts Active Director y.
4. Cliquez avec le bouton droit sur Domaines Active Director y et Confiance, puis cliquez sur Operations
Master pour afficher le serveur qui détient le rôle maître d’attribution de noms de domaine dans la forêt.

Utiliser le Kit de Windows Server 2000


Le kit de ressources Windows 2000 contient un fichier .cmd appelé Dumpfsmos.cmd que vous pouvez utiliser
pour rapidement lister les propriétaires de rôles FSMO pour votre domaine et votre forêt actuels. Le fichier .cmd
utilise Ntdsutil.exe pour éumer les propriétaires de rôles. Le fichier Dumpfsmos.cmd contient :

@echo off
REM
REM Script to dump FSMO role owners on the server designated by %1
REM

if ""=="%1" goto usage

Ntdsutil roles Connections "Connect to server %1" Quit "select Operation Target" "List roles for connected
server" Quit Quit Quit

goto done

:usage

@echo Please provide the name of a domain controller (i.e. dumpfsmos MYDC)
@echo.

:done

Utiliser l’outil NTDSUTIL


NTDSUTIL est un outil fourni avec Windows 2000 Server, Windows 2000 Advanced Server et Windows 2000
Datacenter Server. Cet outil permet de vérifier la modification de certains aspects d’Active Directory. Voici les
étapes nécessaires pour afficher les rôles FSMO (Flexible Single Master Operation) sur un contrôleur de
domaine donné.
Ntdsutil.exe est le seul outil qui vous montre tous les propriétaires de rôles FSMO. Vous pouvez afficher
l’émulateur PDC, le master RID et les propriétaires de rôles maîtres d’infrastructure dans Utilisateurs et
ordinateurs Active Directory. Vous pouvez afficher le propriétaire du rôle de maître de schéma dans le logiciel en
snap-in du schéma Active Directory. Vous pouvez afficher le propriétaire du rôle principal d’attribution de noms
de domaine dans Les domaines et les trusts Active Directory.
1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis appuyez sur Entrée.
2. Tapez ntdsutil, puis appuyez sur Entrée.
3. Tapez gestion de domaine, puis appuyez sur Entrée.
4. Tapez connexions, puis appuyez sur Entrée.
5. Tapez connectez-vous à ser verName , où Ser verName est le nom du contrôleur de domaine que vous
souhaitez afficher, puis appuyez sur Entrée.
6. Tapez quit, puis appuyez sur Entrée.
7. Tapez la cible de l’opération select, puis appuyez sur Entrée.
8. Tapez les rôles de liste pour le serveur connecté, puis appuyez sur Entrée. Une liste est affichée de la
même façon que celle répertoriée ci-dessous. Les résultats peuvent très dépendre des rôles que peut
contenir le contrôleur de domaine particulier. Si vous recevez un message d’erreur, vérifiez l’orthographe
des commandes car la syntaxe des commandes doit être exacte. Si vous avez besoin de la syntaxe d’une
commande, tapez ? à chaque invite :

Server "dc1" knows about 5 roles


Schema - CN=NTDS
Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com
Domain - CN=NTDS
Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com
PDC - CN=NTDS
Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com
RID - CN=NTDS
Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com
Infrastructure - CN=NTDS
Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com

Utiliser DCDIAG
Sur un Windows de domaine 2000, exécutez la commande suivante :

DCdiag /test:Knowsofroleholders /v

Vous devez