Des outils pour surveiller et rétablir les canaux sécurisés

Peut-être
vos canaux sécurisés ne sont-ils pas correctement connectés, ou peut-être avez-vous
eu un problème de répartition de charge entre les contrôleurs des domaines de
ressource et des domaines maîtres.

Ce type de problèmes survient le plus souvent dans les environnements NT de grande
taille. Par exemple, un BDC distant peut authentifier un utilisateur, sans que
ce dernier ne le sache, lorsqu’il se connecte à  un BDC local pour être authentifié
par le domaine maître. Ce problème se produit dans les grands déploiements NT
utilisant plusieurs BDC pour authentifier des utilisateurs très disséminés géographiquement.
Le simple fait de placer un BDC du domaine maître à  proximité ne garantie pas
une autorisation en local des utilisateurs car le processus de découverte établit
un canal sécurisé avec le serveur qui répond le premier à  sa requête Netlogon.
Si les contrôleurs de domaine locaux sont occupés au moment de la requête, le
canal sécurisé peut avoir été établi avec un contrôleur de domaine distant ou
avec un contrôleur de domaine disposant d’une liaison à  faible débit. Il existe
4 outils pour vous aider à  surveiller et administrer les canaux sécurisés de vos
domaines.

Le simple fait de placer un BDC du domaine maître à  proximité ne garantie pas
une autorisation en local des utilisateurs

DomMon. Cet utilitaire du Kit de ressources de Windows NT Server 4.0 permet
de surveiller graphiquement le statut des contrôleurs de domaine. Domain Monitor
surveille le statut du canal sécurisé vers le contrôleur de domaine, celui des
serveurs d’un domaine et celui des contrôleurs de domaine dans les domaines de
confiance.

Cet utilitaire peut être lancé depuis l’invite de commande. Pour préciser les
domaines à  surveiller, sélectionnez Ajouter un domaine ou Supprimer un domaine
dans le menu Domaine. L’écran 1 montre une liste de domaines à  surveiller. Pour
afficher les propriétés d’un contrôleur de domaine pour un domaine donné, mettez
le domaine en surbrillance, cliquez sur Domaines dans la barre de menu et sélectionnez
Propriétés. L’écran 2 montre les propriétés de trois contrôleurs de domaine. On
peut voir l’état de chaque contrôleur de domaines, son statut et le statut de
la réplication, et on peut surveiller la connexion réussie d’un contrôleur de
domaine vers le PDC et vers le domaine de confiance.
L’état du contrôleur de domaine indique s’il est en ligne ou pas. Si l’état d’un
contrôleur de domaine dans DomMon indique qu’il est offline, cela signifie que
le serveur est éteint ou que le service Netlogon, le service de station de travail
ou le service serveur peuvent être désactivés.

Pour chaque contrôleur de domaine de la fenêtre supérieure de la boîte de dialogue
de statut des contrôleurs de domaine, on peut voir le statut de la liaison du
contrôleur de domaine dans la fenêtre inférieure. On peut voir le domaine approuvé
du contrôleur de domaine, le contrôleur du domaine approuvé et le statut du canal
sécurisé.

On peut définir un intervalle de rafraîchissement automatique pour l’affichage
des statuts des contrôleurs de domaine dans DomMon. Choisissez un intervalle dans
le menu Options. L’intervalle par défaut est de 900 secondes (15 minutes). Conservez
à  l’esprit qu’une mise à  jour de rafraîchissement peut prendre plusieurs minutes
s’il y a un grand nombre de serveurs dans le domaine concerné ou si vous avez
de nombreux domaines à  surveiller.

Utilitaire du Kit de ressources de NT 4.0, Netdom assure la surveillance des canaux
sécurisés

Netdom. Cet autre utilitaire du Kit de ressources de NT 4.0 assure la surveillance
des canaux sécurisés. Il permet de surveiller le statut du canal sécurisé depuis
un contrôleur de domaine de ressource.
Pour se servir de cet utilitaire, tapez :

netdom master /query

Le résultat d’un succès de la requête donne la réponse suivante
:

Searching PDC for domain >
Found PDC \\
connecting to \\>
Searching PDC for domaine >
Found PDC \\
Connecting to \\
Querying domain information on master domain PDC \\

Verifying secure channel of ressource domain PDC \\<PDC du domaine de ressource>

Verifying computer account on PDC \\
Secure channel checked succesfully

On peut également utiliser Netdom pour réinstaurer un canal sécurisé entre
un BDC et un PDC s’il survient une erreur Netlogon 3210, 5721 ou 5723 sur le BDC,
une erreur 5722 sur le PDC ou une erreur Netlogon 5722 sur le PDC.

Sur le BDC, l’erreur Netlogon 3210 (échec de l’authentification sur le PDC) se
produit lorsque le mot de passe du compte de l’ordinateur n’est pas synchronisé
avec le secret LSA qu’utilise le service Netlogon pour établir un canal sécurisé.
Le résultat de cet erreur est que le service Netlogon ne peut démarrer car le
canal sécurisé n’est pas opérationnel. L’erreur Netlogon 5721 (échec de l’ouverture
de session sur le contrôleur de domaine car ce dernier n’a pas de compte pour
l’ordinateur sur le BDC) se produit lorsque le compte de l’ordinateur n’existe
plus. L’erreur Neltogon 5723 (échec de l’ouverture de session sur le BDC car il
n’existe pas de compte approuvé pour cet ordinateur dans la base de données de
sécurité de l’ordinateur) survient également lorsqu’il n’existe plus de compte
pour un ordinateur.

Sur le PDC, l’erreur Netlogon 5722 (échec de l’authentification pendant le démarrage
de la session depuis le BDC, refus d’accès) se produit lorsque le mot de passe
n’ese pas synchronisé. Lorsque cette erreur se produit du fait d’un pot de passe
non authentifié, les données d’événement contiennent l’erreur 0xC0000022 qui signifie
que le mot de passe du compte de l’ordinateur n’est plus valide. Si la raison
est que le compte de l’ordinateur n’existe plus, les données d’événements comporte
l’erreur 0xC000018B.

Lorsqu’un problème de canal sécurisé empêche le service Netlogon de démarrer sur
le BDC, on peut utiliser Netdom pour réinstaurer le canal sécurisé en utilisant
la syntaxe suivante :

netdom BDC /reset

En cas de succès, le résultat produit par Netdom est le suivant
:

Querying domain information on computer \\>
The computer \\ is a domain controller of nom du domaine
Searching PDC for domain
Found PDC \\<nom du PDC>
Verifying the computer account on the PDC \\
The computer account for \\<nom du BDC> doesn’t exist or has an invalid
passsword.
Resetting secure channel
Changing computer Account on PDC \\<nom du PDC>
Stopping service Netlogon on \\<nom du BDC> stopped
Starting service Netlogon on \\<nom du BDC> started
The BDC \\ secure channel was reset successfully
Logoff/logon \\ to take modifications
into effect

Nltest est un autre utilitaire d’invite de commande qui permet de surveiller
les canaux sécurisés

Nltest. Nltest est un autre utilitaire d’invite de commande qui permet
de surveiller les canaux sécurisés. Il est disponible dans le Kit de ressources
de Windows NT Server 4.0 ou peut être téléchargé depuis le site http://www.microsoft.com/ntserver/nts/download/recommended/ntkit/default.asp.

On peut utiliser Nltest pour surveiller le statut du canal sécurisé entre des
serveurs, des postes de travail locaux ou distant ou des BDC. On peut également
lancer la commande sur un PDC lorsque l’on a une relation de confiance explicite
entre deux domaines et que vous spécifiez le nom du domaine approuvé. Pour vérifier
le statut d’un canal sécurisé, tapez :

nltest /sc_query:<nom de domaine>

En cas de succès, le résultat produit par Nltest
est le suivant :

Flags: 0
Connection status = 0 0x0 NERR_Success
Trusted domain controller name \\<contrôleur de domaine maître>
Trusted domain controller Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

On peut également utiliser Nltest pour réétablir des canaux sécurisés entre
machines appartenant à  un même domaine et entre contrôleurs de domaine approuvant
d’autres domaines. Pour valider la connexion des utilisateurs aux ressources d’un
domaine de ressource, le PDC de ce dernier établit un canal sécurisé avec un contrôleur
de domaine du domaine maître. L’authentification par traversée (pass-through)
peut alors se produire sur ce canal sécurisé.
Ce type d’authentification se produit lorsque, pour authentifier un compte utilisateur,
les informations de connexion du compte doivent passer par le contrôleur de domaine
sur lequel le compte est défini.
Dans un environnement WAN, les contrôleurs de domaines maîtres peuvent être dispersés
sur une grande variété de liaisons plus ou moins rapides.
En conséquence, le PDC du domaine de ressource peut établir un canal sécurisé
avec un contrôleur de domaine maître sur une liaison à  faible débit si une liaison
plus rapide n’est pas disponible lorsque le PDC émet sa requête. Lorsque la liaison
rapide est de nouveau disponible, l’authentification peut continuer à  se faire
sur la ligne lente.

Dans un environnement WAN, les contrôleurs de domaines maîtres peuvent être dispersés
sur une variété de liaisons plus ou moins rapides

Le système fait le suivi du temps que prend l’authentification sur le canal sécurisé.
Si l’authentification pass-through met plus de 45 secondes, un processus de redécouverte
est activé, le canal sécurisé actif est déconnecté, et le PDC du domaine de ressource
envoie des requêtes de connexion à  tous les contrôleurs de domaines maîtres pour
récréer un canal sécurisé. Le système considère que tout délai inférieur à  45
sec est acceptable, mais les utilisateurs se plaindront certainement s’il leur
faut attendre 44 secondes. Nltest ne permet pas de spécifier avec quel contrôleur
de domaine maître établir le canal sécurisé.

La première étape pour rétablir des connexions sécurisées, consiste à  vérifier
avec quel contrôleur de domaine maître il est possible d’établir un canal sécurisé.
Pour accomplir cette tâche, utilisez Netdom ou Nltest. Si votre PDC de ressource
a un canal sécurisé avec le mauvais contrôleur de domaine maître, vous devez redémarrer
le processus de découverte pour trouver la liaison la plus rapide pour votre canal.
Pour relancer la découverte, saisissez la commande suivante sur le contrôleur
de domaine de ressource :

nltest /se_reset:

En cas de succès, le résultat produit par Nltest est le suivant
:

Flags: 0
Connection status = 0 0x0 NERR_Success
Trusted domain controller name \\
Trusted domain controller Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

Setprfdc permet de fournir une liste de contrôleurs de domaine maître avec
lesquels vous voulez établir un canal sécurisé

Setprfdc. La version complète à  télécharger du SP4 de NT 4.0 comporte l’utilitaire
Setprfdc qui va plus loin que Nltest dans le rétablissement des canaux sécurisés.
La version standard du SP4 ne comprend pas cet utilitaire ; vous devez télécharger
la version complète du SP4 et utiliser le commutateur /x pour extraire le fichier.
Si vous prenez le fichier sur le CD-ROM du SP4, vous devez copier manuellement
le fichier dans le dossier \winnt\system\system32.
Setprfdc permet de fournir une liste de contrôleurs de domaine maître avec lesquels
vous voulez établir un canal sécurisé, dans l’ordre dans lequel vous voulez que
le contrôleur de domaine de ressources les interroge. Avec cette option, on peut
diriger le contrôleur du domaine de ressource vers un contrôleur de domaine maître
de prédilection pour le canal sécurisé. Si le contrôleur du domaine de ressources
ne peut établir de canal sécurisé avec un des contrôleurs de domaine de la liste,
le canal sécurisé actuel reste inchangé jusqu’à  ce que vous relanciez Setprfdc.
Pour activer Setprfdc, tapez :

setprfdc >

Dans cette commande,
domaine approuvé est le domaine maître et liste des contrôleurs de domaine du
domaine approuvé est la liste des contrôleurs de domaine maître avec laquelle
établir le canal sécurisé. La liste des contrôleurs de domaine maître est sous
la forme DC1, DC2, etc.