[Active directory] – resetter le secure channel entre une machine et un contrôleur de domaine

Vous constatez peut être des problèmes indiquant que la machine n’arrive pas à se connecter à l’active directory. Il s’agit de problème d’authentification lié au canal sécurisé (secure channel) entre la machine et le / les contrôleurs de domaine.

Les problèmes avec le canal sécurisé d’un hôte peuvent être responsables d’un certain nombre de problèmes d’authentification. Il sont souvent identifiables sur un DC dans l’active directory avec ces erreurs :

Chaque hôte joint à Active Directory conserve le mot de passe en local et stocké dans Active Directory.
L’hôte demande un changement de mot de passe tous les 30 jours par défaut.
L’Active Directory stocke le mot de passe actuel ainsi que le mot de passe précédent dans l’objet ordinateur correspondant à l’hôte .
Chaque fois que le client crée un nouveau mot de passe, il crée le nouveau mot de passe localement et le stocke dans le registre, puis tente de mettre à jour le mot de passe dans Active Directory.
Si la mise à jour du mot de passe Active Directory échoue, le client conserve le mot de passe nouvellement créé et continue de tenter de mettre à jour le mot de passe Active Directory.

Si le client tente de s’authentifier et qu’un controleur de domaine dans Active Directory n’a pas le mot de passe le plus récent, il utilisera le mot de passe précédent.
Si le mot de passe utilisé par le client pour s’authentifier auprès d’Active Directory est plus récent que les deux mots de passe stockés dans l’objet ordinateur ou si l’objet ordinateur est supprimé, la demande d’authentification échouera et le client affichera l’erreur suivante: «La relation de confiance entre ce la station de travail et le domaine principal ont échoué. “

Il est possible de réinitialiser le mot de passe de l’ordinateur à l’aide des applets de commande PowerShell Test-ComputerSecureChannel et Reset-MachineAccountPassword.

Test-ComputerSecureChannel

Connectez vous avec un compte local avec des droits administrateur local, lancez Powershell en tant qu’administrateur

Ajouter le module activedirectory
Import-Module activedirectory

Puis tester le canal sécurisé
Test-ComputerSecureChannel

Si la commande retourne Faux (false) , alors vous pouvez corriger cette erreur via l’argument -REPAIR
Test-ComputerSecureChannel -Repair -Credential $(Get-Credential)

N’oublies de renseigner un compte avec des droits dans l’active directory

Puis vérifier le secure schannel
Test-ComputerSecureChannel

Et redémarrer
restart-computer

Reset-MachineAccountPassword

Connectez vous avec un compte local avec des droits administrateur local, lancez Powershell en tant qu’administrateur

Ajouter le module activedirectory
Import-Module activedirectory

Puis tester le canal sécurisé
Test-ComputerSecureChannel

Si la commande retourne Faux (false) , alors vous pouvez corriger cette erreur via RESET-MACHINEACCOUNTPASSWORD
Reset-MachineAccountPassword -Credential $(Get-Credential)

N’oubliez de renseigner un compte avec des droits dans l’active directory

Puis vérifiez le secure schannel
Test-ComputerSecureChannel

Et redémarrez
restart-computer