Event ID 5722 sur un domaine Active Directory

Votre partenaire informatique à Jemeppe-sur-sambre - Audit - Site Web - Dépannage informatique

Event ID 5722 sur un domaine Active Directory

Comme tout administrateur système qui se respecte, celui-ci doit régulièrement vérifier l’état et le fonctionnement des ses contrôleurs de domaine (DC). Cela passe par diverses vérifications et actions (voir l’article suivant) et notamment par la case d’analyse des événements de votre observateur d’événements ou plus connu sous le nom d’Event Viewer en anglais.

Dans le cadre de cet article, nous allons nous concentrer sur un Event ID bien précis, il s’agit du numéro 5722. Celui-ci peut être aperçu dans la zone « System » des logs Windows catégorisé dans le niveau « Error ».

Vous devez ensuite regarder dans la zone du dessous pour avoir des informations détaillées quant à l’événement. Dans mon cas, le voici :

Grâce ce détail, nous pouvons déjà déduire beaucoup de chose. Il s’agit d’un ordinateur identifié par le nom « PC-XXX » qui n’arriverait pas à s’authentifier. Le nom du compte référencé dans la base de données de sécurité est « PC-XXX$ ». Ensuite vous obtenez un « Access is denied ».

Parfait, nous avons l’ID de l’événement, le détail de celui-ci, le nom de l’ordinateur posant problème, maintenant que faire ?

Le site Web de support de Microsoft référence la majorité des IDs d’événement => https://support.microsoft.com/en-us/help/810977/event-id-5722-is-logged-on-your-windows-server-based-domain-controller

Les deux causes principales sont les suivantes :

  • Lorsqu’un ordinateur met à jour son mot de passe de compte d’ordinateur avec un contrôleur de domaine.
  • Lorsqu’un ordinateur est joint à un domaine avec un nom qui existe déjà.

Il faut donc identifier le scénario correct afin de pouvoir ensuite résoudre cet erreur à l’aide de la procédure Microsoft plutôt longue ci-après :

  1. Notez la date et l’heure à laquelle l’événement a été consigné dans le journal système.
  2. Cliquez sur Démarrer, puis tapez ADSI.
  3. Dans le volet, cliquez sur Éditeur ADSI.

  4. Dans ADSI Edit, connectez votre domaine, dans la fenêtre qui s’ouvre laisser les paramètres par défaut. Ensuite naviguez dans vos OU et puis cliquez sur l’ordinateur qui pose problème.

  5. Cliquez sur Propriétés.

     

     

  6. Dans la zone Sélectionnez les propriétés à afficher, cliquez sur les deux.
  7. Dans la zone Sélectionnez une propriété à afficher, double cliquez sur PwdLastSet.
  8. Copier la valeur qui apparaît dans la zone valeur (s) dans le Presse-papiers.

  9. Cliquez sur Démarrer, pointez sur programmes, sur Accessoires, puis cliquez sur Calculatrice.
  10. Dans le menu affichage , cliquez sur programmeur.
  11. Cliquez sur Dec pour définir le système de numérotation décimale.
  12. Collez la valeur à partir du Presse-papiers dans la calculatrice.

  13. Pour modifier la valeur de décimale au système de numérotation décimal hexadécimal, cliquez sur Hex.

  14. Dans le menu Edition , cliquez sur Copier.
  15. Collez le nombre hexadécimal du Presse-papiers dans un fichier dans le bloc-notes.
  16. Comptez huit caractères à partir du caractère des droit de la chaîne hexadécimale, puis appuyez sur espace.Remarque Cette action fractionne la chaîne hexadécimale en deux chaînes hexadécimales.
  17. Si la chaîne hexadécimale située à gauche contient uniquement sept caractères, ajoutez un zéro au début de la chaîne. Dans notre cas, cela donne la chaîne suivante : 1D36E5BB 64DFC18
  18. À l’invite de commande, tapez
    nltest /time:RightSideHexadecimalstringLeftSideHexadecimalString

    Vous recevez sortie qui ressemble à ce qui suit :

    C:\>nltest /time:a25cc370 01c294bc a25cc370 01c294bc = 11/25/2002 13:55:41 
     The command completed successfully.

  19. Notez la date et l’heure décodées.
  20. Vérifiez si la date et l’heure que vous avez noté à l’étape 1 et que la date décodée et heure que vous avez noté à l’étape 20 correspondent.
  21. Si la date et l’heure auxquelles l’événement 5722 a été consigné et la date et décodées correspondance de temps, vérifiez si l’ordinateur à l’origine du problème possède un canal sécurisé établi avec un contrôleur de domaine en tapant la commande suivante à une invite de commande :

    nltest /Server:nom_du_dc / SC_QUERY nom_ordinateur:nom_domaine

     

    Si l’ordinateur posant problème possède un canal sécurisé valide établi avec un contrôleur de domaine, une sortie semblable à la suivante s’affiche :

    C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30HAS_IP HAS_TIMESERV
     Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.

    Si l’ordinateur posant problème ne dispose pas d’un canal sécurisé valide établi avec un contrôleur de domaine, une sortie semblable à la suivante s’affiche :

    C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  Trusted DC Name
     Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.

Si la date et l’heure de l’événement 5722 et la date décodée et l’heure ne correspondent pas, le problème de mot de passe peut ne pas correspondre avec le mot de passe sur le contrôleur de domaine. Cela peut se produire dans une des circonstances suivantes :

  • Un administrateur réinitialise un compte d’ordinateur à l’aide de Active Directory utilisateurs et ordinateurs ou un autre outil tel que Netdom.exe.
  • Un nouvel ordinateur est joint au domaine en utilisant un nom qui existe déjà dans le domaine.

Remarque : Si la journalisation du service Netlogon est activée pour le contrôleur de domaine, vous confirmez ce scénario en recherchant une entrée Netlogon.log semblable à la suivante :

05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4

Ce message n’est pas consigné si un ordinateur met à jour son propre mot de passe du compte ordinateur.

Pour résoudre les problèmes liés aux noms d’ordinateur en double, rejoindre le domaine de l’ordinateur d’origine.

Vous pouvez ignorer l’événement 5722 si les deux conditions suivantes sont remplies :

  • Si la date et l’heure de l’événement 5722 et la date décodée et l’heure correspondent.
  • Un canal sécurisé valide est établi entre l’ordinateur posant problème et un contrôleur de domaine.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *