entrer le nom complet icientrer la description iciNet LogonUtiliser la résolution de noms DNS avec un nom de domaine en une partie au lieu de la résolution de noms NetBIOS pour localiser le contrôleur de domaineCe paramètre de stratégie indique si les ordinateurs auxquels ce paramètre est appliqué tentent la résolution de noms DNS des noms de domaine en une seule partie.
Par défaut, le comportement spécifié dans la stratégie AllowDnsSuffixSearch est utilisé. Si la stratégie AllowDnsSuffixSearch est désactivée, la résolution de noms NetBIOS est utilisée de manière exclusive pour localiser un contrôleur de domaine qui héberge un domaine Active Directory spécifié à l’aide d’un nom en une seule partie.
Si vous activez ce paramètre de stratégie, les ordinateurs auxquels ce paramètre de stratégie est appliqué tentent de localiser un contrôleur de domaine qui héberge un domaine Active Directory spécifié à l’aide d’un nom en une seule partie en utilisant la résolution de noms DNS.
Si vous désactivez ce paramètre de stratégie, les ordinateurs auxquels il est appliqué utilisent la stratégie AllowDnsSuffixSearch, si elle n’est pas désactivée, ou effectue une résolution de noms NetBIOS dans le cas contraire, pour tenter de trouver un contrôleur de domaine qui héberge un domaine Active Directory spécifié à l’aide d’un nom en une seule partie. Les ordinateurs n’utilisent pas la résolution de noms DNS dans ce cas, sauf si l’ordinateur recherche un domaine avec un nom DNS en une seule partie dans la forêt Active Directory dont il est membre.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale.Utilisez la résolution de noms DNS lorsqu’un nom de domaine en une seule partie est utilisé, en ajoutant différents suffixes DNS inscrits, si le paramètre AllowSingleLabelDnsDomain n’est pas activé.Ce paramètre de stratégie indique si l’ordinateur auquel ce paramètre est appliqué tente la résolution de noms DNS des noms de domaine en une seule partie, en ajoutant différents suffixes DNS inscrits, et utilise la résolution de noms NetBIOS uniquement si la résolution de noms DNS échoue. Cette stratégie, y compris le comportement par défaut spécifié, n’est pas utilisée si le paramètre de stratégie AllowSingleLabelDnsDomain est activé.
Par défaut, quand aucun paramètre n’est spécifié pour cette stratégie, le comportement est le même que si vous activez de manière explicite cette stratégie, sauf si le paramètre de stratégie AllowSingleLabelDnsDomain est activé.
Si vous activez ce paramètre de stratégie, lorsque la stratégie AllowSingleLabelDnsDomain n’est pas activée, les ordinateurs auxquels ce paramètre de stratégie est appliqué localisent un contrôleur de domaine qui héberge un domaine Active Directory spécifié à l’aide d’un nom en une seule partie, en ajoutant différents suffixes DNS inscrits afin d’effectuer une résolution de noms DNS. Le nom en une seule partie n’est pas utilisé sans que des suffixes DNS soient ajoutés, sauf si l’ordinateur fait partie d’un domaine dont le nom en une seule partie existe dans la forêt Active Directory. En cas d’échec de la résolution de noms DNS, la résolution de noms NetBIOS est effectuée sur le nom en une seule partie uniquement.
Si vous désactivez ce paramètre de stratégie, lorsque la stratégie AllowSingleLabelDnsDomain n’est pas activée, les ordinateurs auxquels cette stratégie est appliquée utilisent uniquement la résolution de noms NetBIOS pour tenter de trouver un contrôleur de domaine hébergeant un domaine Active Directory spécifié à l’aide d’un nom en une seule partie. Les ordinateurs ne tentent pas de résolution de noms DNS dans ce cas, sauf si l’ordinateur recherche un domaine avec un nom DNS en une seule partie auquel il appartient dans la forêt Active Directory.
Utiliser le recouvrement de site automatique par les enregistrements DNS SRV du localisateur de contrôleurs de domaineCe paramètre de stratégie détermine si les contrôleurs de domaine inscrivent dynamiquement les enregistrements SRV spécifiques au site du localisateur de contrôleurs de domaine pour les sites les plus proches pour lesquels il n’existe aucun contrôleur de domaine pour le même domaine (ou pour lesquels il n’existe aucun catalogue global pour la même forêt). Ces enregistrements DNS sont inscrits dynamiquement par le service Net Logon et sont utilisés pour trouver le contrôleur de domaine.
Si vous activez ce paramètre de stratégie, les contrôleurs de domaine auxquels ce paramètre est appliqué inscrivent dynamiquement les enregistrements SRV DNS spécifiques au site du localisateur de contrôleurs de domaine pour les sites les plus proches pour lesquels il n’existe aucun contrôleur de domaine pour le même domaine ou pour lesquels il n’existe aucun catalogue global pour la même forêt.
Si vous désactivez ce paramètre de stratégie, les contrôleurs de domaine n’inscrivent les enregistrements SRV DNS spécifiques au site du localisateur de contrôleurs de domaine pour aucun site, sauf pour le leur.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine et les contrôleurs de domaine utilisent leur configuration locale.Contacter le contrôleur de domaine principal lors de l’échec de l’ouverture de sessionCe paramètre de stratégie détermine si un contrôleur de domaine doit tenter de vérifier le mot de passe fourni par un client à l’aide de l’émulateur de contrôleur de domaine principal, si le contrôleur de domaine n’a pas pu valider le mot de passe.
La liaison avec l’émulateur de contrôleur de domaine principal est utile au cas où le mot de passe du client a été modifié récemment et n’a pas encore été propagé au contrôleur de domaine. Les utilisateurs peuvent désactiver cette fonctionnalité si l’émulateur de contrôleur de domaine principal est situé sur une connexion de réseau étendu lente.
Si vous activez ce paramètre de stratégie, les contrôleurs de domaine auxquels il s’applique tentent de vérifier le mot de passe à l’aide de l’émulateur de contrôleur de domaine principal, si le contrôleur de domaine ne parvient pas à valider le mot de passe.
Si vous désactivez ce paramètre de stratégie, les contrôleurs de domaine ne tentent pas de vérifier les mots de passe à l’aide de l’émulateur de contrôleur de domaine principal.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine.Utiliser le paramètre Tentatives de découverte de contrôleur de domaine initial pour les appelants en arrière planCe paramètre de stratégie détermine le délai d’attente (en secondes) avant la première nouvelle tentative pour les applications qui effectuent des recherches périodiques de contrôleurs de domaine incapables de trouver un contrôleur de domaine.
La valeur par défaut pour ce paramètre est 10 minutes (10*60). La valeur maximale pour ce paramètre est 49 jours (0x49*24*60*60=4 233 600). La valeur minimale pour ce paramètre est 0.
Ce paramètre ne concerne que les appelants de DsGetDcName qui ont spécifié l’indicateur DS_BACKGROUND_ONLY.
Si la valeur de ce paramètre est inférieure à la valeur spécifiée dans la sous-clé NegativeCachePeriod, la valeur de la sous-clé NegativeCachePeriod est utilisée.
Avertissement : si la valeur pour ce paramètre est trop importante, le client ne tente pas de trouver des contrôleurs de domaine qui étaient initialement indisponibles. Si la valeur pour ce paramètre est trop faible et que le contrôleur de domaine n’est pas disponible, le trafic provoqué par les découvertes périodiques des contrôleurs de domaine risque d’être excessif.Utiliser le paramètre Intervalle maximal de tentatives de découverte de contrôleur de domaine initial pour les appelants en arrière planCe paramètre de stratégie détermine l’intervalle maximal entre les tentatives autorisé lorsque les applications qui effectuent des recherches périodiques pour les contrôleurs de domaine ne trouvent pas de contrôleur de domaine.
Par exemple, les intervalles avant une nouvelle tentative peuvent être définis toutes les 10 minutes, 20 minutes puis 40 minutes, mais lorsque l’intervalle atteint la valeur définie dans ce paramètre, cette valeur devient l’intervalle avant nouvelle tentative pour toutes les tentatives suivantes jusqu’à ce que la valeur définie dans le paramètre Tentative finale de découverte de contrôleur de domaine soit atteinte.
La valeur par défaut pour ce paramètre est 60 minutes (60*60). La valeur maximale pour ce paramètre est 49 jours (0x49*24*60*60=4 233 600). La valeur minimale pour ce paramètre est 0.
Si la valeur pour ce paramètre est inférieure à la valeur spécifiée pour le paramètre Tentative initiale de découverte de contrôleur de domaine, le paramètre Tentative initiale de découverte de contrôleur de domaine est utilisé.
Avertissement : si la valeur pour ce paramètre est trop importante, il est possible que le client utilise des périodes de recherche de contrôleurs de domaine trop longues.
Si la valeur pour ce paramètre est trop faible et que le contrôleur de domaine n’est pas disponible, de nouvelles tentatives trop fréquentes risquent de générer un trafic réseau excessif.Utiliser le paramètre Tentatives de découverte de contrôleur de domaine final pour les appelants en arrière planCe paramètre de stratégie détermine le moment où les nouvelles tentatives ne sont plus autorisées pour les applications qui effectuent des recherches périodiques de contrôleurs de domaine incapables de trouver un contrôleur de domaine. Par exemple, de nouvelles tentatives peuvent être définies afin de se produire selon le paramètre de stratégie Utiliser le paramètre Intervalle maximal de tentatives de découverte de contrôleur de domaine, mais lorsque la valeur définie dans ce paramètre de stratégie est atteinte, aucune autre tentative n’est effectuée. Si la valeur de ce paramètre de stratégie est inférieure à la valeur spécifiée dans le paramètre de stratégie Utiliser le paramètre Intervalle maximal de tentatives de découverte de contrôleur de domaine, la valeur du paramètre de stratégie Utiliser le paramètre Intervalle maximal de tentatives de découverte de contrôleur de domaine est utilisée.
La valeur par défaut pour ce paramètre est de continuer les tentatives (0). La valeur maximale pour ce paramètre est 49 jours (0x49*24*60*60=4 233 600). La valeur minimale pour ce paramètre est 0.
Avertissement : si la valeur pour ce paramètre est trop faible, le client arrête les recherches de contrôleurs de domaine trop tôt.Utiliser l’intervalle d’actualisation du cache de contrôleur de domaine périodique positif pour les appelants en arrière planCe paramètre de stratégie détermine lorsqu’une entrée de cache réussie de contrôleur de domaine est actualisée. Ce paramètre de stratégie est appliqué aux programmes appelants qui tentent périodiquement de trouver des contrôleurs de domaine, et il est appliqué avant de renvoyer les informations du contrôleur de domaine au programme appelant. La valeur par défaut pour ce paramètre est infinie (4 294 967 200). La valeur maximale pour ce paramètre est (4 294 967 200), tandis que le maximum qui n’est pas considéré comme étant infini est 49 jours (49*24*60*60=4 233 600). Toute valeur supérieure est considérée comme étant infinie. La valeur minimale pour ce paramètre est de toujours actualiser (0).Enregistrements DNS du localisateur de contrôleurs de domaineSpécifier le niveau de sortie de débogage du fichier journalCe paramètre de stratégie spécifie le niveau de sortie de débogage pour le service Net Logon.
Le service Net Logon inscrit les informations de débogage dans le fichier journal netlogon.log dans le répertoire %windir%\debug. Par défaut, aucune information de débogage n’est enregistrée.
Si vous activez ce paramètre de stratégie et si vous spécifiez une valeur différente de zéro, les informations de débogage sont enregistrées dans le fichier. Des valeurs plus élevées entraînent l’enregistrement d’informations plus détaillées ; la valeur 536 936 447 est généralement la plus haute.
Si vous spécifiez la valeur zéro pour ce paramètre de stratégie, le comportement par défaut décrit ci-dessus se produit.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le comportement par défaut décrit ci-dessus se produit.Spécifier les enregistrements DNS du localisateur de contrôleurs de domaine non inscrit par les contrôleurs de domaineCe paramètre de stratégie détermine les enregistrements DNS du localisateur de contrôleurs de domaine qui ne sont pas inscrits par le service Net Logon.
Si vous activez ce paramètre de stratégie, sélectionnez Activer, puis spécifiez une liste de mnémoniques (instructions) délimités par des espaces pour les enregistrements DNS du localisateur de contrôleurs de domaine qui ne seront pas inscrits par les contrôleurs de domaine auquel ce paramètre est appliqué.
Sélectionnez les mnémoniques dans la liste suivante :
Mnémonique Type Enregistrement DNS
LdapIpAddress A <nom_domaine_dns>
Ldap SRV _ldap._tcp.<nom_domaine_dns>
LdapAtSite SRV _ldap._tcp.<nom_site>._sites.<nom_domaine_dns>
Pdc SRV _ldap._tcp.pdc._msdcs.<nom_domaine_dns>
Gc SRV _ldap._tcp.gc._msdcs.<nom_forêt_dns>
GcAtSite SRV _ldap._tcp.<nom_site>._sites.gc._msdcs.<nom_forêt_dns>
DcByGuid SRV _ldap._tcp.<guid_domaine>.domains._msdcs.<nom_forêt_dns>
GcIpAddress A gc._msdcs.<nom_forêt_dns>
DsaCname CNAME <guid_dsa>._msdcs.<nom_forêt_dns>
Kdc SRV _kerberos._tcp.dc._msdcs.<nom_domaine_dns>
KdcAtSite SRV _kerberos._tcp.<nom_site>._sites.dc._msdcs.<nom_domaine_dns>
Dc SRV _ldap._tcp.dc._msdcs.<nom_domaine_dns>
DcAtSite SRV _ldap._tcp.<nom_site>._sites.dc._msdcs.<nom_domaine_dns>
Rfc1510Kdc SRV _kerberos._tcp.<nom_domaine_dns>
Rfc1510KdcAtSite SRV _kerberos._tcp.<nom_site>._sites.<nom_domaine_dns>
GenericGc SRV _gc._tcp.<nom_forêt_dns>
GenericGcAtSite SRV _gc._tcp.<nom_site>._sites.<nom_forêt_dns>
Rfc1510UdpKdc SRV _kerberos._udp.<nom_domaine_dns>
Rfc1510Kpwd SRV _kpasswd._tcp.<nom_domaine_dns>
Rfc1510UdpKpwd SRV _kpasswd._udp.<nom_domaine_dns>
Si vous désactivez ce paramètre de stratégie, les contrôleurs de domaine configurés pour effectuer une inscription dynamique des enregistrements DNS du localisateur de contrôleurs de domaine inscrivent tous les enregistrements de ressources DNS du localisateur de contrôleurs de domaine.
Si vous ne configurez pas ce paramètre de stratégie, les contrôleurs de domaine utilisent leur configuration locale.Spécifier l’intervalle d’actualisation des enregistrements DNS du localisateur de contrôleurs de domaineCe paramètre de stratégie spécifie l’intervalle d’actualisation des enregistrements de ressources DNS de recherche des contrôleurs de domaine pour les contrôleurs de domaine auxquels ce paramètre est appliqué. Ces enregistrements DNS sont inscrits dynamiquement par le service Net Logon et sont utilisés par l’algorithme du localisateur de contrôleurs de domaine pour localiser le contrôleur de domaine. Ce paramètre ne peut s’appliquer aux contrôleurs de domaine qu’en utilisant la mise à jour dynamique.
Les contrôleurs de domaine configurés pour effectuer l’inscription dynamique des enregistrements de ressources DNS de recherche des contrôleurs de domaine réinscrivent périodiquement leurs enregistrements auprès des serveurs DNS, même si les données de leurs enregistrements n’ont pas changé. Si des serveurs DNS faisant autorité sont configurés pour effectuer le nettoyage des enregistrements obsolètes, cette réinscription est nécessaire afin de leur indiquer que les enregistrements sont à jour et qu’ils doivent être conservés dans la base de données.
Avertissement : si les enregistrements de ressources DNS sont inscrits dans des zones où le nettoyage est activé, la valeur de ce paramètre ne doit pas être plus importante que l’intervalle d’actualisation configuré pour ces zones. Si l’intervalle d’actualisation des enregistrements DNS du localisateur de contrôleurs de domaine est supérieur à l’intervalle d’actualisation des zones DNS, une suppression intempestive des enregistrements de ressources DNS peut se produire.
Pour spécifier l’intervalle d’actualisation des enregistrements du contrôleur de domaine, cliquez sur Activer, puis entrez une valeur supérieure à 1 800. Cette valeur spécifie l’intervalle d’actualisation des enregistrements du contrôleur de domaine en secondes (par exemple, la valeur 3 600 correspond à 60 minutes).
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine et les contrôleurs de domaine utilisent leur configuration locale.Définir la durée de vie dans les enregistrements DNS du localisateur de contrôleurs de domaineCe paramètre de stratégie spécifie la valeur du champ Durée de vie dans les enregistrements de ressources SRV inscrits par le service Net Logon. Ces enregistrements DNS sont inscrits dynamiquement et sont utilisés pour localiser le contrôleur de domaine.
Pour spécifier la durée de vie des enregistrements DNS du localisateur de contrôleurs de domaine, cliquez sur Activer, puis entrez une valeur en secondes (par exemple, la valeur 900 correspond à 15 minutes).
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine et les contrôleurs de domaine utilisent leur configuration locale.Spécifier le retard de numérotation attendu à la connexionCe paramètre de stratégie spécifie la durée supplémentaire pendant laquelle l’ordinateur doit attendre la réponse du contrôleur de domaine lors de la connexion au réseau.
Pour spécifier le retard de numérotation attendu à la connexion, cliquez sur Activer, puis entrez la valeur souhaitée en secondes (par exemple, la valeur 60 correspond à 1 minute).
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale.Spécifier les sites couverts par les enregistrements DNS SRV du localisateur GCCe paramètre de stratégie spécifie les sites pour lesquels les catalogues globaux doivent inscrire les enregistrements de ressources DNS SRV du localisateur de catalogues globaux spécifiques au site. Ces enregistrements sont inscrits en plus des enregistrements SRV spécifiques au site inscrits pour le site sur lequel le catalogue global réside, et des enregistrements inscrits par un catalogue global configuré pour inscrire les enregistrements DNS SRV du localisateur de catalogues globaux pour les sites sans catalogue global qui sont le plus proche de lui.
Les enregistrements DNS du localisateur de catalogues globaux ainsi que les enregistrements SRV spécifiques au site sont inscrits dynamiquement par le service Net Logon et sont utilisés pour trouver le catalogue global. Un site Active Directory est constitué d’un ou de plusieurs sous-réseaux TCP/IP disposant de connexions rapides qui autorisent les administrateurs à configurer l’accès et la réplication Active Directory. Un catalogue global est un contrôleur de domaine qui contient un réplica partiel de chaque domaine dans Active Directory.
Pour spécifier les sites couverts par les enregistrements DNS SRV du localisateur de catalogues globaux, cliquez sur Activer et entrez les noms des sites au format délimité par des espaces.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun catalogue global et les catalogues globaux utilisent leur configuration locale.Définir la priorité dans les enregistrements DNS SRV du localisateur de contrôleurs de domaineCe paramètre de stratégie spécifie le champ Priorité dans les enregistrements de ressources SRV inscrits par les contrôleurs de domaine auxquels ce paramètre est appliqué. Ces enregistrements DNS sont inscrits dynamiquement par le service Net Logon et sont utilisés pour trouver le contrôleur de domaine.
Le champ Priorité de l’enregistrement SRV définit la préférence des hôtes de destination (spécifiés dans le champ Destination de l’enregistrement SRV). Les clients DNS qui demandent des enregistrements de ressources SRV tentent de contacter le premier hôte joignable avec le numéro de priorité le plus bas répertorié.
Pour spécifier la priorité dans les enregistrements de ressources DNS SRV du localisateur de contrôleurs de domaine, cliquez sur Activer et entrez une valeur. La plage des valeurs est comprise entre 0 et 65 535.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine et les contrôleurs de domaine utilisent leur configuration locale.Définir le poids dans les enregistrements DNS SRV du localisateur de contrôleurs de domaineCe paramètre de stratégie spécifie le champ Poids dans les enregistrements de ressources SRV inscrits par les contrôleurs de domaine auxquels ce paramètre est appliqué. Ces enregistrements DNS sont inscrits dynamiquement par le service Net Logon et sont utilisés pour trouver le contrôleur de domaine.
Le champ Poids de l’enregistrement SRV peut être utilisé en plus de la valeur Priorité pour fournir un mécanisme d’équilibrage de charge où plusieurs serveurs sont spécifiés dans le champ Destination des enregistrements SRV et où ils possèdent tous la même priorité. La probabilité selon laquelle le client DNS sélectionne aléatoirement l’hôte de destination à contacter est proportionnelle à la valeur du champ Poids de l’enregistrement SRV.
Pour spécifier le poids dans les enregistrements DNS SRV du localisateur de contrôleurs de domaine, sélectionnez Activer et entrez une valeur. La plage des valeurs est comprise entre 0 et 65 535.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine et les contrôleurs de domaine utilisent leur configuration locale.Spécifier la taille maximale du fichier journalCe paramètre de stratégie spécifie la taille maximale en octets du fichier journal netlogon.log dans le répertoire %windir%\debug lorsque la journalisation est activée.
Par défaut, la taille maximale du fichier journal est 20 Mo. Si vous activez ce paramètre de stratégie, la taille maximale du fichier journal est celle spécifiée. Une fois cette taille atteinte, le fichier journal est enregistré sous le nom netlogon.bak et netlogon.log est tronqué. Vous devez spécifier une valeur appropriée en fonction de l’espace de stockage disponible.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le comportement par défaut indiqué ci-dessus se produit.Spécifier les sites couverts par les enregistrements DNS SRV du localisateur de la partition du répertoire d’applicationCe paramètre de stratégie spécifie les sites pour lesquels les contrôleurs de domaine qui hébergent la partition d’annuaire d’applications doivent inscrire les enregistrements de ressources SRV DNS du localisateur de contrôleurs de domaine spécifiques à la partition de l’annuaire d’applications, spécifiques au site. Ces enregistrements sont inscrits en plus des enregistrements SRV spécifiques au site inscrits pour le site sur lequel le contrôleur de domaine réside, et des enregistrements inscrits par un contrôleur de domaine configuré pour inscrire les enregistrements SRV DNS du localisateur de contrôleurs de domaine pour les sites sans contrôleur de domaine qui sont le plus proche de lui.
Les enregistrements SRV du localisateur de contrôleurs de domaine de la partition d’annuaire d’applications et les enregistrements SRV spécifiques au site sont inscrits dynamiquement par le service Net Logon et sont utilisés pour trouver le contrôleur de domaine spécifique à la partition de l’annuaire d’applications. Un site Active Directory est constitué d’un ou de plusieurs sous-réseaux TCP/IP disposant de connexions rapides qui autorisent les administrateurs à configurer l’accès et la réplication Active Directory.
Pour spécifier les sites couverts par les enregistrements DNS SRV spécifiques à la partition de l’annuaire d’applications du localisateur de contrôleurs de domaine, cliquez sur Activer et entrez les noms des sites au format délimité par des espaces.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine et les contrôleurs de domaine utilisent leur configuration locale.Spécifier le paramètre du cache de la découverte de contrôleurs de domaine négatifCe paramètre de stratégie spécifie la durée (en secondes) pendant laquelle le localisateur de contrôleurs de domaine doit mémoriser qu’un contrôleur de domaine est introuvable dans un domaine. Lorsqu’une nouvelle tentative pour trouver le contrôleur de domaine se produit pendant la durée définie dans ce paramètre, la découverte de contrôleurs de domaine échoue immédiatement sans qu’aucune recherche du contrôleur de domaine ne soit tentée.
La valeur par défaut pour ce paramètre est 45 secondes. La valeur maximale pour ce paramètre est 7 jours (7*24*60*60). La valeur minimale pour ce paramètre est 0.
Avertissement : si la valeur pour ce paramètre est trop importante, le client ne tente pas de trouver des contrôleurs de domaine qui étaient initialement indisponibles. Si la valeur pour ce paramètre est trop faible, les clients tenteront de trouver des contrôleurs de domaine, même si aucun n’est disponible.Définir la compatibilité du partage NetlogonCe paramètre de stratégie indique si le partage Netlogon créé par le service Net Logon sur un contrôleur de domaine doit prendre en charge la compatibilité de la sémantique de partage de fichiers avec les applications antérieures.
Si vous activez ce paramètre de stratégie, le partage Netlogon respecte la sémantique de partage de fichiers qui accorde les demandes d’accès en lecture exclusif aux fichiers du partage, même lorsque l’appelant ne dispose que d’une autorisation de lecture.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le partage Netlogon accorde un accès en lecture partagé aux fichiers du partage lorsque l’accès exclusif est demandé et que l’appelant ne dispose que d’une autorisation de lecture.
Par défaut, le partage Netlogon accorde un accès en lecture partagé aux fichiers du partage lorsque l’accès exclusif est demandé.
Remarque : le partage Netlogon est un partage créé par le service Net Logon qui doit être utilisé par les ordinateurs clients du domaine. Le comportement par défaut du partage Netlogon permet de s’assurer qu’aucune application disposant uniquement d’une autorisation de lecture sur les fichiers du partage Netlogon ne peut verrouiller les fichiers en demandant un accès en lecture exclusif, ce qui peut empêcher la mise à jour des paramètres de stratégie de groupe sur les clients du domaine. Lorsque vous activez ce paramètre, une application qui s’appuie sur sa capacité à verrouiller les fichiers du partage Netlogon avec une autorisation de lecture uniquement peut empêcher des clients de la stratégie de groupe de lire les fichiers ; en règle générale, ce comportement réduit la disponibilité du partage Netlogon sur le domaine.
Si vous activez ce paramètre de stratégie, les administrateurs de domaine doivent s’assurer que les seules applications qui utilisent la fonction de lecture exclusive dans le domaine sont celles approuvées par l’administrateur.Spécifier l’intervalle d’actualisation du cache de contrôleur de domaine périodique positif pour les appelants non en arrière planCe paramètre de stratégie détermine lorsqu’une entrée de cache réussie de contrôleur de domaine est actualisée. Ce paramètre de stratégie est appliqué aux programmes appelants qui ne tentent pas périodiquement de localiser des contrôleurs de domaine ; il est appliqué avant de retourner les informations de contrôleur de domaine au programme appelant. Ce paramètre de stratégie ne concerne que les appelants de DsGetDcName qui n’ont pas spécifié l’indicateur DS_BACKGROUND_ONLY.
La valeur par défaut pour ce paramètre est 30 minutes (1 800). La valeur maximale pour ce paramètre est (4 294 967 200), tandis que le maximum qui n’est pas considéré comme étant infini est 49 jours (49*24*60*60=4 233 600). Toute valeur supérieure sera considérée comme étant infinie. La valeur minimale pour ce paramètre est de toujours actualiser (0).Définir l’intervalle de nettoyageCe paramètre de stratégie détermine l’intervalle selon lequel Netlogon effectue les opérations de nettoyage suivantes :
- Vérification de la nécessité de modifier un mot de passe sur un canal sécurisé, et modification si nécessaire.
- Sur les contrôleurs de domaine, découverte d’un contrôleur de domaine qui n’a pas été découvert.
- Sur le contrôleur de domaine principal, tentative d’ajout du nom NetBIOS <nom_domaine>[1B] si celui-ci n’a pas déjà été correctement ajouté.
Aucune de ces opérations n’est critique. La valeur optimale est de 15 minutes pour tous les cas, sauf les plus extrêmes. Par exemple, si un contrôleur de domaine est séparé d’un domaine approuvé par une ligne coûteuse (par exemple, RNIS), ce paramètre peut être ajusté à une valeur supérieure pour éviter la découverte automatique fréquente des contrôleurs de domaine dans un domaine approuvé.
Pour activer le paramètre, cliquez sur Activer et spécifiez l’intervalle en secondes.Spécifier les sites couverts par les enregistrements DNS SRV du localisateur de contrôleurs de domaineCe paramètre de stratégie spécifie les sites pour lesquels les contrôleurs de domaine doivent inscrire les enregistrements de ressources DNS SRV du localisateur de contrôleurs de domaine spécifiques au site. Ces enregistrements sont inscrits en plus des enregistrements SRV spécifiques au site inscrits pour le site sur lequel le contrôleur de domaine réside, et des enregistrements inscrits par un contrôleur de domaine configuré pour inscrire les enregistrements SRV DNS du localisateur de contrôleurs de domaine pour les sites sans contrôleur de domaine qui sont le plus proche de lui.
Les enregistrements DNS du localisateur de contrôleurs de domaine sont inscrits dynamiquement par le service Net Logon et sont utilisés pour trouver le contrôleur de domaine. Un site Active Directory est constitué d’un ou de plusieurs sous-réseaux TCP/IP disposant de connexions rapides qui autorisent les administrateurs à configurer l’accès et la réplication Active Directory.
Pour spécifier les sites couverts par les enregistrements DNS SRV du localisateur de contrôleurs de domaine, cliquez sur Activer et entrez les noms des sites au format délimité par des espaces.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine et les contrôleurs de domaine utilisent leur configuration locale.Spécifier le nom du siteCe paramètre de stratégie spécifie le site Active Directory auquel les ordinateurs appartiennent.
Un site Active Directory est constitué d’un ou de plusieurs sous-réseaux TCP/IP disposant de connexions rapides qui autorisent les administrateurs à configurer l’accès et la réplication Active Directory.
Pour spécifier le nom de site pour ce paramètre, cliquez sur Activer et entrez le nom du site. Lorsque le site auquel un ordinateur appartient n’est pas spécifié, l’ordinateur découvre automatiquement son site à partir d’Active Directory.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale.Définir la compatibilité du partage SYSVOLCe paramètre de stratégie indique si le partage SYSVOL créé par le service Net Logon sur un contrôleur de domaine doit prendre en charge la compatibilité de la sémantique de partage de fichiers avec les applications antérieures.
Si vous activez ce paramètre, le partage SYSVOL respecte la sémantique de partage de fichiers qui accorde les demandes d’accès en lecture exclusif aux fichiers du partage, même lorsque l’appelant ne dispose que d’une autorisation de lecture.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le partage SYSVOL accorde un accès en lecture partagé aux fichiers du partage lorsque l’accès exclusif est demandé et que l’appelant ne dispose que d’une autorisation de lecture.
Par défaut, le partage SYSVOL accorde un accès en lecture partagé aux fichiers du partage lorsque l’accès exclusif est demandé.
Remarque : le partage SYSVOL est un partage créé par le service Net Logon qui doit être utilisé par les clients de la stratégie de groupe du domaine. Le comportement par défaut du partage SYSVOL permet de s’assurer qu’aucune application disposant uniquement d’une autorisation de lecture sur les fichiers du partage SYSVOL ne peut verrouiller les fichiers en demandant un accès en lecture exclusif, ce qui peut empêcher la mise à jour des paramètres de stratégie de groupe sur les clients du domaine. Lorsque vous activez ce paramètre, une application qui s’appuie sur sa capacité à verrouiller les fichiers du partage SYSVOL avec une autorisation de lecture uniquement peut empêcher des clients de la stratégie de groupe de lire les fichiers ; en règle générale, ce comportement réduit la disponibilité du partage SYSVOL sur le domaine.
Si vous activez ce paramètre de stratégie, les administrateurs de domaine doivent s’assurer que les seules applications qui utilisent la fonction de lecture exclusive dans le domaine sont celles approuvées par l’administrateur.Spécifier l’inscription dynamique des enregistrements DNS du localisateur de contrôleurs de domaineCe paramètre de stratégie détermine si l’inscription dynamique des enregistrements de ressources DNS du localisateur de contrôleur de domaine est activée. Ces enregistrements DNS sont inscrits dynamiquement par le service Net Logon et sont utilisés par l’algorithme de recherche pour trouver le contrôleur de domaine.
Si vous activez ce paramètre de stratégie, les contrôleurs de domaine auxquels ce paramètre est appliqué inscrivent dynamiquement les enregistrements de ressources DNS du localisateur de contrôleurs de domaine via des connexions réseau pouvant être mises à jour par un serveur DNS dynamique.
Si vous désactivez ce paramètre de stratégie, les contrôleurs de domaine n’inscrivent pas les enregistrements de ressources DNS du localisateur de contrôleurs de domaine.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine et les contrôleurs de domaine utilisent leur configuration locale.Essayer le site le plus proche suivantCe paramètre de stratégie permet au localisateur de contrôleurs de domaine de localiser un contrôleur de domaine sur le site le plus proche en fonction du coût de lien de sites si aucun contrôleur de domaine n’existe dans le même site. Dans des scénarios comportant plusieurs sites, l’échec du site le plus proche suivant lors de la recherche du contrôleur de domaine optimise le trafic réseau.
Le service du localisateur de contrôleurs de domaine est utilisé par les clients pour rechercher les contrôleurs de domaine pour leur domaine Active Directory. Par défaut, le localisateur de contrôleurs de domaine recherche un contrôleur de domaine dans le même site. Si aucun contrôleur de domaine n’est détecté dans le même site, un contrôleur de domaine d’un autre site, qui peut se trouver à plusieurs sauts, peut être retourné par le localisateur de contrôleurs de domaine. La proximité de deux sites est déterminée par le coût du lien de sites entre eux. Un site est plus proche s’il a un coût de lien de sites inférieur à celui d’un autre.
Si vous activez ce paramètre de stratégie, l’option Essayer l’emplacement de contrôleur de domaine du site le plus proche suivant est activée pour l’ordinateur.
Si vous désactivez ce paramètre de stratégie, l’option Essayer l’emplacement de contrôleur de domaine du site le plus proche suivant n’est pas activée par défaut pour l’ordinateur. Cependant, si un appel au localisateur de contrôleurs de domaine est effectué explicitement à l’aide de l’indicateur DS_TRY_NEXTCLOSEST_SITE, le comportement Essayer le site le plus proche suivant est respecté.
Si vous ne configurez pas ce paramètre de stratégie, l’option Essayer l’emplacement de contrôleur de domaine du site le plus proche suivant n’est pas activée par défaut pour l’ordinateur. Si l’indicateur DS_TRY_NEXTCLOSEST_SITE est utilisé explicitement, le comportement Site le plus proche suivant est utilisé.Intervalle de la redécouverte forcéeCe paramètre de stratégie détermine l’intervalle d’exécution de la redécouverte forcée par le localisateur de contrôleurs de domaine.
Le service du localisateur de contrôleurs de domaine est utilisé par les clients pour rechercher les contrôleurs de domaine pour leur domaine Active Directory. Lorsque le localisateur de contrôleurs de domaine trouve un contrôleur de domaine, il le met en cache afin d’améliorer l’efficacité de l’algorithme d’emplacement. Si le contrôleur de domaine mis en cache répond aux exigences et est en cours d’exécution, le localisateur de contrôleurs de domaine continue à le retourner. Si un nouveau contrôleur de domaine est introduit, les clients existants ne le découvrent que lorsque la redécouverte forcée est exécutée par le localisateur de contrôleurs de domaine. Pour s’adapter aux changements de conditions du réseau, le localisateur de contrôleurs de domaine exécute par défaut une redécouverte forcée en fonction d’un intervalle spécifié et assure l’équilibrage de la charge des clients sur tous les contrôleurs de domaine disponibles dans les domaines ou forêts. L’intervalle par défaut pour la redécouverte forcée par le localisateur de contrôleurs de domaine est de 12 heures. La redécouverte forcée peut également être déclenchée si un appel au localisateur de contrôleurs de domaine utilise l’indicateur DS_FORCE_REDISCOVERY. Une redécouverte réinitialise le minuteur sur les entrées du contrôleur de domaine mis en cache.
Si vous activez ce paramètre de stratégie, le localisateur de contrôleurs de domaine pour l’ordinateur exécute une redécouverte forcée régulièrement en fonction de l’intervalle configuré. L’intervalle minimal est de 3 600 secondes (1 heure) pour éviter le trafic réseau excessif dû à la redécouverte. L’intervalle maximal autorisé est de 4 294 967 200 secondes, et toute valeur supérieure à 4 294 967 secondes (~49 jours) est traitée comme un nombre infini.
Si vous désactivez ce paramètre de stratégie, la redécouverte forcée est utilisée par défaut pour l’ordinateur toutes les 12 heures.
Si vous ne configurez pas ce paramètre de stratégie, la redécouverte forcée est utilisée par défaut pour l’ordinateur toutes les 12 heures, sauf si la valeur du paramètre de l’ordinateur local dans le Registre est différente.Retourner le type d’adresse de contrôleur de domaineCe paramètre de stratégie détermine le type d’adresse IP retourné pour un contrôleur de domaine. Les API du localisateur de contrôleurs de domaine retournent l’adresse IP du contrôleur de domaine avec d’autres informations. Avant la prise en charge du protocole IPv6, l’adresse IP du contrôleur de domaine retournée était l’adresse IPv4. Désormais avec la prise en charge du protocole IPv6, les API du localisateur de contrôleurs de domaine peuvent retourner l’adresse de contrôleur de domaine IPv6. Certaines applications existantes ne traitent pas correctement l’adresse IPv6 retournée. Ce paramètre de stratégie est donc proposé pour prendre en charge ces scénarios.
Par défaut, les API du localisateur de contrôleurs de domaine retournent une adresse de contrôleur de domaine IPv4/IPv6. Si certaines applications sont interrompues en raison de l’adresse de contrôleur de domaine IPv6 retournée, ce paramètre de stratégie permet de désactiver le comportement par défaut et de forcer le retour d’adresses de contrôleurs de domaine IPv4 uniquement. Une fois le problème des applications résolu, ce paramètre de stratégie permet d’activer le comportement par défaut.
Si vous activez ce paramètre de stratégie, les API du localisateur de contrôleurs de domaine retournent une adresse de contrôleur de domaine IPv4/IPv6. Il s’agit du comportement par défaut du localisateur de contrôleurs de domaine.
Si vous désactivez ce paramètre de stratégie, les API du localisateur de contrôleurs de domaine retournent une adresse de contrôleur de domaine IPv4, s’il en existe une. Par conséquent, si le contrôleur de domaine prend en charge à la fois les adresses IPv4 et IPv6, les API du localisateur de contrôleurs de domaine retournent des adresses IPv4. Cependant, si le contrôleur de domaine prend en charge uniquement les adresses IPv6, les API du localisateur de contrôleurs de domaine échouent.
Si vous ne configurez pas ce paramètre de stratégie, les API du localisateur de contrôleurs de domaine retournent des adresses de contrôleur de domaine IPv4/IPv6. Il s’agit du comportement par défaut du localisateur de contrôleurs de domaine.Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0Ce paramètre de stratégie détermine si le service Net Logon permet l’utilisation des anciens algorithmes de chiffrement utilisés dans Windows NT 4.0. Les algorithmes de chiffrement utilisés dans Windows NT 4.0 et les versions antérieures ne sont pas aussi sécurisés que les algorithmes plus récents utilisés dans Windows 2000 et les versions ultérieures, y compris cette version de Windows.
Par défaut, Net Logon n’autorise pas l’utilisation des anciens algorithmes de chiffrement et ne les inclut pas dans la négociation des algorithmes de chiffrement. Par conséquent, les ordinateurs exécutant Windows NT 4.0 ne peuvent pas établir de connexion à ce contrôleur de domaine.
Si vous activez ce paramètre de stratégie, Net Logon autorise la négociation et l’utilisation des anciens algorithmes de chiffrement compatibles avec Windows NT 4.0. Toutefois, l’utilisation des anciens algorithmes présente un risque potentiel pour la sécurité.
Si vous désactivez ce paramètre de stratégie, Net Logon n’autorise pas la négociation et l’utilisation d’anciens algorithmes de chiffrement.
Si vous ne configurez pas ce paramètre de stratégie, Net Logon n’autorise pas la négociation et l’utilisation d’anciens algorithmes de chiffrement.Ne pas traiter les messages mailslot utilisés pour la localisation d’un contrôleur de domaine en fonction de son nom de domaine NetBIOSCe paramètre de stratégie permet de gérer le traitement des messages mailslot entrants par un contrôleur de domaine local.
Remarque : pour localiser un contrôleur de domaine distant en fonction de son nom de domaine NetBIOS (en une seule partie), le localisateur de contrôleurs de domaine obtient d’abord la liste des contrôleurs de domaine depuis un serveur WINS configuré dans ses paramètres de client local. Le localisateur de contrôleurs de domaine envoie ensuite un message mailslot à chaque contrôleur de domaine distant pour obtenir plus d’informations. La localisation du contrôleur de domaine réussit uniquement si un contrôleur de domaine distant répond au message mailslot.
Ce paramètre de stratégie est recommandé pour réduire la surface d’attaque sur un contrôleur de domaine. Il est utilisable dans un environnement sans service WINS, dans un environnement IPv6 uniquement et chaque fois que la localisation des contrôleurs de domaine en fonction d’un nom de domaine NetBIOS n’est pas nécessaire. Ce paramètre de stratégie n’a aucune incidence sur la localisation des contrôleurs de domaine en fonction de leur nom DNS.
Si vous activez ce paramètre de stratégie, ce contrôleur de domaine ne traite pas les messages mailslot entrants utilisés pour la localisation des contrôleurs de domaine basée sur le nom de domaine NetBIOS.
Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, ce contrôleur de domaine traite les messages mailslot entrants. Il s’agit du comportement par défaut du localisateur de contrôleurs de domaine.Ne pas utiliser la découverte NetBIOS pour l’emplacement des contrôleurs de domaine en cas d’échec de la découverte DNSCe paramètre de stratégie vous permet de contrôler l’algorithme d’emplacement du contrôleur de domaine. Par défaut, l’algorithme d’emplacement du contrôleur de domaine préfère utiliser la découverte DNS si le nom de domaine DNS est connu. En cas d’échec de la découverte DNS et si le nom de domaine NetBIOS est connu, l’algorithme a recours à la découverte NetBIOS.
La découverte NetBIOS utilise un serveur WINS et des messages mailslot mais pas les informations de site. Par conséquent, elle ne vérifie pas si les clients découvrent le contrôleur de domaine le plus proche. Elle permet également au client d’un site hub de découvrir le contrôleur de domaine d’un site de succursale même si le contrôleur de domaine du site de succursale n’inscrit que les enregistrements DNS spécifiques au site (conformément aux recommandations). Pour toutes ces raisons, la découverte NetBIOS n’est pas recommandée.
Notez que ce paramètre de stratégie n’affecte pas la découverte NetBIOS pour la localisation du contrôleur de domaine si seul le nom de domaine NetBIOS est connu.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, l’algorithme d’emplacement du contrôleur de domaine n’a pas recours à la découverte NetBIOS en cas d’échec de la découverte DNS. Il s’agit du comportement par défaut.
Si vous désactivez ce paramètre de stratégie, l’algorithme d’emplacement du contrôleur de domaine peut recourir à la découverte NetBIOS en cas d’échec de la découverte DNS.Spécifier le type de recherche d’adresse pour la requête Ping du localisateur de contrôleurs de domaineCe paramètre de stratégie configure le comportement d’un contrôleur de domaine lors de la réponse à un client dont l’adresse IP ne correspond à aucun site configuré.
Les contrôleurs de domaine utilisent l’adresse IP lors d’une requête Ping au localisateur de contrôleurs de domaine pour déterminer le site Active Directory auquel le client appartient. Si aucun mappage de site ne peut être déterminé, le contrôleur de domaine peut être amené à effectuer une recherche d’adresse d’après le nom du réseau du client pour découvrir d’autres adresses IP susceptibles d’être utilisées pour déterminer un site correspondant au client.
Les valeurs autorisées pour ce paramètre entraînent les comportements suivants :
0 - Les contrôleurs de domaines n’effectuent jamais de recherche d’adresses.
1 - Ils effectuent une recherche d’adresse exhaustive pour découvrir d’autres adresses IP de clients.
2 - Ils réalisent une recherche d’adresse rapide limitée au DNS pour découvrir d’autres adresses IP de clients.
Pour spécifier ce comportement dans les enregistrements DNS SRV du localisateur de contrôleurs de domaine, cliquez sur Activé, puis entrez une valeur. La plage des valeurs est comprise entre 0 et 2.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun contrôleur de domaine et les contrôleurs de domaine utilisent leur configuration locale.Utiliser le mode Urgent lors de l’envoi d’une requête Ping sur les contrôleurs de domaineCe paramètre de stratégie détermine si les ordinateurs auxquels se paramètre est appliqué sont plus agressifs lors de la tentative de localisation d’un contrôleur de domaine.
Lorsqu’un environnement dispose d’un grand nombre de contrôleurs de domaine exécutant à la fois des systèmes d’exploitation anciens et récents, le comportement de découverte du localisateur de contrôleur de domaine par défaut peut être insuffisant pour rechercher les contrôleurs de domaine exécutant un système d’exploitation plus récent. Ce paramètre de stratégie peut être activé pour configurer le localisateur de contrôleur de domaine de façon à ce qu’il soit plus agressif lors de la tentative de localisation d’un contrôleur de domaine dans cet environnement, en envoyant une requête Ping sur les contrôleurs de domaine à une fréquence plus élevée. L’activation de ce paramètre peut entraîner un trafic réseau supplémentaire et accroître la charge sur les contrôleurs de domaine. Désactivez ce paramètre lorsque tous les contrôleurs de domaine exécutent la même version du système d’exploitation.
Les valeurs autorisées pour ce paramètre entraînent les comportements suivants :
1 - Les ordinateurs envoient une requête Ping sur les contrôleurs de domaine à une fréquence normale.
2 - Les ordinateurs envoient une requête Ping sur les contrôleurs de domaine à une fréquence plus élevée.
Pour spécifier ce comportement, cliquez sur Activé et entrez une valeur. La plage des valeurs est comprise entre 1 et 2.
Si vous ne configurez pas ce paramètre de stratégie, il n’est appliqué à aucun ordinateur et les ordinateurs utilisent leur configuration locale.Secondes :Secondes :Secondes :Secondes :Niveau :Secondes :Secondes :Secondes :Priorité :Poids :Octets :Secondes :Secondes :Secondes :Secondes :Comportement de recherche des adresses :Mode d’urgence du test Ping :