Netlogon refuse de démarrer sur un contrôleur de domaine ? Suivez ce guide opérationnel pour réparer le canal sécurisé, corriger le registre et republier les enregistrements DNS afin de restaurer l’accès Active Directory, les partages SYSVOL/NETLOGON et Windows Time.
Vue d’ensemble du problème
Sur un contrôleur de domaine (DC) Windows Server, le service Netlogon ne démarre pas. Conséquences immédiates : les consoles Active Directory Users and Computers, Sites and Services et DNS restent inaccessibles ou très lentes, et le service Windows Time (w32time) ne se lance pas faute de canal sécurisé fonctionnel vers le domaine.
Dans l’Observateur d’événements (journal Système), l’ID 6011 peut apparaître : on y voit que le nom de l’ordinateur a basculé du domaine vers WORKGROUP dans le registre. Cet indice signifie que le secure channel du DC avec le domaine est rompu, d’où l’échec de Netlogon.
Analyse et constats clés
- Dépendances Netlogon : toutes indiquées « en cours d’exécution » (
sc queryrenvoie OK pour RPC, Workstation, etc.). - Commande
sc query netlogon: confirme que Netlogon est à l’état STOPPED. - Journaux d’événements : l’ID 6011 révèle un passage à WORKGROUP dans le registre. D’autres IDs fréquents lorsque le canal sécurisé est rompu : 5719 (aucun contrôleur disponible), 5781 (échec d’enregistrement DNS), 3210 (échec de relation d’approbation de l’ordinateur).
Solutions synthétisées
| Étape | Action | Objectif |
|---|---|---|
| 1 | Vérifier la configuration réseau (IP statique, DNS pointant sur un DNS AD). | Écarter un problème de résolution de noms. |
| 2 | Contrôler les clés HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters : le nom de domaine doit figurer, pas « WORKGROUP ». | Rétablir l’appartenance au domaine. |
| 3 | Réparer le canal sécurisé : nltest /sc_query:<Domaine> puis nltest /sc_reset:<Domaine> ou netdom resetpwd …. | Resynchroniser le compte d’ordinateur du DC. |
| 4 | Forcer l’enregistrement DNS : ipconfig /registerdns, nltest /dsregdns. | Publier ou republier les enregistrements SRV. |
| 5 | Ajuster le démarrage : sc config netlogon start= auto puis net start netlogon (sans l’option -force). | Relancer Netlogon proprement. |
| 6 | Vérifier SYSVOL/NETLOGON : dcdiag /test:sysvolcheck /test:advertising, dfsrmig /getglobalstate. | Confirmer la publicité du DC et la réplication. |
| 7 | Vérifier antivirus/pare‑feu tiers : ports 135, 445 et 49152‑65535 ouverts. | Écarter un blocage réseau. |
| 8 | Ultime recours : désinstaller/réinstaller le rôle AD DS ou restaurer depuis sauvegarde/snapshot. | Recréer un DC sain si les étapes précédentes échouent. |
Pourquoi Netlogon échoue dans ce scénario
Netlogon assure :
- l’établissement et la maintenance du secure channel entre l’ordinateur et le domaine ;
- l’enregistrement des enregistrements SRV dans DNS (
_ldap._tcp,_kerberos._tcp,_gc._tcp, etc.) qui permettent aux clients et aux DC pairs de le découvrir ; - la publication des partages SYSVOL et NETLOGON nécessaires à la stratégie de groupe et aux scripts d’ouverture de session.
Si le DC est perçu comme membre d’un WORKGROUP par le système (valeurs de registre incohérentes), le mot de passe du compte d’ordinateur ne peut plus être validé, la synchronisation Kerberos échoue et le service Netlogon refuse de démarrer correctement.
Procédure détaillée, pas à pas
Vérifier la configuration réseau (IP/DNS)
Le DC doit utiliser une IP statique. Les serveurs DNS configurés sur l’interface doivent pointer vers un DNS AD-intégré capable de résoudre la zone du domaine (souvent le DC lui‑même et/ou un autre DC). Évitez d’ajouter des DNS publics sur l’interface : utilisez plutôt des redirections ou des redirecteurs conditionnels côté serveur DNS.
ipconfig /all
nslookup -type=SRV _ldap._tcp.dc._msdcs.<domaine>
ping <autreDC> -4
- Attendu : résolution correcte du domaine et des SRV DC.
- Si échec : corriger la configuration IP/DNS avant d’aller plus loin.
Contrôler les clés de registre critiques
Avant toute modification, exportez les clés concernées ou prenez un snapshot de la VM.
- Chemin principal :
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters - Les valeurs liées au domaine ne doivent pas mentionner WORKGROUP. Vérifiez également la cohérence de la Primary DNS Suffix :
HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName(PrimaryDnsSuffix)HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName(PrimaryDnsSuffix)HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters(Domain)
Exemple PowerShell pour inspection rapide :
Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters' |
Select-Object *domain*, *workgroup*, *dns* | Format-List
Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName' |
Select-Object ComputerName, PrimaryDnsSuffix | Format-List Si le suffixe DNS ou une valeur de domaine affiche « WORKGROUP », corrigez la valeur pour refléter le nom DNS du domaine (attention à la casse et à l’orthographe). Redémarrez ensuite l’hôte ou, a minima, les services dépendants (Workstation, Netlogon).
Réparer le secure channel du DC
Validez l’état actuel, puis réinitialisez si besoin.
nltest /sc_query:<domaine>
nltest /sc_reset:<domaine>
nltest /sc_verify:<domaine>
Alternative robuste avec netdom (à exécuter sur le DC cible, avec un compte disposant des droits Domain Admins) :
netdom resetpwd /server:<DC-pair> /userd:<domaine>\<Administrateur> /passwordd:*
- Astuce : ciblez un autre DC sain pour l’option
/server:afin d’obtenir un nouveau secret machine réussi. - Attendu : retour « The machine account password for the local machine has been successfully reset ».
Forcer la republication DNS
Une fois le canal sécurisé rétabli, republiez les enregistrements SRV et A/AAAA du DC.
ipconfig /flushdns
ipconfig /registerdns
nltest /dsregdns
Vérifiez ensuite la présence des enregistrements clés :
nslookup -type=SRV _ldap._tcp.<site>._sites.dc._msdcs.<domaine>
nslookup -type=SRV _kerberos._tcp.dc._msdcs.<domaine>
Configurer le démarrage et lancer Netlogon
Assurez-vous que le service est en Automatique puis démarrez‑le. Ne pas utiliser -force : ce paramètre n’existe pas pour net start.
sc qc netlogon
sc config netlogon start= auto
net start netlogon
Contrôlez l’état :
sc query netlogon
Get-Service Netlogon | Format-Table Name, Status, StartType
Valider SYSVOL/NETLOGON et la publicité du DC
Quand Netlogon fonctionne, le DC doit « s’annoncer » dans le domaine et exposer les partages.
dcdiag /test:advertising /test:sysvolcheck
net share
Sur les environnements DFS‑R pour SYSVOL :
dfsrmig /getglobalstate
repadmin /replsummary
repadmin /showrepl
- Attendu :
SYSVOLetNETLOGONlistés parnet share,dcdiagsans erreurs critiques, réplication saine.
Écarter un blocage par antivirus/pare‑feu
Certains agents de sécurité filtrent SMB et RPC. Vérifiez localement et sur le chemin réseau que les ports suivants sont autorisés :
| Port/proto | Service/usage | Remarques |
|---|---|---|
| 135/TCP | RPC Endpoint Mapper | Ouverture de sessions RPC dynamiques |
| 445/TCP | SMB | Accès SYSVOL, scripts, GPO |
| 49152‑65535/TCP | RPC dynamiques | Plage par défaut Windows Server modernes |
| 88/TCP/UDP | Kerberos | Authentification |
| 389/TCP/UDP | LDAP | Découverte, annuaire |
| 53/TCP/UDP | DNS | Résolution et enregistrements SRV |
Un test rapide pour SMB :
Test-NetConnection <DC-pair> -Port 445
Derniers recours en cas d’impasse
Si, malgré tout, le DC reste incohérent :
- Restauration depuis une sauvegarde authoritative récente si disponible.
- Rémotion du rôle AD DS (démotion) puis répromotion depuis un DC sain.
- Si la démotion « gracieuse » échoue, utilisez la suppression forcée puis effectuez un metadata cleanup depuis un DC sain avant de réintroduire l’hôte.
Important : évitez de « réjoindre » un DC au domaine comme s’il s’agissait d’un poste client. On répare le secure channel ou on redéploie le rôle AD, mais on ne manipule pas l’appartenance au domaine d’un DC comme pour une machine membre classique.
Vérifications de santé après réparation
Avant de considérer l’incident clos, exécutez ces contrôles :
dcdiag /v
dcdiag /test:advertising /test:sysvolcheck
repadmin /replsummary
repadmin /showrepl
w32tm /query /status
w32tm /query /configuration
- Assurez-vous que w32time synchronise correctement (notamment sur le titulaire du rôle PDC Emulator).
- Ouvrez gpmc.msc et validez que les GPO s’appliquent sans erreurs.
- Contrôlez les partages :
\\<DC>\SYSVOLet\\<DC>\NETLOGONsont accessibles.
Cartographie des événements utiles
| ID | Source | Interprétation | Action conseillée |
|---|---|---|---|
| 6011 | Netlogon | Changement de nom d’ordinateur/domaine détecté (ex. WORKGROUP). | Corriger le registre et réparer le secure channel. |
| 5719 | Netlogon | Aucun DC disponible pour traiter l’ouverture de session. | Vérifier réseau, DNS, ports et réplication. |
| 5781 | Netlogon | Échec d’enregistrement(s) DNS dynamique(s). | Forcer /registerdns, vérifier la zone _msdcs. |
| 3210 | Netlogon | Le compte de l’ordinateur ne peut être validé. | nltest /sc_reset ou netdom resetpwd. |
| 5723/5805 | Netlogon | Mot de passe machine inconnu ou incohérent. | Reset du mot de passe machine, réplication AD. |
Checklist express pour aller à l’essentiel
- IP statique, pas de DNS publics sur l’interface.
- Registre Netlogon et suffixe DNS : pas de « WORKGROUP ».
nltest /sc_querypuis/sc_resetet/sc_verify.ipconfig /registerdnsetnltest /dsregdns.sc config netlogon start= autopuisnet start netlogon(sans -force).dcdiag,repadmin,dfsrmig,w32tmpour valider la santé.- Ouvrez les ports RPC/SMB si filtrés.
Exemples de diagnostics et de sorties attendues
État du service :
sc query netlogon
SERVICE_NAME: netlogon
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0) Publicité du DC :
dcdiag /test:advertising
Starting test: Advertising
is advertising as a DC and having a DS.
is advertising as a GC.
......................... passed test Advertising Réplication :
repadmin /replsummary
Dest Source DSA largest delta fails/total %% error
---
OK 00h:05m:12s 0/20 0 Bonnes pratiques pour éviter la récidive
- Sur les DC, ne configurez que des DNS AD sur les interfaces réseau. Utilisez des redirecteurs côté serveur DNS pour l’Internet.
- Surveillez les événements Netlogon, DNS Server, Directory Service et DFS Replication.
- Mettez en place un monitoring proactif : vérification périodique des SRV, de
dcdiag, et de la latencerepadmin. - Évitez les outils « cleanup » de registre non Microsoft sur les DC.
- Documentez et testez les procédures de récupération (sauvegardes system state, snapshots contrôlés).
Foire aux questions rapides
Est‑ce que net start netlogon -force aide ?
Non. L’option -force n’existe pas pour net start. Utilisez sc config netlogon start= auto puis net start netlogon après avoir réparé le canal sécurisé et les enregistrements DNS.
Puis‑je « sortir » et « réintégrer » le DC au domaine ?
Non recommandé. Un DC n’est pas une machine membre ordinaire. Réparez le canal sécurisé (nltest/netdom) ou redéployez le rôle AD DS proprement.
Et si c’est l’unique DC du domaine ?
Privilégiez une restauration depuis une sauvegarde saine. À défaut, reconstruisez un DC neuf avec le même nom et effectuez un authoritative restore des données critiques si nécessaire.
Pourquoi Windows Time échoue aussi ?
Le service w32time dépend de la capacité à contacter une source d’autorité (souvent le PDC Emulator) via un canal sécurisé. Si Netlogon est down, la synchro NTP/Kerberos est impactée.
Exemple de script PowerShell tout‑en‑un (à exécuter avec prudence)
Ce script illustre une séquence automatisée non destructive : vérif IP/DNS, test du secure channel, réenregistrement DNS et tentative de démarrage de Netlogon.
# Paramètres
$Domain = "<domaine.local>"
$ReferenceDC = "<DC-pair>"
Write-Host "Vérification IP/DNS..."
ipconfig /all
Write-Host "Test du secure channel..."
nltest /sc_query:$Domain
Write-Host "Reset du secure channel..."
nltest /sc_reset:$Domain
Write-Host "Vérification du secure channel..."
nltest /sc_verify:$Domain
Write-Host "Forçage enregistrements DNS..."
ipconfig /flushdns
ipconfig /registerdns
nltest /dsregdns
Write-Host "Configuration et démarrage Netlogon..."
sc config netlogon start= auto
net start netlogon
Write-Host "Contrôles finaux..."
dcdiag /test:advertising /test:sysvolcheck
repadmin /replsummary
w32tm /query /status Résultat attendu
Une fois le nom de domaine rétabli dans le registre, le secure channel réparé et les enregistrements DNS mis à jour, Netlogon démarre correctement. Les partages SYSVOL/NETLOGON redeviennent disponibles, les consoles AD s’ouvrent normalement et le service Windows Time redémarre sans erreur.
Résumé opérationnel
- Éliminez toute incohérence IP/DNS et registre : un DC ne doit jamais apparaître en WORKGROUP.
- Réparez le mot de passe machine et le canal sécurisé (
nltest/netdom). - Republiez DNS, démarrez Netlogon et validez la publicité SYSVOL/NETLOGON.
- Contrôlez la réplication et la synchro temporelle.
- Si nécessaire, restaurez ou redéployez le rôle AD DS proprement.
Rappels utiles : sauvegardez le registre avant modification, surveillez les IDs 5719/5781/3210, et sur DFS‑R, appuyez‑vous sur repadmin pour garder une vision claire de la santé de la réplication.