Vous voyez « We can’t sign you in with this credential because your domain isn’t available » sur un PC rattaché à un domaine scolaire ? Ce guide détaille les causes réelles, les vérifications rapides et toutes les solutions fiables : réseau/VPN, compte local, horloge, mode sans échec et derniers recours.
Vue d’ensemble du problème
Ce message d’erreur apparaît sur des ordinateurs Windows rattachés à un domaine Active Directory (établissement scolaire, université, organisme public). Il indique que Windows n’a pas pu confirmer vos identifiants auprès du contrôleur de domaine (DC) et qu’aucun cache local utilisable n’a permis une ouverture de session hors‑ligne. Le plus souvent, cela se produit parce que le PC n’est pas relié au réseau du domaine (Ethernet, Wi‑Fi interne, VPN) ou qu’un paramètre de sécurité (horloge, cache, format d’identifiant) empêche la validation.
Quand ce message apparaît-il ?
- Le PC n’est pas connecté au réseau du domaine (câble Ethernet, Wi‑Fi de l’école, ou VPN officiel non établi).
- Vous n’avez jamais ouvert de session sur ce PC avec ce compte (aucun cache local disponible), ou l’administrateur a désactivé le cache.
- Vous avez changé le mot de passe depuis un autre appareil : hors‑ligne, le PC ne connaît que l’ancien mot de passe tant qu’il n’a pas revu le DC.
- L’horloge du PC diffère trop de celle du DC (Kerberos tolère peu de dérive temporelle).
- Mauvais format d’identifiant saisi (ex. UPN d’un autre domaine, faute de frappe, clavier en QWERTY au lieu d’AZERTY).
- Le réseau est captif (Wi‑Fi d’hôtel/transport : portail d’authentification qui bloque l’accès au VPN et au DC).
- Cas plus rares : DNS non résolu vers le DC, stratégie « aucun cache hors‑ligne », panne côté domaine. (Si le message change pour « trust relationship failed », il s’agit d’un autre problème.)
Diagnostic express : que faire d’abord ?
- Branchez un câble Ethernet si possible (plus fiable que le Wi‑Fi).
- Sinon, connectez le Wi‑Fi depuis l’écran de connexion : cliquez l’icône réseau en bas à droite, choisissez le réseau de l’établissement, saisissez la clé si demandé.
- Hors campus : établissez le VPN de l’école (si exposé sur l’écran de connexion ou après ouverture de session locale). Le compte de domaine n’ouvrira pas la session tant que le tunnel n’est pas actif.
- Corrigez l’heure si elle est fausse de plusieurs minutes.
- Essayez l’ancien mot de passe si vous l’avez récemment changé hors de ce PC.
- À défaut, connectez‑vous avec un compte local (format
.\NomUtilisateurLocal) pour accéder aux outils réseau/VPN.
Solutions et démarches conseillées
| Objectif | Démarche | Notes importantes |
|---|---|---|
| Rétablir une connexion valide au domaine | 1) Connecter le PC au réseau interne de l’école ou au VPN de l’établissement. 2) Ressaisir l’identifiant/mot de passe une fois la liaison établie. | Solution la plus fiable : le contrôleur de domaine peut alors réauthentifier l’utilisateur et recréer le cache local. |
| Utiliser un autre compte | Se connecter avec un compte local disposant de droits (ex. « Administrateur » créé lors de l’installation) si disponible. | N’apparaît pas toujours sur l’écran de connexion ; presser CTRL + ALT + DEL, choisir Autre utilisateur puis entrer .\NomUtilisateurLocal. |
| Démarrer en mode sans échec avec réseau | Redémarrer → maintenir Maj en cliquant sur Redémarrer → Dépannage > Options avancées > Paramètres de démarrage > Redémarrer > touche 5. | Utile pour corriger l’heure, tester la carte réseau ou activer le Wi‑Fi avant la connexion normale. |
| Synchroniser l’horloge | Depuis l’environnement de récupération (Invite de commandes) : w32tm /resync ou régler manuellement la date/heure. | Un écart > 5 min peut bloquer Kerberos. |
| Contacter le support informatique | Obtenir l’adresse courriel ou le téléphone du service IT via : site web de l’école, intranet, syllabus, enseignants, secrétariat. | Les administrateurs peuvent : réinitialiser le mot de passe, prolonger le cache, ou fournir un VPN. |
| Réinstallation propre (Clean install) | À envisager uniquement si l’ordinateur n’est plus géré par l’école. Sauvegarder les données, puis réinstaller Windows pour supprimer toute trace du domaine. | Efface les politiques et logiciels scolaires ; nécessite une licence Windows valide. |
Procédures détaillées
Rétablir la connexion au domaine
Sur le campus : privilégiez un câble Ethernet. Windows détectera le réseau du domaine et tentera la négociation Kerberos/NTLM avec le contrôleur de domaine. Attendez 30 à 60 secondes après l’insertion du câble puis ressaisissez vos identifiants.
En Wi‑Fi : depuis l’écran de connexion, cliquez sur l’icône réseau → sélectionnez le SSID de l’école → connectez‑vous. Vérifiez que vous n’êtes pas sur un réseau invité/captif ; s’il y a un portail, vous devrez souvent ouvrir une session locale d’abord pour afficher un navigateur et compléter le portail, puis établir le VPN.
Hors campus : établissez un VPN scolaire. S’il est défini en pré‑connexion (Always‑On/System), il peut apparaître directement sur l’écran de connexion ; sinon, ouvrez d’abord une session locale, lancez le client VPN, puis Déconnectez et reconnectez‑vous avec le compte de domaine (ou verrouillez l’écran et changez d’utilisateur).
Astuce format d’identifiant
- Format UPN :
prenom.nom@domaine.edu - Format classique :
DOMAINE\identifiant - Compte local :
.\NomUtilisateurLocal
Si l’un échoue, essayez l’autre ; l’administrateur peut imposer l’un des deux.
Utiliser un autre compte (accès de secours)
Quand aucun cache de domaine n’est exploitable, un compte local permet d’accéder aux paramètres réseau, au client VPN, aux Paramètres > Heure et langue, etc. Après connexion locale :
- Activez/installez le client VPN officiel et établissez la connexion.
- Corrigez l’horloge si nécessaire (voir plus bas).
- Verrouillez (Win+L) puis cliquez sur Changer d’utilisateur pour tenter à nouveau la session de domaine.
Important : si vous ne connaissez aucun compte local, contactez l’IT. Ne tentez pas de contournements non autorisés.
Mode sans échec avec prise en charge réseau
Le mode sans échec charge un minimum de pilotes et services. C’est utile si le Wi‑Fi ne s’initialise pas correctement en démarrage normal, si un pilote bloque, ou pour corriger l’heure sans la couche logicielle habituelle.
- Sur l’écran de connexion → bouton Marche/Arrêt → cliquez Redémarrer en maintenant la touche Maj.
- Dépannage → Options avancées → Paramètres de démarrage → Redémarrer → tapez 5 (Activer le mode sans échec avec prise en charge réseau).
- Testez Ethernet/Wi‑Fi, corrigez l’heure, puis redémarrez en mode normal.
Synchroniser ou corriger l’horloge
Kerberos refuse l’authentification si l’horloge diffère de façon significative du DC (tolérance typique : quelques minutes). Plusieurs méthodes :
- Avec privilèges admin (Invite de commandes) :
w32tm /resyncpuisw32tm /query /status. - Réglage manuel : Paramètres > Heure et langue > Date et heure → désactivez « automatique », corrigez la date/heure, puis réactivez‑la.
- Depuis WinRE (si vous ne pouvez pas ouvrir de session) : utilisez l’Invite de commandes pour régler la date (
date) et l’heure (time), ou ajustez via le BIOS/UEFI.
Si vous avez changé le mot de passe récemment
Sur un poste hors‑ligne, Windows connaît l’ancienne version de votre mot de passe jusqu’à la prochaine connexion au DC. En attendant, essayez l’ancien mot de passe ; une fois de retour en ligne, votre cache se mettra à jour.
Éviter les pièges du Wi‑Fi captif
Un réseau public/captif peut laisser penser que « ça marche » alors qu’il bloque le domaine/VPN. Stratégie :
- Connectez‑vous au réseau.
- Ouvrez une session locale, lancez un navigateur et complétez le portail.
- Établissez ensuite le VPN, puis reconnectez la session de domaine.
Tableau décisionnel rapide
| Symptôme | Cause probable | Action recommandée |
|---|---|---|
| Erreur dès la saisie du mot de passe, hors campus | Pas de VPN ou VPN non initialisé avant ouverture de session | Ouvrir session locale → établir le VPN → se reconnecter avec le compte de domaine |
| Mot de passe « incorrect » après un changement récent | Cache local connaît l’ancien mot de passe | Essayer l’ancien mot de passe ou se connecter au DC via réseau/VPN |
| Connexion réseau OK mais échec immédiat | Horloge trop décalée | Corriger l’heure (w32tm /resync), vérifier fuseau |
| Wi‑Fi connecté mais pas d’accès domaine | Portail captif, DNS non scolaire | Passer le portail, forcer le VPN, vérifier DNS |
| Jamais connecté avec ce compte sur ce PC | Aucun cache, stratégie « cache=0 » | Se connecter au réseau du domaine ou demander à l’IT |
Informations complémentaires utiles
- Durée/présence du cache d’identifiants : dans Windows, c’est un nombre de connexions précédentes mises en cache (par défaut souvent 10), non une durée. Beaucoup d’établissements réduisent ce nombre, voire le mettent à 0 (aucun cache), ce qui oblige une liaison réseau/ VPN à chaque ouverture de session.
- VPN scolaire : même hors campus, un tunnel VPN jusqu’au réseau de l’école suffit à réauthentifier le compte et à régénérer le cache.
- Risque de contournement : forcer l’accès sans l’accord de l’école viole les politiques de sécurité et peut entraîner des sanctions disciplinaires et/ou techniques.
- Sauvegardes : si vos fichiers sont importants, retirez le disque et copiez‑les depuis un autre PC (boîtier USB/SATA) avant toute manipulation risquée (réparation avancée, réinstallation).
- Plan B avant une échéance : utilisez un autre appareil (ordinateur personnel, bibliothèque, labo) pour avancer pendant que le problème est traité.
Méthodes pratiques étape par étape
Se reconnecter au domaine via Ethernet
- Branchez le câble au réseau interne de l’établissement.
- Attendez 30–60 s que l’interface obtienne une adresse (DHCP).
- Sur l’écran de connexion, entrez
DOMAINE\identifiantet votre mot de passe. - Si cela échoue, essayez le format
prenom.nom@domaine.edu.
Se reconnecter au domaine via VPN
Deux cas de figure :
- VPN « avant ouverture de session » : apparaîtra sur l’écran de connexion (icône réseau → VPN). Établissez la connexion, puis entrez vos identifiants de domaine.
- VPN utilisateur classique : ouvrez une session locale, lancez le client VPN, vérifiez que le tunnel est actif, verrouillez (Win+L) puis connectez‑vous avec le compte de domaine.
Astuce : si le VPN n’apparaît pas à l’écran de connexion, demandez à l’IT une configuration Always‑On ou Device Tunnel pour les machines gérées.
Corriger l’horloge pas à pas
- Connectez un câble Ethernet ou un Wi‑Fi fonctionnel.
- Ouvrez une session locale (si nécessaire) et lancez l’Invite de commandes en administrateur.
- Exécutez
w32tm /resync. Si échec, réglez manuellement l’heure, puis réessayez. - Vérifiez aussi le fuseau horaire (Paramètres > Heure et langue).
Écrire correctement les identifiants
Sur les PC de domaine, le mauvais format d’identifiant produit souvent la même erreur :
- Utilisez le domaine de l’établissement et non un domaine personnel.
- Évitez les accents/espaces dans l’identifiant.
- Vérifiez la disposition du clavier sur l’écran de connexion (icône langue : FR, EN…). Un « @ » mal saisi peut suffire.
Diagnostics réseau utiles
Depuis une session locale ou un terminal en mode sans échec, ces commandes aident à comprendre la situation :
ipconfig /all
ping NOM-DU-DC
nslookup NOM-DU-DC
nltest /dsgetdc:domaine.edu
nltest /sc_query:domaine.edu
klist purge
nltest /dsgetdcvérifie la découverte d’un contrôleur de domaine.nltest /sc_querysonde le canal sécurisé machine/domaine (plutôt à usage IT).klist purgenettoie les tickets Kerberos de la session courante (utile après correction d’heure ou de VPN).
Cas réservés à l’IT (à ne pas tenter seul)
- Compte utilisateur verrouillé ou mot de passe expiré côté annuaire.
- Stratégie « cache=0 » ou GPO qui impose la présence du DC à chaque connexion.
- Problème de « trust relationship » entre le poste et le domaine (message d’erreur différent) : nécessite netdom reset ou Test‑ComputerSecureChannel -Repair.
- DNS/découverte de DC mal configurés (serveurs DNS non scolaires, pare‑feu bloquant les ports 88/135/389/445, etc.).
- Migrations cloud (Azure AD/Entra ID, Hybrid Join) avec fournisseurs d’identités et VPN « device tunnel » mal appliqués.
Prévention : éviter que le problème ne se reproduise
- Connectez le PC au réseau du domaine au moins une fois par semaine (ou selon les consignes IT) pour rafraîchir les informations et les stratégies.
- Demandez une configuration VPN Always‑On ou un device tunnel qui s’établit avant ouverture de session.
- Conservez un compte local de secours connu de vous et de l’IT (mots de passe stockés en sécurité).
- Laissez l’heure en synchronisation automatique et évitez de l’ajuster manuellement sauf dépannage.
- Notez vos identifiants (format exact) et vérifiez la disposition du clavier sur l’écran de connexion.
FAQ
Mes fichiers sont‑ils perdus si je ne peux pas ouvrir de session ?
Non. Les données sont toujours sur le disque. Si l’accès est critique, retirez le disque et copiez‑les depuis un autre PC (boîtier USB/SATA) ou passez par l’IT.
Puis‑je forcer l’accès sans l’IT ?
Non. Outre les risques disciplinaires, les contournements exposent vos données et celles de l’établissement. Suivez les procédures officielles.
J’ai un autre message : « The trust relationship between this workstation and the primary domain failed ».
C’est un problème distinct (canal sécurisé machine/domaine rompu). Il se traite côté IT (réadjonction au domaine).
Le VPN n’apparaît pas à l’écran de connexion.
Il n’est pas configuré en pré‑connexion. Ouvrez une session locale, établissez le VPN, puis reconnectez‑vous au compte de domaine ou demandez à l’IT une configuration Always‑On.
Modèles de messages pour contacter l’IT
Objet : PC de domaine – erreur « We can’t sign you in with this credential because your domain isn’t available »
Corps :
Bonjour,
Mon PC rattaché au domaine affiche le message ci‑dessus à l’ouverture de session.
Contexte : , connexion .
Actions déjà tentées : .
Identifiant : .
Heure du poste vs heure réelle : <écart estimé>.
Pouvez‑vous vérifier mon compte et la stratégie de cache de connexion,
et me confirmer la méthode recommandée (VPN pré‑connexion, etc.) ?
Merci d’avance. Dernier recours : réinstallation propre
À n’envisager que si l’appareil n’est plus géré par l’école (fin d’études, cession…). Sauvegardez d’abord toutes les données. Réinstallez Windows depuis un support officiel, créez un compte local, puis réappliquez les pilotes. Cette opération supprime les GPO, l’agent MDM et toute configuration de domaine. Vous devez disposer d’une licence Windows valide.
Mémento commandes et raccourcis
| Action | Commande / Raccourci | Quand l’utiliser |
|---|---|---|
| Resynchroniser l’heure | w32tm /resync | Horloge décalée, réseau disponible |
| Voir l’état NTP | w32tm /query /status | Vérifier la source et l’écart |
| Découvrir un DC | nltest /dsgetdc:domaine.edu | Valider la résolution du domaine |
| Tester le canal sécurisé | nltest /sc_query:domaine.edu | Diagnostic avancé (IT) |
| Nettoyer tickets Kerberos | klist purge | Après correction d’heure / VPN |
| Écran options avancées | Maintenir Maj + cliquer Redémarrer | Accéder au mode sans échec |
| Compte local | .\NomUtilisateurLocal | Ouverture de session de secours |
Récapitulatif essentiel
- Le plus fiable : réseau interne ou VPN + horloge correcte + identifiant au bon format.
- En attendant : compte local pour activer VPN et corriger l’heure.
- Ne forcez pas : si rien n’y fait, contactez l’IT (cache désactivé, compte verrouillé, panne DC).
- Sauvegardez avant les opérations risquées et n’envisagez une réinstallation que si l’appareil n’est plus géré.
Annexe : précision sur le « cache d’identifiants »
Par défaut, Windows mémorise un certain nombre d’ouvertures de session de domaine (typiquement 10). Cela permet de se connecter hors ligne sans limite de durée, tant que ce cache n’est pas désactivé par une stratégie. De nombreuses écoles abaissent ce nombre, voire le fixent à 0, pour obliger la validation auprès du DC. En parallèle, le mot de passe machine du poste (indépendant du compte utilisateur) se renouvelle périodiquement ; s’il reste hors ligne très longtemps, il peut rompre le canal sécurisé, mais cela génère un message d’erreur différent de celui traité ici. Retenez : si votre établissement limite ou coupe le cache d’ouverture de session, la connexion réseau/VPN devient obligatoire à chaque démarrage.
En résumé : l’erreur « We can’t sign you in with this credential because your domain isn’t available » n’est pas un bug mystérieux. Elle signale presque toujours l’absence de contact avec le domaine ou un paramétrage (heure/format d’identifiant/cache) qui empêche la validation. En appliquant les vérifications ci‑dessus, vous reviendrez rapidement à une session fonctionnelle.