Les services Netlogon ou Workstation refusent de démarrer avec l’erreur 1068 ? Ce guide pratique explique comment auditer et corriger les dépendances SMB (MRxSmb10/20, NSI), rétablir un démarrage sain sans réactiver SMBv1, et sécuriser votre environnement Windows.
Vue d’ensemble de la question
Sur des postes Windows ou des serveurs membres, il peut arriver que Netlogon ou Workstation (LanmanWorkstation) ne démarre pas. Le message typique est : « Erreur 1068 : le service ou le groupe de dépendance n’a pas pu démarrer. » Dans la majorité des cas, la cause est une dépendance SMB mal configurée (présence de MRxSmb10 alors que SMBv1 est supprimé/désactivé, ou MRxSmb20/NSI désactivés).
À retenir tout de suite : sur des systèmes modernes (Windows 8/10/11 et Windows Server 2012+), Workstation dépend uniquement de MRxSmb20 (SMB v2/3) et de NSI. La réactivation de SMBv1 (MRxSmb10) n’est pas recommandée pour des raisons de sécurité.
Précautions de sécurité
- Évitez SMBv1 : protocole obsolète et vulnérable. À n’utiliser qu’en dernier recours, sur un périmètre isolé et temporaire.
- Exécutez toutes les commandes dans une Invite de commandes ou PowerShell en tant qu’administrateur.
- Planifiez une fenêtre de maintenance si vous intervenez à distance (redémarrages possibles).
- Avant toute modification du registre ou de configuration de services, effectuez une sauvegarde/point de restauration.
Diagnostic rapide en ligne de commande
Ouvrez une invite de commandes administrateur, puis exécutez :
sc.exe qc lanmanworkstation
sc.exe qc mrxsmb10
sc.exe qc mrxsmb20
sc.exe qc nsi
Interprétez :
- Si
lanmanworkstationafficheDEPENDENCIESavecMRxSmb10sur un OS récent, la configuration est héritée/altérée. - Si
mrxsmb20ounsisont Désactivés (START_TYPE : DISABLED), c’est la cause probable de l’échec.
Commandes utiles supplémentaires
sc.exe query lanmanworkstation
sc.exe query netlogon
sc.exe queryex mrxsmb20
powershell -NoProfile -Command "Get-Service -Name LanmanWorkstation,Netlogon,nsi | Format-Table Name,Status,StartType"
powershell -NoProfile -Command "(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation').DependOnService"
Comprendre les dépendances
Les services et pilotes impliqués :
| Composant | Nom de service/pilote | Rôle | Statut attendu (OS récents) |
|---|---|---|---|
| Workstation | LanmanWorkstation | Client SMB (accès aux partages) | Démarrage : Automatique / Déclenché Dépend de : NSI, MRxSmb20 |
| Netlogon | Netlogon | Canal sécurisé avec le domaine AD | Dépend de LanmanWorkstation (et parfois LanmanServer selon les rôles) |
| Redirecteur SMB v2/3 | MRxSmb20 | Pilote de fichier pour SMB v2/v3 | Présent et activable (Auto/Manuel) |
| Redirecteur SMB v1 | MRxSmb10 | Pilote de fichier pour SMB v1 | Désinstallé ou Désactivé par défaut |
| Network Store Interface | NSI | Interface d’état réseau | En fonctionnement (Auto) |
| Computer Browser | Bowser | Ancien service de découverte réseau | Obsolète ; non requis |
Procédure recommandée et sécurisée
Identifier la version de Windows
Dans une invite :
winver
Pour Windows 8/10/11 et Server 2012+, les dépendances saines de LanmanWorkstation sont NSI et MRxSmb20 uniquement.
Valider les dépendances réelles
sc.exe qc lanmanworkstation
Si MRxSmb10 apparaît, vous êtes face à une configuration héritée (upgrade ancien Windows, script durcissement, image clonée, etc.).
Corriger sans réactiver SMBv1
- Vérifier/activer NSI et MRxSmb20 :
sc.exe config nsi start= auto
sc.exe config mrxsmb20 start= auto
Note : la syntaxe sc.exe exige un espace après start=.
- Réparer les composants système si la pile est corrompue :
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
- Épurer la dépendance vers SMBv1 (si présente) en revenant aux valeurs attendues :
sc.exe config lanmanworkstation depend= NSI/MRxSmb20
Cette commande réécrit la liste DependOnService pour ne conserver que NSI et MRxSmb20.
- Redémarrer puis relancer les services :
shutdown /r /t 0
Après redémarrage :
sc.exe start lanmanworkstation
sc.exe start netlogon
Contournement observé et limites
Dans certains environnements, le problème a été contourné en réactivant provisoirement SMBv1, car MRxSmb10 figurait dans les dépendances :
sc.exe config mrxsmb10 start= auto
shutdown /r
Important : cette approche a effectivement relancé Workstation/Netlogon dans le cas décrit, mais elle n’est pas recommandée sur des systèmes modernes. L’objectif doit rester : retirer SMBv1 des dépendances et fonctionner avec MRxSmb20 + NSI.
Vérifications complémentaires
État fonctionnel après correctif
- Services :
Get-Service LanmanWorkstation,Netlogon,nsi→ tous en Running. - Tests SMB :
net view \\<serveur>,dir \\<serveur>\<partage>, ouPowerShell: Get-SmbConnection. - Canal sécurisé :
nltest /sc_query:<votre_domaine>.
Journalisation à contrôler
Dans l’Observateur d’événements → Journaux Windows > Système, cherchez les sources suivantes :
- SRV / MRxSmb : erreurs de redirecteur SMB.
- NETLOGON : indisponibilité des DC, problèmes de canal sécurisé.
- Service Control Manager : code 7001/7000/7009 (dépendances, délais).
Cas d’usage et scénarios fréquents
Mise à niveau depuis une version héritée
Après un upgrade (ex. Windows 7 → 10), la clé DependOnService de LanmanWorkstation peut conserver MRxSmb10. Remettez-la à NSI/MRxSmb20 comme vu plus haut.
Scripts de durcissement trop agressifs
Certains scripts désactivent MRxSmb20 ou NSI. Réactivez-les ; relancez Workstation et Netlogon.
Navigateurs réseau obsolètes
Bowser (Computer Browser) est retiré/obsolète sur les OS récents. S’il apparaît dans les dépendances, supprimez-le de LanmanWorkstation (comme pour MRxSmb10).
Gestion de SMBv1 via fonctionnalités Windows
Vérifiez l’état des composants SMB1 pour confirmer qu’ils ne sont pas activés :
dism /online /get-features /format:table | findstr SMB1
Pour s’assurer que SMBv1 est désactivé :
dism /online /disable-feature /featurename:SMB1Protocol /NoRestart
Ensuite, réglez les dépendances de LanmanWorkstation sur NSI/MRxSmb20 et redémarrez.
Réglages et contrôle via le Registre
Chemins utiles :
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnServiceHKLM\SYSTEM\CurrentControlSet\Services\Netlogon\DependOnServiceHKLM\SYSTEM\CurrentControlSet\Services\MRxSmb20et...\MRxSmb10(valeurStart)HKLM\SYSTEM\CurrentControlSet\Services\nsi
Préférez sc.exe ou PowerShell pour modifier ces paramètres, afin de limiter les erreurs de saisie. Si vous éditez le Registre : sauvegardez la clé avant modification.
Dépannage avancé
Réinitialiser la pile Winsock/IP
netsh winsock reset
netsh int ip reset
shutdown /r
Utile si NSI démarre mais que la couche réseau est instable.
Vérifier la configuration DNS
Des DNS pointant hors domaine peuvent perturber Netlogon (découverte DC). Configurez le client pour utiliser uniquement les DNS AD internes.
Confiance machine-domaine
Si Netlogon démarre mais que les journaux signalent une rupture de canal sécurisé :
nltest /sc_reset:<votre_domaine>
Ou en PowerShell (session admin, avec des credentials adéquats) :
Reset-ComputerMachinePassword -Server <NomDC> -Credential (Get-Credential)
Restauration des dépendances par défaut
Pour forcer les dépendances attendues de LanmanWorkstation sur OS récents :
sc.exe config lanmanworkstation depend= NSI/MRxSmb20
sc.exe start lanmanworkstation
Automatisation PowerShell
Script minimal pour auditer/corriger :
PowerShell -NoProfile -Command ^
"$svc = Get-Service -Name LanmanWorkstation,Netlogon,nsi -ErrorAction SilentlyContinue; ^
$dep = (Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation').DependOnService; ^
Write-Host 'Dépendances actuelles Workstation:' $dep; ^
Set-Service -Name nsi -StartupType Automatic; ^
Set-Service -Name LanmanWorkstation -StartupType Automatic; ^
sc.exe config mrxsmb20 start= auto | Out-Null; ^
sc.exe config lanmanworkstation depend= NSI/MRxSmb20 | Out-Null; ^
Start-Service nsi; ^
Start-Service LanmanWorkstation; ^
Start-Service Netlogon; ^
Get-Service -Name LanmanWorkstation,Netlogon,nsi | Format-Table Name,Status,StartType"
Tableaux récapitulatifs
Symptômes et causes probables
| Symptôme | Cause la plus fréquente | Action |
|---|---|---|
| Workstation ne démarre pas (1068) | Dépendance sur MRxSmb10 | Réécrire la dépendance → NSI/MRxSmb20 |
| Netlogon échoue | Workstation arrêté | Réparer LanmanWorkstation d’abord |
| Échecs sporadiques | Pile réseau/Winsock corrompue | netsh winsock reset + redémarrage |
| Après upgrade OS | Clé DependOnService héritée | sc.exe config lanmanworkstation depend= NSI/MRxSmb20 |
Checklist de résolution
| Étape | Commande | Résultat attendu |
|---|---|---|
| Inventaire dépendances | sc.exe qc lanmanworkstation | Uniquement NSI et MRxSmb20 |
| Activer NSI/MRxSmb20 | sc.exe config nsi start= autosc.exe config mrxsmb20 start= auto | StartType = Auto/Manuel |
| Réparer l’image | sfc /scannowDISM /Online /Cleanup-Image /RestoreHealth | Intégrité système OK |
| Réécrire dépendances | sc.exe config lanmanworkstation depend= NSI/MRxSmb20 | Dépendance SMBv1 supprimée |
| Redémarrage | shutdown /r /t 0 | Services démarrent correctement |
| Validation | Get-Service LanmanWorkstation,Netlogon,nsi | Status = Running |
Questions fréquentes
Faut‑il activer SMBv1 (MRxSmb10) ?
Non, sauf dernier recours dans un périmètre isolé et temporaire. La cible sécurisée est SMBv2/3 via MRxSmb20 + NSI.
Pourquoi Bowser apparaît‑il parfois ?
Computer Browser est obsolète. Sa présence comme dépendance peut bloquer Workstation ; supprimez‑la en réécrivant les dépendances.
Où voir/modifier les dépendances ?sc.exe qc pour la lecture, sc.exe config <service> depend= ... pour l’écriture. Les valeurs sont stockées dans HKLM\SYSTEM\CurrentControlSet\Services\<Service>\DependOnService.
Mon Netlogon démarre mais je n’accède toujours pas aux partages.
Vérifiez DNS, pare‑feu, et l’intégrité du canal sécurisé (nltest /sc_query). Assurez‑vous que LanmanWorkstation est bien en Running.
Exemple d’implémentation pas à pas
- Ouvrir cmd en admin ; constater les dépendances :
sc.exe qc lanmanworkstation - Si
MRxSmb10est listé :sc.exe config lanmanworkstation depend= NSI/MRxSmb20 - S’assurer que
NSI/MRxSmb20ne sont pas désactivés :sc.exe config nsi start= auto sc.exe config mrxsmb20 start= auto - Réparer l’image si besoin :
sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth - Redémarrer et valider :
shutdown /r /t 0 sc.exe start lanmanworkstation sc.exe start netlogon
En cas d’échec persistant
- Consultez l’Observateur d’événements : sources SRV, MRxSmb, NETLOGON, Service Control Manager.
- Réinitialisez Winsock :
netsh winsock resetpuis redémarrez. - Vérifiez la résolution DNS vers les DC et l’heure système (NTP) : un décalage important perturbe l’authentification.
- Si machine jointe au domaine mais canal rompu :
Reset-ComputerMachinePasswordounltest /sc_reset. - En dernier recours sur un système véritablement ancien, activez client SMB1 seulement, isolez l’hôte et planifiez la migration vers SMB v2/3.
Conclusion
Les incidents de démarrage de Netlogon et Workstation proviennent très souvent d’une dépendance SMB inadaptée. Le remède durable consiste à réaligner les dépendances sur MRxSmb20 + NSI, à éviter SMBv1, et à valider l’intégrité du système et de la pile réseau. Le contournement par réactivation de MRxSmb10 peut dépanner des environnements anciens, mais il ne doit pas être retenu comme solution pérenne.
Annexes : commandes prêtes à copier
:: Audit
sc.exe qc lanmanworkstation
sc.exe qc mrxsmb20
sc.exe qc mrxsmb10
sc.exe qc nsi
\:: Remise des dépendances saines (OS récents)
sc.exe config lanmanworkstation depend= NSI/MRxSmb20
\:: Activation des composants requis
sc.exe config nsi start= auto
sc.exe config mrxsmb20 start= auto
\:: Réparation système
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
\:: Redémarrage et relance
shutdown /r /t 0
sc.exe start lanmanworkstation
sc.exe start netlogon
\:: Tests
net view \\\
dir \\\\<partage>
nltest /sc\_query:\ Résumé essentiel
- Netlogon dépend de Workstation : corrigez d’abord
LanmanWorkstation. - Sur Windows récents, Workstation doit dépendre de NSI et MRxSmb20 uniquement.
- Ne réactivez pas SMBv1 (MRxSmb10) sauf ultime recours et sous isolement.
- En cas de doute :
sc.exe qcpour voir,sc.exe configpour remettre par défaut, puissfc/DISMet redémarrage.
Ce guide fournit une approche concrète, reproductible et sécurisée pour restaurer le démarrage de Netlogon/Workstation en éliminant les dépendances SMB obsolètes.