Combien de temps un client peut-il être éteint dans AD ?

Nous configurons un environnement de formation à utiliser après les vacances d’été. La direction veut que nous configurions les clients maintenant avant les vacances. Puisque les clients seraient hors du domaine pendant environ 6 semaines, je me demande si le fait d’être hors réseau pendant si longtemps peut causer des problèmes. Des choses comme les mots de passe de comptes machine qui sont automatiquement changés, etc.

Y a-t-il une durée maximale pendant laquelle un client peut être éteint et hors réseau dans un domaine AD avant que des problèmes ne surviennent ?

Nous exécutons un domaine Windows 2008 R2 avec des clients Windows 7 et Office 2010. Les comptes utilisateurs et machines sont dans la même OU. Les comptes machines n’expirent pas.

Ça ira.

Voici un petit extrait de Sean Ivey de Microsoft, quelqu’un de plutôt intelligent :

OK, tant que nous parlons de membres du domaine, un ordinateur peut être hors du domaine pendant une longue période. Le canal sécurisé du domaine (qui est ce qui est utilisé pour créer la relation de confiance entre le poste de travail et le domaine) est conçu pour être résistant aux longues périodes hors réseau. Le mot de passe du compte machine est normalement changé tous les 30 jours, mais le DC conservera l’ancien et le nouveau mot de passe. Tant que l’ordinateur ne manque pas plus d’un changement de mot de passe, il pourra toujours établir une session sécurisée.

Par défaut, les mots de passe des comptes machine sont changés tous les 30 jours. Si votre machine est éteinte pendant 6 semaines (42 jours), cela signifie qu’elle manquera un changement de mot de passe. Mais le DC conserve les deux derniers mots de passe (actuel et précédent), donc tant que la machine n’est pas éteinte pendant plus de 60 jours (manquant deux changements), elle devrait pouvoir se reconnecter sans problème.

En pratique, même des durées bien plus longues fonctionnent généralement sans problème. Le scénario le plus courant où des problèmes surviennent est lorsque quelqu’un restaure un ordinateur à partir d’une ancienne image/sauvegarde, car le mot de passe du compte machine dans la sauvegarde ne correspondra plus à celui stocké dans AD.

Si un problème survenait, la solution serait simplement de réjoindre la machine au domaine, ce qui réinitialise le mot de passe du compte machine.

Bonjour,

Cette question touche à plusieurs mécanismes fondamentaux d’Active Directory, notamment la durée de vie des objets tombstone, la synchronisation des mots de passe de comptes machine, et la réplication inter-contrôleurs de domaine. Voici une analyse technique exhaustive.

Le mécanisme clé : le mot de passe du compte machine

Chaque ordinateur joint à un domaine Active Directory possède un compte machine (identifiable par le signe $ à la fin du nom, ex : DESKTOP01$). Ce compte dispose d’un mot de passe qui est automatiquement négocié et renouvelé entre le client et le contrôleur de domaine.

Paramètres par défaut de renouvellement

Par défaut, le mot de passe du compte machine est renouvelé tous les 30 jours. Ce comportement est contrôlé par deux paramètres de stratégie de groupe :

Le renouvellement est déclenché par le client lui-même (pas par le DC) lors du démarrage ou pendant le fonctionnement normal.

Durées critiques à connaître

1. Durée de vie du Tombstone (TSL - Tombstone Lifetime)

La Tombstone Lifetime est la durée pendant laquelle les objets supprimés sont conservés dans AD avant d’être définitivement effacés. Elle affecte également la réplication entre contrôleurs de domaine.

# Vérifier la Tombstone Lifetime actuelle
$configNC = (Get-ADRootDSE).configurationNamingContext
$tombstone = Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$configNC" -Properties tombstoneLifetime
Write-Host "Tombstone Lifetime : $($tombstone.tombstoneLifetime) jours"

Valeurs par défaut selon la version de Windows Server :

2. La règle des 30 jours pour le mot de passe machine

Voici ce qui se passe concrètement selon la durée d’absence :

Pourquoi le délai de 30 jours peut être trompeur

Il est important de comprendre que le renouvellement du mot de passe est à l’initiative du CLIENT, pas du serveur. Cela signifie que si un ordinateur reste éteint, son mot de passe en mémoire reste valide (sa dernière valeur connue) ET le DC conserve également l’ancienne valeur.

Le problème survient dans le scénario suivant :

1. L’ordinateur est éteint depuis, disons, 45 jours
2. Pendant ce temps, une politique a forcé le renouvellement du compte machine (ou le DC a été restauré depuis une sauvegarde)
3. À l’allumage, le client tente de s’authentifier avec l’ANCIEN mot de passe, qui ne correspond plus à ce que le DC attend

Vérifier l’âge du mot de passe d’un compte machine

# Vérifier la date de dernière modification du mot de passe machine
Get-ADComputer -Identity "NOM_ORDINATEUR" -Properties PasswordLastSet, LastLogonDate |
    Select-Object Name, PasswordLastSet, LastLogonDate

# Lister TOUS les comptes machine dont le mot de passe a plus de 90 jours
$threshold = (Get-Date).AddDays(-90)
Get-ADComputer -Filter {PasswordLastSet -lt $threshold} -Properties PasswordLastSet, LastLogonDate |
    Select-Object Name, PasswordLastSet, LastLogonDate |
    Sort-Object PasswordLastSet |
    Format-Table -AutoSize

Problèmes liés à la réplication AD (pertinent si plusieurs DC)

Si votre environnement comporte plusieurs contrôleurs de domaine, la durée maximale sans problème est également liée à la Tombstone Lifetime pour la réplication.

Un DC qui n’a pas répliqué depuis plus longtemps que la TSL entre en état USN Rollback ou lingering objects, ce qui peut causer des incohérences dans l’annuaire.

# Vérifier l'état de réplication entre DCs
repadmin /showrepl

# Vérifier les erreurs de réplication
repadmin /replsummary

# Voir les dernières réplications réussies
repadmin /showrepl * /csv > C:\replication_report.csv

Résoudre le problème “Le canal sécurisé a été interrompu”

Si un ordinateur a été éteint trop longtemps et ne peut plus s’authentifier au domaine, le symptôme typique est l’erreur :

The trust relationship between this workstation and the primary domain failed.
(La relation d'approbation entre ce poste de travail et le domaine principal a échoué.)

Solution 1 : Réinitialisation via PowerShell (sans quitter le domaine)

# Tester le canal sécurisé
Test-ComputerSecureChannel -Verbose

# Réparer le canal sécurisé (exécuter en tant qu'administrateur de domaine)
Test-ComputerSecureChannel -Repair -Credential (Get-Credential "DOMAINE\Administrateur")

# Alternative avec Reset-ComputerMachinePassword
Reset-ComputerMachinePassword -Server "NOM_DC" -Credential (Get-Credential)

Solution 2 : Réinitialisation via netdom

:: Réinitialiser le mot de passe du compte machine
netdom resetpwd /server:NOM_DC /userd:DOMAINE\Administrateur /passwordd:*

:: Vérifier la connectivité au domaine
nltest /dsgetdc:NOMDOMAINE
nltest /sc_verify:NOMDOMAINE

Solution 3 : Réinitialisation depuis le contrôleur de domaine

# Sur le DC, réinitialiser le mot de passe du compte machine
Set-ADComputer -Identity "NOM_ORDINATEUR" -Reset

# Ou via l'outil graphique :
# dsa.msc > Ordinateurs > Clic droit sur l'objet > Réinitialiser le compte

Bonnes pratiques pour les ordinateurs rarement utilisés

Désactiver le renouvellement automatique du mot de passe (scénarios spécifiques)

Pour des ordinateurs qui sont régulièrement éteints pendant de longues périodes (postes saisonniers, laboratoires, etc.) :

Stratégie de groupe :
Configuration ordinateur > Paramètres Windows > Paramètres de sécurité >
Stratégies locales > Options de sécurité

Paramètre : "Membre de domaine : désactiver les changements de mot de passe du compte ordinateur"
Valeur : Activé

Attention : Cette option réduit la sécurité. À utiliser uniquement dans des contextes justifiés et avec d’autres mesures compensatoires.

Allonger la durée de vie du mot de passe machine

Stratégie de groupe :
Configuration ordinateur > Paramètres Windows > Paramètres de sécurité >
Stratégies locales > Options de sécurité

Paramètre : "Membre de domaine : ancienneté maximale du mot de passe du compte ordinateur"
Valeur : 0 (infini) ou une valeur en jours supérieure à 30

Surveiller les comptes machines inactifs

# Script de surveillance : lister les machines inactives depuis plus de X jours
param([int]$DaysInactive = 90)

$threshold = (Get-Date).AddDays(-$DaysInactive)
$inactiveComputers = Get-ADComputer -Filter {LastLogonDate -lt $threshold -and Enabled -eq $true} `
    -Properties LastLogonDate, PasswordLastSet, OperatingSystem |
    Select-Object Name, LastLogonDate, PasswordLastSet, OperatingSystem |
    Sort-Object LastLogonDate

$inactiveComputers | Format-Table -AutoSize
Write-Host "Total des machines inactives : $($inactiveComputers.Count)" -ForegroundColor Yellow

Résumé pratique

Pour répondre directement à votre question :

• Moins de 30 jours : aucun problème, redémarrage normal
• Entre 30 et 180 jours : le renouvellement automatique se fait au démarrage, mais surveiller les éventuelles erreurs de canal sécurisé
• Plus de 180 jours : risque réel de problèmes d’authentification — prévoir de tester le canal sécurisé avant de déployer la machine en production
• Plus d’un an : réinitialisation du compte machine quasi systématiquement nécessaire

N’hésitez pas à me préciser votre version de Windows Server, le nombre de contrôleurs de domaine dans votre environnement, et si les machines concernées sont des postes fixes, des ordinateurs portables ou des machines virtuelles — je pourrai ainsi affiner les recommandations en fonction de votre architecture.