Tutoriel 📝 Corriger l’échec d’authentification entre plusieurs forêts Active Directory

[Sylvain*]

Corriger l’échec d’authentification entre plusieurs forêts Active Directory

Introduction

Dans les environnements complexes avec plusieurs forêts Active Directory (AD), il est courant de rencontrer des problèmes d’authentification entre domaines, même avec des relations d’approbation configurées. Les symptômes incluent des refus d’accès aux ressources, des erreurs d’authentification Kerberos ou NTLM, ou encore des délais excessifs. Ce guide détaille les approches pour diagnostiquer et corriger les problèmes liés aux identités dans des architectures multi-forêts.

---

Prérequis

• Bonne connaissance des forêts et domaines AD

• Maîtrise de la console Utilisateurs et ordinateurs Active Directory, Sites et services AD

• Accès administrateur aux contrôleurs de domaine concernés

---

Différentes Approches

• Approche #1 : Vérification des relations d’approbation via CMD

• Approche #2 : Diagnostic de l’authentification via PowerShell

• Approche #3 : Script .PS1 pour tester les relations d’approbation et la connectivité LDAP/Kerberos

---

Niveau de difficulté

• Approche #1 : Intermédiaire

• Approche #2 : Avancé

• Approche #3 : Avancé

---

Les Avantages

• Approche #1 : Permet de confirmer l’état des relations d’approbation

• Approche #2 : Fournit des diagnostics précis d’authentification

• Approche #3 : Permet des tests réguliers automatisés entre forêts

---

Les Inconvénients

• Approche #1 : Ne donne pas de détails sur l’origine exacte des erreurs

• Approche #2 : Requiert accès aux logs de sécurité sur plusieurs DC

• Approche #3 : Requiert PowerShell Remoting ou connectivité réseau complète

---

Approche #1

Ouvrir CMD sur un contrôleur de domaine

Vérifier les relations d’approbation

netdom trust NomForetCible /domain:NomForetLocale /verify

Lister les relations d’approbation établies

netdom trust NomForetLocale /domain:NomForetCible /display

Tester la résolution DNS entre les deux forêts

nslookup dc1.nomforet2.local

ping dc1.nomforet2.local

---

Approche #2

Ouvrir PowerShell en tant qu’administrateur

Tester l’authentification utilisateur entre forêts

Test-ComputerSecureChannel -Server "dc.nomforet2.local" -Verbose

Vérifier la connectivité Kerberos

klist get krbtgt/nomforet2.local

Vérifier les ports ouverts (LDAP/389, Kerberos/88, RPC/135, etc.)

Test-NetConnection -ComputerName dc.nomforet2.local -Port 389

Consulter les logs d’événements sur les DC (ID 4625, 4768, 4771)

---

Approche #3

Créer un fichier TestTrustAuth.ps1

Insérer ce script PowerShell de test d’authentification :

$User = "utilisateur@nomforet2.local"
$Secure = Read-Host "Mot de passe" -AsSecureString
$Cred = New-Object System.Management.Automation.PSCredential ($User, $Secure)
try {
$session = New-PSSession -ComputerName "dc.nomforet2.local" -Credential $Cred
Write-Output "Authentification réussie."
Remove-PSSession $session
} catch {
Write-Output "Échec d'authentification : $($_.Exception.Message)"
}

Tester avec plusieurs comptes inter-forêts pour valider les permissions

Vérifier les paramètres de la relation : transitive, bidirectionnelle, type d’authentification

---

Astuce

Créez un enregistrement conditionnel de transfert DNS entre les forêts si la résolution échoue.

---

Mise en garde

Les politiques de sécurité (ex. restrictions NTLM, firewall, SID Filtering) peuvent bloquer l’authentification même si la relation d’approbation est fonctionnelle.

---

Conseil

Documentez les relations d’approbation créées (nom, direction, type) ainsi que les ports ouverts sur chaque pare-feu entre les forêts.

---

Solution alternative

Voici des outils tiers pour tester et surveiller l’authentification inter-forêts AD :

• AD Explorer Microsoft analyse forêts AD

• Netwrix Auditor trust Active Directory

• Quest Active Roles trust AD multifornêt

---

Références

• Support Microsoft

• Microsoft Learn

• Recherche Github

---

Conclusion

Les environnements multi-forêts AD sont puissants mais sensibles aux erreurs de configuration. Un simple problème DNS, une relation mal définie ou des ports bloqués peuvent compromettre l’authentification entre domaines. Grâce à ces approches, vous pourrez identifier, tester et corriger les blocages liés aux relations d’approbation. La documentation, les tests périodiques et la supervision des logs sont essentiels à la stabilité d’un environnement multi-forêts fiable.