ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows domain controller server displaying authentication security logs in a professional data center environment
Event ID 4766InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4766 – Microsoft-Windows-Security-Auditing : Échec de l'authentification du compte d'ordinateur

L'ID d'événement 4766 indique qu'un compte d'ordinateur n'a pas réussi à s'authentifier auprès du contrôleur de domaine. Cet événement d'audit de sécurité se déclenche lorsque l'authentification de la machine échoue lors des processus de connexion au domaine.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4766Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4766 représente un échec d'authentification de compte d'ordinateur dans le cadre de l'audit de sécurité Windows. Lorsqu'un ordinateur joint à un domaine tente de s'authentifier auprès d'un contrôleur de domaine en utilisant les informations d'identification de son compte machine, divers facteurs peuvent entraîner l'échec de cette authentification, déclenchant cet événement d'audit.

Les comptes d'ordinateur dans Active Directory ont des mots de passe qui changent automatiquement tous les 30 jours par défaut. Ces mots de passe de compte machine sont gérés par l'Autorité de sécurité locale (LSA) et sont nettement plus longs et plus complexes que les mots de passe utilisateur typiques. Lorsque l'authentification échoue, cela indique souvent des problèmes de synchronisation entre les informations d'identification stockées sur la machine locale et les enregistrements du contrôleur de domaine.

L'événement contient des informations détaillées, y compris le nom de l'ordinateur cible, le nom de domaine, le type de connexion, le package d'authentification utilisé et les codes de raison d'échec. Les raisons courantes d'échec incluent des mots de passe expirés, des problèmes de synchronisation temporelle dépassant la tolérance de décalage temporel Kerberos (généralement 5 minutes), des comptes d'ordinateur désactivés ou des problèmes de connectivité réseau empêchant les échanges d'authentification appropriés.

Cet événement est particulièrement important pour surveiller les systèmes automatisés, les comptes de service fonctionnant en tant que LocalSystem, et les tâches planifiées qui dépendent de l'authentification de compte d'ordinateur. Dans les environnements d'entreprise, des modèles d'événements 4766 peuvent indiquer des problèmes d'infrastructure plus larges affectant simultanément plusieurs systèmes.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Inadéquation du mot de passe du compte d'ordinateur entre la machine locale et le contrôleur de domaine
  • Problèmes de synchronisation de l'heure dépassant la tolérance Kerberos (généralement plus de 5 minutes)
  • Compte d'ordinateur désactivé ou supprimé dans Active Directory
  • Problèmes de connectivité réseau empêchant l'authentification avec les contrôleurs de domaine
  • Problèmes de résolution DNS empêchant la localisation des contrôleurs de domaine
  • Base de données des secrets de l'Autorité de sécurité locale (LSA) corrompue
  • Indisponibilité ou surcharge du contrôleur de domaine lors des tentatives d'authentification
  • Pare-feu bloquant les ports d'authentification requis (88 pour Kerberos, 389 pour LDAP)
  • Échecs de la relation de confiance entre l'ordinateur et le domaine
  • Stratégie de groupe empêchant l'authentification du compte d'ordinateur
Méthodes de résolution

Étapes de dépannage

01

Vérifier les détails de l'événement et la synchronisation de l'heure

Commencez par examiner les détails spécifiques de l'échec et vérifier la synchronisation de l'heure :

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4766 en utilisant cette commande PowerShell :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4766} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  1. Vérifiez la raison de l'échec dans les détails de l'événement, en particulier les codes Status et Sub Status
  2. Vérifiez la synchronisation de l'heure avec le domaine :
w32tm /query /status
w32tm /resync /rediscover
  1. Comparez l'heure locale avec l'heure du contrôleur de domaine :
net time \domaincontroller.domain.com
Astuce pro : Le code de statut 0xC000006A indique généralement un mot de passe incorrect, tandis que 0xC0000071 indique un mot de passe expiré.
02

Réinitialiser le mot de passe du compte ordinateur

Réinitialisez le mot de passe du compte machine pour résoudre les incompatibilités d'authentification :

  1. Testez l'état actuel du canal sécurisé :
Test-ComputerSecureChannel -Verbose
  1. Si le test échoue, réinitialisez le mot de passe du compte ordinateur :
Reset-ComputerMachinePassword -Credential (Get-Credential)
  1. Alternativement, utilisez la commande netdom traditionnelle :
netdom resetpwd /server:domaincontroller.domain.com /userd:domain\administrator /passwordd:*
  1. Redémarrez l'ordinateur pour s'assurer que le nouveau mot de passe est correctement appliqué
  2. Vérifiez que le canal sécurisé fonctionne :
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
Avertissement : La réinitialisation du mot de passe du compte ordinateur peut temporairement perturber les services fonctionnant sous le compte LocalSystem.
03

Vérifier la connectivité du contrôleur de domaine et le DNS

Diagnostiquer les problèmes de réseau et de DNS affectant l'authentification de domaine :

  1. Tester la connectivité aux contrôleurs de domaine :
nltest /dsgetdc:domain.com
nltest /sc_query:domain.com
  1. Vérifier la résolution DNS pour les contrôleurs de domaine :
nslookup -type=SRV _ldap._tcp.dc._msdcs.domain.com
Resolve-DnsName -Name domain.com -Type A
  1. Tester la connectivité des ports d'authentification :
Test-NetConnection -ComputerName domaincontroller.domain.com -Port 88
Test-NetConnection -ComputerName domaincontroller.domain.com -Port 389
Test-NetConnection -ComputerName domaincontroller.domain.com -Port 636
  1. Vérifier les journaux d'événements du contrôleur de domaine pour les échecs d'authentification correspondants
  2. Vider le cache DNS et se réenregistrer avec DNS :
ipconfig /flushdns
ipconfig /registerdns
04

Réintégrer l'ordinateur au domaine

Si d'autres méthodes échouent, rejoignez l'ordinateur au domaine :

  1. Retirez l'ordinateur du domaine (nécessite des identifiants d'administrateur de domaine) :
Remove-Computer -UnjoinDomainCredential (Get-Credential) -Restart
  1. Après le redémarrage, vérifiez que l'ordinateur est en mode groupe de travail :
Get-ComputerInfo | Select-Object CsDomain, CsWorkgroup
  1. Nettoyez toutes les références de domaine restantes dans le registre :
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History" -Name * -Force -ErrorAction SilentlyContinue
  1. Rejoignez l'ordinateur au domaine :
Add-Computer -DomainName domain.com -Credential (Get-Credential) -Restart
  1. Après le redémarrage, vérifiez l'appartenance au domaine et testez le canal sécurisé :
Test-ComputerSecureChannel -Verbose
Avertissement : Rejoindre le domaine réinitialisera tous les groupes locaux et peut affecter les logiciels installés qui dépendent des SID de domaine.
05

Dépannage avancé avec la journalisation Kerberos

Activer la journalisation détaillée de Kerberos pour le dépannage avancé de l'authentification :

  1. Activer la journalisation des événements Kerberos dans le registre :
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" -Name "LogLevel" -Value 1 -PropertyType DWord -Force
  1. Activer la journalisation des audits de sécurité pour les événements d'authentification détaillés :
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Account Logon" /success:enable /failure:enable
  1. Surveiller le journal Système pour les événements Kerberos (ID d'événement 3, 4, 11) :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Kerberos-Key-Distribution-Center'} -MaxEvents 50
  1. Utiliser la capture de paquets réseau pour analyser le trafic d'authentification :
netsh trace start capture=yes provider=Microsoft-Windows-Kerberos-Key-Distribution-Center level=5 keywords=0xffffffffffffffff
  1. Après avoir reproduit le problème, arrêter la trace et analyser :
netsh trace stop
  1. Désactiver la journalisation Kerberos après le dépannage :
Remove-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" -Name "LogLevel" -Force

Aperçu

L'ID d'événement 4766 se déclenche lorsqu'un compte d'ordinateur échoue à s'authentifier avec un contrôleur de domaine lors des processus d'authentification de la machine. Cet événement d'audit de sécurité apparaît dans le journal de sécurité lorsque Windows tente d'établir un canal sécurisé entre un ordinateur joint au domaine et le contrôleur de domaine, mais que l'authentification échoue.

L'événement se produit généralement lors du démarrage du système, des tâches planifiées exécutées sous des comptes d'ordinateur, ou lorsque des services tentent de s'authentifier en utilisant le compte de la machine. Contrairement aux échecs d'authentification des utilisateurs, les échecs d'authentification des comptes d'ordinateur peuvent indiquer des problèmes plus graves avec les relations de confiance du domaine, des problèmes de synchronisation temporelle, ou des mots de passe de compte d'ordinateur corrompus.

Cet événement fait partie de la configuration avancée de la stratégie d'audit de Windows et n'apparaît que lorsque les politiques 'Audit Logon' ou 'Audit Account Logon' sont activées. L'événement fournit des informations cruciales pour diagnostiquer les problèmes de connectivité de domaine, identifier les menaces potentielles pour la sécurité, et résoudre les problèmes des processus automatisés qui dépendent de l'authentification des comptes d'ordinateur.

Questions Fréquentes

Que signifie l'ID d'événement 4766 et quand se produit-il ?+
L'ID d'événement 4766 indique qu'un compte d'ordinateur n'a pas réussi à s'authentifier avec un contrôleur de domaine. Cet événement se produit lorsqu'une machine jointe au domaine tente d'établir ou de maintenir son canal sécurisé avec le domaine mais échoue lors du processus d'authentification. Les scénarios courants incluent le démarrage du système, les tâches planifiées s'exécutant sous le compte de l'ordinateur, ou les services tentant de s'authentifier en utilisant les identifiants de la machine. L'événement est enregistré dans le journal de sécurité lorsque les stratégies d'audit pour les événements de connexion sont activées.
À quelle fréquence les mots de passe des comptes informatiques changent-ils et pourquoi échouent-ils ?+
Les mots de passe des comptes d'ordinateur changent automatiquement tous les 30 jours par défaut, gérés par l'Autorité de sécurité locale (LSA). Les échecs d'authentification se produisent généralement lorsqu'il y a un décalage entre le mot de passe stocké localement sur la machine et le mot de passe enregistré dans Active Directory. Cela peut se produire en raison de retards de réplication, de problèmes de synchronisation temporelle, d'interruptions réseau lors des changements de mot de passe, ou si le compte d'ordinateur devient désactivé ou supprimé dans Active Directory.
Quels sont les codes d'état les plus courants associés à l'ID d'événement 4766 ?+
Les codes d'état les plus courants incluent : 0xC000006A (mot de passe incorrect), indiquant un décalage de mot de passe entre la machine locale et le contrôleur de domaine ; 0xC0000071 (mot de passe expiré), montrant que le mot de passe du compte de l'ordinateur a expiré ; 0xC0000234 (compte verrouillé), indiquant que le compte de l'ordinateur est désactivé ; et 0xC000006D (échec de connexion), qui peut indiquer divers problèmes d'authentification, y compris des problèmes de synchronisation temporelle ou de connectivité réseau.
L'ID d'événement 4766 peut-il indiquer une menace ou une attaque de sécurité ?+
Bien que l'ID d'événement 4766 soit généralement causé par des problèmes techniques légitimes, il peut parfois indiquer des menaces de sécurité. Les attaquants pourraient tenter d'utiliser des comptes d'ordinateur compromis pour des mouvements latéraux ou une élévation de privilèges. Des schémas inhabituels tels que des tentatives d'authentification depuis des emplacements inattendus, de multiples échecs rapides depuis le même ordinateur, ou des échecs survenant en dehors des heures de bureau normales devraient être investigués. Cependant, la majorité des événements 4766 sont causés par des problèmes d'infrastructure plutôt que par une activité malveillante.
Comment puis-je empêcher l'ID d'événement 4766 de se reproduire dans mon environnement ?+
Empêchez les événements récurrents 4766 en maintenant une synchronisation temporelle appropriée sur tous les membres du domaine à l'aide de la configuration NTP, en assurant une connectivité réseau fiable entre les ordinateurs et les contrôleurs de domaine, en surveillant la santé et la disponibilité des contrôleurs de domaine, en mettant en œuvre une configuration DNS appropriée et une redondance, et en vérifiant régulièrement les comptes d'ordinateurs désactivés ou orphelins dans Active Directory. De plus, assurez-vous que les paramètres de stratégie de groupe n'interfèrent pas avec l'authentification des comptes d'ordinateurs et maintenez une capacité adéquate des contrôleurs de domaine pour gérer les charges d'authentification pendant les périodes de pointe.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events and configurationhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Active Directory Authentication and Logon EventsOfficial documentation on monitoring Active Directory authentication eventshttps://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4766#domain-authentication

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...