AcadeNice/Lab_AD_Complet
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
Lab_AD_Complet/docs/etudiant/fr/troubleshooting.md
Corentin 8e1b06e090 Initial lab release: Docker-based Active Directory lab 
Complete Active Directory teaching environment based on dockurr/windows:
- Windows Server domain controller, Windows 11 client, Debian 12 client
- docker-compose orchestration, env-driven configuration
- Bilingual documentation (FR + EN) for students
- Dual approach (GUI + PowerShell) in every procedure
- Instructor course plan and reference scripts
- RDP launcher scripts for Linux, macOS and Windows

Made by AcadéNice - https://acadenice.fr/
2026-04-17 11:29:49 +02:00

4.5 KiB
Raw Permalink Blame History

Résolution des problèmes courants

Ce document recense les pièges rencontrés lors de la mise en place du lab.

Installation Windows bloquée

Symptôme : l'interface http://localhost:8006 reste sur l'écran de téléchargement de l'ISO.

Causes possibles :

  • Connexion internet lente ou coupée (l'ISO pèse plusieurs Go)
  • Stockage insuffisant sur le disque hôte
  • Filesystem btrfs sur le volume /storage (dockurr le signale, rarement bloquant en lab)

Vérifie docker compose logs -f dc01 et relance si besoin.

/dev/kvm inaccessible

Symptôme : KVM acceleration not available dans les logs dockurr.

Causes :

  • Virtualisation désactivée dans le BIOS
  • Ton utilisateur pas dans le groupe kvm
  • WSL2 sans virtualisation imbriquée (Windows)

Solutions :

  • Linux : sudo usermod -aG kvm $USER puis reconnexion
  • Windows : éditer %USERPROFILE%\.wslconfig avec nestedVirtualization=true
  • macOS Apple Silicon : non supporté, utilise UTM

Rename-Computer refuse l'auth

Symptôme : Rename-Computer : ... Le nom d'utilisateur ou le mot de passe est incorrect.

Ça arrive sur une installation fraîche, avant même toute jonction domaine. Le cmdlet tente une authentification locale qui échoue pour une raison obscure.

Solutions :

  • Utiliser la GUI : sysdm.cpl > Modifier
  • Passer par le registre : 
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" -Name "Hostname" -Value "NOUVEAU"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" -Name "NV Hostname" -Value "NOUVEAU"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName" -Name "ComputerName" -Value "NOUVEAU"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName" -Name "ComputerName" -Value "NOUVEAU"
Restart-Computer -Force

Add-Computer : "l'ordinateur se trouve déjà dans ce domaine"

Le PC a un état domaine partiel (suffixe DNS, workgroup portant le même nom que le NetBIOS du domaine, jonction antérieure). Sort d'abord proprement :

Add-Computer -WorkgroupName "WORKGROUP" -Force
Restart-Computer -Force

Si Remove-Computer échoue avec Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué, force via WMI :

$cs = Get-WmiObject Win32_ComputerSystem
$cs.UnjoinDomainOrWorkgroup($null, $null, 0)
Restart-Computer -Force

RDP refuse l'utilisateur AD

Symptôme : ERRCONNECT_CONNECT_TRANSPORT_FAILED après NLA côté freerdp, ou "accès refusé" côté mstsc.

Cause : par défaut, seul le groupe local Administrateurs a le droit RDP. Les utilisateurs du domaine ne l'ont pas.

Solution sur le poste :

Add-LocalGroupMember -Group "Utilisateurs du Bureau à distance" -Member "CORP\pmartin"

En production, on le pousse via GPO sur toutes les machines.

"Le mot de passe doit être changé" via freerdp

Symptôme : ERRCONNECT_PASSWORD_MUST_CHANGE.

freerdp avec NLA ne sait pas afficher l'écran de changement. Deux options :

  • Désactiver la mention côté DC : 
    Set-ADAccountPassword -Identity pmartin -Reset -NewPassword (ConvertTo-SecureString "NewP@ss!2026" -AsPlainText -Force)
Set-ADUser -Identity pmartin -ChangePasswordAtLogon $false
  • Ou bypass NLA : 
    xfreerdp3 /sec:rdp ...

realm discover ne répond rien

Causes :

  • Le conteneur linux01 n'a pas le bon DNS (vérifier /etc/resolv.conf)
  • Le DC ne répond pas sur le port 53
  • dbus n'est pas démarré dans le conteneur : 
    dbus-daemon --system --fork

sssd ne démarre pas

Symptôme : Invalid option -f: unknown option quand realm join lance service sssd restart.

Contexte : les images docker sans init complet (pas de systemd). Lance sssd manuellement :

/usr/sbin/sssd --daemon

L'utilisateur AD n'est pas résolu côté Linux

id pmartin@corp.lab
# "no such user"

Causes fréquentes :

  • sssd pas démarré (voir ci-dessus)
  • Cache sssd désynchronisé : sss_cache -E
  • Le domaine n'apparaît pas dans realm list : la jonction a échoué silencieusement, relance realm join -v

Partage inaccessible depuis un client

  • L'utilisateur n'est pas membre du groupe DL : Get-ADGroupMember DL_Partage_Commun_R
  • Le token Kerberos n'a pas été rafraîchi : déconnexion / reconnexion
  • ACL NTFS restrictive : vérifier via Get-Acl ou onglet Sécurité

Reset complet du lab

Pour repartir de zéro sans toucher au reste de ton système :

docker compose down -v
rm -rf ./storage-dc01 ./storage-pc01
docker compose up -d dc01