Windows server monitoring dashboard displaying NETLOGON and Active Directory status in a professional data center environment

Event ID 5719ErrorNETLOGONWindows

ID d'événement Windows 5719 – NETLOGON : Aucun contrôleur de domaine disponible

L'ID d'événement 5719 indique qu'un ordinateur joint à un domaine ne peut pas contacter de contrôleur de domaine pour l'authentification ou les services d'annuaire, entraînant des échecs d'authentification et des problèmes de connectivité au domaine.

Emanuel DE ALMEIDA

18 mars 202612 min de lecture 0

Event ID 5719NETLOGON 5 méthodes 12 min

Référence événement

Signification de cet événement

L'ID d'événement 5719 représente l'une des erreurs de connectivité de domaine les plus critiques dans les environnements Windows. Lorsque cet événement se produit, le service NETLOGON a épuisé toutes les tentatives pour localiser et communiquer avec les contrôleurs de domaine dans le domaine configuré de l'ordinateur. Le service effectue la découverte des contrôleurs de domaine en utilisant les enregistrements DNS SRV, les informations de topologie de site et les listes de contrôleurs de domaine mises en cache avant de générer cette erreur.

Le service NETLOGON maintient un canal sécurisé avec les contrôleurs de domaine pour l'authentification, le traitement des stratégies de groupe et les requêtes d'annuaire. Lorsque ce canal sécurisé échoue et ne peut être rétabli, l'ID d'événement 5719 se déclenche pour alerter les administrateurs de la rupture de connectivité. Cette erreur se répercute à travers plusieurs sous-systèmes Windows, affectant l'authentification des utilisateurs, la validation des comptes d'ordinateur et les services basés sur le domaine.

Dans les environnements Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré le processus de découverte des contrôleurs de domaine avec une mise en cache DNS améliorée, une meilleure prise de conscience du site et un rapport d'erreurs plus granulaire. Cependant, les causes fondamentales de l'ID d'événement 5719 restent constantes : problèmes de connectivité réseau, échecs de résolution DNS, indisponibilité des contrôleurs de domaine ou problèmes de protocole d'authentification. Le message d'événement inclut généralement le nom de domaine et peut faire référence à des codes d'erreur spécifiques qui aident à identifier la cause principale.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Échec de la résolution DNS empêchant la découverte du contrôleur de domaine via les enregistrements SRV
Problèmes de connectivité réseau bloquant la communication avec les contrôleurs de domaine sur les ports requis (88, 135, 389, 445, 464, 636, 3268, 3269)
Tous les contrôleurs de domaine du site ou du domaine sont hors ligne ou inaccessibles
Règles de pare-feu bloquant le trafic Active Directory entre le client et les contrôleurs de domaine
Problèmes de synchronisation de l'heure causant des échecs d'authentification Kerberos
Inadéquation ou corruption du mot de passe du compte d'ordinateur dans Active Directory
Mauvaise configuration du serveur DNS pointant vers des serveurs DNS non autoritaires
Mauvaise configuration de la topologie du site empêchant la découverte correcte du contrôleur de domaine
Surcharge ou épuisement des ressources du contrôleur de domaine empêchant de nouvelles connexions
Problèmes d'adaptateur réseau ou de pilote causant des problèmes de connectivité intermittents

Méthodes de résolution

Étapes de dépannage

Vérifier la configuration DNS et la découverte du contrôleur de domaine

Commencez par vérifier la configuration DNS et tester la découverte du contrôleur de domaine, car les problèmes DNS causent la majorité des occurrences de l'ID d'événement 5719.

Ouvrez Invite de commandes en tant qu'administrateur et testez la résolution DNS pour les contrôleurs de domaine :
```
nslookup -type=SRV _ldap._tcp.dc._msdcs.votredomaine.com
nslookup -type=A dc1.votredomaine.com
```
Vérifiez que l'ordinateur peut résoudre les noms des contrôleurs de domaine et les enregistrements SRV. Si le DNS échoue, vérifiez la configuration du serveur DNS :
```
Get-DnsClientServerAddress -AddressFamily IPv4
Get-DnsClientCache | Where-Object {$_.Name -like "*votredomaine*"}
```

Testez la connectivité réseau aux contrôleurs de domaine sur les ports requis :

Test-NetConnection -ComputerName dc1.votredomaine.com -Port 389
Test-NetConnection -ComputerName dc1.votredomaine.com -Port 88
Test-NetConnection -ComputerName dc1.votredomaine.com -Port 445

Si la résolution DNS échoue, configurez les serveurs DNS corrects pointant vers les contrôleurs de domaine ou les serveurs DNS hébergeant les zones Active Directory.

Videz le cache DNS et redémarrez le service NETLOGON :

ipconfig /flushdns
net stop netlogon
net start netlogon

Astuce pro : Utilisez dcdiag /test:dns sur les contrôleurs de domaine pour vérifier la santé DNS et l'enregistrement des enregistrements SRV.

Vérifier la connectivité réseau et les règles du pare-feu

Enquêter sur les problèmes de connectivité réseau et les configurations de pare-feu qui peuvent bloquer la communication Active Directory.

Tester la connectivité réseau complète aux contrôleurs de domaine en utilisant PowerShell:

$DCs = @('dc1.yourdomain.com', 'dc2.yourdomain.com')
$Ports = @(53, 88, 135, 389, 445, 464, 636, 3268, 3269)
foreach ($DC in $DCs) {
    foreach ($Port in $Ports) {
        $Result = Test-NetConnection -ComputerName $DC -Port $Port -WarningAction SilentlyContinue
        Write-Output "$DC`:$Port - $($Result.TcpTestSucceeded)"
    }
}

Vérifier les règles du pare-feu Windows qui pourraient bloquer le trafic Active Directory:

Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*Active Directory*" -or $_.DisplayName -like "*Kerberos*"} | Select-Object DisplayName, Enabled, Direction

Vérifier la configuration de l'adaptateur réseau et désactiver toute connexion VPN qui pourrait interférer:
```
Get-NetAdapter | Where-Object {$_.Status -eq "Up"}
Get-VpnConnection
```
Vérifier la table de routage pour des routes conflictuelles:
```
route print
```
Si vous utilisez le pare-feu Windows, désactivez-le temporairement pour les tests (réactivez-le après les tests):
```
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
```

Avertissement : Désactivez le pare-feu Windows uniquement temporairement pour les tests. Réactivez-le immédiatement après le dépannage.

Valider la synchronisation de l'heure et l'authentification Kerberos

Les problèmes de synchronisation de l'heure provoquent fréquemment l'ID d'événement 5719 car l'authentification Kerberos nécessite des horloges synchronisées dans les 5 minutes par défaut.

Vérifiez l'état actuel de la synchronisation de l'heure et comparez avec les contrôleurs de domaine :
```
w32tm /query /status
w32tm /query /peers
```

Testez la différence de temps avec les contrôleurs de domaine :

$DCs = @('dc1.yourdomain.com', 'dc2.yourdomain.com')
foreach ($DC in $DCs) {
    $DCTime = (Get-Date ([System.Net.NetworkInformation.Ping]::new().Send($DC).RoundtripTime))
    $LocalTime = Get-Date
    $TimeDiff = ($DCTime - $LocalTime).TotalSeconds
    Write-Output "$DC time difference: $TimeDiff seconds"
}

Forcez la synchronisation de l'heure avec la hiérarchie de domaine :
```
w32tm /resync /force
```
Vérifiez le cache des tickets Kerberos et effacez-le s'il est corrompu :
```
klist
klist purge
```
Testez l'authentification Kerberos aux contrôleurs de domaine :
```
Test-ComputerSecureChannel -Server dc1.yourdomain.com -Verbose
```

Si la synchronisation de l'heure échoue, configurez manuellement les serveurs NTP dans le registre :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters" -Name "NtpServer" -Value "dc1.yourdomain.com,0x1"

Réinitialiser le compte d'ordinateur et le canal sécurisé

Les problèmes de compte d'ordinateur ou la corruption du canal sécurisé peuvent causer des erreurs persistantes d'ID d'événement 5719 nécessitant une réinitialisation du compte.

Tester la relation actuelle du canal sécurisé :
```
Test-ComputerSecureChannel -Verbose
```
Vérifier l'état du compte d'ordinateur dans le Visualiseur d'événements :Visualiseur d'événements → Journaux Windows → Système, filtrer pour l'ID d'événement 5722, 5723, et 5805

Essayer de réparer le canal sécurisé :

Test-ComputerSecureChannel -Repair -Verbose

Si la réparation échoue, réinitialiser le mot de passe du compte d'ordinateur en utilisant PowerShell :
```
Reset-ComputerMachinePassword -Server dc1.yourdomain.com -Credential (Get-Credential)
```

Méthode alternative utilisant la commande NETDOM :

netdom resetpwd /server:dc1.yourdomain.com /userd:domain\administrator /passwordd:*

Redémarrer l'ordinateur après une réinitialisation réussie du mot de passe pour établir un nouveau canal sécurisé

Vérifier que le canal sécurisé fonctionne :

Test-ComputerSecureChannel -Verbose
nltest /sc_query:yourdomain.com

Astuce pro : Utilisez nltest /sc_reset:yourdomain.com comme méthode alternative pour réinitialiser le canal sécurisé sans redémarrer.

Dépannage avancé avec la journalisation NETLOGON

Activez la journalisation détaillée de NETLOGON pour capturer des informations de diagnostic complètes pour des scénarios complexes d'ID d'événement 5719.

Activez la journalisation de débogage NETLOGON dans le registre :

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name "DBFlag" -Value 0x2080FFFF -PropertyType DWord -Force

Redémarrez le service NETLOGON pour activer la journalisation :
```
net stop netlogon
net start netlogon
```

Surveillez le fichier journal de débogage NETLOGON :

Get-Content C:\Windows\debug\netlogon.log -Tail 50 -Wait

Reproduisez le problème et analysez les entrées de journal pour les échecs de découverte de contrôleur de domaine, les erreurs d'authentification ou les problèmes de résolution DNS

Utilisez NLTEST pour effectuer des diagnostics complets de contrôleur de domaine :

nltest /dsgetdc:yourdomain.com /force
nltest /dclist:yourdomain.com
nltest /trusted_domains

Vérifiez la configuration du site et l'emplacement du contrôleur de domaine :
```
nltest /dsgetsite
nltest /dnsgetdc:yourdomain.com
```
Après le dépannage, désactivez la journalisation de débogage pour éviter la croissance du fichier journal :
```
Remove-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name "DBFlag"
```
Redémarrez le service NETLOGON pour appliquer les modifications :
```
net stop netlogon
net start netlogon
```

Avertissement : La journalisation de débogage NETLOGON génère rapidement de gros fichiers. Désactivez-la après le dépannage pour éviter les problèmes d'espace disque.

Aperçu

L'ID d'événement 5719 du service NETLOGON se déclenche lorsqu'un ordinateur Windows joint à un domaine ne peut pas établir de communication avec un contrôleur de domaine disponible dans son domaine configuré. Cette erreur critique empêche les utilisateurs de s'authentifier contre Active Directory, d'accéder aux ressources du domaine et d'effectuer des mises à jour de la stratégie de groupe. L'événement apparaît généralement dans le journal Système lors du démarrage, des tentatives de connexion des utilisateurs ou lorsque les tickets Kerberos existants expirent et nécessitent un renouvellement.

Cet événement se produit couramment dans des environnements avec des problèmes de connectivité réseau, des problèmes de résolution DNS ou des problèmes de disponibilité des contrôleurs de domaine. Lorsque le 5719 se déclenche, les utilisateurs rencontrent des échecs d'authentification, ne peuvent pas accéder aux partages réseau nécessitant des identifiants de domaine, et le traitement de la stratégie de groupe échoue. L'ordinateur fonctionne essentiellement dans un état déconnecté de l'infrastructure de domaine.

Les versions modernes de Windows en 2026 incluent des mécanismes améliorés de découverte des contrôleurs de domaine et un meilleur rapport d'erreurs, mais l'ID d'événement 5719 reste un indicateur critique des échecs de connectivité de domaine qui nécessitent une enquête immédiate. L'événement est souvent corrélé à des problèmes DNS, à un blocage par pare-feu ou à des pannes réelles de contrôleurs de domaine affectant les opérations commerciales.

Questions Fréquentes

Que signifie l'ID d'événement 5719 et pourquoi est-il critique ?+

L'ID d'événement 5719 indique que le service NETLOGON ne peut contacter aucun contrôleur de domaine dans le domaine configuré. Cela est critique car cela empêche l'authentification des utilisateurs, le traitement des stratégies de groupe et l'accès aux ressources du domaine. Lorsque cet événement se produit, l'ordinateur fonctionne essentiellement dans un état déconnecté d'Active Directory, provoquant des échecs d'authentification et empêchant les utilisateurs d'accéder aux ressources réseau nécessitant des identifiants de domaine.

Comment puis-je rapidement identifier si le DNS est à l'origine de l'ID d'événement 5719 ?+

Testez la résolution DNS pour les enregistrements SRV du contrôleur de domaine en utilisant 'nslookup -type=SRV _ldap._tcp.dc._msdcs.votredomaine.com'. Si cela échoue ou ne renvoie aucun résultat, le DNS est probablement la cause. Vérifiez également que les serveurs DNS de votre ordinateur pointent vers des contrôleurs de domaine ou des serveurs DNS hébergeant des zones Active Directory. Utilisez 'Get-DnsClientServerAddress' pour vérifier la configuration DNS actuelle et assurez-vous qu'elle inclut les adresses IP des contrôleurs de domaine.

Les problèmes de synchronisation temporelle peuvent-ils causer l'ID d'événement 5719 ?+

Oui, les problèmes de synchronisation de l'heure causent fréquemment l'ID d'événement 5719. L'authentification Kerberos nécessite que les horloges des ordinateurs soient synchronisées dans un délai de 5 minutes (par défaut). Si la différence de temps dépasse ce seuil, l'authentification échoue et l'ordinateur ne peut pas établir de canaux sécurisés avec les contrôleurs de domaine. Utilisez 'w32tm /query /status' pour vérifier la synchronisation de l'heure et 'w32tm /resync /force' pour forcer la synchronisation avec la hiérarchie de temps du domaine.

Quels ports réseau doivent être ouverts pour la communication avec le contrôleur de domaine ?+

Les contrôleurs de domaine nécessitent plusieurs ports pour différents services : DNS (53), Kerberos (88), Mappage des points de terminaison RPC (135), LDAP (389), SMB (445), Changement de mot de passe Kerberos (464), LDAPS (636), Catalogue global (3268) et Catalogue global SSL (3269). Utilisez 'Test-NetConnection' pour vérifier la connectivité sur ces ports. Les pare-feu bloquant l'un de ces ports peuvent provoquer l'ID d'événement 5719, en particulier les ports 88 (Kerberos) et 389 (LDAP) qui sont essentiels pour l'authentification.

Comment réinitialiser un compte d'ordinateur corrompu causant l'ID d'événement 5719 ?+

Testez d'abord le canal sécurisé avec 'Test-ComputerSecureChannel -Verbose'. Si cela échoue, tentez une réparation avec 'Test-ComputerSecureChannel -Repair'. Pour des problèmes persistants, réinitialisez le mot de passe du compte de l'ordinateur en utilisant 'Reset-ComputerMachinePassword -Server dc1.yourdomain.com -Credential (Get-Credential)' ou 'netdom resetpwd'. Après une réinitialisation réussie, redémarrez l'ordinateur pour établir un nouveau canal sécurisé et vérifiez à nouveau avec 'Test-ComputerSecureChannel'.

Documentation

Références (1)

Microsoft Learn - Troubleshoot NETLOGON Event ID 5719Official Microsoft troubleshooting guide for NETLOGON Event ID 5719 with detailed resolution steps and diagnostic procedures.https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/troubleshoot-netlogon-event-id-5719

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...