Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Certains ont peut-être constaté un problème avec la découverte Active Directory des utilisateurs et des groupes associés dans Microsoft Endpoint Configuration Manager (MECM / SCCM). Le problème semble être présent depuis janvier 2022. Il semble que le correctif cumulatif pour Windows Server de janvier 2022 ait durcit l’usage du fallback de Kerberos à NTLM. Dans ce contexte, ceci a deux impacts :

Problème N°1 : Le premier concerne la découverte des groupes qui n’arrivent pas à lire le nom de domaine NETBIOS lors de l’utilisation d’espace de nom disjoints. Dans ce cas, tous les groupes découverts à partir du domaine change le domaine selon la première partie du FQDN.

Exemple: domaine AAA (Netbios), BBB.COM (FQDN).
Cas attendu : AAA\Group
Cas constaté: BBB\Group
Ceci peut avoir un impact sur vos règles d’évaluation de collections quand vous utilisez le nom netbios comme condition. Dans ce cas, vous pouvez vous retrouver avec des collections ne présentant pas les membres attendus.

En attendant une meilleure solution, vous pouvez mettre à jour les collections pour inclure à la fois les noms de domaine Netbios et DNS :
(SMS_R_System.ResourceDomainORWorkgroup like "NETBIOS NAME" or SMS_R_System.ResourceDomainORWorkgroup like "DNS NAME")

 

Problème N°2 : La découverte et la publication Active Directory n’arrive pas à se connecter à des domaines non trustés sous un compte de service. Dans ce cas de figure, vous recevez l’erreur "0x8007052E" ("The user name or password is incorrect") même si les identifiants sont corrects.

Pour contourner le problème, vous pouvez spécifier un contrôleur de domaine dans l’étendue de découverte en utilisant : LDAP://DomainController.DOMAIN.LAB/OU=Groups,DC=DOMAIN,DC=LAB au lieu de LDAP://OU=Groups,DC=DOMAIN,DC=LAB

Facebook Like