Foire aux questions de UserLock
Mes utilisateurs reçoivent le message « ce code est invalide » lors de la saisie du code MFA
En fonction du scénario dans lequel vous vous trouvez :
- S'agit-il de l'utilisation de l'application d'authentification à partir d'un smartphone ?
- S'agit-il de l'utilisation d'une clé USB ?
Premier scénario :
Lorsque les utilisateurs reçoivent le message "Code invalide" lorsqu'ils introduisent le code MFA, cela signifie que vous êtes confronté à un problème de "synchronisation de l'heure" avec vos smartphones ou votre serveur Userlock :
-
Si le problème ne concerne qu'un seul utilisateur, il est probable que l'heure du téléphone n'est pas synchronisée avec l'heure d'internet. Veuillez donc vérifier que l'heure du téléphone est synchronisée avec l'heure d’internet. Si la machine était déconnectée lors de la connexion, vérifiez que la machine est synchronisée avec l'heure d'internet.
-
Si le problème se produit pour tous les utilisateurs, cela signifie qu'il y a un problème de synchronisation de l'heure dans le système. Cela signifie qu'il y a un problème de synchronisation de l'heure avec le serveur UserLock. Veuillez suivre la procédure suivante pour vérifier la synchronisation de l'heure :
w32tm /stripchart /computer:us.pool.ntp.org /dataonly /samples:5
-
Si l'écart est confirmé, le serveur UserLock du domaine est normalement synchronisé avec le contrôleur de domaine. Veuillez donc vérifier la synchronisation de l'heure sur chaque contrôleur de domaine :
-
Sur le contrôleur de domaine ou le serveur NTP de votre domaine, tapez les commandes suivantes sur PowerShell:
w32tm /stripchart /computer:us.pool.ntp.org /dataonly /samples:5
-
-
Voici un moyen rapide de corriger la synchronisation de l'heure de Windows Server, en configurant la synchronisation de l'heure avec un serveur NTP externe :
-
Tapez les commandes suivantes sur PowerShell:
w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time
-
Veuillez tester l’ouverture d'une nouvelle session avec l'utilisateur protégé et la validation du code MFA, cela devrait fonctionner.
-
Second scenario:
Lorsque la Yubikey est utilisée pour se connecter sur la machine, et que la machine n'a pas de connexion avec le serveur UserLock, la clé utilisée dans le Yubikey et la clé utilisée dans UserLock pour valider le code commencent à se désynchroniser.
Si le problème ci-dessus se répète plus que la valeur configurée dans MaxHotpCodeCount (par défaut 6), la Yubikey est désynchronisée. Vous devez donc vous connecter de temps en temps au réseau d’entreprise avec pour permettre une synchronisation automatique avec le serveur UserLock.
Si cela n'est pas possible, vous pouvez installer UserLock Anywhere pour faciliter la connexion entre la machine et le serveur UserLock, cela réduira le nombre d’utilisations où le Yubikey est utilisé hors ligne.
Veuillez consulter notre documentation en ligne à ce sujet : Comment installer et configurer UserLock Anywhere (isdecisions.com)
Une autre solution consiste à modifier et à augmenter la valeur du paramètre "MaxHotpCodeCount" dans les paramètres avancés (tapez F7 dans la console du serveur Userlock) :
"MaxHotpCodeCount" : définit le nombre maximum de codes HOTP désynchronisés qui peuvent être acceptés, c'est-à-dire chaque fois que le bouton Yubikey est pressé pour obtenir un code MFA avec la machine hors ligne. Ainsi, au cours d'une journée, certains utilisateurs peuvent dépasser rapidement les 6 occurrences, si elles sont utilisées pour verrouiller/déverrouiller leur session par exemple ou en fonction de l'activité de leur session.
Note : en conséquence, lorsque "MaxHotpCodeCount" est dépassé, l'enrôlement MFA doit être refait de manière effective. Vous pouvez fixer la valeur de "MaxHotpCodeCount" à 20 pour commencer le test. Vous devrez définir une valeur précise en fonction du comportement de vos utilisateurs lorsqu'ils sont en situation de nomadisme en dehors de votre réseau d'entreprise. Le mieux est donc d'implémenter UserLock Anywhere pour maintenir une communication via une connexion Internet entre les agents UserLock et les serveurs UserLock pendant les sessions de nomadisme à long terme des utilisateurs, sans reconnexion régulière à votre réseau d'entreprise.