NetLogon-Dienst kann bei sicheren Kanals nicht funktionieren nicht

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 150518 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Der NetLogon-Dienst kann nicht auf einem Reservedomänencontroller (BDC) mit NetLogon Fehler 3210 oder 5721, gestartet werden, während in den Systemereignisprotokollen des primären Domänencontrollers (PDC) der NetLogon-Dienst Fehler 5722 protokolliert oder zur selben Zeit protokolliert den Dienststeuerungs-Manager Fehler 7023 auf dem BDC, da der Anmeldedienst nicht gestartet werden konnte.

Für jede BDC besteht ein diskreten Kommunikationskanal (den sicheren Kanal) mit dem PDC. Der sichere Kanal wird von der NetLogon-Dienst auf dem BDC und der PDC, um kommunizieren verwendet.

Das unten beschriebene Verfahren setzt den BDC sicheren Kanal mit einer einzelne Befehlszeile statt viele Vorgänge innerhalb des Server-Managers. Das Dienstprogramm "NETDOM" mit Windows NT 4.0 Resource Kit Supplement 2 bereitgestellt werden muss.

Ursache

Genommen Sie an, für den Zweck der in diesem Artikel die folgende Konfiguration:

   Domain = DOMAIN
   PDC    = DOMAINPDC
   BDC    = DOMAINBDC
				


Wenn ein SICHERUNGSDOMÄNENCONTROLLER einer Domäne angehört, wird ein Computerkonto erstellt (das Konto des Computers kann angezeigt werden mit dem Server-Manager.) Ein Standardkennwort wird auf das Computerkonto und der BDC speichert das Kennwort in LSA geheime Speicher $ machine.acc. Das Kennwort wird dann alle sieben Tage geändert.

Jeder BDC verwaltet solche einen LSA geheimen, die von den NetLogon-Dienst verwendet wird, um einen sicheren Kanal einzurichten. Wenn das Computerkonto-Kennwort und das LSA-Geheimnis nicht synchronisiert sind, nicht der NetLogon-Dienst auf dem BDC mit den folgenden Fehlermeldung gestartet werden:
NETLOGON Ereignis 3210

Konnte mit \\DOMAINPDC, einen Windows NT-Domänencontroller für Domäne Domäne authentifizieren.

Wenn das Computerkonto gelöscht wurde, sind eine der folgenden Fehlermeldungen durch den BDC NetLogon-Dienst protokolliert:
NETLOGON Ereignis 5721

Die Sitzung mit Windows NT-Domänencontroller-\\DOMAINPDC für die Domäne konnte nicht DOMAIN da Windows NT-Domänencontroller nicht über ein Konto für den Computer DOMAINBDC verfügt.

-oder-
NETLOGON 5723-Ereignis

Die Einrichtung einer Sitzung vom Computer, den DOMAINBDC fehlgeschlagen: Es ist kein Vertrauenskonto in der Sicherheitsdatenbank für diesen Computer. Der/die Kontoname(n) in der Sicherheitsdatenbank lauten DOMAINBDC$.

Ebenso protokolliert der NetLogon-Dienst auf dem PDC folgenden Fehlermeldung, wenn das Kennwort nicht synchronisiert ist:
NETLOGON Ereignis-ID 5722

Die Sitzungseinrichtung vom Computer DOMAINBDC konnte nicht zum Authentifizieren. Der/die Kontoname(n) in der Sicherheitsdatenbank lauten DOMAINBDC$. Folgender Fehler ist aufgetreten:

Der Zugriff wurde verweigert.


In allen Fällen enthalten die Ereignisdaten enthalten den Fehlercode. Beispielsweise bedeutet der Fehler 0xC0000022 Kennwort des Computerkontos ist ungültig, während der Fehler 0xC000018B bedeutet, dass das Computerkonto gelöscht wurde, und usw..



Weitere Informationen über sichere Kanäle finden Sie in der folgenden Artikel der Microsoft Knowledge Base:

131366Ereignis Fehler 5712 mit Status Access

142869Ereignis-ID 3210 und 5722 gesamte Synchronisierung angezeigt Domäne

149664Überprüfen der Domäne Netlogon

158148Domäne Secure Channel-Dienstprogramm Nltest.exe

160324Ereignis-ID 5721 nach Computer löschen

Lösung

Warnung: Die Lösung in diesem Artikel enthaltene wurde nicht umfassend in großen Installationen getestet. Microsoft kann nicht garantieren, dass Änderungen von Domänen als hierin empfohlen das Ziel in diesem Artikel unter allen Umständen und in allen Konfigurationen beschrieben ausführen werden.

Das Befehlszeilenprogramm NETDOM ermöglicht das Zurücksetzen des sicheren Kanals des BDCS. Dies kann sehr nützlich sein, wenn der Anmeldedienst auf dem BDC sicheren Kanal die Ursache gestartet werden kann.

Der sichere BDC-Kanal kann wie folgt zurückgesetzt werden:

   NETDOM BDC mybdc /RESET
				


Der oben aufgeführten Befehl möglicherweise auf dem PDC, SICHERUNGSDOMÄNENCONTROLLER oder ein Mitglied der Domäne ausgeführt werden, vorausgesetzt, dass Sie als Benutzer angemeldet sind, die ein Mitglied der Gruppe Domänen-Admins ist. Die Ausgabe sieht etwa wie folgt:

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   The computer account for \\MYBDC doesn't exist or has an invalid
   password.
   Resetting secure channel ...
   Changing computer account on PDC \\THEPDC ...
   Stopping service NETLOGON on \\MYBDC .... stopped.
   Starting service NETLOGON on \\MYBDC .... started.
   The BDC \\MYBDC secure channel was reset successfully.
   Logoff/Logon \\MYBDC to take modifications into effect.
				


Der oben aufgeführten Befehl setzt BDC sichere Kanäle zurück, nur wenn erforderlich. Wenn das Kennwort für den sicheren BDC-Kanal gut war, erhalten Sie eine Nachricht Silimar, die der folgenden:

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   Secure channel checked successfully.
				

Eigenschaften

Artikel-ID: 150518 - Geändert am: Mittwoch, 1. November 2006 - Version: 2.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbmt kbnetwork KB150518 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 150518
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com