NetLogon 服务失败时不工作的安全通道

文章翻译 文章翻译
文章编号: 150518 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

NetLogon 服务将无法启动 NetLogon 错误 3210 或 5721,一个备份域控制器 (BDC) 上,而在主域控制器 (PDC) 的系统事件日志中 NetLogon 服务记录错误 5722 或在相同的时间服务控制管理器日志错误 7023 在 BDC 上的因为 NetLogon 服务无法启动。

对于每个 BDC,没有与 PDC 一个离散的通讯通道 (安全通道)。安全通道由 NetLogon 服务在 BDC 上和 PDC 上使用,以进行通信。

该过程,如下所述重置 BDC 安全通道使用单个命令行,而不服务器管理器中的许多操作。它要求 NETDOM 实用程序与 Windows NT 4.0 资源工具包补充 2 一起提供。

原因

本文的目的假定以下配置:

   Domain = DOMAIN
   PDC    = DOMAINPDC
   BDC    = DOMAINBDC
				


当一个 BDC 是一个域的一部分时,创建一个计算机帐户 (该计算机帐户可以看到使用服务器管理器)。计算机帐户指定一个默认的密码,该 BDC 将密码存储在 LSA 机密存储 $ machine.acc。密码然后更改每七天。

每个 BDC 维护此类的 LSA 机密,由 NetLogon 服务用来建立一个安全通道。如果计算机帐户的密码和 LSA 机密不同步,NetLogon 服务将无法启动该 BDC 与以下错误消息:
NETLOGON 事件 3210

没有通过身份验证 \\DOMAINPDC,Windows NT 域控制器为域的域。

如果该计算机帐户已由 BDC NetLogon 服务记录下列错误消息之一:
NETLOGON 事件 5721

会话安装程序以 Windows NT 域控制器 \\DOMAINPDC,域的域失败,因为 Windows NT 域控制器没有计算机 DOMAINBDC 的帐户。

-或者-
NETLOGON 事件 5723

从计算机 DOMAINBDC 失败,因为在此计算机的安全数据库没有信任帐户建立会话。在安全数据库中引用该帐户的名称为 DOMAINBDC $。

同样时密码不同步,,NetLogon 服务,PDC 上的记录以下错误消息:
NETLOGON 事件 5722

从计算机 DOMAINBDC 会话安装程序无法进行身份验证。 在安全数据库中引用该帐户的名称为 DOMAINBDC $。出现以下错误:

访问被拒绝。


在所有的情况中的事件数据包含此错误。例如对于错误 0xC0000022 意味着计算机帐户的密码无效而错误 0xC000018B 意味着删除计算机帐户等。



有关安全通道的详细信息,请参阅下列文章 Microsoft 知识库中相应:

131366事件错误 5712 状态权限

142869事件 ID 3210 和 5722 出现时同步整个域

149664验证域 Netlogon

158148域安全通道实用工具--NLTEST.EXE

160324事件 ID 5721 后删除计算机

解决方案

警告: 这篇文章中包含的解决方案未经过广泛测试大型安装中。Microsoft 不能保证域按照本文档的建议的修改将完成在所有情况下这篇文章和所有配置中所述目的。

NETDOM 命令行实用程序可以重置该 BDC 的安全通道。当由于安全通道问题,在 BDC 上的 NetLogon 服务无法启动时,这可能非常有用。

BDC 安全通道可以重置,如下所示:

   NETDOM BDC mybdc /RESET
				


假设您登录的用户是域管理员组的成员身份,可能是 PDC、 BDC,或域的任何成员上运行上述命令。输出看起来类似于以下内容:

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   The computer account for \\MYBDC doesn't exist or has an invalid
   password.
   Resetting secure channel ...
   Changing computer account on PDC \\THEPDC ...
   Stopping service NETLOGON on \\MYBDC .... stopped.
   Starting service NETLOGON on \\MYBDC .... started.
   The BDC \\MYBDC secure channel was reset successfully.
   Logoff/Logon \\MYBDC to take modifications into effect.
				


仅当所需,上面的命令将重置 BDC 安全通道。是否工作正常的 BDC 安全通道密码然后您会收到与以下一条消息 silimar:

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   Secure channel checked successfully.
				

属性

文章编号: 150518 - 最后修改: 2006年11月1日 - 修订: 2.1
这篇文章中的信息适用于:
  • Microsoft Windows NT Server 4.0 Standard Edition
关键字:?
kbmt kbnetwork KB150518 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 150518
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com