NetLogon 服務失敗時安全通道無法正常運作

文章翻譯 文章翻譯
文章編號: 150518 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

NetLogon 服務無法啟動 NetLogon 錯誤 3210 或 5721,一個備份網域控制站 (BDC) 上,而在網域主控制站 (PDC) 系統事件日誌,NetLogon 服務會記錄錯誤 5722 或在同一時間服務控制管理員記錄錯誤 7023 BDC 上的因為無法啟動 NetLogon 服務。

針對每個 BDC 沒有不連續的通訊通道 (即安全通道) 與 PDC。安全通道用 NetLogon 服務和 PDC 上 BDC 來進行通訊。

如下所述的程序會重設使用單一命令列,而不許多作業伺服器管理員內 BDC 安全通道。它會要求提供 Windows NT 4.0 資源套件補充 2 NETDOM 公用程式。

發生的原因

本文的目的假設下列設定:

   Domain = DOMAIN
   PDC    = DOMAINPDC
   BDC    = DOMAINBDC
				


時 BDC 繼續網域的一部份建立電腦帳戶 (電腦帳戶可以看到與伺服器管理員)預設密碼提供給電腦帳戶,並 BDC 將密碼儲存在 LSA 秘密提示問題的儲存體 $ machine.acc。每隔七天,是再變更密碼。

每個 BDC 會維護這類的 LSA 秘密,NetLogon 服務所用來建立安全通道。如果電腦帳戶密碼與 LSA 密碼未同步處理,NetLogon 服務無法啟動上 BDC,並出現下列錯誤訊息:
NETLOGON 事件 3210

無法驗證 \\DOMAINPDC,網域網域的 Windows NT 網域控制站。

如果刪除電腦帳戶其中一個下列的錯誤訊息會記錄由 BDC NetLogon 服務:
NETLOGON 事件 5721

工作階段安裝程式,以 Windows NT 網域控制站 \\DOMAINPDC 網域的網域失敗,因為 Windows NT 網域控制站沒有電腦 DOMAINBDC 的帳戶。

-或者-
NETLOGON 事件 5723

從 DOMAINBDC 失敗,因為在這台電腦的安全性資料庫沒有信任帳戶的電腦設定工作階段。安全性資料庫中所參考之帳戶的名稱是 DOMAINBDC $。

同樣地,NetLogon 服務在 PDC 上的會記錄下列錯誤訊息時不會同步處理密碼:
NETLOGON 事件 5722

工作階段安裝程式從電腦 DOMAINBDC 驗證失敗。 安全性資料庫中所參考之帳戶的名稱是 DOMAINBDC $。發生以下錯誤:

存取被拒。


在所有情況下事件資料會包含錯誤。比方說錯誤 0xC0000022 表示電腦帳戶密碼是不而錯誤 0xC000018B 表示刪除電腦帳戶正確等等。



如需有關安全通道的詳細資訊,請參閱下列的發行項 「 Microsoft 知識庫 」 中:

131366狀態存取的事件錯誤 5712

142869當同步處理整個網域時,會出現事件識別碼 3210 及 5722

149664正在確認網域 Netlogon

158148網域安全通道公用程式--NLTEST.EXE

160324刪除電腦之後的事件識別碼 5721

解決方案

警告: 本文中所包含的方案尚未經過廣泛地測試大型安裝中。Microsoft 無法保證修改網域此處所提及之建議的方式將完成目標所述,在所有情況下這份文件和所有組態。

NETDOM 命令列公用程式可讓重設安全通道的 BDC。當無法啟動 NetLogon 服務上 BDC 是由於安全通道問題時,這可能是非常有用。

BDC 安全通道會重設,如下所示:

   NETDOM BDC mybdc /RESET
				


上述命令可能前提是您以使用者的網域系統管理員 」 群組成員的身分登入在 PDC、 BDC 或該網域的任何成員上執行。輸出看起來類似下列:

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   The computer account for \\MYBDC doesn't exist or has an invalid
   password.
   Resetting secure channel ...
   Changing computer account on PDC \\THEPDC ...
   Stopping service NETLOGON on \\MYBDC .... stopped.
   Starting service NETLOGON on \\MYBDC .... started.
   The BDC \\MYBDC secure channel was reset successfully.
   Logoff/Logon \\MYBDC to take modifications into effect.
				


只在必要時,上述命令會重設 BDC 安全通道。如果 BDC 安全通道的密碼是很好,然後您會收到下列的訊息 silimar:

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   Secure channel checked successfully.
				

屬性

文章編號: 150518 - 上次校閱: 2006年11月1日 - 版次: 2.1
這篇文章中的資訊適用於:
  • Microsoft Windows NT Server 4.0 Standard Edition
關鍵字:?
kbmt kbnetwork KB150518 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:150518
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com