Erneutes Aufbauen des sicheren Kanals für ein Domänenmitglied

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 175024 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D37075
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
175024 Resetting Domain Member Secure Channel
Alles erweitern | Alles schließen

Problembeschreibung

Der Anmeldedienst des Domänenmitglieds protokolliert den Fehler 3210 oder 5721, der Anmeldedienst auf dem Domänencontroller protokolliert jedoch den Fehler 5722 im Systemereignisprotokoll.

Darüber hinaus ist es möglich, dass die folgende Anmeldenachricht ausgegeben wird, wenn Sie versuchen, sich von einem Computer unter Windows NT Workstation oder Windows NT Server, der Mitglied der Domäne ist, an der Windows NT-Domäne anzumelden:

Das System kann Sie nicht bei dieser Domäne anmelden, da das Computer-Konto des Systems in seiner primären Domäne fehlt, oder das Kennwort für dieses Computer-Konto ist falsch.

Diese Probleme können auftreten, wenn eine der folgenden Bedingungen zutrifft:
  • Der Name des Domänenmitglieds wurde vor kurzer Zeit geändert.
  • Es wurde eine Notfalldiskette verwendet, die jedoch alte Informationen enthielt.
  • Das Computerkonto des Domänenmitglieds wurde entfernt.
Mit dem in diesem Artikel beschriebene Verfahren wird der sichere Kanal des Mitglieds erneut aufgebaut, es wird jedoch nur ein einziger Befehl in der Befehlszeile anstelle vieler Operationen im Server-Manager verwendet. Um dieses Verfahren anwenden zu können, muss das Dienstprogramm NETDOM verfügbar sein, das mit Windows NT 4.0 - Die technische Referenz, Band 2 bereitgestellt wird.

Lösung

VORSICHT: Die in diesem Artikel vorgestellte Lösung wurde nicht umfassend in großen Netzwerken getestet. Microsoft übernimmt keine Garantie dafür, dass die hier vorgestellten Änderungen an den Domänen in jedem Fall und für alle Konfigurationen zu einer Lösung des zuvor beschriebenen Problems führen.

Für jeden Mitgliedsserver gibt es einen eigenen Kommunikationskanal (den sicheren Kanal) zum Domänencontroller. Der sichere Kanal wird von dem Anmeldedienst des Mitgliedsservers und des PDCs verwendet, um zu kommunizieren. Das Befehlszeilen-Dienstprogramm NETDOM ermöglicht es, den sicheren Kanal des Mitglieds erneut aufzubauen.

Angenommen, DOMAENENMITGLIED ist ein Mitglied von DOMAENE. Sie können den sicheren Kanal des Mitglieds erneut aufbauen, indem Sie den folgenden Befehl verwenden:
   NETDOM MEMBER \\DOMAENENMITGLIED /JOINDOMAIN
Wenn Sie mit einem Konto angemeldet sind, dass über administrativen Zugriff auf DOMAENENMITGLIED verfügt, können Sie den oben aufgeführten Befehl auf dem Mitglied DOMAENENMITGLIED oder auf jedem anderen Mitglied oder Domänencontroller der Domäne ausführen.

Der Befehl erzeugt in etwa folgende Ausgabe:
   Searching PDC for domain DOMAENE ...
   Found PDC \\DOMAENENPDC
   Querying domain information on PDC \\DOMAENENPDC ...
   Querying domain information on computer \\DOMAENENMITGLIED ...
   Computer \\DOMAENENMITGLIED is already a member of domain DOMAENE.
   Verifying secure channel on \\DOMAENENMITGLIED ...
   Verifying the computer account on the PDC \\DOMAENENPDC ...
   Resetting secure channel ...
   Changing computer account on PDC \\DOMAENENPDC ...
   Stopping service NETLOGON on \\DOMAENENMITGLIED .... stopped.
   Starting service NETLOGON on \\DOMAENENMITGLIED .... started.
   Querying user groups of \\DOMAENENMITGLIED ...
   Adding DOMAENE domain groups on \\DOMAENENMITGLIED ...
The computer \\DOMAENENMITGLIED joined the domain DOMAENE successfully.
   Logoff/Logon \\DOMAENENMITGLIED to take modifications into effect.

Weitere Informationen

Nehmen Sie an, es liegt folgende Konfiguration vor:
   Domäne = DOMAENE
   DC = DOMAENENDC (Domänencontroller)
   Mitglied = DOMAENENMITGLIED
Wenn ein Mitgliedsserver Teil einer Domäne wird, wird ein Computerkonto erstellt (das Computerkonto wird im Server-Manager angezeigt.) Dem Computerkonto wird ein Standardkennwort zugewiesen, das der Mitgliedsserver in dem geheimen LSA-Speicherobjekt $MACHINE.ACC speichert. Dieses Kennwort wird anschließend standardmäßig im Wochenrhythmus geändert.

Jeder Mitgliedsserver verwaltet ein solches geheimes LSA-Objekt, das von dem Anmeldedienst verwendet wird, um einen sicheren Kanal einzurichten. Wenn das Kennwort des Computerkontos und das geheime LSA-Objekt aus bestimmten Gründen nicht synchronisiert sind, protokolliert der Anmeldedienst den folgenden Fehler:
   NETLOGON Ereignis-ID 3210:
Echtheitsbestätigung des Windows NT-Domänen-Controllers \\DOMAENENDC der Domäne DOMAENE fehlgeschlagen.

Wenn das Computerkonto gelöscht wurde, wird der folgende Fehler von dem Anmeldedienst des Mitglieds protokolliert:
   NETLOGON Ereignis-ID 5721:
Die Sitzung mit dem Windows NT-Domänen-Controller <Unbekannt> der Domäne DOMAENE konnte nicht eingerichtet werden, da auf dem Windows NT Server kein Konto für Computer DOMAENENMITGLIED besteht.

Gleichermaßen protokolliert der Anmeldedienst auf dem Domänencontroller den folgenden Fehler, wenn das Kennwort nicht synchronisiert ist:
   NETLOGON Ereignis-ID 5722
Die Einrichtung einer Sitzung von Computer DOMAENENMITGLIED ist an der Echtheitsbestätigung gescheitert. Der Kontoname in der Sicherheitsdatenbank ist DOMAENENMITGLIED$. Folgender Fehler ist aufgetreten: Zugriff verweigert.

In allen Fällen geben die Ereignisdaten den Fehler an. So weist z.B. Fehler 0xC0000022 darauf hin, dass das Kennwort des Computerkontos ungültig ist; Fehler 0xC000018B kennzeichnet ein gelöschtes Computerkonto usw.

Weitere Informationen zu sicheren Kanälen finden Sie in den folgenden Artikeln in der Microsoft Knowledge Base:
131366 Event Error 5712 with Status Access Denied

ARTICLE-ID: Q142869
   TITLE     : Event ID 3210 and 5722 Appear When Synchronizing Entire Domain
ARTICLE-ID: Q149664
   TITLE     : Verifying Domain Netlogon Synchronization
ARTICLE-ID: Q158148
   TITLE     : Domain Secure Channel Utility -- Nltest.exe
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, daß nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachige(n) Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 175024 - Geändert am: Dienstag, 9. November 2004 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbhowto KB175024
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com