Restablecer el canal seguro de miembro de dominio

Seleccione idioma Seleccione idioma
Id. de artículo: 175024 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

El servicio Netlogon miembro de dominio puede registrar error 3210 ó 5721, pero el Netlogon servicio registros error 5722 en el registro de sucesos del sistema del controlador de dominio.

También puede recibir el siguiente mensaje de inicio de sesión cuando intenta iniciar sesión en el dominio de Windows desde un equipo que ejecuta Windows NT Workstation o Windows NT Server que es miembro del dominio:

   The system cannot log you on to this domain because the system's
   computer account in its primary domain is missing or the password on
   that account is incorrect.
				


Estos problemas pueden producirse si se cumple alguna de las condiciones siguientes:

  • El nombre del miembro de dominio se cambió recientemente.
  • Se utilizó el disco de reparación de emergencia, pero contenía información antigua.
  • Se quitó la cuenta de equipo del miembro de dominio.
El procedimiento descrito en este artículo restablece el canal seguro del miembro mediante una única línea de comandos en lugar de muchas operaciones en el Administrador de servidores. Este procedimiento requiere que la utilidad NETDOM que se proporciona con Windows NT 4.0 Resource Kit suplemento 2.

Solución

Advertencia: La solución incluida en este artículo ha no probada en instalaciones grandes. Microsoft no garantiza que la modificación de dominios como se recomienda mencionados realizará el objetivo descrito en este artículo en todas las circunstancias y en todas las configuraciones.

Cada miembro, hay un canal de comunicación discreto (es decir, el canal seguro) con un controlador de dominio. El servicio de Inicio de sesión de red emplea el canal seguro del miembro y del controlador de dominio para establecer la comunicación. La utilidad de línea de comandos NETDOM permite restablecer el canal seguro del miembro.

Suponga que tiene un miembro denominado MIEMBRODOMINIO. Puede restablecer el canal seguro del miembro con el comando siguiente:
   NETDOM MEMBER \\DOMAINMEMBER /JOINDOMAIN
				

Puede ejecutar el comando anterior en MIEMBRODOMINIO o en cualquier otro miembro o controlador de dominio, siempre y cuando se haya iniciado sesión con una cuenta que disponga de acceso de administrador a MIEMBRODOMINIO.

El resultado que recibió el comando debe ser similar al siguiente:
   Searching PDC for domain DOMAIN ...
   Found PDC \\DOMAINPDC
   Querying domain information on PDC \\DOMAINPDC ...
   Querying domain information on computer \\DOMAINMEMBER ...
   Computer \\DOMAINMEMBER is already a member of domain DOMAIN.
   Verifying secure channel on \\DOMAINMEMBER ...
   Verifying the computer account on the PDC \\DOMAINPDC ...
   Resetting secure channel ...
   Changing computer account on PDC \\DOMAINPDC ...
   Stopping service NETLOGON on \\DOMAINMEMBER .... stopped.
   Starting service NETLOGON on \\DOMAINMEMBER .... started.
   Querying user groups of \\DOMAINMEMBER ...
   Adding DOMAIN domain groups on \\DOMAINMEMBER ...

   The computer \\DOMAINMEMBER joined the domain DOMAIN successfully.

   Logoff/Logon \\DOMAINMEMBER to take modifications into effect.
				

Más información


Suponga que tiene la siguiente configuración:
Dominio = DOMAIN
DC = DOMAINDC (controlador de dominio)
MIEMBRO = MIEMBRODOMINIO

Cuando un servidor miembro une a un dominio, se crea una cuenta de equipo (puede utilizar Administrador de servidores para ver la cuenta de equipo). Se asigna una contraseña predeterminada a la cuenta de equipo y el miembro almacena la contraseña en el almacenamiento secreto de autoridad de seguridad local (LSA) $ MACHINE.ACC. De forma predeterminada, la contraseña se cambia cada siete días.

Cada miembro mantiene una LSA de tal secreta, que es utilizado por el servicio Netlogon para establecer un canal seguro. Si, por algún motivo, la contraseña de la cuenta de equipo y el secreto de LSA no están sincronizados, el servicio Netlogon registra el siguiente error:
   NETLOGON Event ID 3210:

   Failed to authenticate with \\DOMAINDC, a Windows NT domain controller
   for domain DOMAIN.
				

Si se ha eliminado la cuenta de equipo, el siguiente error se registra por el servicio Netlogon miembro:
   NETLOGON Event ID 5721:

   The session setup to the Windows NT Domain Controller <Unknown> for the
   domain DOMAIN failed because the Windows NT Domain Controller does not
   have an account for the computer DOMAINMEMBER.
				

De forma similar, el servicio Netlogon en el controlador de dominio registra el siguiente error cuando no se sincroniza la contraseña:
   NETLOGON Event 5722

   The session setup from the computer DOMAINMEMBER failed to authenticate.
   The name of the account referenced in the security database is
   DOMAINMEMBER$. The following error occurred: Access is denied.
				

En todos los casos, los datos del evento contienen el error. Por ejemplo, error 0xC0000022 significa que la contraseña de la cuenta de equipo no es válida; error 0xC000018B significa que la cuenta de equipo se ha eliminado y así sucesivamente.

Para obtener más información acerca de los canales seguros, consulte los artículos siguientes en Microsoft Knowledge Base:

ARTICLE-ID: 131366
TITLE: Evento Error 5712 con estado acceso denegado

ARTICLE-ID: 142869
TITLE: El suceso 3210 y 5722 aparecen al sincronizar el dominio completo

ARTICLE-ID: 149664
TITLE: Comprobar la sincronización de Netlogon del dominio

ARTICLE-ID: 158148
TITLE: Domain Secure Channel Utility--Nltest.exe

Propiedades

Id. de artículo: 175024 - Última revisión: martes, 31 de octubre de 2006 - Versión: 1.1
La información de este artículo se refiere a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Palabras clave: 
kbmt kbprb KB175024 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 175024

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com