重置域成员的安全通道

文章翻译 文章翻译
文章编号: 175024 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

域成员 Netlogon 服务可能会在域控制器的系统事件日志中记录错误 3210 或 5721,但该 Netlogon 服务日志错误 5722。

当您试图从运行 Windows NT 工作站或 Windows NT 服务器是域的成员的计算机登录到您的 Windows NT 域时,您还可能收到下面的登录消息:

   The system cannot log you on to this domain because the system's
   computer account in its primary domain is missing or the password on
   that account is incorrect.
				


如果满足下列条件之一为真,则可能会出现这些问题:

  • 最近已更改域成员的名称。
  • 使用紧急修复磁盘,但它包含旧的信息。
  • 删除域成员计算机帐户。
在这篇文章中所述重置成员安全通道使用单个命令行,而不服务器管理器中的许多操作。此过程要求 NETDOM 实用程序与 Windows NT 4.0 资源工具包补充 2 提供的。

解决方案

注意: 这篇文章中包含的解决方案未经过广泛测试大型安装中。Microsoft 不能保证域按照本文档的建议的修改将完成在所有情况下这篇文章和所有配置中所述目的。

对于每个成员,与域控制器没有一个离散的通讯通道 (也就是安全通道)。Netlogon 服务在成员和域控制器上使用安全通道通信。 NETDOM 命令行实用程序可以重置成员的安全通道。

假设您有一个名为 DOMAINMEMBER 的域成员。您可以通过使用以下命令重置成员的安全通道:
   NETDOM MEMBER \\DOMAINMEMBER /JOINDOMAIN
				

可以运行以上命令成员 DOMAINMEMBER 上或任何其他成员或域控制器上的域,假设您使用具有 DOMAINMEMBER 的管理员访问权限的帐户登录。

接收到从命令的输出应类似于以下内容:
   Searching PDC for domain DOMAIN ...
   Found PDC \\DOMAINPDC
   Querying domain information on PDC \\DOMAINPDC ...
   Querying domain information on computer \\DOMAINMEMBER ...
   Computer \\DOMAINMEMBER is already a member of domain DOMAIN.
   Verifying secure channel on \\DOMAINMEMBER ...
   Verifying the computer account on the PDC \\DOMAINPDC ...
   Resetting secure channel ...
   Changing computer account on PDC \\DOMAINPDC ...
   Stopping service NETLOGON on \\DOMAINMEMBER .... stopped.
   Starting service NETLOGON on \\DOMAINMEMBER .... started.
   Querying user groups of \\DOMAINMEMBER ...
   Adding DOMAIN domain groups on \\DOMAINMEMBER ...

   The computer \\DOMAINMEMBER joined the domain DOMAIN successfully.

   Logoff/Logon \\DOMAINMEMBER to take modifications into effect.
				

更多信息


假定您有以下配置:
域 = 域
DC = DOMAINDC (域控制器)
成员 = DOMAINMEMBER

当成员服务器加入一个域时, 创建一个计算机帐户 (可以使用服务器管理器查看计算机帐户)。计算机帐户指定一个默认的密码,该成员将密码存储在本地安全机构 (LSA) 机密存储 $ MACHINE.ACC。默认状态下,每七天更改密码。

每个成员维护此类的 LSA 机密,由 Netlogon 服务用于建立安全通道。如果由于某种原因该计算机帐户的密码和 LSA 机密不同步,Netlogon 服务记录下列错误:
   NETLOGON Event ID 3210:

   Failed to authenticate with \\DOMAINDC, a Windows NT domain controller
   for domain DOMAIN.
				

如果该计算机帐户已由成员 Netlogon 服务记录下列错误:
   NETLOGON Event ID 5721:

   The session setup to the Windows NT Domain Controller <Unknown> for the
   domain DOMAIN failed because the Windows NT Domain Controller does not
   have an account for the computer DOMAINMEMBER.
				

同样时密码不同步,,Netlogon 服务的域控制器上记录下列错误:
   NETLOGON Event 5722

   The session setup from the computer DOMAINMEMBER failed to authenticate.
   The name of the account referenced in the security database is
   DOMAINMEMBER$. The following error occurred: Access is denied.
				

在所有的情况中的事件数据包含此错误。例如对于错误 0xC0000022 意味着计算机帐户的密码无效 ; 0xC000018B 意味着计算机帐户已被删除,并依此类推。

有关安全通道的详细信息,请参阅 Microsoft 知识库中下面的文章:

文章 ID: 131366
TITLE: 事件错误 5712,状态访问被拒绝

文章 ID: 142869
TITLE: 同步整个域时,事件 ID 3210 和 5722 显示

文章 ID: 149664
TITLE: 验证域 Netlogon 同步

文章 ID: 158148
TITLE: 域安全通道实用工具--Nltest.exe

属性

文章编号: 175024 - 最后修改: 2006年10月31日 - 修订: 1.1
这篇文章中的信息适用于:
  • Microsoft Windows NT Workstation 4.0 开发员版
  • Microsoft Windows NT Server 4.0 Standard Edition
关键字:?
kbmt kbprb KB175024 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 175024
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com