重設網域成員安全通道

文章翻譯 文章翻譯
文章編號: 175024 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

網域成員 Netlogon 服務可能會在網域控制站的系統事件日誌中記錄 3210 或 5721,但 [Netlogon 服務記錄檔時發生錯誤錯誤 5722。

當您嘗試從執行 Windows NT 工作站或成員的網域的 Windows NT Server 電腦登入 Windows NT 網域時,也可能會收到下列的登入訊息:

   The system cannot log you on to this domain because the system's
   computer account in its primary domain is missing or the password on
   that account is incorrect.
				


如果下列條件為真,可能就會發生這些問題:

  • 最近已變更網域成員的名稱。
  • 使用緊急修復磁片,但是它包含舊的資訊。
  • 已移除網域成員電腦帳戶。
本文所述的程序會重設使用單一命令列,而不許多作業伺服器管理員內的成員安全通道。此程序需要 NETDOM 公用程式所提供的 Windows NT 4.0 資源套件補充 2。

解決方案

警告: 本文中所包含的方案尚未經過廣泛地測試大型安裝中。Microsoft 無法保證修改網域此處所提及之建議的方式將完成目標所述,在所有情況下這份文件和所有組態。

對於每個成員有與網域控制站是不連續的通訊通道 (也就是安全通道)。Netlogon 服務在該成員和網域控制站上用安全通道來進行通訊。 NETDOM 命令列公用程式可讓重設安全通道的成員。

假設您擁有名為 DOMAINMEMBER 是網域成員。您可以使用下列命令來重設成員安全通道:
   NETDOM MEMBER \\DOMAINMEMBER /JOINDOMAIN
				

您可以執行上述命令或任何其他成員或網域控制站在網域的成員 DOMAINMEMBER 上前提是您以具有系統管理員存取權 DOMAINMEMBER 的帳戶登入。

接收到來自命令輸出應該類似下列:
   Searching PDC for domain DOMAIN ...
   Found PDC \\DOMAINPDC
   Querying domain information on PDC \\DOMAINPDC ...
   Querying domain information on computer \\DOMAINMEMBER ...
   Computer \\DOMAINMEMBER is already a member of domain DOMAIN.
   Verifying secure channel on \\DOMAINMEMBER ...
   Verifying the computer account on the PDC \\DOMAINPDC ...
   Resetting secure channel ...
   Changing computer account on PDC \\DOMAINPDC ...
   Stopping service NETLOGON on \\DOMAINMEMBER .... stopped.
   Starting service NETLOGON on \\DOMAINMEMBER .... started.
   Querying user groups of \\DOMAINMEMBER ...
   Adding DOMAIN domain groups on \\DOMAINMEMBER ...

   The computer \\DOMAINMEMBER joined the domain DOMAIN successfully.

   Logoff/Logon \\DOMAINMEMBER to take modifications into effect.
				

其他相關資訊


假設您有下列設定:
網域 = 網域
DC = DOMAINDC (網域控制站)
成員 = DOMAINMEMBER

當成員伺服器加入網域時,會建立電腦帳戶 (您可以使用伺服器管理員查看電腦帳戶)。預設密碼提供給 「 電腦 」 帳戶,並將成員將密碼儲存在本機安全性授權 (LSA) 密碼儲存 $ MACHINE.ACC。預設情況下,密碼已變更每隔 7 天。

每個成員維護這類的 LSA 秘密,這會使用 Netlogon 服務來建立安全通道。如果基於某些原因電腦帳戶密碼與 LSA 密碼未同步,Netlogon 服務會記錄下列錯誤:
   NETLOGON Event ID 3210:

   Failed to authenticate with \\DOMAINDC, a Windows NT domain controller
   for domain DOMAIN.
				

如果刪除電腦帳戶下列的錯誤是由成員 Netlogon 服務記錄:
   NETLOGON Event ID 5721:

   The session setup to the Windows NT Domain Controller <Unknown> for the
   domain DOMAIN failed because the Windows NT Domain Controller does not
   have an account for the computer DOMAINMEMBER.
				

同樣地,Netlogon 服務在網域控制站上的會記錄下列錯誤時不會同步處理密碼:
   NETLOGON Event 5722

   The session setup from the computer DOMAINMEMBER failed to authenticate.
   The name of the account referenced in the security database is
   DOMAINMEMBER$. The following error occurred: Access is denied.
				

在所有情況下事件資料會包含錯誤。比方說錯誤 0xC0000022 表示電腦帳戶密碼不正確 ; 錯誤 0xC000018B 表示電腦帳戶已被刪除,並等。

如需有關安全通道的詳細資訊,請參閱下列的文件 「 Microsoft 知識庫 」 中:

發行項識別碼: 131366
TITLE: 事件錯誤 5712 狀態存取被拒

發行項識別碼: 142869
當 TITLE: 事件 ID 3210 及 5722 時,會顯示同步處理整個網域

發行項識別碼: 149664
TITLE: 驗證網域 Netlogon 同步處理

發行項識別碼: 158148
TITLE: 網域安全通道公用程式--Nltest.exe

屬性

文章編號: 175024 - 上次校閱: 2006年10月31日 - 版次: 1.1
這篇文章中的資訊適用於:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
關鍵字:?
kbmt kbprb KB175024 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:175024
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com