Ereignis-ID 5722 wird auf dem Windows Server-basierten Domänencontroller protokolliert.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 810977 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Hinweis
Dieser Artikel bezieht sich auf Windows 2000. -Für Windows 2000 endet am 13. Juli 2010. Die Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie unter der Microsoft Support Lifecycle-Richtlinien.
Alles erweitern | Alles schließen

Zusammenfassung

Wenn Sie Ereignis-Viewer verwenden, um in einem Windows-Domänencontroller das Systemprotokoll anzeigen, finden Sie Ereignis 5722 protokolliert. Dieses Problem kann in zwei Szenarien auftreten:
  • Wenn sich ein Computer mit einem Domänencontroller sein Computerkontenkennwort aktualisiert
  • Wenn ein Computer Mitglied einer Domäne mit einem Namen werden will der bereits vorhanden ist
Dieser Artikel beschreibt, wie zwei Szenarios zu unterscheiden und wie das Problem zu beheben.

Problembeschreibung

Auf einem Domänencontroller mit Microsoft Windowsdomain wird das folgende Ereignis im Systemprotokoll protokolliert:
Ereignistyp: Fehler
Ereignisquelle: NETLOGON
Ereigniskategorie: keine
Ereigniskennung: 5722
Datum: Datum
Uhrzeit Uhrzeit
Benutzer: n/a
Computer: ComputerName
Beschreibung: die Einrichtung einer Sitzung auf dem Computer ComputerName Fehler beim authentifizieren. Der Name der/die Kontoname(n) in der Sicherheitsdatenbank ist Kontoname$.
Der folgende Fehler aufgetreten:
Zugriff wurde verweigert.

Ursache

In einer Microsoft Windows-Domäne bietet seit Windows 2000 ein diskreten Kommunikationskanal ein sicherer Kommunikationspfad zwischen dem Domänencontroller und den Servern oder Arbeitsstationen. Dieser Kanal wird alssicherer Kanalbezeichnet. Wenn Sie einen Computer zu einer Domäne hinzufügen, wird ein Computerkonto erstellt und ein Kennwort zwischen dem Computer und der Domäne weitergegeben wird. Standardmäßig ist dieses Kennwort alle 30 Tage geändert. Kennwort für den sicheren Kanal wird zusammen mit dem Computerkonto auf dem primären Domänencontroller (PDC) gespeichert. Das Kennwort wird auf alle replizierten Domänencontroller repliziert.

In den folgenden Szenarien wird Ereignis 5722 protokolliert:
  • Wenn ein Computer mit einem Domänencontroller sein Computerkontenkennwort aktualisiert, wird das Ereignis im Systemprotokoll des authentifizierenden Domänencontroller protokolliert.

    In diesem Szenario ist der Computer sicheren Kanal mit dem authentifizierenden Domänencontroller weiterhin gültig.
  • Verknüpfen Sie bei einen Computer mit einer Domäne mit einem Namen, der bereits von einem anderen Computer oder ein vorhandenes Computerkonto zurücksetzen ist. Ein vorhandenes Computerkonto kann mithilfe von Active Directory-Benutzer und-Computer oder mit dem Programm Netdom.exe zurückgesetzt werden.

    In diesem Szenario das Computerkontokennwort entspricht nicht das Kennwort auf dem Domänencontroller, und Sie nicht Einrichten eines sicheren Kanals vom ursprünglichen Computer mit dem Domänencontroller.

Lösung

Warnung Verwenden Sie das ADSI Edit-Snap-in, das LDP-Dienstprogramm oder einen anderen LDAP-Client Version 3 und die Attribute der Active Directory-Objekte nicht ordnungsgemäß ändern, können Sie schwerwiegende Probleme verursachen. Diese Probleme erfordern möglicherweise eine Neuinstallation von Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 oder sowohl Windows und Exchange. Microsoft kann nicht garantieren, dass Probleme, die nicht ordnungsgemäße Änderung der Active Directory-Objektattribute auftreten, behoben werden können. Ändern dieser Attribute erfolgt auf Ihr eigenes Risiko.

Um dieses Problem zu beheben, müssen Sie zunächst ermitteln Sie, welches Szenario die Ursache des Problems ist. Gehen Sie hierzu folgendermaßen vor:
  1. Beachten Sie das Datum und die Zeit, die das Ereignis im Systemprotokoll protokolliert wurde.
  2. Klicken Sie auf Start, zeigen Sie auf Programme, dann auf Resource Kit, und klicken Sie dann auf Tools Management Console.
  3. Klicken Sie in der Konsolenstruktur auf Tools A to Z.
  4. Klicken Sie im Detailbereich auf ADSI-Editor.

    Hinweis ADSI Edit ist Bestandteil der Windows-Supporttools. Sie können die Windows-Supporttools aus dem Ordner "Support\Tools" der Windows 2000 Server-CD installieren.

    Weitere Informationen dazu, wie Sie die Windows-Supporttools für Windows 2000 zu installieren, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
    301423 Die Windows 2000-Supporttools auf einem Windows 2000 Server-Computer installieren
    Um ADSI Edit auf Computern unter Windows Server ® 2003 oder Windows ® XP-Betriebssystemen installieren, installieren Sie Windows Server 2003-Supporttools von der Windows Server 2003-Produkt-CD oder aus dem Microsoft Download Center)http://go.Microsoft.com/fwlink/?LinkId=100114). Weitere Informationen dazu, wie Sie die Windows-Supporttools von der Produkt-CD installieren finden Sie unter Install Windows Support Tools)http://go.Microsoft.com/fwlink/?LinkId=62270).

    ADSI Edit ist auf Servern unter Windows Server 2008 oder Windows Server 2008 R2 installiert, bei der Installation der Rolle für Active Directory-Domänendienste (AD DS) auf einem Server als Domänencontroller konfiguriert werden. Sie können auch auf Mitgliedsserver der Domäne oder auf eigenständigen Servern Windows Server 2008 Remote Server Administration Tools (RSAT) installieren. Spezifische Anleitungen hierzu finden Sie unter Installieren oder entfernen die (Remote Server Administration Tools Packhttp://go.Microsoft.com/fwlink/?LinkId=143345).

    Um ADSI-Bearbeitung auf Computern unter Windows Vista ® mit Service Pack 1 (SP1) oder Windows 7 installieren, installieren Sie die Remoteserver-Verwaltungstools. Weitere Informationen und download-Remoteserver-Verwaltungstools finden Sie im Artikel 941314 in der Microsoft Knowledge Base)http://go.Microsoft.com/fwlink/?LinkId=116179).
  5. ADSI-Bearbeitung suchen und anschließend mit der Maustaste des Computers, der das Problem verursacht.
  6. Klicken Sie auf Eigenschaften.
  7. Klicken Sie unter Wählen Sie anzuzeigende Eigenschaftenauf beide.
  8. Klicken Sie unter Wählen Sie anzuzeigende EigenschaftPwdLastSet.
  9. Den Wert im Feld Wert(e) in die Zwischenablage zu kopieren.
  10. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Zubehör, und klicken Sie dann auf Rechner.
  11. Klicken Sie im Menü Ansicht auf wissenschaftlich.
  12. Klicken Sie auf Dec um das Nummerierungssystem dezimal festzulegen.
  13. Fügen Sie den Wert aus der Zwischenablage in den Rechner ein.
  14. Um den Wert von Dezimal in Hexadezimal Dezimal Nummerierungssystem zu ändern, klicken Sie auf Hex.
  15. Klicken Sie im Menü Bearbeiten auf Kopieren.
  16. Fügen Sie die hexadezimale Zahl aus der Zwischenablage in eine Datei im Editor.
  17. Zählen Sie acht Zeichen vom rechten die meisten Zeichen der hexadezimalen Zeichenfolge, und drücken Sie dann die LEERTASTE.

    Hinweis Diese Aktion wird die hexadezimale Zeichenfolge in zwei hexadezimale Zeichenfolgen aufgeteilt.
  18. Wenn die hexadezimale Zeichenfolge auf der linken Seite nur sieben Zeichen enthält, fügen Sie am Anfang der Zeichenfolge eine NULL.
  19. Geben Sie an einer Eingabeaufforderung
    Nltest/Time:RightSideHexadecimalstringLeftSideHexadecimalString
    Erhalten Sie Ausgabe, die der folgenden ähnelt:
    C:\>nltest /time:a25cc370 01c294bc
    a25cc370 01c294bc = 11/25/2002 13:55:41 
    The command completed successfully.
    
  20. Beachten Sie die decodierten Datum und Uhrzeit.
  21. Überprüfen Sie, ob das Datum und die Zeit, die Sie in Schritt 1 und die decodierten Datum angegeben und Zeit, die Sie notiert haben 20 Übereinstimmung Schritt.
  22. Wenn das Datum und die Uhrzeit dieses Ereignisses 5722 wurde protokolliert und die decodierten Datums- und Zeit-Übereinstimmung überprüfen, ob der Computer die Ursache des Problems einen sicheren Kanal mit einem Domänencontroller hergestellt werden, durch den folgenden Befehl an einer Eingabeaufforderung eingeben:
    Nltest/Server:ComputerName /SC_QUERY:Domänenname
    Wenn dem Problemcomputer einen gültigen sicheren Kanal mit einem Domänencontroller hergestellt hat, erhalten Sie Ausgabe, die der folgenden ähnelt:
    C:\>Nltest /server:computer1 /sc_query:DomainNameFlags: 30
    HAS_IP HAS_TIMESERV
    Trusted DC Name \\homenode1.myhouse.comTrusted DC Connection Status Status = 0 0x0 NERR_SuccessThe command completed successfully.
    Wenn dem Problemcomputer keinen gültigen sicheren Kanal mit einem Domänencontroller hergestellt, erhalten Sie Ausgabe, die der folgenden ähnelt:
    C:\>nltest /server:machine1 /sc_query:DomainNameFlags: 0 
    Trusted DC Name
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIEDThe command completed successfully.
Wenn das Datum und die Uhrzeit des Ereignisses 5722 und dekodierte Datum und Uhrzeit nicht übereinstimmen, kann dem Problemcomputer Kontokennwort nicht das Kennwort überein, das auf dem Domänencontroller ist. Dies kann unter einem der folgenden Gründe auftreten:
  • Ein Administrator wird ein Computerkonto mithilfe von Active Directory-Benutzer und-Computer oder ein anderes Tool wie Netdom.exe zurückgesetzt.
  • Ein neuer Computer ist mit einem Namen, der bereits in der Domäne, die Domäne angehören.
Hinweis Wenn der Domänencontroller für den Netlogon-Dienst-Protokollierung aktiviert ist, bestätigen Sie dieses Szenario anhand einer Netlogon.log Posten, die der folgenden ähnelt:
05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4
Diese Meldung wird nicht protokolliert, wenn ein Computer eine eigene Computerkontokennwort aktualisiert.

Um Probleme zu beheben, die doppelte Computernamen zusammenhängen, wieder den ursprünglichen Computer zur Domäne hinzugefügt werden.

Sie können Ereignis 5722 ignorieren, wenn die folgenden Bedingungen erfüllt sind:
  • Wenn das Datum und Uhrzeit des Ereignisses 5722 und dekodierte Datum und Uhrzeit entsprechen.
  • Ein gültiger sicherer Kanal wird zwischen dem Problemcomputer und einem Domänencontroller eingerichtet.
Hinweis Wenn beide Bedingungen erfüllt sind, wird Ereignis 5722 auf dem Domänencontroller protokolliert, wenn der Computer versucht, während des Aktualisierungsvorgangs für Computer-Konto bei einem Domänencontroller authentifizieren.

Administratoren können Active Directory-Informationen von jedem Computer in der Domäne mithilfe von Ldp.exe auch Abfragen. Die Version von Ldp.exe, die in Windows XP Service Pack 2-Supporttools enthalten ist kann auch verwendet werden, um die PwdLastSet-Wert zu decodieren.

Weitere Informationen zum Windows XP Service Pack 2-Supporttools klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
838079 Windows XP Service Pack 2-Supporttools
Das Windows XP-Dienstprogramm W32tm.exe können auch um den PwdLastSet-Wert zu decodieren.

Informationsquellen

Weitere Informationen zum Aktivieren der Debugprotokollierung klicken Sie auf die folgenden Artikelnummern klicken, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:
221833 Zum Aktivieren der Debugprotokollierung für die Umgebung in Retail-builds von Windows
109626 Aktivieren die Debug-Protokollierung für den Netlogon-Dienst

Eigenschaften

Artikel-ID: 810977 - Geändert am: Montag, 3. März 2014 - Version: 6.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
Keywords: 
kbtshoot kbeventlog kbprb kbmt KB810977 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 810977
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com