El identificador de evento 5722 se registra en el controlador de dominio

En este artículo se describe cómo diagnosticar y resolver un problema en el que aparece el evento 5722 en el registro del sistema del controlador de dominio.

Se aplica a: Windows 2000
Número de KB original: 810977

Este artículo se aplica a Windows 2000. La compatibilidad con Windows 2000 finaliza el 13 de julio de 2010. Para obtener más información, consulte la directiva de ciclo de vida de Soporte técnico de Microsoft.

Resumen

Al usar Visor de eventos para ver el registro del sistema en un controlador de dominio de Windows, es posible que encuentre el evento 5722 registrado. Este problema puede producirse en cualquiera de los dos escenarios:

• Cuando un equipo actualiza la contraseña de su cuenta de equipo con un controlador de dominio
• Cuando un equipo está unido a un dominio con un nombre que ya existe

En este artículo se describe cómo diferenciar los dos escenarios y cómo resolver el problema.

Síntomas

En un controlador de dominio de Microsoft Windows, se registra el siguiente evento en el registro del sistema:

Tipo de evento: Error
Origen de eventos: NETLOGON
Categoría de eventos: Ninguno
Identificador de evento: 5722
Fecha: Fecha
Hora: Hora
Usuario: N/A
Equipo: NombreDeEquipo
Descripción: no se pudo autenticar la configuración de sesión del equipo NombreDeEquipo . El nombre de la cuenta a la que se hace referencia en la base de datos de seguridad es AccountName $.
Se produjo el siguiente error:
Acceso denegado.

Causa

En un dominio de Microsoft Windows, a partir de Windows 2000, un canal de comunicación discreto ayuda a proporcionar una ruta de comunicación más segura entre el controlador de dominio y los servidores miembros o estaciones de trabajo. Este canal se conoce como canal seguro. Al unir un equipo a un dominio, se crea una cuenta de equipo y se comparte una contraseña entre el equipo y el dominio. De forma predeterminada, esta contraseña se cambia cada 30 días. La contraseña del canal seguro se almacena junto con la cuenta de equipo en el controlador de dominio principal (PDC). La contraseña se replica en todos los controladores de dominio de réplica.

El evento 5722 se registra en los siguientes escenarios:

• Cuando un equipo actualiza su contraseña de cuenta de equipo con un controlador de dominio, el evento se registra en el registro del sistema del controlador de dominio de autenticación.

  En este escenario, el canal seguro del equipo con el controlador de dominio de autenticación sigue siendo válido.

• Cuando une un equipo a un dominio mediante un nombre que ya está en uso por otro equipo o cuando se restablece una cuenta de equipo existente. Una cuenta de equipo existente se puede restablecer mediante Usuarios y equipos de Active Directory o mediante la utilidad Netdom.exe.

  En este escenario, la contraseña de la cuenta del equipo no coincide con la contraseña del controlador de dominio y no se puede establecer un canal seguro del equipo original en el controlador de dominio.

Solución

Para resolver este problema, determine primero qué escenario es la causa del problema. Luego, haga lo siguiente:

1. Tenga en cuenta la fecha y la hora en que se registró el evento en el registro del sistema.

2. Haga clic en Inicio, seleccione Programas, Kit de recursosy, a continuación, haga clic en Consola de administración de herramientas.

3. En el árbol de consola, haga clic en Herramientas de A a Z.

4. En el panel de detalles, haga clic en ADSI Editor.

   Nota:

   ADSI Edit se incluye con las Herramientas de soporte técnico de Windows. Puede instalar las Herramientas de soporte técnico de Windows desde la carpeta Support\Tools del CD-ROM de Windows 2000 Server.

   Para instalar ADSI Edit en equipos que ejecutan sistemas operativos Windows Server® 2003 o Windows® XP, instale Herramientas de soporte técnico de Windows Server 2003 desde el CD del producto Windows Server 2003. Para obtener más información sobre cómo instalar herramientas de soporte técnico de Windows desde el CD del producto, consulta Instalar herramientas de soporte técnico de Windows.

   En los servidores que ejecutan Windows Server 2008 o Windows Server 2008 R2, ADSI Edit se instala al instalar el rol de Servicios de dominio de Active Directory (AD DS) para que un servidor sea un controlador de dominio. También puede instalar Herramientas de administración remota del servidor (RSAT) para Windows Server 2008 en los servidores miembro de dominio o en servidores independientes. Para obtener instrucciones específicas, consulte Instalación o eliminación del paquete de herramientas de administración remota del servidor.

   Para instalar ADSI Edit en equipos que ejecutan Windows Vista® con Service Pack 1 (SP1) o Windows 7, debe instalar RSAT.

5. En EDICIÓN DE ADSI, busque y, a continuación, haga clic con el botón derecho en el equipo que está causando el problema.

6. Haga clic en Propiedades.

7. En Seleccionar las propiedades que se van a ver, haga clic en Ambos.

8. En Seleccionar una propiedad que se va a ver, haga clic en PwdLastSet.

   Si el ntte valor no se convierte en una fecha legible y una marca de tiempo en la interfaz de usuario, ejecute el siguiente comando o continúe con el paso 9 para un método alternativo:

   w32tm /ntte pwdlastsetvalue  
   

9. Copie el valor que aparece en el cuadro Valores en el Portapapeles.

10. Haga clic en Inicio, seleccione Programas, Accesorios y, a continuación, haga clic en Calculadora.

11. En el menú Ver , haga clic en Científico.

12. Haga clic en Dic para establecer el sistema de numeración en decimal.

13. Pegue el valor del Portapapeles en Calculadora.

14. Para cambiar el valor del sistema de numeración decimal a hexadecimal, haga clic en Hexadecimal.

15. En el menú Editar, haga clic en Copiar.

16. Pegue el número hexadecimal del Portapapeles en un archivo en el Bloc de notas.

17. Cuente ocho caracteres del carácter más a la derecha de la cadena hexadecimal y, a continuación, presione BARRA ESPACIADORA.

    Nota:

    Esta acción divide la cadena hexadecimal en dos cadenas hexadecimales.

18. Si la cadena hexadecimal del lado izquierdo contiene solo siete caracteres, agregue un cero al principio de la cadena.

19. En un símbolo del sistema, escriba

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString  
    

    Recibirá una salida similar a la siguiente:

     C:\>nltest /time:a25cc370 01c294bc  
     a25cc370 01c294bc = 11/25/2002 13:55:41  
     The command completed successfully.
    

20. Tenga en cuenta la fecha y hora descodificadas.

21. Compruebe si la fecha y hora que anotó en el paso 1 y la fecha y hora descodificadas que anotó en el paso 20 coinciden.

22. Si la fecha y hora en que se registró ese evento 5722 y la coincidencia de fecha y hora descodificada, compruebe si el equipo que provoca el problema tiene un canal seguro establecido con un controlador de dominio escribiendo el siguiente comando en un símbolo del sistema:

    Nltest /server: **ComputerName** /sc_query: **DomainName**  
    

    Si el equipo con problemas tiene un canal seguro válido establecido con un controlador de dominio, recibirá una salida similar a la siguiente:

    
     C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
    HAS_IP HAS_TIMESERV  
    Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.  
    
    

    Si el equipo con problemas no tiene un canal seguro válido establecido con un controlador de dominio, recibirá una salida similar a la siguiente:

    
     C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
    Trusted DC Name  
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.  
    
    

Si la fecha y hora del evento 5722 y la fecha y hora descodificadas no coinciden, es posible que la contraseña de la cuenta del equipo con problemas no coincida con la contraseña que se encuentra en el controlador de dominio. Este problema puede producirse en cualquiera de las siguientes circunstancias:

• Un administrador restablece una cuenta de equipo mediante Usuarios y equipos de Active Directory u otra herramienta como Netdom.exe.
• Un nuevo equipo se une al dominio mediante un nombre que ya existe en el dominio.

Este mensaje no se registra si un equipo actualiza su propia contraseña de cuenta de equipo.

Para resolver problemas relacionados con nombres de equipo duplicados, vuelva a unir el equipo original al dominio.

Puede omitir el evento 5722 si se cumplen las dos condiciones siguientes:

• Si la fecha y hora del evento 5722 y la fecha y hora descodificadas coinciden.
• Se establece un canal seguro válido entre el equipo con problemas y un controlador de dominio.

Los administradores también pueden consultar la información de Active Directory desde cualquier equipo del dominio mediante Ldp.exe. La versión de Ldp.exe que se incluye en las herramientas de soporte técnico de Windows XP Service Pack 2 también se puede usar para descodificar el valor pwdLastSet.

Referencias

Para obtener información adicional sobre cómo habilitar el registro de depuración, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

109626 habilitar el registro de depuración para el servicio Net Logon