L'ID evento 5722 viene registrato nel controller di dominio

Questo articolo descrive come diagnosticare e risolvere un problema in cui l'evento 5722 viene visualizzato nel log di sistema del controller di dominio.

Si applica a: Windows 2000
Numero KB originale: 810977

Questo articolo si applica a Windows 2000. Il supporto per Windows 2000 termina il 13 luglio 2010. Per altre informazioni, vedere i criteri relativi al ciclo di vita supporto tecnico Microsoft.

Riepilogo

Quando si usa Visualizzatore eventi per visualizzare il log di sistema in un controller di dominio Windows, è possibile che l'evento 5722 sia registrato. Questo problema può verificarsi in uno dei due scenari seguenti:

• Quando un computer aggiorna la password dell'account computer con un controller di dominio
• Quando un computer è aggiunto a un dominio con un nome già esistente

Questo articolo descrive come distinguere i due scenari e come risolvere il problema.

Sintomi

In un controller di dominio Microsoft Windows viene registrato nel log di sistema l'evento seguente:

Tipo evento: Errore
Origine evento: NETLOGON
Categoria di eventi: Nessuna
ID evento: 5722
Data: Data
Ora: Ora
Utente: N/D
Computer: ComputerName
Descrizione: l'autenticazione dell'installazione della sessione dal computer ComputerName non è riuscita. Il nome dell'account a cui si fa riferimento nel database di sicurezza è AccountName $.
Si è verificato l'errore seguente:
Accesso negato.

Causa

In un dominio di Microsoft Windows, a partire da Windows 2000, un canale di comunicazione discreto consente di fornire un percorso di comunicazione più sicuro tra il controller di dominio e i server o le workstation membri. Questo canale è noto come canale sicuro. Quando si aggiunge un computer a un dominio, viene creato un account computer e viene condivisa una password tra il computer e il dominio. Per impostazione predefinita, questa password viene modificata ogni 30 giorni. La password del canale protetto viene archiviata insieme all'account computer nel controller di dominio primario (PDC). La password viene replicata in tutti i controller di dominio di replica.

L'evento 5722 viene registrato negli scenari seguenti:

• Quando un computer aggiorna la password dell'account computer con un controller di dominio, l'evento viene registrato nel log di sistema del controller di dominio di autenticazione.

  In questo scenario, il canale sicuro del computer con il controller di dominio di autenticazione è ancora valido.

• Quando si aggiunge un computer a un dominio usando un nome già in uso da un altro computer o quando viene reimpostato un account computer esistente. È possibile reimpostare un account computer esistente usando Utenti e computer di Active Directory o l'utilità Netdom.exe.

  In questo scenario, la password dell'account del computer non corrisponde alla password nel controller di dominio e non è possibile impostare un canale sicuro dal computer originale al controller di dominio.

Risoluzione

Per risolvere questo problema, determinare innanzitutto quale scenario è la causa del problema. È possibile seguire questa procedura:

1. Si noti la data e l'ora in cui l'evento è stato registrato nel log di sistema.

2. Fare clic su Start, scegliere Programmi, Resource Kit e quindi fare clic su Strumenti Console di gestione.

3. Nell'albero della console fare clic su Strumenti da A a Z.

4. Nel riquadro dei dettagli fare clic su EDITOR ADSI.

   Nota

   AdSI Edit è incluso negli strumenti di supporto di Windows. È possibile installare Gli strumenti di supporto di Windows dalla cartella Support\Tools del CD-ROM di Windows 2000 Server.

   Per installare ADSI Edit nei computer che eseguono sistemi operativi Windows Server® 2003 o Windows® XP, installare Strumenti di supporto di Windows Server 2003 dal CD del prodotto Windows Server 2003. Per altre informazioni su come installare Strumenti di supporto di Windows dal CD del prodotto, vedere Installare strumenti di supporto di Windows.

   Nei server che eseguono Windows Server 2008 o Windows Server 2008 R2, ADSI Edit viene installato quando si installa il ruolo Active Directory Domain Services (AD DS) per rendere un server un controller di dominio. È inoltre possibile installare Strumenti di amministrazione remota del server per Windows Server 2008 nei server membri di dominio o autonomi. Per istruzioni specifiche, vedere Installazione o rimozione di Remote Server Administration Tools Pack.

   Per installare ADSI Edit nei computer che eseguono Windows Vista® con Service Pack 1 (SP1) o Windows 7, è necessario installare RSAT.

5. In Modifica ADSI individuare e quindi fare clic con il pulsante destro del mouse sul computer che causa il problema.

6. Fare clic su Proprietà.

7. In Selezionare le proprietà da visualizzare fare clic su Entrambi.

8. In Selezionare una proprietà da visualizzare fare clic su PwdLastSet.

   Se il ntte valore non viene convertito nell'interfaccia utente in una data e un timestamp leggibili, eseguire il comando seguente o procedere al passaggio 9 per un metodo alternativo:

   w32tm /ntte pwdlastsetvalue  
   

9. Copiare il valore visualizzato nella casella Valori negli Appunti.

10. Fare clic su Start, scegliere Programmi, Accessori e quindi Fare clic su Calcolatrice.

11. Scegliere Scientifico dal menu Visualizza.

12. Fare clic su Dec per impostare il sistema di numerazione su decimale.

13. Incollare il valore dagli Appunti in Calcolatrice.

14. Per modificare il valore da decimale a sistema di numerazione decimale esadecimale, fare clic su Esadecimale.

15. Scegliere Copia dal menu Modifica.

16. Incollare il numero esadecimale dagli Appunti in un file nel Blocco note.

17. Contare otto caratteri dal carattere più a destra della stringa esadecimale e quindi premere BARRA SPAZIATRICE.

    Nota

    Questa azione suddivide la stringa esadecimale in due stringhe esadecimali.

18. Se la stringa esadecimale sul lato sinistro contiene solo sette caratteri, aggiungere uno zero all'inizio della stringa.

19. Al prompt dei comandi digitare

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString  
    

    Si riceverà un output simile al seguente:

     C:\>nltest /time:a25cc370 01c294bc  
     a25cc370 01c294bc = 11/25/2002 13:55:41  
     The command completed successfully.
    

20. Si noti la data e l'ora decodificate.

21. Controllare se la data e l'ora annotate nel passaggio 1 e la data e l'ora decodificate annotate nel passaggio 20 corrispondono.

22. Se la data e l'ora in cui è stato registrato l'evento 5722 e la data e l'ora decodificate corrispondono, controllare se al computer che causa il problema è stato stabilito un canale sicuro con un controller di dominio digitando il comando seguente al prompt dei comandi:

    Nltest /server: **ComputerName** /sc_query: **DomainName**  
    

    Se il computer problema ha un canale sicuro valido stabilito con un controller di dominio, si riceve un output simile al seguente:

    
     C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
    HAS_IP HAS_TIMESERV  
    Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.  
    
    

    Se il computer problema non dispone di un canale sicuro valido stabilito con un controller di dominio, si riceve un output simile al seguente:

    
     C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
    Trusted DC Name  
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.  
    
    

Se la data e l'ora dell'evento 5722 e la data e l'ora decodificate non corrispondono, la password dell'account del computer problema potrebbe non corrispondere alla password presente nel controller di dominio. Questo problema può verificarsi in una delle circostanze seguenti:

• Un amministratore reimposta un account computer usando Utenti e computer di Active Directory o un altro strumento, ad esempio Netdom.exe.
• Un nuovo computer viene aggiunto al dominio usando un nome già esistente nel dominio.

Questo messaggio non viene registrato se un computer aggiorna la propria password dell'account computer.

Per risolvere i problemi relativi ai nomi di computer duplicati, ricongiungere il computer originale al dominio.

È possibile ignorare l'evento 5722 se sono vere entrambe le condizioni seguenti:

• Se la data e l'ora dell'evento 5722 e la data e l'ora decodificate corrispondono.
• Viene stabilito un canale sicuro valido tra il computer problematico e un controller di dominio.

Gli amministratori possono anche eseguire query sulle informazioni di Active Directory da qualsiasi computer nel dominio usando Ldp.exe. La versione di Ldp.exe inclusa negli strumenti di supporto di Windows XP Service Pack 2 può essere usata anche per decodificare il valore PwdLastSet.

Riferimenti

Per altre informazioni sull'abilitazione della registrazione di debug, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:

109626 abilitazione della registrazione di debug per il servizio Net Logon