A ID do evento 5722 está registrada no controlador de domínio

Este artigo descreve como diagnosticar e resolve um problema em que o evento 5722 aparece no log do sistema do controlador de domínio.

Aplica-se a: Windows 2000
Número de KB original: 810977

Este artigo se aplica ao Windows 2000. O suporte ao Windows 2000 termina em 13 de julho de 2010. Para obter mais informações, consulte a política de ciclo de vida Suporte da Microsoft.

Resumo

Quando você usa Visualizador de Eventos para exibir o log do sistema em um controlador de domínio do Windows, você pode encontrar o evento 5722 registrado. Esse problema pode ocorrer em um dos dois cenários:

• Quando um computador atualiza sua senha de conta de computador com um controlador de domínio
• Quando um computador é ingressado em um domínio com um nome que já existe

Este artigo descreve como diferenciar os dois cenários e como resolve o problema.

Sintomas

Em um controlador de domínio do Microsoft Windows, o seguinte evento é registrado no log do sistema:

Tipo de Evento: Erro
Fonte do evento: NETLOGON
Categoria de evento: Nenhum
ID do evento: 5722
Data: Data
Hora: Hora
Usuário: N/A
Computador: ComputerName
Descrição: A instalação da sessão do computador ComputerName falhou ao autenticar. O nome da conta referenciada no banco de dados de segurança é AccountName $.
O seguinte erro ocorreu:
Acesso negado.

Motivo

Em um domínio do Microsoft Windows, começando com o Windows 2000, um canal de comunicação discreto ajuda a fornecer um caminho de comunicação mais seguro entre o controlador de domínio e os servidores membros ou estações de trabalho. Esse canal é conhecido como um canal seguro. Quando você ingressa um computador em um domínio, uma conta de computador é criada e uma senha é compartilhada entre o computador e o domínio. Por padrão, essa senha é alterada a cada 30 dias. A senha do canal seguro é armazenada junto com a conta do computador no PDC (controlador de domínio primário). A senha é replicada para todos os controladores de domínio réplica.

O evento 5722 está registrado nos seguintes cenários:

• Quando um computador atualiza sua senha de conta de computador com um controlador de domínio, o evento é registrado no log do sistema do controlador de domínio de autenticação.

  Nesse cenário, o canal seguro do computador com o controlador de domínio de autenticação ainda é válido.

• Ao ingressar um computador em um domínio usando um nome que já está em uso por outro computador ou quando uma conta de computador existente é redefinida. Uma conta de computador existente pode ser redefinida usando Usuários e Computadores do Active Directory ou usando o utilitário Netdom.exe.

  Nesse cenário, a senha da conta do computador não corresponde à senha no controlador de domínio e você não pode definir um canal seguro do computador original para o controlador de domínio.

Resolução

Para resolve esse problema, primeiro determine qual cenário é a causa do problema. Você pode seguir estas etapas:

1. Observe a data e a hora em que o evento foi registrado no log do sistema.

2. Clique em Iniciar, aponte para Programas, aponte para Kit de Recursos e clique em Console de Gerenciamento de Ferramentas.

3. Na árvore de console, clique em Ferramentas de A a Z.

4. No painel de detalhes, clique em ADSI Editor.

   Observação

   A edição do ADSI está incluída nas Ferramentas de Suporte do Windows. Você pode instalar as Ferramentas de Suporte do Windows na pasta Support\Tools da CD-ROM do Windows 2000 Server.

   Para instalar o ADSI Editar em computadores que executam sistemas operacionais Windows Server® 2003 ou Windows® XP, instale as Ferramentas de Suporte do Windows Server 2003 do CD de produto do Windows Server 2003. Para obter mais informações sobre como instalar as Ferramentas de Suporte do Windows no CD do produto, consulte Instalar ferramentas de suporte do Windows.

   Em servidores que executam o Windows Server 2008 ou Windows Server 2008 R2, a Edição ADSI é instalada quando você instala a função Active Directory Domain Services (AD DS) para tornar um servidor um controlador de domínio. Você também pode instalar o Windows Server 2008 Remote Server Administration Tools (RSAT) em servidores membros de domínio ou servidores autônomos. Para obter instruções específicas, consulte Instalando ou removendo o Pacote de Ferramentas de Administração do Servidor Remoto.

   Para instalar o ADSI Editar em computadores que executam o Windows Vista® com o Service Pack 1 (SP1) ou o Windows 7, você deve instalar o RSAT.

5. No ADSI Editar, localize e clique com o botão direito do mouse no computador que está causando o problema.

6. Clique em Propriedades.

7. Em Selecionar quais propriedades exibir, clique em Ambos.

8. Em Selecionar uma propriedade para exibir, clique em PwdLastSet.

   Se o ntte valor não for convertido na interface do usuário em uma data e carimbo de data/hora legíveis, execute o seguinte comando ou prossiga para a etapa 9 para um método alternativo:

   w32tm /ntte pwdlastsetvalue  
   

9. Copie o valor que aparece na caixa Valor na área de transferência.

10. Clique em Iniciar, aponte para Programas, aponte para Acessórios e clique em Calculadora.

11. No menu Exibir , clique em Científico.

12. Clique em Dez para definir o sistema de numeração como decimal.

13. Cole o valor da área de transferência na Calculadora.

14. Para alterar o valor decimal para o sistema de numeração decimal hexadecimal, clique em Hex.

15. No menu Editar , clique em Copiar.

16. Cole o número hexadecimal da área de transferência para um arquivo no Bloco de Notas.

17. Conte oito caracteres do caractere mais à direita da cadeia de caracteres hexadecimal e pressione SPACEBAR.

    Observação

    Essa ação divide a cadeia de caracteres hexadecimal em duas cadeias de caracteres hexadecimal.

18. Se a cadeia de caracteres hexadecimal no lado esquerdo contiver apenas sete caracteres, adicione um zero ao início da cadeia de caracteres.

19. Em um prompt de comando, digite

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString  
    

    Você receberá uma saída semelhante a:

     C:\>nltest /time:a25cc370 01c294bc  
     a25cc370 01c294bc = 11/25/2002 13:55:41  
     The command completed successfully.
    

20. Observe a data e a hora decodificadas.

21. Verifique se a data e a hora que você anotou na etapa 1 e a data e hora decodificadas que você observou na etapa 20 correspondem.

22. Se a data e a hora do evento 5722 foram registradas e a correspondência de data e hora decodificada, marcar se o computador que está causando o problema tem um canal seguro estabelecido com um controlador de domínio digitando o seguinte comando em um prompt de comando:

    Nltest /server: **ComputerName** /sc_query: **DomainName**  
    

    Se o computador problemático tiver um canal seguro válido estabelecido com um controlador de domínio, você receberá uma saída semelhante a:

    
     C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
    HAS_IP HAS_TIMESERV  
    Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.  
    
    

    Se o computador problema não tiver um canal seguro válido estabelecido com um controlador de domínio, você receberá uma saída semelhante a:

    
     C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
    Trusted DC Name  
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.  
    
    

Se a data e a hora do evento 5722 e a data e hora decodificadas não corresponderem, a senha da conta do computador problemático poderá não corresponder à senha que está no controlador de domínio. Esse problema pode ocorrer em qualquer uma das seguintes circunstâncias:

• Um administrador redefine uma conta de computador usando Usuários e Computadores do Active Directory ou outra ferramenta, como Netdom.exe.
• Um novo computador é ingressado no domínio usando um nome que já existe no domínio.

Essa mensagem não será registrada se um computador atualizar sua própria senha de conta de computador.

Para resolve problemas relacionados a nomes de computador duplicados, volte o computador original para o domínio.

Você pode ignorar o evento 5722 se ambas as seguintes condições forem verdadeiras:

• Se a data e a hora do evento 5722 e a data e hora decodificadas corresponderem.
• Um canal seguro válido é estabelecido entre o computador problemático e um controlador de domínio.

Os administradores também podem consultar informações do Active Directory de qualquer computador no domínio usando Ldp.exe. A versão de Ldp.exe incluída nas Ferramentas de Suporte do Pacote de Serviço 2 do Windows XP também pode ser usada para decodificar o valor PwdLastSet.

Referências

Para obter informações adicionais sobre como habilitar o registro em log de depuração, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

109626 habilitando o registro em log de depuração para o serviço de Logon Net