Событие с идентификатором 5722 регистрируется на контроллере домена.

  • Статья

В этой статье описывается, как диагностировать и устранить проблему, из-за которой событие 5722 отображается в системном журнале контроллера домена.

Применимо к: Windows 2000
Исходный номер базы знаний: 810977

Примечание.

Эта статья относится к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Дополнительные сведения см. в статье Политика жизненного цикла служба поддержки Майкрософт.

Сводка

При использовании Просмотр событий для просмотра системного журнала на контроллере домена Windows может быть зарегистрировано событие 5722. Эта проблема может возникнуть в любом из двух сценариев:

  • При обновлении пароля учетной записи компьютера с помощью контроллера домена
  • При присоединении компьютера к домену с именем, которое уже существует

В этой статье описывается, как отличить эти два сценария и как устранить проблему.

Симптомы

На контроллере домена Microsoft Windows в системный журнал регистрируется следующее событие:

Тип события: Ошибка
Источник события: NETLOGON
Категория события: None
Идентификатор события: 5722
Дата: Дата
Время: время
Пользователь: Н/Д
Computer: ComputerName
Описание. Не удалось пройти проверку подлинности при настройке сеанса с компьютера ComputerName . Имя учетной записи, на который ссылается база данных безопасности, — AccountName $.
Произошла следующая ошибка:
Отказ в доступе.

Причина

В домене Microsoft Windows, начиная с Windows 2000, дискретный канал связи помогает обеспечить более безопасный путь связи между контроллером домена и рядовыми серверами или рабочими станциями. Этот канал называется защищенным. При присоединении компьютера к домену создается учетная запись компьютера, а пароль предоставляется компьютеру и домену. По умолчанию этот пароль меняется каждые 30 дней. Пароль безопасного канала хранится вместе с учетной записью компьютера на основном контроллере домена (PDC). Пароль реплицируется на все реплика контроллеры домена.

Событие 5722 регистрируется в следующих сценариях:

  • Когда компьютер обновляет пароль своей учетной записи компьютера с помощью контроллера домена, событие регистрируется в системном журнале контроллера домена для проверки подлинности.

    В этом сценарии безопасный канал компьютера с контроллером домена проверки подлинности по-прежнему действителен.

  • При присоединении компьютера к домену с помощью имени, которое уже используется другим компьютером, или при сбросе существующей учетной записи компьютера. Существующую учетную запись компьютера можно сбросить с помощью Пользователи и компьютеры Active Directory или служебной программы Netdom.exe.

    В этом сценарии пароль учетной записи компьютера не совпадает с паролем на контроллере домена, и вы не можете задать безопасный канал с исходного компьютера на контроллер домена.

Разрешение

Предупреждение

Если вы используете оснастку "Редактирование ADSI", программу LDP или любой другой клиент LDAP версии 3 и неправильно изменяете атрибуты объектов Active Directory, вы можете вызвать серьезные проблемы. Эти проблемы могут потребовать переустановки Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 или Windows и Exchange. Корпорация Майкрософт не может гарантировать, что проблемы, возникающие при неправильном изменении атрибутов объекта Active Directory, могут быть решены. Измените эти атрибуты на свой страх и риск.

Чтобы устранить эту проблему, сначала определите, какой сценарий является причиной проблемы. Вы можете выполнить следующие действия:

  1. Обратите внимание на дату и время регистрации события в системном журнале.

  2. Нажмите кнопку Пуск, наведите указатель на пункт Программы, наведите указатель на пункт Набор ресурсов, а затем выберите Пункт Консоль управления средствами.

  3. В дереве консоли щелкните Сервис от A до Z.

  4. В области сведений щелкните ADSI Редактор.

    Примечание.

    Редактирование ADSI входит в состав средств поддержки Windows. Средства поддержки Windows можно установить из папки Support\Tools компакт-диска Windows 2000 Server.

    Чтобы установить редактор ADSI на компьютерах с операционными системами Windows Server® 2003 или Windows® XP, установите средства поддержки Windows Server 2003 с компакт-диска windows Server 2003. Дополнительные сведения об установке средств поддержки Windows с компакт-диска продукта см. в разделе Установка средств поддержки Windows.

    На серверах под управлением Windows Server 2008 или Windows Server 2008 R2 при установке роли доменные службы Active Directory (AD DS) устанавливается редактор ADSI, чтобы сделать сервер контроллером домена. Вы также можете установить средства удаленного администрирования сервера Windows Server 2008 (RSAT) на рядовых серверах домена или автономных серверах. Конкретные инструкции см. в статье Установка или удаление пакета средств удаленного администрирования сервера.

    Чтобы установить ADSI Edit на компьютерах под управлением Windows Vista® с пакетом обновления 1 (SP1) или Windows 7, необходимо установить RSAT.

  5. В разделе Редактирование ADSI найдите и щелкните правой кнопкой мыши компьютер, который вызывает проблему.

  6. Выберите команду Свойства.

  7. В разделе Выбор свойств для просмотра нажмите кнопку Оба.

  8. В разделе Выберите свойство для просмотра щелкните PwdLastSet.

    ntte Если значение не преобразуется в пользовательском интерфейсе в удобочитаемую метку даты и времени, выполните следующую команду или перейдите к шагу 9 для альтернативного метода:

    w32tm /ntte pwdlastsetvalue

  9. Скопируйте значение, которое отображается в поле Значения, в буфер обмена.

  10. Нажмите кнопку Пуск, выберите Пункт Программы, Стандартные и Калькулятор.

  11. В меню Вид выберите пункт Научный.

  12. Нажмите кнопку Dec , чтобы задать десятичную нумеровую систему.

  13. Вставьте значение из буфера обмена в калькулятор.

  14. Чтобы изменить значение с десятичной на шестнадцатеричную, щелкните Шестнадцатеричная.

  15. В меню Правка выберите команду Копировать.

  16. Вставьте шестнадцатеричное число из буфера обмена в файл в Блокноте.

  17. Подсчитайте восемь символов из крайнего правого символа шестнадцатеричной строки и нажмите клавишу ПРОБЕЛ.

    Примечание.

    Это действие разделяет шестнадцатеричную строку на две шестнадцатеричные строки.

  18. Если шестнадцатеричная строка слева содержит только семь символов, добавьте ноль в начало строки.

  19. В командной строке введите

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString

    Вы получите следующие выходные данные:

     C:\>nltest /time:a25cc370 01c294bc  
 a25cc370 01c294bc = 11/25/2002 13:55:41  
 The command completed successfully.

  20. Запишите декодированные дату и время.

  21. Проверьте, совпадают ли дата и время, отмеченные на шаге 1, а также декодированные дата и время, отмеченные на шаге 20.

  22. Если дата и время события 5722 были зарегистрированы, а декодированные дата и время совпадают, проверка, установлен ли на компьютере, вызвавшем проблему, безопасный канал с контроллером домена, введя следующую команду в командной строке:

    Nltest /server: **ComputerName** /sc_query: **DomainName**

    Если на проблемном компьютере установлен допустимый безопасный канал с контроллером домена, вы получите выходные данные, аналогичные следующим:

    
 C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
HAS_IP HAS_TIMESERV  
Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.

    Если на проблемном компьютере нет допустимого безопасного канала, установленного с контроллером домена, вы получите выходные данные, аналогичные следующим:

    
 C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
Trusted DC Name  
Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.

Если дата и время события 5722 и декодированные дата и время не совпадают, пароль учетной записи проблемного компьютера может не совпадать с паролем на контроллере домена. Эта проблема может возникнуть при любом из следующих обстоятельств:

  • Администратор сбрасывает учетную запись компьютера с помощью Пользователи и компьютеры Active Directory или другого средства, например Netdom.exe.
  • Новый компьютер присоединяется к домену с использованием имени, которое уже существует в домене.

Примечание.

Если ведение журнала службы Netlogon включено для контроллера домена, проверьте этот сценарий, проверив запись Netlogon.log, аналогичную следующей:

05/06 13:35:25 [MISC] NlMainLoop: уведомление о добавлении (или изменении) учетной записи доверия TRUSTING_DOMAIN$ 0x#### 4

Это сообщение не регистрируется, если компьютер обновляет собственный пароль учетной записи компьютера.

Чтобы устранить проблемы, связанные с повторяющимися именами компьютеров, повторно присоедините исходный компьютер к домену.

Событие 5722 можно игнорировать, если выполняются оба следующих условия:

  • Значение , если дата и время события 5722 и декодированные дата и время совпадают.
  • Между проблемным компьютером и контроллером домена устанавливается допустимый безопасный канал.

Примечание.

Если выполняются оба этих условия, событие 5722 регистрируется на контроллере домена, когда компьютер пытается пройти проверку подлинности с помощью контроллера домена во время обновления учетной записи компьютера.

Администраторы также могут запрашивать сведения Active Directory с любого компьютера в домене с помощью Ldp.exe. Версия Ldp.exe, включенная в средства поддержки Windows XP с пакетом обновления 2 (SP2), также может использоваться для декодирования значения PwdLastSet.

Ссылки

Чтобы получить дополнительные сведения о включении ведения журнала отладки, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

109626 включение ведения журнала отладки для службы "Сетевой вход"