На контроллере домена под управлением Windows Server 2000 регистрируется событие с кодом 5722

Переводы статьи Переводы статьи
Код статьи: 810977 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

При просмотре системного журнала на контроллере домена под управлением Windows Server 2000 с помощью средства «Просмотр событий» в журнале может содержаться запись о событии 5722. Эта проблема может возникнуть в двух случаях:
  • Когда компьютер обновляет пароль учетной записи с помощью контроллера домена
  • Когда компьютер входит в домен, используя уже существующее имя
Данная статья поможет научиться различать эти два случая и устранять указанную проблему.

Проблема

В контроллере домена под управлением Microsoft Windows 2000 в системном журнале зарегистрировано следующее событие:
Тип события: Ошибка
Источник события: Служба входа в сеть
Категория: отсутствует
Код (ID): 5722
Дата: дата
Время: время
Пользователь: Н/Д
Компьютер: имя_компьютера
Описание: При установке сеанса компьютера имя_компьютера не получено подтверждение имен. В базе данных защиты содержатся ссылки на учетную запись имя_учетной_записи$.
Произошла следующая ошибка:
Отказано в доступе.

Причина

В домене Microsoft Windows 2000 отдельный канал связи позволяет установить более безопасный путь связи между контроллером домена и рядовыми серверами или рабочими станциями, являющимися его членами. Этот канал называется безопасным каналом. Когда компьютер включается в домен, создается его учетная запись, и для домена и компьютера используется один пароль. По умолчанию этот пароль меняется каждые 30 дней. Пароль безопасного канала хранится вместе с учетной записью компьютера на основном контроллере домена (PDC). Этот пароль также реплицируется на все резервные контроллеры домена (BDC).

Событие с кодом 5722 регистрируется в следующих случаях:
  • Когда компьютер обновляет свой пароль учетной записи с помощью контроллера домена, событие регистрируется в системном журнале проверяющего контроллера домена.

    В этом случае безопасный канал компьютера с проверяющим контроллером домена остается действительным.
  • Когда компьютер включается в домен с именем, которое уже используется другим компьютером, или когда существующая учетная запись компьютера обнуляется. Существующая учетная запись компьютера может быть обнулена с помощью оснастки «Пользователи и компьютеры Active Directory» или служебной программы Netdom.exe.

    В этом случае пароль учетной записи компьютера не совпадает с паролем на контроллере домена, поэтому невозможно установить безопасный канал между компьютером и контроллером домена.

Решение

Предупреждение. Неправильное изменение атрибутов объектов службы каталогов Active Directory с помощью оснастки «Редактирование ADSI», средства LDP или любого другого клиента LDAP версии 3 может вызвать возникновение серьезных неполадок. В некоторых случаях их устранение связано с переустановкой Windows 2000 Server, Windows Server 2003, Exchange 2000 Server, Exchange Server 2003 или операционной системы Windows одновременно с сервером Exchange. Корпорация Майкрософт не гарантирует устранения неполадок, являющихся результатом неправильного изменения атрибутов объектов службы каталогов Active Directory. Ответственность за результаты произведенных действий несет пользователь.

Для решения этой проблемы сначала определите, что именно послужило причиной проблемы. Для этого выполните следующие действия:
  1. Запомните дату и время регистрации события в системном журнале.
  2. Нажмите кнопку Пуск, выделите пункт Программы, затем пункт Resource Kit и выберите команду Консоль управления средствами.
  3. В дереве консоли выберите Средства от А до Я.
  4. В области сведений выберите Редактор ADSI.

    Примечание. Оснастка «Редактирование ADSI» входит в состав средств поддержки Windows. Средства поддержки Windows можно установить из папки Support\Tools, содержащейся на компакт-диске с ОС Windows 2000 Server.

    Дополнительные сведения об установке средств поддержки Windows 2000 см. в следующей статье базы знаний Майкрософт:
    301423 Установка средств поддержки Windows 2000 на компьютер под управлением Windows 2000 Server (эта ссылка может указывать на содержимое полностью или частично на английском языке.)
  5. В оснастке «Редактирование ADSI» найдите и щелкните правой кнопкой мыши компьютер, вызывающий проблему.
  6. Выберите пункт Свойства.
  7. В списке Select which properties to view выберите значение Both.
  8. В списке Select a property to view выберите параметр PwdLastSet.
  9. Скопируйте значение из поля Value(s) в буфер обмена.
  10. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Калькулятор.
  11. В меню Вид выберите команду Инженерный.
  12. Выберите Dec, чтобы установить десятичную систему исчисления.
  13. Вставьте в окно калькулятора содержимое буфера обмена.
  14. Чтобы перевести это значение из десятичной в шестнадцатеричную систему исчисления, выберите Hex.
  15. В меню Правка выберите команду Копировать.
  16. Вставьте шестнадцатеричное число из буфера обмена в «Блокнот».
  17. Отсчитайте в шестнадцатеричной строке восемь символов, начиная от самого правого, и вставьте после восьмого пробел.

    Примечание. В результате шестнадцатеричная строка разбивается на две.
  18. Если шестнадцатеричная строка слева содержит лишь семь символов, добавьте в начало строки ноль.
  19. В командной строке введите
    Nltest /time:RightSideHexadecimalstringLeftSideHexadecimalString
    . Появится сообщение следующего вида:
    C:\>nltest /time:a25cc370 01c294bc
    a25cc370 01c294bc = 11/25/2002 13:55:41 
    The command completed successfully.
  20. Запомните декодированную дату и время.
  21. Проверьте, совпадают ли дата и время, записанные на первом шаге, с датой и временем шага 20.
  22. Если дата и время регистрации события с кодом 5722 в журнале и декодированные дата и время совпадают, проверьте, установлен ли безопасный канал между компьютером, вызывающим проблему, и контроллером домена. Для этого введите в командной строке следующую команду:
    Nltest /server:имя_компьютера /sc_query:имя_домена
    Если безопасный канал между проблемным компьютером и контроллером домена установлен, появится сообщение следующего вида:
    C:\>Nltest /server:computer1 /sc_query:имя_доменаFlags: 30 HAS_IP  HAS_TIMESERV
    Trusted DC Name \\homenode1.myhouse.comTrusted DC Connection Status Status = 0 0x0 NERR_SuccessThe command completed successfully.
    Если же безопасный канал между проблемным компьютером и контроллером домена не установлен, сообщение будет выглядеть следующим образом:
    C:\>nltest /server:machine1 /sc_query:имя_доменаFlags: 0 
    Trusted DC Name
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIEDThe command completed successfully.
Если дата и время события 5722 и декодированные дата и время не совпадают, пароль учетной записи проблемного компьютера может не соответствовать паролю, хранящемуся на контроллере домена. Этому могут послужить следующие причины.
  • Администратор обнулил учетную запись компьютера с помощью оснастки «Пользователи и компьютеры Active Directory» или другого средства, например Netdom.exe.
  • В домен включился новый компьютер, использующий имя, которое уже есть в домене.
Примечание. Если на контроллере домена ведется журнал службой входа в сеть, то для подтверждения предположений можно просмотреть запись в файле Netlogon.log следующего вида:
05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4
Это сообщение не заносится в журнал, если компьютер обновляет свой пароль учетной записи.

Чтобы устранить проблемы, связанные с идентичными именами компьютеров, еще раз включите компьютер в домен.

Событие 5722 можно игнорировать, если одновременно выполняются два следующих условия:
  • Дата и время события 5722 и декодированные дата и время совпадают.
  • Между проблемным компьютером и контроллером домена установлен безопасный канал.
Примечание. Если выполняются оба условия, в журнале на контроллере домена регистрируется событие с кодом 5722 при попытке компьютера выполнить проверку подлинности с помощью контроллера домена в ходе обновления учетной записи.

Администраторы также могут запрашивать сведения о службе каталогов Active Directory с любого компьютера домена, используя Ldp.exe. Версия программы Ldp.exe, включенная в состав средств поддержки пакета обновления Windows XP Service Pack 2 Support Tools, также может использоваться для декодирования значения PwdLastSet.

Дополнительные сведения о средствах поддержки для Windows XP с пакетом обновления 2 (SP2) см. в следующей статье базы знаний Майкрософт:
838079 Средства поддержки для Windows XP с пакетом обновления 2 (SP2)
Для декодирования значения PwdLastSet можно также использовать служебную программу Windows XP W32tm.exe.

Ссылки

Дополнительные сведения о ведении журнала отладки см. в следующих статьях базы знаний Майкрософт:
221833 Включение журнала отладки пользовательского окружения в розничных версиях Windows
109626 Ведение журнала отладки для службы Net Logon (эта ссылка может указывать на содержимое полностью или частично на английском языке.)

Свойства

Код статьи: 810977 - Последний отзыв: 16 января 2006 г. - Revision: 2.0
Информация в данной статье применима к:
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbtshoot kbeventlog kbprb KB810977

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com