在基于 Windows 2000 Server 的域控制器上记录事件 ID 5722

文章编号: 810977 - 查看本文应用于的产品
机器翻译查看机器翻译免责声明
注意
本文适用于 Windows 2000。Windows 2000 支持的结束,到 2010 7 月 13Windows 2000 End-of-Support Solution Center
(http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000)
是进行规划迁移策略从 Windows 2000 的起始位置。有关详细信息,请参阅 Microsoft Support Lifecycle Policy
(http://support.microsoft.com/lifecycle/)
注意
本文适用于 Windows 2000。Windows 2000 支持的结束,到 2010 7 月 13Windows 2000 End-of-Support Solution Center
(http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000)
是进行规划迁移策略从 Windows 2000 的起始位置。有关详细信息,请参阅 Microsoft Support Lifecycle Policy
(http://support.microsoft.com/lifecycle/)
展开全部 | 关闭全部

概要

当您要查看系统日志,请在基于 Windows 2000 Server 的域控制器中使用事件查看器 ,您可能会发现事件 5722 记录。在上述两种情况可能会出现此问题:
  • 当一台计算机更新其计算机帐户的密码与域控制器
  • 当计算机加入域的名称已存在
本文介绍了如何区分两个方案以及如何解决问题。
回到顶端 | 提供反馈

症状

在基于 Microsoft Windows 2000 的域控制器上是在系统日志中记录以下事件:
事件类型: 错误
事件源: NETLOGON
事件类别: 无
事件 ID: 5722
日期: Date
时间: Time
用户: 不适用
ComputerName 的计算机:
描述: 从计算机的 ComputerName 的会话安装程序无法进行身份验证。在安全数据库中引用该帐户的名称为 AccountName $。
出现以下错误:
访问被拒绝。
回到顶端 | 提供反馈

原因

在 Microsoft Windows 2000 域中一个离散的通讯通道有助于提供更安全的通信路径之间域控制器和成员服务器或工作站。此通道被称为 安全通道。当您将计算机加入到域时,在创建计算机帐户和计算机和域之间共享一个密码。默认状态下,每隔 30 天更改此密码。安全通道的密码与主域控制器 (PDC) 上的计算机帐户一起存储。密码被复制到所有备份域控制器 (bdc)。

事件 5722 被记录在以下情况下:
  • 当一台计算机与域控制器更新其计算机帐户密码时,身份验证的域控制器的系统日志中记录事件。

    在这种情况下与身份验证的域控制器的计算机的安全通道仍然有效。
  • 当您将计算机加入到域通过使用已由另一台的计算机或重置现有的计算机帐户时使用的名称。通过使用 Active Directory 用户和计算机或使用 Netdom.exe 实用程序可能会被重置现有的计算机帐户。

    在这种情况下计算机的帐户的密码与该的域控制器上密码不匹配,您不能设置的安全通道从原始计算机到域控制器。
回到顶端 | 提供反馈

解决方案

警告如果在 ADSI Edit 管理单元中使用 LDP 实用程序或任何其他 LDAP 版本 3 客户,和您错误地修改 Active Directory 对象的属性,您可能会导致严重的问题。这些问题可能要求您重新安装 Microsoft Windows 2000 Server、 Microsoft Windows Server 2003,Microsoft Exchange 2000 Server,Microsoft Exchange Server 2003,或 Windows 和 Exchange。Microsoft 不能保证可以解决您错误地修改 Active Directory 对象属性时出现的问题的。修改这些属性需要您自担风险。

若要解决此问题,首先确定哪种情况下是导致问题的原因。若要这样做,请按照下列步骤操作:
  1. 请注意日期和时间的系统日志中记录了该事件。
  2. 单击 开始,指向 程序、 指向 资源工具包,然后单击 工具管理控制台
  3. 在控制台树中单击 工具 A 到 Z
  4. 在详细信息窗格中单击 ADSI 编辑器

    注意ADSI Edit 将包含在 Windows 支持工具。您可以从 Windows 2000 Server 光盘 Support\Tools 文件夹安装 Windows 支持工具。

    有关如何安装 Windows 支持工具的 Windows 2000 的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    301423
    (http://support.microsoft.com/kb/301423/ )
    如何基于 Windows 2000 Server 的计算机上安装 Windows 2000 支持工具
  5. ADSI 编辑中找到并右键单击引起问题的计算机。
  6. 单击 属性
  7. 选择要查看的属性,单击 两者
  8. 选择要查看的属性,单击 PwdLastSet
  9. 将复制到剪贴板上的 框中显示的值。
  10. 单击 开始、 指向 程序、 指向 附件,然后单击 计算器
  11. 视图 菜单上单击 科学记数
  12. 单击要设置为十进制的编号系统的 十二月
  13. 将值从剪贴板粘贴到计算器。
  14. 要从十进制值更改为十六进制十进制的编号系统中,单击 十六进制
  15. 编辑 菜单上单击 复制
  16. 在记事本中粘贴到一个文件从剪贴板十六进制数。
  17. 计数从右边的大多数字符在十六进制字符串的八个字符,然后按空格键。

    注意此操作将十六进制字符串拆分为两个十六进制字符串。
  18. 如果在左侧十六进制字符串中包含仅七个字符添加到字符串的开头为零。
  19. 在命令提示符键入
    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString
    您会收到与以下内容类似的输出:
    C:\>nltest /time:a25cc370 01c294bc
a25cc370 01c294bc = 11/25/2002 13:55:41 
The command completed successfully.
  20. 请注意已解码的日期和时间。
  21. 检查日期和时间在步骤 1 和解码后的日期中记下的和中记录的时间是否步骤 20 的匹配项。
  22. 如果日期和时间的事件 5722 被记录并已解码的日期和时间匹配检查导致问题的计算机是否具有安全通道建立与域控制器通过在命令提示符处键入以下命令:
    Nltest /server: ComputerName /sc_query: DomainName
    如果问题的计算机中有有效的域控制器建立安全通道您会收到与以下内容类似的输出:
    C:\>Nltest /server:computer1 /sc_query:DomainNameFlags: 30
HAS_IP HAS_TIMESERV
Trusted DC Name \\homenode1.myhouse.comTrusted DC Connection Status Status = 0 0x0 NERR_SuccessThe command completed successfully.
    如果问题的计算机不具有有效的域控制器建立安全通道,则会收到与以下内容类似的输出:
    C:\>nltest /server:machine1 /sc_query:DomainNameFlags: 0 
Trusted DC Name
Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIEDThe command completed successfully.
如果日期和时间的事件 5722 和解码后的日期和时间不匹配,问题的计算机帐户密码可能与域控制器上的密码不匹配。这可能会发生在下列情况之一:
  • 管理员通过使用 Active Directory 用户和计算机或另一个工具 (如 Netdom.exe 重置计算机帐户。
  • 通过使用域中的已存在的名称将在新的计算机加入到域。
注意如果该域控制器的 Netlogon 服务日志记录处于打开状态,您确认这种情况下通过检查一个 Netlogon.log 条目与以下类似:
05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4
如果一台计算机更新它自己的计算机帐户密码,则不记录此消息。

若要解决重复的计算机名称与相关的问题,重新加入到域原始计算机。

如果两个下列条件都为真,则可以忽略事件 5722:
  • 如果日期和事件 5722 的时间和解码后的日期和时间相匹配。
  • 问题的计算机和域控制器之间建立一个有效的安全通道。
注意当这两个条件,则返回 true 时计算机将尝试进行身份验证的域控制器的计算机帐户更新过程中,在域控制器上将记录事件 5722。

管理员还可以通过使用 Ldp.exe 查询 Active Directory 信息从域中任何计算机。 包括在 Windows XP 服务包 2 支持工具中的 Ldp.exe 的版本还可用于进行解码 PwdLastSet 值。

对于 Windows XP 服务包 2 支持工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
838079
(http://support.microsoft.com/kb/838079/ )
Windows XP 服务包 2 支持工具
您还可以使用 Windows XP 实用程序 W32tm.exe 解码 PwdLastSet 值。
回到顶端 | 提供反馈

参考

有关启用调试日志记录的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
221833
(http://support.microsoft.com/kb/221833/ )
如何启用用户环境调试日志记录在零售版本的 Windows
109626
(http://support.microsoft.com/kb/109626/ )
启用调试日志记录的 Net Logon 服务
回到顶端 | 提供反馈

属性

文章编号: 810977 - 最后修改: 2006年10月30日 - 修订: 2.3
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
关键字:?
kbmt kbtshoot kbeventlog kbprb KB810977 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 810977
(http://support.microsoft.com/kb/810977/en-us/ )
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端