Обобщена информация

За всяка работна станция или сървър на Windows 2000 или Windows XP, който е член на домейн, има отделен комуникационен канал, известен като канал за защита, с домейнов контролер.Паролата на канала за защита се съхранява заедно с акаунта на компютъра на всички домейнови контролери. За Windows 2000 или Windows XP периодът на промяна на паролата по подразбиране за акаунт на компютър е на всеки 30 дни. Ако по някаква причина паролата на акаунта на компютъра и тайната на LSA не се синхронизират, услугата Netlogon регистрира едното или и двете от следните съобщения за грешка:

NETLOGON Event ID 5723:Инсталирането на сесията от домейна на компютъра не успя да се удостовери. Името на акаунта, посочен в базата данни за защита, е DOMAINMEMBER$. Възникна следната грешка: Отказан е достъп.

NETLOGON Event ID 3210:Неуспешно удостоверяване с \\DOMAINDC, домейнов контролер на Windows NT за домейн домейн.

Услугата Netlogon на домейновия контролер регистрира следното съобщение за грешка, когато паролата не е синхронизирана:

NETLOGON ИД на събитие 5722:Инсталирането на сесията от ComputerName не успя да бъде удостоверено. Името на акаунта, посочен в базата данни за защита, е AccountName$.Възникна следната грешка: Отказан е достъп.

Тази статия описва четири начина за нулиране на компютърни акаунти в Windows 2000 или Windows XP. Тези методи са следните:

  • Използване на инструмента за команден ред на Netdom.exe

  • Използване на инструментаза команден ред на Nltest.exe Забележка Инструментите за Netdom.exe и Nltest.exe се намират на Windows Server CD-ROM в папката Support\Tools. За да инсталирате тези инструменти, изпълнете Setup.exe или извлечете файловете от Support.cab файл.

  • Използване на Потребители и компютри в Active Directory конзолата за управление на Microsoft (MMC)

  • Използване на скрипт на Microsoft Visual Basic

Тези инструменти позволяват отдалечено и не отдалечено администриране. Netdom.exe и Nltest.exe са инструменти от командния ред, които нулират успешно установен канал за защита. Не можете да използвате тези инструменти, когато каналът за защита е повреден и комуникацията не работи правилно.

Повече информация

Netdom.exe

За всеки член има отделен комуникационен канал (канал за защита) с домейнов контролер. Каналът за защита се използва от услугата Netlogon на члена и на домейновия контролер за комуникация. Netdom дава възможност да се нулира каналът за защита на члена. Можете да нулирате канала за защита на членовете, като използвате следната команда:

netdom reset "machinename" /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domain where the computer/machine account is stored.Да предположим, че имате член на домейн с име DOMAINMEMBER в домейн, наречен MYDOMAIN. Можете да нулирате канала за защита на членовете, като използвате следната команда:

netdom reset domainmember /domain:mydomainМожете да изпълните тази команда на члена DOMAINMEMBER или на всеки друг член или домейнов контролер на домейна, при условие че сте влезли с акаунт, който има администраторски достъп до DOMAINMEMBER.

Nltest.exe

Nltest.exe може да се използва за тестване на взаимоотношението с гарант между компютър с Windows 2000 или Windows XP, който е член на домейн, и домейнов контролер, на който се намира неговият акаунт на машина.

използване на C:\Ntreskit\Nltest.exe: nltest [/OPTIONS] /SC_QUERY:DomainName – канал за защита на заявка за домейн в ServerName /SERVER:ServerName /SC_VERIFY:DomainName – Проверява канала за защита в указания домейн за локална или отдалечена работна станция, сървър или домейнов контролер. Флагове: 30 HAS_IP HAS_TIMESERV надеждно DC име \\server.windows2000.com Състояние на надеждна DC връзка = 0 0x0 NERR_SuccessКомандата завърши успешно

Потребители и компютри в Active Directory (DSA)

С Windows 2000 или Windows XP можете също да нулирате акаунта на машината от графичния потребителски интерфейс (GUI). В Потребители и компютри в Active Directory MMC (DSA) можете да щракнете с десния бутон върху обекта на компютъра в компютри или подходящ контейнер и след това да щракнете върху Нулиране на акаунт. Това нулира акаунта на машината. Нулирането на паролата за домейнови контролери, използващи този метод, не е разрешено. Нулирането на акаунт на компютър прекъсва връзката на този компютър с домейна и го изисква да се присъедини отново към домейна. Забележка Това ще попречи на установен компютър да се свърже с домейна и трябва да се използва само за компютър, който току-що е бил възстановен.

Скрипт на Microsoft Visual Basic

Можете да използвате скрипт, за да нулирате акаунта на компютъра. Трябва да се свържете с акаунта на компютъра с помощта на интерфейса IADsUser. След това можете да използвате метода SetPassword, за да зададете началната стойност на паролата. Началната парола на компютъра винаги е "име_на_компютър$".Следните примерни скриптове може да не работят във всички среди и трябва да бъдат тествани преди внедряването. Първият пример е за акаунти на компютър с Windows NT 4.0, а вторият е за акаунти за компютър с Windows 2000 или Windows XP.

Пример 1

Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit

Пример 2

Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit

За повече информация как да определите дали датата и часът на събитието 5722 съвпадат с декодираната дата и час, щракнете върху следните номера на статии в базата знания на Microsoft:

175024 Нулиране на защитения канал на членовете на домейна

810977 ИД на събитие 5722 е регистрирано в домейновия контролер, базиран на Windows 2000 Server

Facebook LinkedIn Имейл

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност