Обобщена информация
За всеки Windows 2000 или Windows XP Workstation или сървър, който е член на домейн, има дискретен комуникационен канал, известен като канал за защита, с домейнов контролер. Паролата за канала за защита се записва заедно с акаунта на компютъра на всички домейнови контролери. За Windows 2000 или Windows XP периодът на промяна на паролата за акаунт на компютър по подразбиране е на всеки 30 дни. Ако поради някаква причина паролата на акаунта за компютъра и LSA тайната не се синхронизират, Netlogon Service регистрира едно или и двете от следните съобщения за грешка:
ИД на NETLOGON Event 5723: настройката за сесия от компютъра DOMAINMEMBER неуспешно удостоверяване. Името на акаунта, препращан в базата данни за защита, е DOMAINMEMBER $. Възникна следната грешка: Достъпът е отказан.
ИД на NETLOGON Event 3210: неуспешно удостоверяване с \\DOMAINDC – контролер за домейн на Windows NT за домейн.
Услугата Netlogon на домейновия контролер регистрира следното съобщение за грешка, когато паролата не е синхронизирана:
ИД на NETLOGON Event 5722: настройката за сесия от компютъра ComputerName неуспешно удостоверяване. Името на акаунта, препращан в базата данни за защита, е AccountName $. Възникна следната грешка: Достъпът е отказан.
В тази статия са описани четири начина за нулиране на акаунтите на компютъра в Windows 2000 или Windows XP. Тези методи са следните:
-
Използване на инструмента за команден ред на Netdom. exe
-
Чрез инструмента за команден ред на Nltest. exeИмайте предвид , че инструменти на Netdom. exe и Nltest. exe се НАМИРАТ в компактдиска на Windows Server в папката Support\Tools. За да инсталирате тези инструменти, изпълнете инсталиращата програма. exe или извлечете файловете от файла support. cab.
-
Използване на конзолата за управление на потребители и компютри на Microsoft
-
Използване на скрипт на Microsoft Visual Basic
Тези инструменти позволяват отдалечено и неотдалечено администриране. Netdom. exe и Nltest. exe са инструменти за команден ред, които нулират успешно установен канал за защита. Не можете да използвате тези инструменти, когато Каналът за защита е повреден и комуникацията не работи правилно.
Повече информация
Netdom.exe
За всеки член има дискретен комуникационен канал (Каналът за защита) с домейнов контролер. Каналът за защита се използва от услугата Netlogon на члена и на домейновия контролер за комуникация. Netdom дава възможност да нулирате канала за защита на члена. Можете да нулирате канала за защита на държавите с помощта на следната команда:
Netdom нулиране на "machinename"/Domain: "domainnameкъдето "machinename" = името на локалния компютър и "domainname" = домейна, в който се съхранява акаунтът за компютър/машина. Да предположим, че имате домейн член на име DOMAINMEMBER в домейн, наречен MYDOMAIN. Можете да нулирате канала за защита на държавите с помощта на следната команда:
Netdom нулиране на domainmember/Domain: MyDomainМожете да изпълните тази команда на член DOMAINMEMBER или на друг член или домейнов контролер на домейна, при условие че сте влезли с акаунт, който има администраторски достъп до DOMAINMEMBER.
Nltest.exe
Nltest. exe може да се използва, за да тества релацията на доверие между компютър, на който се изпълнява Windows 2000 или Windows XP, което е член на домейн и домейнов контролер, на който се намира неговият акаунт за машина.
C:\Ntreskit\Nltest.exeUsage: Nltest [/OPTIONS]/SC_QUERY:DomainName – канал за защита на заявки за домейн в ServerName /Server:ServerName /SC_VERIFY:DomainName -проверява канала за защита в указания домейн за локална или отдалечена работна станция, сървър или домейнов контролер. Флагове: 30 HAS_IP HAS_TIMESERV надеждно име на DC \ \ server.windows2000.com надежден статус на състоянието на връзката на DC = 0 0x0 NERR_SuccessThe командата е изпълнена успешно
Потребители и компютри на Active Directory (DSA)
С Windows 2000 или Windows XP можете също да нулирате акаунта на машината от графичния потребителски интерфейс (GUI). В списъка с потребители и компютри на Active Directory (DSA) можете да щракнете с десния бутон върху обекта на компютъра в компютрите или подходящия контейнер и след това да щракнете върху Начално състояние на акаунт. Това нулира акаунт за машина. Нулирането на паролата за домейнови контролери с помощта на този метод не е разрешено. Нулирането на компютърен акаунт прекъсва връзката на компютъра с домейна и му изисква да се присъедини отново към домейна. Забележка Това ще предотврати свързването на установен компютър към домейна и трябва да се използва само за компютър, който току-що е възстановен.
Скрипт за Microsoft Visual Basic
Можете да използвате скрипт, за да нулирате акаунта на устройството. Трябва да се свържете с акаунта на компютъра с помощта на интерфейса на IADsUser. След това можете да използвате метода SetPassword, за да зададете паролата на първоначална стойност. Първоначалната парола на компютъра винаги е "computername $". Следните примерни скриптове може да не работят във всички среди и трябва да бъдат тествани преди изпълнението. Първият пример е за акаунтите за компютри с Windows NT 4,0, а вторият е за акаунтите за компютри с Windows 2000 или Windows XP.
Пример 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.QuitПример 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.QuitЗа повече информация как да определите дали дата и час на събитието 5722 съвпадат с декодираните дата и час, щракнете върху следните номера на статии, за да видите статията в базата знания на Microsoft:
175024 Нулиране на защитения канал за член на домейна
810977 ИД на събитие 5722 е влязъл на вашия домейн контролер, базиран на Windows 2000 Server
