Obnovení zabezpečeného kanálu člen domény

Příznaky

Člen domény služby Netlogon může protokolovat chyby 3210 nebo 5721, ale služba Netlogon zaznamená chyba 5722 v protokolu systémových událostí řadiče domény.


Také zobrazí následující zpráva přihlášení při pokusu o přihlášení k doméně systému Windows NT z počítače se systémem Windows NT Workstation nebo Windows NT Server, který je členem domény:


   The system cannot log you on to this domain because the system's
computer account in its primary domain is missing or the password on
that account is incorrect.



K těmto problémům může dojít, pokud je splněna některá z následujících podmínek:


  • Název člena domény bylo nedávno změněno.
  • Záchranná opravná disketa byla použita, ale obsahoval staré informace.
  • Účet počítače členů domény byla odebrána.
Postup popsaný v tomto článku obnovení zabezpečeného kanálu člen pomocí jediného příkazového řádku namísto mnoha operací v rámci správce serveru. Tento postup vyžaduje nástroj NETDOM, který je součástí systému Windows NT 4.0 Resource Kit dodatku 2.

Řešení

UPOZORNĚNÍ: Řešení zahrnuty v tomto článku nebyla testována důkladně v rozsáhlé instalace. Společnost Microsoft nemůže zaručit, že změny domén jako doporučeno zde bude provádět cíle popsané v tomto článku za všech okolností a všech konfigurací.


Pro každého člena existuje diskrétní komunikační kanál (to znamená, že je zabezpečený kanál) s řadičem domény. Zabezpečený kanál slouží služba Netlogon daného člena a řadiče domény pro komunikaci. Nástroj příkazového řádku NETDOM umožňuje obnovení zabezpečeného kanálu člen.


Předpokládejme, že máte člena domény s názvem ČLEN_DOMÉNY. Kanál zabezpečení člena můžete obnovit pomocí následujícího příkazu:

   NETDOM MEMBER \\DOMAINMEMBER /JOINDOMAIN


Spuštěním příkazu výše na člena ČLEN_DOMÉNY nebo jakékoli jiného člena nebo řadiči domény v doméně za předpokladu, že jste přihlášeni pomocí účtu, který má přístup správce do domény ČLEN_DOMÉNY.


Výstup od příkazu by měl být podobný následujícímu:

   Searching PDC for domain DOMAIN ...
Found PDC \\DOMAINPDC
Querying domain information on PDC \\DOMAINPDC ...
Querying domain information on computer \\DOMAINMEMBER ...
Computer \\DOMAINMEMBER is already a member of domain DOMAIN.
Verifying secure channel on \\DOMAINMEMBER ...
Verifying the computer account on the PDC \\DOMAINPDC ...
Resetting secure channel ...
Changing computer account on PDC \\DOMAINPDC ...
Stopping service NETLOGON on \\DOMAINMEMBER .... stopped.
Starting service NETLOGON on \\DOMAINMEMBER .... started.
Querying user groups of \\DOMAINMEMBER ...
Adding DOMAIN domain groups on \\DOMAINMEMBER ...

The computer \\DOMAINMEMBER joined the domain DOMAIN successfully.

Logoff/Logon \\DOMAINMEMBER to take modifications into effect.

Další informace


Předpokládejme, že máte následující konfiguraci:

Doména = DOMÉNA
DC = DOMAINDC (řadič domény)
ČLENA ČLEN_DOMÉNY =

Když členský server připojen k doméně, je vytvořen účet počítače (je možné pomocí Správce serveru zobrazit účet počítače). Výchozí heslo určené pro účet počítače a člen heslo uloženo v úložišti místního úřadu zabezpečení (LSA) tajné $MACHINE.ACC. Ve výchozím nastavení se změní heslo každých sedm dnů.


Každý člen udržuje takového serveru LSA tajné, který je používán službou Netlogon k navázání zabezpečeného kanálu. Pokud z nějakého důvodu heslo účtu počítače a utajení LSA nejsou synchronizovány, služba Netlogon zaznamená chybová zpráva:

   NETLOGON Event ID 3210:

Failed to authenticate with \\DOMAINDC, a Windows NT domain controller
for domain DOMAIN.


Pokud účet počítače byl odstraněn, je zaznamenána následující chyba člen služba Netlogon:

   NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller <Unknown> for the
domain DOMAIN failed because the Windows NT Domain Controller does not
have an account for the computer DOMAINMEMBER.


Podobně služba Netlogon v řadiči domény zaznamenává následující chyba při není synchronizována hesla:

   NETLOGON Event 5722

The session setup from the computer DOMAINMEMBER failed to authenticate.
The name of the account referenced in the security database is
DOMAINMEMBER$. The following error occurred: Access is denied.


Ve všech případech údaj události obsahuje chybu. Například Chyba 0xC0000022 znamená, že heslo účtu počítače je neplatný; Chyba 0xC000018B znamená, že účet počítače byl odstraněn a tak dále.


Další informace o zabezpečených kanálů naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:


ID ČLÁNKU: 131366
NÁZEV: Událost Chyba 5712 stav přístup odepřen



ID ČLÁNKU: 142869
NÁZEV: Zobrazí událost ID 3210 a 5722 při synchronizaci celou doménu



ČLÁNEK ID: 149664
NÁZEV: Ověření domény Netlogon synchronizace



ID ČLÁNKU: 158148
NÁZEV: Domény zabezpečeného kanálu nástroje--Nltest.exe


Vlastnosti

ID článku: 175024 - Poslední kontrola: 10. 1. 2017 - Revize: 1

Váš názor