Zusammenfassung
Für jede Windows 2000- oder Windows XP-Arbeitsstation oder jeden Server, der Mitglied einer Domäne ist, gibt es einen diskreten Kommunikationskanal, der als Sicherheitskanal bezeichnet wird, mit einem Domänencontroller.Das Kennwort des Sicherheitskanals wird zusammen mit dem Computerkonto auf allen Domänencontrollern gespeichert. Für Windows 2000 oder Windows XP beträgt der Standardzeitraum für die Kennwortänderung des Computerkontos alle 30 Tage. Wenn das Kennwort des Computerkontos und das LSA-Geheimnis aus irgendeinem Grund nicht synchronisiert sind, protokolliert der Netlogon-Dienst eine oder beide der folgenden Fehlermeldungen:
NETLOGON-Ereignis-ID 5723: Die Sitzungseinrichtung vom Computer DOMAINMEMBER konnte nicht authentifiziert werden. Der Name des Kontos, auf das in der Sicherheitsdatenbank verwiesen wird, lautet DOMAINMEMBER$. Der folgende Fehler ist aufgetreten: Der Zugriff wurde verweigert.
NETLOGON-Ereignis-ID 3210: Fehler bei \\DOMAINDC, einem Windows NT-Domänencontroller für domänendomäne.
Der Netlogon-Dienst auf dem Domänencontroller protokolliert die folgende Fehlermeldung, wenn das Kennwort nicht synchronisiert wird:
NETLOGON-Ereignis-ID 5722: Die Sitzungseinrichtung vom Computer ComputerName konnte nicht authentifiziert werden. Der Name des Kontos, auf das in der Sicherheitsdatenbank verwiesen wird, lautet AccountName$.Der folgende Fehler ist aufgetreten:Der Zugriff wurde verweigert.
In diesem Artikel werden vier Möglichkeiten zum Zurücksetzen von Computerkonten in Windows 2000 oder Windows XP beschrieben. Diese Methoden sind wie folgt:
-
Verwenden des Netdom.exe-Befehlszeilentools
-
Verwenden des Nltest.exe-BefehlszeilentoolsHinweis Die tools Netdom.exe und Nltest.exe befinden sich auf der Windows Server CD-ROM im Ordner Support\Tools. Führen Sie zum Installieren dieser Tools Setup.exe aus, oder extrahieren Sie die Dateien aus der Support.cab-Datei.
-
Verwenden der Active Directory-Benutzer und -Computer Microsoft Management Console (MMC)
-
Verwenden eines Microsoft Visual Basic-Skripts
Diese Tools ermöglichen die Remote- und Nicht-Remoteverwaltung. Netdom.exe und Nltest.exe sind Befehlszeilentools, die einen erfolgreich eingerichteten Sicherheitskanal zurücksetzen. Sie können diese Tools nicht verwenden, wenn der Sicherheitskanal unterbrochen ist und die Kommunikation nicht ordnungsgemäß funktioniert.
Weitere Informationen
Netdom.exe
Für jedes Mitglied gibt es einen separaten Kommunikationskanal (den Sicherheitskanal) mit einem Domänencontroller. Der Sicherheitskanal wird vom Netlogon-Dienst auf dem Mitglied und auf dem Domänencontroller für die Kommunikation verwendet. Netdom ermöglicht das Zurücksetzen des Sicherheitskanals des Mitglieds. Sie können den Mitgliedssicherheitskanal mit dem folgenden Befehl zurücksetzen:
netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domain where the computer/machine account is stored.Angenommen, Sie haben ein Domänenmitglied namens DOMAINMEMBER in einer Domäne namens MYDOMAIN. Sie können den Mitgliedssicherheitskanal mit dem folgenden Befehl zurücksetzen:
netdom reset domainmember /domain:mydomainSie können diesen Befehl auf dem Mitglied DOMAINMEMBER oder auf jedem anderen Mitglied oder Domänencontroller der Domäne ausführen, sofern Sie mit einem Konto angemeldet sind, das über Administratorzugriff auf DOMAINMEMBER verfügt.
Nltest.exe
Nltest.exe kann verwendet werden, um die Vertrauensstellung zwischen einem Computer unter Windows 2000 oder Windows XP, der Mitglied einer Domäne ist, und einem Domänencontroller zu testen, auf dem sich das Computerkonto befindet.
C:\Ntreskit\Nltest.exeUsage: nltest [/OPTIONS] /SC_QUERY:DomainName – Abfragen des Sicherheitskanals für die Domäne auf ServerName /SERVER:ServerName /SC_VERIFY:Domänenname – Überprüft den Sicherheitskanal in der angegebenen Domäne für eine lokale oder Remotearbeitsstation, einen Server oder Domänencontroller. Flags: 30 HAS_IP HAS_TIMESERV Name des vertrauenswürdigen DC \\server.windows2000.com Status der vertrauenswürdigen DC-Verbindung Status = 0 0x0 NERR_SuccessDer Befehl wurde erfolgreich abgeschlossen.
Active Directory-Benutzer und -Computer (DSA)
Mit Windows 2000 oder Windows XP können Sie das Computerkonto auch über die grafische Benutzeroberfläche (GUI) zurücksetzen. Im Active Directory-Benutzer und -Computer MMC (DSA) können Sie mit der rechten Maustaste auf das Computerobjekt in den Computern oder dem entsprechenden Container klicken und dann auf Konto zurücksetzen klicken. Dadurch wird das Computerkonto zurückgesetzt. Das Zurücksetzen des Kennworts für Domänencontroller mit dieser Methode ist nicht zulässig. Durch das Zurücksetzen eines Computerkontos wird die Verbindung dieses Computers mit der Domäne unterbrochen, und er muss der Domäne erneut beitreten. Hinweis Dadurch wird verhindert, dass ein etablierter Computer eine Verbindung mit der Domäne herstellt und nur für einen Computer verwendet werden sollte, der gerade neu erstellt wurde.
Microsoft Visual Basic-Skript
Sie können ein Skript verwenden, um das Computerkonto zurückzusetzen. Sie müssen über die IADsUser-Schnittstelle eine Verbindung mit dem Computerkonto herstellen. Anschließend können Sie die SetPassword-Methode verwenden, um das Kennwort auf einen Anfangswert festzulegen. Das anfängliche Kennwort eines Computers lautet immer "Computername$".Die folgenden Beispielskripts funktionieren möglicherweise nicht in allen Umgebungen und sollten vor der Implementierung getestet werden. Das erste Beispiel gilt für Windows NT 4.0-Computerkonten und das zweite für Windows 2000- oder Windows XP-Computerkonten.
Beispiel 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Beispiel 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Weitere Informationen zum Ermitteln, ob das Datum und die Uhrzeit des Ereignisses 5722 mit dem decodierten Datum und der decodierten Uhrzeit übereinstimmen, finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
175024 Zurücksetzen des sicheren Kanals für Domänenmitglied
810977 Ereignis-ID 5722 wird auf Ihrem Windows 2000 Server-basierten Domänencontroller protokolliert
