Επαναφορά του καναλιού ασφαλείας μέλος τομέα

Συμπτώματα

Το μέλος τομέα, η υπηρεσία Netlogon ενδέχεται να καταγράψει σφάλμα 3210 ή 5721, αλλά η υπηρεσία Netlogon καταγράφει 5722 σφάλμα στο αρχείο καταγραφής συστήματος του ελεγκτή τομέα.


Ενδέχεται επίσης να λάβετε το ακόλουθο μήνυμα σύνδεσης όταν προσπαθείτε να συνδεθείτε με τον τομέα των Windows NT από έναν υπολογιστή που εκτελεί Windows NT Workstation ή Windows NT Server που είναι μέλος του τομέα:


   The system cannot log you on to this domain because the system's
computer account in its primary domain is missing or the password on
that account is incorrect.



Αυτά τα ζητήματα ενδέχεται να προκύψει αν ισχύει κάποια από τις ακόλουθες συνθήκες:


  • Το όνομα του το μέλος τομέα έχει αλλάξει πρόσφατα.
  • Χρησιμοποιήθηκε η Εφεδρική δισκέτα επιδιόρθωσης, αλλά περιέχει παλιές πληροφορίες.
  • Ο λογαριασμός υπολογιστή μέλος τομέα έχει καταργηθεί.
Η διαδικασία που περιγράφεται σε αυτό το άρθρο επαναφέρει το κανάλι ασφαλείας ενός μέλους χρησιμοποιώντας μια απλή γραμμή εντολών αντί για πολλές λειτουργίες τη Διαχείριση διακομιστή. Αυτή η διαδικασία απαιτεί το βοηθητικό πρόγραμμα NETDOM που παρέχεται με τα Windows NT 4.0 Resource Kit συμπλήρωμα 2.

Προτεινόμενη αντιμετώπιση

ΠΡΟΣΟΧΉ: Το διάλυμα που περιλαμβάνονται σε αυτό το άρθρο δεν έχει σε μεγάλο βαθμό δοκιμαστεί σε μεγάλες εγκαταστάσεις. Η Microsoft δεν μπορεί να εγγυηθεί ότι τροποποίηση των τομέων όπως προτείνεται στο παρόν θα επιτύχετε το στόχο που περιγράφονται στο παρόν άρθρο, υπό όλες τις συνθήκες και σε όλες τις διαμορφώσεις.


Για κάθε μέλος, υπάρχει ένα ξεχωριστό κανάλι επικοινωνίας (δηλαδή, το κανάλι ασφαλείας) με έναν ελεγκτή τομέα. Το κανάλι ασφαλείας χρησιμοποιείται από την υπηρεσία Netlogon στο μέλος και στον ελεγκτή τομέα για επικοινωνία. Το βοηθητικό πρόγραμμα γραμμής εντολών NETDOM δίνει τη δυνατότητα να επαναφέρετε το ασφαλές κανάλι του μέλους.


Ας υποθέσουμε ότι έχετε ένα μέλος τομέα που ονομάζεται ΟΝΟΜΑ_ΤΟΜΕΑ. Μπορείτε να επαναφέρετε το κανάλι ασφαλείας ενός μέλους χρησιμοποιώντας την εξής εντολή:

   NETDOM MEMBER \\DOMAINMEMBER /JOINDOMAIN


Μπορείτε να εκτελέσετε την εντολή επάνω από το μέλος ΟΝΟΜΑ_ΤΟΜΕΑ ή σε οποιοδήποτε άλλο μέλος ή ελεγκτή τομέα του τομέα, υπό την προϋπόθεση ότι είστε συνδεδεμένοι με ένα λογαριασμό που έχει δικαιώματα διαχειριστή σε ΟΝΟΜΑ_ΤΟΜΕΑ.


Το αποτέλεσμα που προέκυψε από την εντολή πρέπει να είναι παρόμοιο με το ακόλουθο:

   Searching PDC for domain DOMAIN ...
Found PDC \\DOMAINPDC
Querying domain information on PDC \\DOMAINPDC ...
Querying domain information on computer \\DOMAINMEMBER ...
Computer \\DOMAINMEMBER is already a member of domain DOMAIN.
Verifying secure channel on \\DOMAINMEMBER ...
Verifying the computer account on the PDC \\DOMAINPDC ...
Resetting secure channel ...
Changing computer account on PDC \\DOMAINPDC ...
Stopping service NETLOGON on \\DOMAINMEMBER .... stopped.
Starting service NETLOGON on \\DOMAINMEMBER .... started.
Querying user groups of \\DOMAINMEMBER ...
Adding DOMAIN domain groups on \\DOMAINMEMBER ...

The computer \\DOMAINMEMBER joined the domain DOMAIN successfully.

Logoff/Logon \\DOMAINMEMBER to take modifications into effect.

Περισσότερες πληροφορίες


Ας υποθέσουμε ότι έχετε την ακόλουθη ρύθμιση παραμέτρων:

Τομέα = ΤΟΜΈΑΣ
DC = DOMAINDC (ελεγκτής τομέα)
ΜΈΛΟΣ = ΟΝΟΜΑ_ΤΟΜΕΑ

Όταν ένα διακομιστή μέλος συμμετέχει σε έναν τομέα, δημιουργείται ένας λογαριασμός υπολογιστή (μπορείτε να χρησιμοποιήσετε τη Διαχείριση διακομιστή για να δείτε το λογαριασμό υπολογιστή). Δίνεται ένα προεπιλεγμένο κωδικό πρόσβασης για το λογαριασμό του υπολογιστή και το μέλος που αποθηκεύει τον κωδικό πρόσβασης με την αποθήκευση μυστικό της τοπικής αρχής ασφαλείας (LSA) $MACHINE.ACC. Από προεπιλογή, ο κωδικός πρόσβασης αλλάζει κάθε επτά ημέρες.


Κάθε μέλος διατηρεί μια τέτοια LSA μυστικό, που χρησιμοποιείται από την υπηρεσία Netlogon για τη δημιουργία ενός ασφαλούς καναλιού. Εάν, για κάποιο λόγο, κωδικός πρόσβασης του λογαριασμού του υπολογιστή και το μυστικό LSA δεν είναι συγχρονισμένα, η υπηρεσία Netlogon καταγράφει το ακόλουθο μήνυμα λάθους:

   NETLOGON Event ID 3210:

Failed to authenticate with \\DOMAINDC, a Windows NT domain controller
for domain DOMAIN.


Εάν έχει διαγραφεί το λογαριασμό υπολογιστή, καταγράφεται το ακόλουθο μήνυμα λάθους από την υπηρεσία Netlogon μέλος:

   NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller <Unknown> for the
domain DOMAIN failed because the Windows NT Domain Controller does not
have an account for the computer DOMAINMEMBER.


Ομοίως, η υπηρεσία Netlogon στον ελεγκτή τομέα καταγράφει το ακόλουθο μήνυμα λάθους, όταν δεν έχει συγχρονιστεί ο κωδικός πρόσβασης:

   NETLOGON Event 5722

The session setup from the computer DOMAINMEMBER failed to authenticate.
The name of the account referenced in the security database is
DOMAINMEMBER$. The following error occurred: Access is denied.


Σε όλες τις περιπτώσεις, τα δεδομένα του συμβάντος περιέχει το σφάλμα. Για παράδειγμα, το σφάλμα 0xC0000022 σημαίνει ότι κωδικό πρόσβασης του λογαριασμού υπολογιστή δεν είναι έγκυρο; Σφάλμα 0xC000018B σημαίνει ότι ο λογαριασμός υπολογιστή έχει διαγραφεί και ούτω καθεξής.


Για περισσότερες πληροφορίες σχετικά με τα ασφαλή κανάλια, ανατρέξτε στα ακόλουθα άρθρα της Γνωσιακής Βάσης της Microsoft:


Αναγνωριστικό ΆΡΘΡΟΥ: 131366
ΤΊΤΛΟΣ: Σφάλμα συμβάντος 5712 με κατάσταση επιτρέπεται η πρόσβαση



Αναγνωριστικό ΆΡΘΡΟΥ: 142869
ΤΊΤΛΟΣ: Το Αναγνωριστικό συμβάντος 3210 5722 και να εμφανίζονται κατά το συγχρονισμό όλο τον τομέα



Αναγνωριστικό ΆΡΘΡΟΥ: 149664
ΤΊΤΛΟΣ: Επαλήθευση τομέα Netlogon συγχρονισμού



Αναγνωριστικό ΆΡΘΡΟΥ: 158148
ΤΊΤΛΟΣ: Τομέα ασφαλούς καναλιού βοηθητικό πρόγραμμα--Nltest.exe


Ιδιότητες

Αναγνωριστικό άρθρου: 175024 - Τελευταία αναθεώρηση: 10 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια