Id. de suceso 5722 se registra en el controlador de dominio basado en Windows Server


En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. Para obtener más información, consulte la Directiva de ciclo de vida de soporte técnico de Microsoft.

Resumen


Cuando utilice el Visor de sucesos para ver el registro del sistema en un controlador de dominio de Windows, es posible evento 5722 iniciado. Este problema puede producirse en cualquiera de los dos escenarios:
  • Cuando un equipo actualiza su contraseña de cuenta de equipo con un controlador de dominio
  • Cuando un equipo se une a un dominio con un nombre que ya existe
Este artículo describe cómo diferenciar los dos escenarios y cómo resolver el problema.

Síntomas


En un controlador de dominio de Microsoft Windows, se registra el siguiente suceso en el registro del sistema:
Tipo de suceso: Error
Origen del suceso: NETLOGON
Categoría del suceso: ninguna
Id. de suceso: 5722
Fecha: fecha
Tiempo: hora
Usuario: N/D
Equipo: nombreDeEquipo
Descripción: No se pudo autenticar la configuración de sesión desde el equipo nombreDeEquipo . El nombre de la cuenta referida en la base de datos de seguridad es $ AccountName.
Ocurrió el siguiente error:
Acceso denegado.

Causa


En un dominio de Microsoft Windows, a partir de Windows 2000, un canal de comunicación discreto ayuda a proporcionar una ruta de comunicación más segura entre el miembro y el controlador de dominio, servidores o estaciones de trabajo. Este canal se conoce como un canal seguro. Al unir un equipo a un dominio, se crea una cuenta de equipo y una contraseña que se comparte entre el equipo y el dominio. De forma predeterminada, esta contraseña se cambia cada 30 días. Contraseña del canal seguro se almacena junto con la cuenta de equipo en el controlador de dominio principal (PDC). La contraseña se replica en todos los controladores de dominio de réplica.

Evento 5722 está registrado en los siguientes escenarios:
  • Cuando un equipo actualiza su contraseña de cuenta de equipo con un controlador de dominio, el evento se registra en el registro del sistema del controlador de dominio de autenticación.

    En este escenario, el canal seguro del equipo con el controlador de dominio de autenticación sigue siendo válido.
  • Al unir un equipo a un dominio con un nombre que ya está en uso por otro equipo, o cuando se restablece una cuenta de equipo existente. Puede restablecer una cuenta de equipo mediante Active Directory Users and Computers, o mediante la utilidad Netdom.exe.

    En este escenario, contraseña de la cuenta del equipo no coincide con la contraseña en el controlador de dominio y no se puede establecer un canal seguro desde el equipo original al controlador de dominio.

Solución


Advertencia: Si utiliza el complemento ADSI Edit, la utilidad LDP o cualquier otro cliente LDAP versión 3 y modifica incorrectamente los atributos de los objetos de Active Directory, puede provocar problemas graves. Estos problemas pueden exigir que vuelva a instalar Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003, o tanto Windows y Exchange. Microsoft no puede garantizar que puedan resolverse los problemas que se producen si modifica incorrectamente atributos de objeto de Active Directory. Modifique estos atributos bajo su propio riesgo.


Para resolver este problema, primero determine qué escenario es la causa del problema. Para ello, siga estos pasos:
  1. Anote la fecha y la hora en que se registró el evento en el registro del sistema.
  2. Haga clic en Inicio, seleccione programas, Kit de Recursosy, a continuación, haga clic en Consola de administración de herramientas.
  3. En el árbol de consola, haga clic en Herramientas de la A la Z.
  4. En el panel de detalles, haga clic en Editor ADSI.


    Nota: Edición de ADSI se incluye con las herramientas de soporte de Windows. Puede instalar las herramientas de soporte de Windows desde la carpeta Support\Tools de los CD-ROM de Windows 2000 Server.

    Para obtener información adicional acerca de cómo instalar las herramientas de soporte de Windows para Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
     
    301423 cómo instalar las herramientas de soporte de Windows 2000 en un equipo basado en Windows 2000 Server
     
    Para instalar la edición de ADSI en equipos que ejecutan Windows Server® 2003 o sistemas operativos Windows® XP, instale herramientas de soporte de Windows Server 2003 desde el CD del producto Windows Server 2003 o desde Microsoft Download Center (http://go.microsoft.com/fwlink/?LinkId=100114). Para obtener más información acerca de cómo instalar las herramientas de soporte de Windows desde el CD del producto, consulte instalar Windows Support Tools (http://go.microsoft.com/fwlink/?LinkId=62270).

    En servidores que ejecutan Windows Server 2008 o Windows Server 2008 R2, edición de ADSI se instala al instalar el rol Servicios de dominio de Active Directory (AD DS) para convertir a un servidor en un controlador de dominio. También puede instalar Windows Server 2008 remoto Server herramientas de administración (RSAT) en servidores independientes o servidores miembros del dominio. Para obtener instrucciones específicas, consulte Instalar o quitar el paquete de herramientas de administración remota de servidores (http://go.microsoft.com/fwlink/?LinkId=143345).

    Para instalar la edición de ADSI en equipos que ejecutan Windows Vista® con Service Pack 1 (SP1) o Windows 7, debe instalar RSAT. Para obtener más información y descargar RSAT, consulte el artículo 941314 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkID=116179).
  5. En ADSI Edit, busque y, a continuación, haga clic en el equipo que está causando el problema.
  6. Haga clic en Propiedades.
  7. Seleccione las propiedades para verlas, haga clic en ambas.
  8. En Seleccione una propiedad para ver, haga clic en PwdLastSet.

    Si el valor de ntte no se convierte en la interfaz de usuario a una fecha legible y la marca de hora, ejecute el siguiente comando o vaya al paso 9 para un método alternativo:
    w32tm /ntte pwdlastsetvalue
  9. Copie el valor que aparece en el cuadro valores en el Portapapeles.
  10. Haga clic en Inicio, seleccione programas, Accesoriosy, a continuación, haga clic en Calculadora.
  11. En el menú Ver , haga clic en científica.
  12. Haga clic en Dic para establecer el sistema de numeración decimal.
  13. Pegue el valor desde el Portapapeles en la calculadora.
  14. Para cambiar el valor de decimal a hexadecimal sistema de numeración decimal, haga clic en Hex.
  15. En el menú Edición, haga clic en Copiar.
  16. Pegue el número hexadecimal desde el Portapapeles en un archivo en el Bloc de notas.
  17. Contar los ocho caracteres del derecho mayoría de caracteres de la cadena hexadecimal y, a continuación, presione la barra espaciadora.

    Nota: Esta acción divide la cadena hexadecimal en dos cadenas hexadecimales.
  18. Si la cadena hexadecimal en el lado izquierdo contiene sólo siete caracteres, agregue un cero al principio de la cadena.
  19. En un símbolo del sistema, escriba
    /Time NLTEST:RightSideHexadecimalstringLeftSideHexadecimalString
    Se recibirá un resultado similar al siguiente:
    C:\>nltest /time:a25cc370 01c294bc a25cc370 01c294bc = 11/25/2002 13:55:41  The command completed successfully. 
  20. Tenga en cuenta la fecha descodificada y hora.
  21. Compruebe si la fecha y la hora que anotó en el paso 1 y la fecha descodificada y que anotó en el paso 20 coincidencia.
  22. Si la fecha y hora ese evento 5722 se ha iniciado y la fecha descodificada y coincidencia de tiempo, compruebe si el equipo que está causando el problema tiene un canal seguro establecido con un controlador de dominio escribiendo el comando siguiente en un símbolo del sistema:
    NLTEST /server: / SC_QUERYnombreDeEquipo :nombreDeDominio
    Si el equipo con problemas tiene un canal seguro válido establecer con un controlador de dominio, recibirá un resultado similar al siguiente:
    C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30HAS_IP HAS_TIMESERV Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully. 
    Si el equipo con problemas no tiene un canal seguro válido establecer con un controlador de dominio, recibirá un resultado similar al siguiente:
    C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  Trusted DC Name Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully. 
Si no coincide con la fecha y hora del evento 5722 y fecha descodificada, el problema de contraseña no puede coincidir con la contraseña que está en el controlador de dominio. Esto puede ocurrir bajo cualquiera de las siguientes circunstancias:
  • Un administrador restablece una cuenta de equipo mediante Active Directory Users y equipos u otra herramienta como Netdom.exe.
  • Un nuevo equipo se une al dominio mediante un nombre que ya existe en el dominio.
Nota: Si se activa el registro del servicio Netlogon del controlador de dominio, confirmar este escenario buscando una entrada de Netlogon.log es similar al siguiente:
05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4 
Este mensaje no se registra si un equipo actualiza su propia contraseña de cuenta de equipo.

Para resolver problemas relacionados con los nombres de equipo duplicados, vuelva a unir el equipo al dominio original.

Evento 5722 se puede omitir si se cumplen las dos condiciones siguientes:
  • Si coincide con la fecha y hora del evento 5722 y la fecha descodificada y tiempo.
  • Se establece un canal seguro válido entre el equipo con problemas y un controlador de dominio.
Nota: Cuando estas dos condiciones se cumplen, el evento 5722 se registra en el controlador de dominio cuando el equipo intenta autenticar con un controlador de dominio durante el proceso de actualización de cuenta de equipo.

Los administradores también pueden consultar información de Active Directory desde cualquier equipo en el dominio mediante Ldp.exe. La versión de Ldp.exe que se incluye en las herramientas de soporte técnico de Windows XP Service Pack 2 también puede utilizarse para descodificar el valor PwdLastSet.

Para obtener información adicional acerca de herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
 
838079 Windows XP Service Pack 2 Support Tools
 
También puede utilizar la utilidad Windows XP W32tm.exe para descodificar el valor PwdLastSet.

Referencias


Para obtener información adicional acerca de cómo habilitar el registro de depuración, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

221833 cómo habilitar el registro en el mercado minorista de depuración de entorno de usuario versiones de Windows

habilitar 109626 Depurar registro para el servicio de Net Logon