Resumen
Por cada estación de trabajo o servidor con Windows 2000 o Windows XP que sea miembro de un dominio existe un canal de comunicación discreto, conocido como el canal de seguridad, con un controlador de dominio.
La contraseña del canal de seguridad se almacena junto con la cuenta de equipo en todos los controladores de dominio. En Windows 2000 o Windows XP, el período predeterminado para el cambio de contraseña de la cuenta de equipo es cada 30 días. Si por algún motivo la contraseña y el secreto de la Autoridad de seguridad local (LSA, Local Security Authority de la cuenta de equipo no están sincronizados, el servicio de Inicio de sesión de red registra uno o los dos mensajes de error siguientes:
No se puede autenticar la configuración de sesión desde el equipo MIEMBRODOMINIO. El(los) nombre(s) de la(s) cuenta(s) a la(s) que se hace referencia en la base de datos de seguridad es(son) MIEMBRODOMINIO$. Error: Acceso denegado.
Id. de suceso de NETLOGON 3210:
Error al autenticar con \\DOMINIODC, un controlador de dominio de Windows NT para el dominio DOMINIO.
Cuando la contraseña no está sincronizada, el servicio de Inicio de sesión de red del controlador de dominio registra el mensaje de error siguiente:
Suceso de NETLOGON 5722:
No se puede autenticar la configuración de sesión desde el equipo %1. El(los) nombre(s) de la(s) cuenta(s) a la(s) que se hace referencia en la base de datos de seguridad es(son) %2. Error: %n%3
En este artículo se describen cuatro métodos para restablecer las cuentas de equipo en Windows 2000 o Windows XP. Estos métodos son:
-
Utilizar la herramienta de la línea de comandos Netdom.exe
-
Utilizar la herramienta de la línea de comandos Nltest.exe
Nota
Las herramientas Netdom.exe y Nltest.exe se encuentran en el CD-ROM de Windows Server, en la carpeta Support\Tools. Para instalar estas herramientas, ejecute Setup.exe o extraiga los archivos de Support.cab. -
Utilizar el complemento Usuarios y equipos de Active Directory de Microsoft Management Console (MMC)
-
Utilizar una secuencia de comandos de Microsoft Visual Basic
Estas herramientas permiten la administración remota y no remota. Netdom.exe y Nltest.exe son herramientas de la línea de comandos que restablecen un canal de seguridad establecido correctamente. No puede utilizar estas herramientas cuando se interrumpe el canal de seguridad y la comunicación no está funcionando correctamente.
Más información
Netdom.exe
Para cada miembro existe un canal de comunicación discreto (el canal de seguridad) con un controlador de dominio. El servicio de Inicio de sesión de red emplea el canal de seguridad del miembro y del controlador de dominio para establecer la comunicación. Netdom permite restablecer el canal de seguridad del miembro Puede restablecer el canal de seguridad del miembro con el comando siguiente:
netdom reset 'nombreDeEquipo' /domain:'nombreDeDominio' donde 'nombreDeEquipo' es el nombre del equipo local y 'nombreDeDominio' es el dominio donde se almacena la cuenta de equipo.
Suponga que existe un miembro denominado MIEMBRODOMINIO en un dominio MIDOMINIO. Puede restablecer el canal de seguridad del miembro con el comando siguiente:
netdom reset miembrodominio /domain:midominio Puede ejecutar este comando en MIEMBRODOMINIO o en cualquier otro miembro o controlador del dominio, siempre y cuando se haya iniciado sesión con una cuenta que disponga de acceso de administrador a MIEMBRODOMINIO.
Nltest.exe
Nltest.exe puede utilizarse para probar la relación de confianza existente entre un equipo con Windows 2000 o Windows XP que sea miembro de un dominio y un controlador de dominio en el que resida la cuenta de ese equipo.
C:\Ntreskit\Nltest.exe
Uso: nltest [/OPCIONES]
/SC_QUERY:nombreDeDominio - Consulta dominio en el canal de seguridad de nombreDeServidor
/SERVER:nombreDeServidor
/SC_VERIFY:nombreDeDominio - Comprueba el canal de seguridad del dominio especificado para una estación de trabajo, un servidor o un controlador de dominio local o remoto.
Indicadores: 30 HAS_IP HAS_TIMESERV
Nombre de controlador de dominio de confianza \\servidor.windows2000.com
Estado de conexión del controlador de dominio de confianza Status = 0 0x0 NERR_Success
El comando finalizó correctamente
Usuarios y equipos de Active Directory (DSA)
Con Windows 2000 o Windows XP también puede restablecer la cuenta de equipo desde la interfaz gráfica de usuario (GUI). En el complemento de MMC Usuarios y equipos de Active Directory (DSA), haga clic con el botón secundario del mouse (ratón) en el objeto equipo del contenedor Equipos o el que corresponda y, a continuación, haga clic en Restablecer la cuenta. Así se restablece la cuenta del equipo. Sin embargo, no se puede restablecer la contraseña de los controladores de dominio mediante este método. Al restablecer una cuenta de equipo se rompe la conexión del equipo con el dominio y es necesario volver a unirlo al dominio.
Nota
Este método impide que un equipo establecido se conecte al dominio y sólo debe utilizarse para un equipo reconstruido recientemente.
Secuencia de comandos de Microsoft Visual Basic
También puede utilizar una secuencia de comandos para restablecer la cuenta de equipo. Deberá conectarse a la cuenta de equipo con la interfaz IADsUser. Después, puede emplear el método SetPassword para establecer la contraseña en un valor inicial. La contraseña inicial de un equipo es siempre "computername$".
Las siguientes secuencias de comandos de ejemplo pueden no funcionar en todos los entornos y deben probarse antes de su implementación. El primer ejemplo es para cuentas de equipo de Windows NT 4.0 y el segundo es para cuentas de equipo de Windows 2000 o Windows XP.
Dim objComputer |
Set objComputer = GetObject("WinNT://WINDOWS2000/nombreEquipo$") |
objComputer.SetPassword "nombreEquipo$" |
Wscript.Quit |
Ejemplo 2
Dim objComputer |
Set objComputer = GetObject("LDAP://CN=nombreEquipo,DC=WINDOWS2000,DC=COM") |
objComputer.SetPassword "nombreEquipo$" |
Wscript.Quit |