Resumen
Para cada estación de trabajo o servidor de Windows 2000 o Windows XP que sea miembro de un dominio, hay un canal de comunicación discreta, conocido como el canal de seguridad, con un controlador de dominio.La contraseña del canal de seguridad se almacena junto con la cuenta del equipo en todos los controladores de dominio. Para Windows 2000 o Windows XP, el período predeterminado de cambio de contraseña de la cuenta de equipo es cada 30 días. Si, por algún motivo, la contraseña de la cuenta de equipo y el secreto LSA no están sincronizados, el servicio netlogon registra uno o ambos de los siguientes mensajes de error:
NETLOGON Id. de evento 5723:No se pudo autenticar la configuración de sesión del MIEMBRO DOMINIO del equipo. El nombre de la cuenta a la que se hace referencia en la base de datos de seguridad es DOMAINMEMBER$. Se produjo el siguiente error: Se deniega el acceso.
NETLOGON Id. de evento 3210:No se pudo autenticar con \\DOMAINDC, un controlador de dominio de Windows NT para dominio.
El servicio Netlogon del controlador de dominio registra el siguiente mensaje de error cuando no se sincroniza la contraseña:
NETLOGON Id. de evento 5722:No se pudo autenticar la configuración de sesión desde el equipo ComputerName. El nombre de la cuenta a la que se hace referencia en la base de datos de seguridad es AccountName$.Se produjo el siguiente error:Se deniega el acceso.
En este artículo se describen cuatro formas de restablecer cuentas de equipo en Windows 2000 o Windows XP. Estos métodos son los siguientes:
-
Usar la herramienta de línea de comandos Netdom.exe
-
Uso de la herramientade línea de comandos Nltest.exe Nota Las herramientas Netdom.exe y Nltest.exe se encuentran en la Windows Server CD-ROM de la carpeta Soporte\Herramientas. Para instalar estas herramientas, ejecute Setup.exe o extraiga los archivos del archivo Support.cab.
-
Uso de la Usuarios y equipos de Active Directory Microsoft Management Console (MMC)
-
Usar un script de Microsoft Visual Basic
Estas herramientas permiten la administración remota y no remota. Netdom.exe y Nltest.exe son herramientas de línea de comandos que restablecen un canal de seguridad establecido correctamente. No puede usar estas herramientas cuando el canal de seguridad está roto y la comunicación no funciona correctamente.
Más información
Netdom.exe
Para cada miembro, hay un canal de comunicación discreto (el canal de seguridad) con un controlador de dominio. El servicio Netlogon usa el canal de seguridad en el miembro y en el controlador de dominio para comunicarse. Netdom permite restablecer el canal de seguridad del miembro. Puede restablecer el canal de seguridad del miembro mediante el comando siguiente:
netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domain where the computer/machine account is stored.Suponga que tiene un miembro de dominio denominado MIEMBRO DOMAIN en un dominio llamado MYDOMAIN. Puede restablecer el canal de seguridad del miembro mediante el comando siguiente:
netdom reset domainmember /domain:mydomainPuede ejecutar este comando en el miembro DOMAINMEMBER o en cualquier otro miembro o controlador de dominio del dominio, siempre que haya iniciado sesión con una cuenta que tenga acceso de administrador a DOMAINMEMBER.
Nltest.exe
Nltest.exe se puede usar para probar la relación de confianza entre un equipo que ejecuta Windows 2000 o Windows XP que es miembro de un dominio y un controlador de dominio en el que reside su cuenta de equipo.
uso de C:\Ntreskit\Nltest.exe: nltest [/OPTIONS] /SC_QUERY:DomainName - Canal de seguridad de consulta para el dominio en ServerName /SERVER:ServerName /SC_VERIFY:DomainName - Comprueba el canal de seguridad del dominio especificado para una estación de trabajo, servidor o controlador de dominio local o remota. Marcas: 30 HAS_IP HAS_TIMESERV nombre de controlador de dominio de confianza \\server.windows2000.com estado de conexión de CC de confianza = 0 0x0 NERR_SuccessEl comando se completó correctamente
Usuarios y equipos de Active Directory (DSA)
Con Windows 2000 o Windows XP, también puede restablecer la cuenta del equipo desde dentro de la interfaz gráfica de usuario (GUI). En la Usuarios y equipos de Active Directory MMC (DSA), puede hacer clic con el botón secundario en el objeto del equipo en el contenedor correspondiente o en Equipos y, a continuación, hacer clic en Restablecer cuenta. Esto restablece la cuenta del equipo. No se permite restablecer la contraseña de los controladores de dominio con este método. Al restablecer una cuenta de equipo, se interrumpe la conexión de ese equipo al dominio y se requiere que vuelva a unirse al dominio. Nota Esto evitará que un equipo establecido se conecte al dominio y solo se usará para un equipo que se acaba de volver a crear.
Script de Microsoft Visual Basic
Puede usar un script para restablecer la cuenta del equipo. Debe conectarse a la cuenta de equipo mediante la interfaz IADsUser. Después, puede usar el método SetPassword para establecer la contraseña en un valor inicial. La contraseña inicial de un equipo siempre es "nombredeequipo$".Los siguientes scripts de ejemplo pueden no funcionar en todos los entornos y deben probarse antes de la implementación. El primer ejemplo es para cuentas de equipo con Windows NT 4.0 y el segundo es para cuentas de equipo con Windows 2000 o Windows XP.
Ejemplo 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Ejemplo 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Para obtener más información sobre cómo determinar si la fecha y la hora del evento 5722 coinciden con la fecha y hora descodificadas, haga clic en los números de artículo siguientes para ver los artículos en Microsoft Knowledge Base:
175024 Restablecer el canal seguro para miembros del dominio
810977 El evento id. 5722 se registra en el controlador de dominio basado en Windows 2000 Server
