Restablecer el canal seguro de miembro de dominio

Síntomas

El servicio Netlogon miembro de dominio puede registrar el error 3210 ó 5721, pero el servicio Netlogon registra el error 5722 en el registro de sucesos del sistema del controlador de dominio.


También puede recibir el siguiente mensaje de inicio de sesión cuando intenta iniciar sesión en el dominio de Windows NT desde un equipo que ejecuta Windows NT Workstation o Windows NT Server que es miembro del dominio:


   The system cannot log you on to this domain because the system's
computer account in its primary domain is missing or the password on
that account is incorrect.



Estos problemas pueden producirse si se cumple alguna de las condiciones siguientes:


  • Se ha cambiado recientemente el nombre del miembro del dominio.
  • Se utilizó el disco de reparación de emergencia, pero contenía información antigua.
  • Se quitó la cuenta de equipo del miembro de dominio.
El procedimiento descrito en este artículo, restablece el canal seguro del miembro mediante una línea de comandos en lugar de muchas operaciones en el Administrador de servidores. Este procedimiento requiere la utilidad NETDOM que se proporciona con Windows NT 4.0 Resource Kit suplemento 2.

Solución

PRECAUCIÓN: La solución incluida en este artículo no se ha probado exhaustivamente en instalaciones de gran tamaño. Microsoft no garantiza que la modificación de dominios como se recomienda en este documento realizará el objetivo descrito en este artículo en todas las circunstancias y en todas las configuraciones.


Para cada miembro existe un canal de comunicación discreto (es decir, el canal seguro) con un controlador de dominio. El canal seguro se utiliza por el servicio Netlogon en el miembro y el controlador de dominio para comunicarse. La utilidad de línea de comandos NETDOM permite restablecer el canal seguro del miembro.


Suponga que tiene un miembro denominado MIEMBRODOMINIO. Puede restablecer el canal seguro del miembro con el comando siguiente:

   NETDOM MEMBER \\DOMAINMEMBER /JOINDOMAIN


Puede ejecutar el comando anteriormente en MIEMBRODOMINIO o en cualquier otro miembro o controlador de dominio del dominio, siempre que ha iniciado sesión con una cuenta que tenga acceso de administrador a MIEMBRODOMINIO.


El resultado recibido del comando debe ser similar al siguiente:

   Searching PDC for domain DOMAIN ...
Found PDC \\DOMAINPDC
Querying domain information on PDC \\DOMAINPDC ...
Querying domain information on computer \\DOMAINMEMBER ...
Computer \\DOMAINMEMBER is already a member of domain DOMAIN.
Verifying secure channel on \\DOMAINMEMBER ...
Verifying the computer account on the PDC \\DOMAINPDC ...
Resetting secure channel ...
Changing computer account on PDC \\DOMAINPDC ...
Stopping service NETLOGON on \\DOMAINMEMBER .... stopped.
Starting service NETLOGON on \\DOMAINMEMBER .... started.
Querying user groups of \\DOMAINMEMBER ...
Adding DOMAIN domain groups on \\DOMAINMEMBER ...

The computer \\DOMAINMEMBER joined the domain DOMAIN successfully.

Logoff/Logon \\DOMAINMEMBER to take modifications into effect.

Más información


Supongamos que tiene la siguiente configuración:

Dominio = DOMINIO
DC = DOMAINDC (controlador de dominio)
MIEMBROS = MIEMBRODOMINIO

Cuando un servidor miembro une a un dominio, se crea una cuenta de equipo (puede utilizar Administrador de servidores para ver la cuenta de equipo). Se asigna una contraseña predeterminada a la cuenta de equipo, y el miembro almacena la contraseña en el almacenamiento secreto de autoridad de seguridad Local (LSA) $MACHINE.ACC. De forma predeterminada, la contraseña se cambia cada siete días.


Cada miembro mantiene una LSA de tal secreta, que es utilizado por el servicio Netlogon para establecer un canal seguro. Si, por alguna razón, contraseña de la cuenta de equipo y el secreto de LSA no están sincronizados, el servicio Netlogon registra el siguiente error:

   NETLOGON Event ID 3210:

Failed to authenticate with \\DOMAINDC, a Windows NT domain controller
for domain DOMAIN.


Si se ha eliminado la cuenta de equipo, se registra el siguiente error por el servicio Netlogon miembro:

   NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller <Unknown> for the
domain DOMAIN failed because the Windows NT Domain Controller does not
have an account for the computer DOMAINMEMBER.


De forma similar, el servicio Netlogon en el controlador de dominio registra el siguiente error cuando la contraseña no se sincroniza:

   NETLOGON Event 5722

The session setup from the computer DOMAINMEMBER failed to authenticate.
The name of the account referenced in the security database is
DOMAINMEMBER$. The following error occurred: Access is denied.


En todos los casos, los datos del evento contienen el error. Por ejemplo, 0xC0000022 de error significa que la contraseña de la cuenta de equipo es inválida; Error 0xC000018B significa que se ha eliminado la cuenta de equipo y así sucesivamente.


Para obtener más información acerca de los canales seguros, consulte los artículos siguientes en Microsoft Knowledge Base:


Id. de ARTÍCULO: 131366
TÍTULO: Error de suceso 5712 con estado de acceso denegado



Id. de ARTÍCULO: 142869
TÍTULO: El identificador de suceso 3210 y 5722 aparecen al sincronizar el dominio completo



Id. de ARTÍCULO: 149664
TÍTULO: Comprobación de la sincronización de Netlogon de dominio



Id. de ARTÍCULO: 158148
TÍTULO: Dominio Secure Channel utilidad--Nltest.exe


Propiedades

Id. de artículo: 175024 - Última revisión: 01/09/2017 - Revisión: 1

Comentarios