Kokkuvõte
Iga Windows 2000 või Windows XP tööjaama või serveri jaoks, mis on domeeni liige, on olemas eraldi sidekanali, mida tuntakse ka Turvakeskuse juures. Turvalisuse kanali Parool talletatakse koos kõigi domeenikontrollerite arvuti kontoga. Opsüsteemis Windows 2000 või Windows XP muutub arvuti konto parooli vaikeväärtuseks iga 30 päeva järel. Kui arvuti konto parooli ja LSA-Secret ei sünkroonita mingil põhjusel, siis logib teenuse Netlogon sisse ühe või mõlemad järgmistest tõrketeadetest.
NETLOGON sündmuse ID 5723: arvuti DOMAINMEMBER seansi häälestamine nurjus autentimine. Turbe andmebaasis viidatud konto nimi on DOMAINMEMBER $. Ilmnes järgmine tõrge: juurdepääs on keelatud.
NETLOGON sündmuse ID 3210: autentimine \\DOMAINDC, Windows NT domeenikontroller domeeni domeeni jaoks nurjus.
Domeenikontrolleri teenus Netlogon logib parooli sünkroonimisel järgmise tõrketeate:
NETLOGON sündmuse ID 5722: arvuti arvutinimi seansi häälestamine nurjus autentimine. Turbe andmebaasis viidatud konto nimi on AccountName $. Ilmnes järgmine tõrge: juurdepääs on keelatud.
Selles artiklis kirjeldatakse nelja viisi arvuti kontode uuesti häälestamiseks opsüsteemis Windows 2000 või Windows XP. Need meetodid on järgmised.
-
Netdom. exe käsurea tööriista kasutamine
-
Nltest. exekäsurea tööriista kasutamine Netdom. exe ja Nltest. exe tööriistad asuvad Windows Serveri CD-l Support\Tools kaustas. Nende tööriistade installimiseks käivitage fail setup. exe või ekstraktige failid failist support. cab.
-
Active Directory kasutajate ja arvutite Microsoft Management Console (MMC) kasutamine
-
Microsoft Visual põhiskripti kasutamine
Need tööriistad võimaldavad kaug-ja mitte-kaughalduse haldust. Netdom. exe ja Nltest. exe on käsurea tööriistad, mis lähtestavad edukalt loodud turvalisuse kanali. Te ei saa neid tööriistu kasutada, kui turva kanal on katkenud ning teatis ei tööta õigesti.
Lisateave
Netdom.exe
Iga liikme jaoks on olemas eraldi sidekanali (Security Channel), kus on domeenikontroller. Turvalisuse kanalit kasutab liikme ja domeenikontrolleri teenus Netlogon, et suhelda. Netdom võimaldab lähtestada liikme turvalisuse kanali. Liikme turvalisuse kanali lähtestamiseks saate kasutada järgmist käsku.
Netdom lähtestamine "MachineName"/Domain: "domeeninimikus "MachineName" = kohaliku arvuti nimi ja "domeeninimi" = domeen, kus on talletatud arvuti/arvuti konto. Oletame, et teil on domeeni liige nimega DOMAINMEMBER domeenis nimega MYDOMAIN. Liikme turvalisuse kanali lähtestamiseks saate kasutada järgmist käsku.
Netdom lähtestamine DOMAINMEMBER/Domain: mydomainSeda käsku saate käitada liikme DOMAINMEMBER või mis tahes teise domeeni liikme või domeenikontrolleri kaudu, kui olete sisse logitud kontoga, millel on administraatori juurdepääs DOMAINMEMBER.
Nltest.exe
Nltest. exe abil saab testida arvuti, kus töötab Windows 2000 või Windows XP, mis on domeeni liige, ja domeenikontroller, millel on tema arvuti konto.
C:\Ntreskit\Nltest.exeUsage: Nltest [/OPTIONS]/SC_QUERY:domeeninimi -QUERY Security Channel domeenileserverinimi /server:serverinimi /SC_VERIFY:domeeninimi -kontrollib kohaliku või serveri tööjaama, serveri või domeenikontrolleri jaoks määratud domeenis olevat turva kanalit. Lipud: 30 HAS_IP HAS_TIMESERV usaldusväärse DC nimi \ \ server.windows2000.com Trusted DC Connection Status Status = 0 0x0 NERR_SuccessThe käsk on edukalt lõpule viidud
Active Directory kasutajad ja arvutid (DSA)
Opsüsteemis Windows 2000 või Windows XP saate arvuti lähtestada ka graafilise kasutajaliidese (GUI) seest. Active Directory kasutajates ja arvutites MMC (DSA) saate arvutis või vastavas ümbrises arvuti objekti paremklõpsata ja seejärel klõpsata käsku Lähtesta konto. See lähtestab arvuti konto. Seda meetodit kasutavate domeenikontrollerite parooli ennistamine pole lubatud. Arvuti konto taashäälestamine katkestab arvuti ühenduse domeeniga ja nõuab selle domeeniga uuesti liitumist. Märkus. See takistab loodud arvuti domeeniga ühenduse loomist ja seda tuleks kasutada ainult uuesti loodud arvuti jaoks.
Microsoft Visual lihtne skript
Saate kasutada skripti, et lähtestada arvuti konto. IADsUser-liidese abil tuleb luua ühendus arvuti kontoga. Seejärel saate kasutada SetPassword meetodit, et määrata parool algseks väärtuseks. Arvuti esialgne parool on alati "arvutinimi $". Järgmised skriptid ei pruugi kõigis keskkondades töötada ning neid tuleks enne rakendamist katsetada. Esimene näide on Windows NT 4,0 arvuti kontod ja teine on Windows 2000 või Windows XP arvuti kontode jaoks.
Näidis 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.QuitNäidis 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.QuitLisateavet selle kohta, kuidas teha kindlaks, kas sündmuse 5722 kuupäev ja kellaaeg vastavad dekodeeritud kuupäevale ja kellaajale, klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
175024 Domeeni liikme turvalise kanali ennistamine
810977 Windows 2000 Serveri põhises domeenikontrolleris logitakse sündmuse ID 5722
