סיכום
עבור כל תחנת עבודה או שרת של Windows 2000 או Windows XP שהוא חבר בתחום, קיים ערוץ תקשורת דיסקרטי, שנקרא ערוץ האבטחה, עם בקר תחום.סיסמת ערוץ האבטחה מאוחסנת יחד עם חשבון המחשב בכל בקרי התחום. עבור Windows 2000 או Windows XP, תקופת שינוי הסיסמה של חשבון המחשב המהווה ברירת מחדל היא כל 30 יום. אם, מסיבה כלשהי, הסיסמה של חשבון המחשב וסוד ה- LSA אינם מסונכרנים, שירות Netlogon רושם אחת מהודעות השגיאה הבאות או את שתיהן:
מזהה אירוע NETLOGON 5723:התקנת ההפעלה מהמחשב DOMAINMEMBER נכשלה באימות. שם החשבון שאליו מתבצעת הפניה במסד הנתונים של האבטחה הוא DOMAINMEMBER$. השגיאה הבאה אירעה: הגישה נדחתה.
מזהה אירוע NETLOGON 3210:נכשל באימות עם \\DOMAINDC, בקר תחום של Windows NT עבור תחום תחום.
שירות Netlogon בבקר התחום רושם את הודעת השגיאה הבאה כאשר הסיסמה אינה מסונכרנת:
מזהה אירוע NETLOGON 5722:התקנת ההפעלה מהמחשב ComputerName נכשלה באימות. שם החשבון שאליו מתבצעת הפניה במסד הנתונים של האבטחה הוא AccountName$.אירעה השגיאה הבאה:הגישה נדחתה.
מאמר זה מתאר ארבע דרכים לאיפוס חשבונות מחשב ב- Windows 2000 או ב- Windows XP. שיטות אלה הן כדלקמן:
-
שימוש Netdom.exe כלי שורת הפקודה
-
באמצעות כלי Nltest.exe שורתהפקודה הערה כלי שורת Netdom.exe ו- Nltest.exe ממוקמים בתקליטור Windows Server-ROM בתיקיה Support\Tools. כדי להתקין כלים אלה, הפעל Setup.exe או חלץ את הקבצים מהקובץ Support.cab שלך.
-
שימוש ב- משתמשים ומחשבים של Active Directory Microsoft Management Console (MMC)
-
שימוש בקובץ Script של Microsoft Visual Basic
כלים אלה מאפשרים ניהול מרוחק ולא מרוחק. Netdom.exe כלים Nltest.exe הם כלי שורת פקודה שמאפסים ערוץ אבטחה שנוצר בהצלחה. אין באפשרותך להשתמש בכלים אלה כאשר ערוץ האבטחה מנותק והתקשורת אינה פועלת כראוי.
מידע נוסף
Netdom.exe
עבור כל חבר, קיים ערוץ תקשורת דיסקרטי (ערוץ האבטחה) עם בקר תחום. ערוץ האבטחה משמש את שירות Netlogon לחבר ובבקר התחום כדי לקיים תקשורת. Netdom מאפשר לאפס את ערוץ האבטחה של החבר. באפשרותך לאפס את ערוץ האבטחה של החבר באמצעות הפקודה הבאה:
netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domain where the computer/machine account is stored.נניח שיש לך חבר תחום בשם DOMAINMEMBER בתחום בשם MYDOMAIN. באפשרותך לאפס את ערוץ האבטחה של החבר באמצעות הפקודה הבאה:
netdom reset domainmember /domain:mydomainבאפשרותך להפעיל פקודה זו ב- DOMAINMEMBER החבר או בכל חבר אחר או בקר תחום אחר של התחום, בתנאי שאתה מחובר באמצעות חשבון בעל גישת מנהל מערכת ל- DOMAINMEMBER.
Nltest.exe
Nltest.exe לבדוק את יחסי האמון בין מחשב שבו פועל Windows 2000 או Windows XP שהוא חבר בתחום ובקר תחום שבו שכן חשבון המחשב שלו.
C:\Ntreskit\Nltest.exeב- C:\Ntreskit\Nltest.exe: nltest [/OPTIONS] /SC_QUERY:DomainName - ערוץ אבטחה של שאילתה עבור תחום ב- ServerName /SERVER:ServerName /SC_VERIFY:DomainName - מאמת את ערוץ האבטחה בתחום שצוין עבור תחנת עבודה מקומית או מרוחקת, שרת או בקר תחום. דגלים: 30 HAS_IP HAS_TIMESERV שם DC מהימן \\server.windows2000.com מצב חיבור DC מהימן = 0 0x0 NERR_Successהפקודה הושלמה בהצלחה
משתמשים ומחשבים של Active Directory (DSA)
עם Windows 2000 או Windows XP, באפשרותך גם לאפס את חשבון המחשב מתוך ממשק המשתמש הגרפי (GUI). בחלונית משתמשים ומחשבים של Active Directory MMC (DSA), באפשרותך ללחוץ באמצעות לחצן העכבר הימני על אובייקט המחשב במחשבים או בגורמים המכילים המתאימים ולאחר מכן ללחוץ על אפס חשבון. פעולה זו מאפסת את חשבון המחשב. איפוס הסיסמה עבור בקרי תחום באמצעות שיטה זו אינו מותר. איפוס חשבון מחשב מנתק את החיבור של מחשב זה לתחום ודורש אותו להצטרף מחדש לתחום. הערה פעולה זו תמנע ממחשב מבוסס להתחבר לתחום ויש להשתמש בה רק עבור מחשב שזה עתה נבנה מחדש.
קובץ Script של Microsoft Visual Basic
באפשרותך להשתמש בקובץ Script כדי לאפס את חשבון המחשב. עליך להתחבר לחשבון המחשב באמצעות ממשק IADsUser. לאחר מכן תוכל להשתמש בפעולת השירות SetPassword כדי להגדיר את הסיסמה לערך התחלתי. הסיסמה ההתחלתית של מחשב היא תמיד "computername$".ייתכן שקובץ ה- Script לדוגמה הבא לא יפעל בכל הסביבות ויש לבדוק אותו לפני היישום. הדוגמה הראשונה היא עבור חשבונות מחשב של Windows NT 4.0 והדוגמה השניה היא עבור חשבונות מחשב של Windows 2000 או Windows XP.
דוגמה 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
דוגמה 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
לקבלת מידע נוסף על האופן שבו ניתן לקבוע אם התאריך והשעה של אירוע 5722 תואמים לתאריך ולשעה המפענחים, לחץ על מספרי המאמרים הבאים כדי להציג את המאמרים ב- Microsoft Knowledge Base:
175024 איפוס ערוץ מאובטח של חבר תחום
810977 מזהה אירוע 5722 נרשם בבקר התחום שלך המבוסס על Windows 2000 Server
