Összefoglalás
Minden olyan Windows 2000 vagy Windows XP rendszerű munkaállomáshoz vagy kiszolgálóhoz, amely egy tartomány tagja, van egy különálló kommunikációs csatorna, más néven a biztonsági csatorna, tartományvezérlővel.A rendszer a biztonsági csatorna jelszavát és a számítógépfiókot az összes tartományvezérlőn tárolja. Windows 2000 vagy Windows XP esetén a számítógépfiók jelszóváltoztatásának alapértelmezett időtartama 30 naponta történik. Ha valamilyen okból a számítógépfiók jelszava és az LSA titkos kódja nincs szinkronizálva, a Netlogon szolgáltatás az alábbi hibaüzenetek egyikét vagy mindkettőt naplózza:
NETLOGON-eseményazonosító: 5723:A DOMAINMEMBER számítógép munkamenet-beállításának hitelesítése nem sikerült. A biztonsági adatbázisban hivatkozott fiók neve DOMAINMEMBER$. A következő hiba történt: Hozzáférés megtagadva.
NETLOGON eseményazonosító: 3210:Nem sikerült hitelesíteni a(z) \\DOMAINDC nevű Windows NT-tartományvezérlővel a tartomány tartományához.
A tartományvezérlőn található Netlogon szolgáltatás a következő hibaüzenetet naplózza, ha a jelszó nincs szinkronizálva:
NETLOGON-eseményazonosító: 5722:A Számítógépnév számítógép munkamenet-beállítása nem tudott hitelesítést végezni. A biztonsági adatbázisban hivatkozott fiók neve AccountName$.A következő hiba történt:Hozzáférés megtagadva.
Ez a cikk a számítógépfiókok Windows 2000 vagy Windows XP rendszerben történő alaphelyzetbe állításának négy módját ismerteti. Ezek a módszerek a következők:
-
A Netdom.exe parancssori eszköz használata
-
A Nltest.exe parancssori eszközhasználata Megjegyzés A Netdom.exe és Nltest.exe eszközök a Windows Server CD-ROM-on találhatók a Support\Tools mappában. Az eszközök telepítéséhez futtassa Setup.exe, vagy bontsa ki a fájlokat a Support.cab fájlból.
-
A Active Directory - felhasználók és számítógépek Microsoft Management Console (MMC) használata
-
Microsoft Visual Basic-szkript használata
Ezek az eszközök lehetővé teszik a távoli és nem távoli felügyeletet. A Netdom.exe és a Nltest.exe olyan parancssori eszközök, amelyek visszaállítják a sikeresen létrehozott biztonsági csatornákat. Ezeket az eszközöket nem használhatja, ha a biztonsági csatorna megszakadt, és a kommunikáció nem működik megfelelően.
További információ
Netdom.exe
Minden taghoz tartozik egy különálló kommunikációs csatorna (a biztonsági csatorna) egy tartományvezérlővel. A biztonsági csatornát a Netlogon szolgáltatás használja a tagon és a tartományvezérlőn a kommunikációhoz. A Netdom lehetővé teszi a tag biztonsági csatornájának alaphelyzetbe állítását. A tagbiztonsági csatornát a következő paranccsal állíthatja alaphelyzetbe:
netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domain where the computer/machine account is stored.Tegyük fel, hogy van egy DOMAINMEMBER nevű tartománytag egy MYDOMAIN nevű tartományban. A tagbiztonsági csatornát a következő paranccsal állíthatja alaphelyzetbe:
netdom reset domainmember /domain:mydomainEzt a parancsot futtathatja a DOMAINMEMBER tagon vagy a tartomány bármely más tagján vagy tartományvezérlőjén, feltéve hogy olyan fiókkal van bejelentkezve, amely rendszergazdai hozzáféréssel rendelkezik a DOMAINMEMBER elemhez.
Nltest.exe
Nltest.exe segítségével tesztelhető a megbízhatósági kapcsolat egy olyan Windows 2000 vagy Windows XP rendszert futtató számítógép között, amely tagja egy tartománynak és egy olyan tartományvezérlőnek, amelyen a számítógépfiókja található.
C:\Ntreskit\Nltest.exeHasználat: nltest [/OPTIONS] /SC_QUERY:DomainName – A(z) ServerName /SERVER:ServerName /SC_VERIFY:DomainNametartományhoz tartozó biztonsági csatorna lekérdezése – Ellenőrzi a megadott tartományban lévő biztonsági csatornát egy helyi vagy távoli munkaállomáshoz, kiszolgálóhoz vagy tartományvezérlőhöz. Jelzők: 30 HAS_IP HAS_TIMESERV Megbízható tartományvezérlő neve \\server.windows2000.com Megbízható tartományvezérlő kapcsolati állapota = 0 0x0 NERR_SuccessA parancs sikeresen befejeződött
Active Directory - felhasználók és számítógépek (DSA)
Windows 2000 vagy Windows XP rendszerben a számítógépfiókot a grafikus felhasználói felületen (GUI) is alaphelyzetbe állíthatja. Az Active Directory - felhasználók és számítógépek MMC -ben (DSA) kattintson a jobb gombbal a számítógép-objektumra a Számítógépek vagy a megfelelő tárolóban, majd kattintson a Fiók alaphelyzetbe állítása parancsra. Ezzel alaphelyzetbe állítja a gépfiókot. A tartományvezérlők jelszavának alaphelyzetbe állítása ezzel a módszerrel nem engedélyezett. A számítógépfiók alaphelyzetbe állítása megszakítja a számítógép és a tartomány közötti kapcsolatot, és megköveteli a tartományhoz való újbóli csatlakozást. Megjegyzés: Ez megakadályozza, hogy egy bevett számítógép csatlakozzon a tartományhoz, és csak az újjáépített számítógépekhez használható.
Microsoft Visual Basic-szkript
A gépfiók alaphelyzetbe állításához szkriptet használhat. Az IADsUser felülettel kell csatlakoznia a számítógépfiókhoz. Ezután a SetPassword metódus használatával beállíthatja a jelszót egy kezdeti értékre. A számítógép kezdeti jelszava mindig "computername$".Előfordulhat, hogy az alábbi példaszkriptek nem működnek minden környezetben, és az implementálás előtt tesztelni kell. Az első példa a Windows NT 4.0 rendszerű számítógépfiókokra, a második a Windows 2000 vagy a Windows XP rendszerű számítógépfiókokra.
1. minta
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
2. minta
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Ha többet szeretne tudni arról, hogy hogyan állapíthatja meg, hogy az 5722-ös esemény dátuma és időpontja megegyezik-e a dekódolt dátummal és idővel, kattintson a következő cikkszámokra a Microsoft Tudásbázis cikkeinek megtekintéséhez:
175024 Tartományi tag biztonságos csatornája alaphelyzetbe állítása
810977 Az 5722-ös eseményazonosító a Windows 2000 Server-alapú tartományvezérlőn van naplózva
