ID evento 5722 registrato sul controller di dominio basato su Windows Server

In questo articolo si applica a Windows 2000. Supporto per Windows 2000 termina il 13 luglio 2010. Il Centro fine del supporto di Windows 2000 è un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.

Riepilogo

Quando si utilizza il Visualizzatore eventi per visualizzare il Registro di sistema in un controller di dominio di Windows, è possibile evento 5722 registrato. Questo problema può verificarsi in uno dei due scenari:
  • Quando un computer Aggiorna la password dell'account di computer con un controller di dominio
  • Quando un computer viene aggiunto a un dominio con un nome già esistente.
In questo articolo viene descritto come distinguere i due scenari e come risolvere il problema.

Sintomi

In un controller di dominio Microsoft Windows, il seguente evento viene registrato nel Registro di sistema:
Tipo di evento: errore
Origine evento: NETLOGON
Categoria evento: nessuno
ID evento: 5722
Data: Data
Ora: ora
Utente: n/d
Computer: nomecomputer
Descrizione: Impostazione della sessione dal computer nomecomputer autenticazione non riuscita. Il nome dell'account nel database di protezione è AccountName$.
Si è verificato il seguente errore:
Accesso negato.

Causa

In un dominio Microsoft Windows, a partire da Windows 2000, un canale di comunicazione discreto consente di fornire un percorso di comunicazione più sicuro tra il controller di dominio e membro del server o workstation. Questo canale è noto come un canale protetto. Quando si aggiunge un computer a un dominio, viene creato un account computer e una password è condivisa tra il computer e il dominio. Per impostazione predefinita, questa password viene modificata ogni 30 giorni. La password del canale sicuro viene memorizzata con l'account computer nel controller di dominio primario (PDC). La password viene replicata in tutti i controller di dominio di replica.

Evento 5722 registrato negli scenari seguenti:
  • Quando un computer Aggiorna la password dell'account di computer con un controller di dominio, l'evento viene registrato nel Registro di sistema del controller di dominio di autenticazione.

    In questo scenario, un canale protetto con il controller di dominio del computer è ancora valido.
  • Quando si aggiunge un computer a un dominio utilizzando un nome già in uso da un altro computer o quando si reimposta un account computer. Utilizzando Active Directory Users and Computers o mediante l'utilità Netdom.exe, è possibile reimpostare un account computer.

    In questo scenario, la password dell'account del computer non corrisponde alla password sul controller di dominio e non è possibile impostare un canale protetto dal computer originale al controller di dominio.

Risoluzione

Avviso Se si utilizza lo snap-in ADSI Edit, l'utilità LDP o qualsiasi altro client LDAP versione 3 e si modificano erroneamente gli attributi degli oggetti Active Directory, è possibile causare seri problemi. Questi problemi possono richiedere la reinstallazione di Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003, o sia di Windows e di Exchange. Microsoft non garantisce che i problemi che si verificano se si modificano erroneamente gli attributi degli oggetti di Active Directory possano essere risolti. Modificare questi attributi a proprio rischio.


Per risolvere questo problema, determinare innanzitutto quale scenario è la causa del problema. A tale scopo, attenersi alla seguente procedura:
  1. Si noti la data e l'ora in cui è stato registrato l'evento nel Registro di sistema.
  2. Fare clic su Start, scegliere programmi, al Resource Kite quindi fare clic su Strumenti di Management Console.
  3. Nella struttura della console, fare clic su Tools a to Z.
  4. Nel riquadro dei dettagli fare clic su Editor ADSI.


    Nota: ADSI Edit è incluso negli strumenti di supporto di Windows. È possibile installare strumenti di supporto di Windows dalla cartella Support\Tools del CD di Windows 2000 Server.

    Per ulteriori informazioni su come installare strumenti di supporto di Windows per Windows 2000, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

    301423 come installare gli strumenti di supporto di Windows 2000 in un computer basato su Windows 2000 Server

    Per installare ADSI Edit su computer che eseguono Windows Server® 2003 o sistemi operativi Windows® XP, installare gli strumenti di supporto di Windows Server 2003 dal CD di Windows Server 2003 o da Microsoft Download Center (http://go.microsoft.com/fwlink/?LinkId=100114). Per ulteriori informazioni su come installare gli strumenti di supporto di Windows dal CD del prodotto, vedere installare gli strumenti di supporto di Windows (http://go.microsoft.com/fwlink/?LinkId=62270).

    Sui server che eseguono Windows Server 2008 o Windows Server 2008 R2, ADSI Edit viene installato quando si installa il ruolo di servizi di dominio Active Directory (AD DS) per configurare un server di un controller di dominio. È inoltre possibile installare Windows Server 2008 remoto Server strumenti di amministrazione sul server membro di dominio o server autonomi. Per istruzioni specifiche, vedere installare o rimuovere il pacchetto (http://go.microsoft.com/fwlink/?LinkId=143345) strumenti di amministrazione remota di Server.

    Per installare ADSI Edit su computer che eseguono Windows Vista® con Service Pack 1 (SP1) o Windows 7, è necessario installare RSAT. Per ulteriori informazioni e per scaricare RSAT, vedere l'articolo 941314 della Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkID=116179).
  5. In ADSI Edit, individuare e fare clic su computer che causa il problema.
  6. Fare clic su Proprietà.
  7. Nel Selezionare le proprietà da visualizzare, fare clic su entrambe.
  8. In Selezionare una proprietà da visualizzare, fare clic su PwdLastSet.
  9. Copiare il valore visualizzato nella casella valori negli Appunti.
  10. Fare clic su Start, scegliere programmi, Accessorie quindi fare clic su Calcolatrice.
  11. Scegliere scientificadal menu Visualizza .
  12. Fare clic su Dec per impostare il sistema di numerazione decimale.
  13. Incollare il valore dagli Appunti nella Calcolatrice.
  14. Per modificare il valore da decimale al sistema di numerazione esadecimale decimale, fare clic su esadecimale.
  15. Scegliere Copia dal menu Modifica .
  16. Incollare il numero esadecimale dagli Appunti in un file nel blocco note.
  17. Contare i caratteri dal carattere la maggior parte destra della stringa esadecimale di otto e quindi premere BARRA SPAZIATRICE.

    Nota: Questa azione suddivide la stringa esadecimale in due stringhe esadecimali.
  18. Se la stringa esadecimale sul lato sinistro contiene solo sette caratteri, aggiungere uno zero all'inizio della stringa.
  19. Al prompt dei comandi, digitare
    Nltest /time:RightSideHexadecimalstringLeftSideHexadecimalString
    Verrà visualizzato l'output è simile al seguente:
    C:\>nltest /time:a25cc370 01c294bc a25cc370 01c294bc = 11/25/2002 13:55:41 
    The command completed successfully.

  20. Si noti la data decodificato.
  21. Controllare se la data e ora annotato nel passaggio 1 e decodificato data e ora in cui si è preso nota nel passaggio 20 corrispondenza.
  22. Se la data e l'ora dell'evento 5722 è stato registrato e data decodificato e corrispondenza tempo, verificare se il computer che causa il problema ha un canale protetto con un controller di dominio digitando il seguente comando al prompt:
    Nltest /server: /sc_querynomecomputer :NomeDominio
    Se nel computer di problema è un canale protetto valido stabilito con un controller di dominio, viene visualizzato l'output simile al seguente:
    C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30HAS_IP HAS_TIMESERV
    Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.
    Se il problema computer non dispone di un canale protetto valido stabilito con un controller di dominio, viene visualizzato l'output è simile al seguente:
    C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  Trusted DC Name
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.
Se la data e l'ora dell'evento 5722 e decodificato data e ora non corrispondono, la password dell'account del computer il problema potrebbe non corrispondere la password sul controller di dominio. Ciò può verificarsi in presenza delle seguenti circostanze:
  • Un amministratore reimposta un account computer tramite Active Directory Users e computer o un altro strumento quale Netdom.exe.
  • Un nuovo computer viene aggiunto al dominio utilizzando un nome già esistente nel dominio.
Nota: Se la registrazione del servizio Accesso rete è attivata per il controller di dominio, questo scenario si conferma controllando per una voce di Netlogon. log simile al seguente:
05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4 
Questo messaggio non viene registrato se la propria password di account computer viene aggiornato un computer.

Per risolvere i problemi di nomi di computer duplicati, riconnettere il computer al dominio originale.

È possibile ignorare l'evento 5722 se sono vere entrambe le condizioni seguenti:
  • Se la data e ora dell'evento 5722 e decodificato data e ora corrispondono.
  • Un canale sicuro valido viene stabilito tra il problema e un controller di dominio.
Nota: Quando entrambe le condizioni sono vere, evento 5722 viene registrato nel controller di dominio quando il computer tenta di eseguire l'autenticazione con un controller di dominio durante il processo di aggiornamento di account computer.

Gli amministratori possono inoltre eseguire una query informazioni da qualsiasi computer nel dominio di Active Directory utilizzando Ldp.exe. La versione di Ldp.exe che è incluso in strumenti di supporto di Windows XP Service Pack 2 è utilizzabile anche per decodificare il valore PwdLastSet.

Per ulteriori informazioni su strumenti di supporto di Windows XP Service Pack 2, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

Strumenti di supporto di 838079 Windows XP Service Pack 2

È anche possibile utilizzare l'utilità di Windows XP W32tm.exe per decodificare il valore PwdLastSet.

Riferimenti

Per ulteriori informazioni sull'attivazione di registrazione di debug, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base riportato di seguito:

221833 come abilitare registrazione di debug dell'ambiente utente build di Windows

109626 consente di eseguire il debug la registrazione per il servizio Accesso rete

Proprietà

ID articolo: 810977 - Ultima revisione: 30 gen 2017 - Revisione: 1

Feedback