Al momento sei offline in attesa che la connessione Internet venga ristabilita

Il servizio di accesso alla rete NetLogon non viene avviato se il canale protetto non funziona

Sintomi
Il servizio NetLogon non viene avviato su un controller di dominio di backup (BDC) con l'errore 3210 o 5721, mentre nei registri eventi di sistema del controller di dominio primario (PDC) vengono registrati errori 5722 oppure, mediante la funzionalità di gestione del controllo servizi, Service Control Manager, viene contemporaneamente registrato l'errore 7023 sul BDC a causa dell'impossibilità di avviare il servizio NetLogon.

Per ogni BDC è presente un canale di comunicazione discreto (il canale protetto) con il PDC. Il canale protetto viene utilizzato dal servizio NetLogon sul BDC e sul PDC per consentire la comunicazione.

La procedura descritta di seguito consente di reimpostare il canale protetto del BDC mediante un unico comando anziché tramite numerose operazioni in Server Manager. A questo scopo è necessaria l'utilità NETDOM inclusa in Windows NT 4.0 Resource Kit Supplement 2.
Cause
Per le finalità di questo articolo si presuppone la seguente configurazione:

   Dominio = DOMAIN   PDC     = DOMAINPDC   BDC     = DOMAINBDC


Quando un BDC fa parte di un dominio, viene creato un account computer che può essere visualizzato con Server Manager. All'account computer viene assegnata una password predefinita che viene memorizzata dal BDC nell'area di archiviazione segreta di LSA, $machine.acc. La password viene quindi cambiata ogni sette giorni.

Tale segreto LSA viene gestito su ogni BDC e utilizzato dal servizio NetLogon per stabilire un canale protetto. Se la password dell'account computer e il segreto LSA non sono sincronizzati, il servizio NetLogon non verrà avviato sul BDC con il seguente messaggio di errore:
NETLOGON Event 3210

Failed to authenticate with \\DOMAINPDC, a Windows NT domain controller for domain DOMAIN.

Se l'account computer è stato eliminato, da parte del servizio NetLogon del BDC verrà registrato uno dei seguenti messaggi di errore:
NETLOGON Event 5721

The session setup to the Windows NT Domain Controller \\DOMAINPDC for the domain DOMAIN failed because the Windows NT Domain Controller does not have an account for the computer DOMAINBDC.

Oppure
NETLOGON Event 5723

The session setup from the computer DOMAINBDC failed because there is no trust account in the security database for this computer. The name of the account referenced in the security database is DOMAINBDC$.

In modo analogo da parte del servizio NetLogon sul PDC viene registrato il seguente messaggio di errore quando la password non è sincronizzata:
NETLOGON Event 5722

The session setup from the computer DOMAINBDC failed to authenticate. The name of the account referenced in the security database is DOMAINBDC$. Si è verificato il seguente errore:

Access is denied.


In tutti i casi l'errore è nei dati relativi all'evento. Ad esempio, l'errore 0xC0000022 significa che la password dell'account computer non è valida, mentre l'errore 0xC000018B significa che l'account computer è stato eliminato e così via.



Per ulteriori informazioni sui canali protetti, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:

131366 Errore evento 5712 con stato Accesso negato

142869 Visualizzazione degli ID evento ID 3210 e 5722 durante la sincronizzazione dell'intero dominio

149664 Verifica della sincronizzazione del servizio Accesso rete (NetLogon) del dominio

158148 Utilità di test del canale protetto del dominio -- NLTEST.EXE

160324 ID evento 5721 dopo l'eliminazione di un account del computer

Risoluzione
AVVISO: la soluzione inclusa in questo articolo non è stata sottoposta a test estesi in installazioni di grandi dimensioni. Microsoft non fornisce alcuna garanzia che le modifiche dei domini suggerite consentano di raggiungere l'obiettivo descritto in questo articolo in qualsiasi circostanza e in tutte le configurazioni.

L'utilità della riga di comando NETDOM consente di reimpostare il canale protetto del BDC. Ciò può essere molto utile quando è impossibile avviare il servizio NetLogon sul BDC a causa di un problema del canale protetto.

Per reimpostare il canale protetto del BDC è possibile utilizzare il seguente comando:

   NETDOM BDC mybdc /RESET				


Questo comando può essere eseguito sul PDC, sul BDC o su qualsiasi membro del dominio, a condizione di avere effettuato l'accesso come utente membro del gruppo Domain Admins. L'output sarà analogo al seguente:

   NetDom 1.2 @1997.   Querying domain information on computer \\MYBDC ...   The computer \\MYBDC is a domain controller of THEDOMAIN.   Searching PDC for domain THEDOMAIN ...   Found PDC \\THEPDC   Verifying secure channel on \\MYBDC ...   Verifying the computer account on the PDC \\THEPDC ...   The computer account for \\MYBDC doesn't exist or has an invalid   password.   Resetting secure channel ...   Changing computer account on PDC \\THEPDC ...   Stopping service NETLOGON on \\MYBDC .... stopped.   Starting service NETLOGON on \\MYBDC .... started.   The BDC \\MYBDC secure channel was reset successfully.   Logoff/Logon \\MYBDC to take modifications into effect.				


Con il comando precedente i canali protetti del BDC vengono reimpostati solo se necessario. Se la password per il canale protetto del BDC è corretta, verrà visualizzato un messaggio analogo al seguente:

   NetDom 1.2 @1997.   Querying domain information on computer \\MYBDC ...   The computer \\MYBDC is a domain controller of THEDOMAIN.   Searching PDC for domain THEDOMAIN ...   Found PDC \\THEPDC   Verifying secure channel on \\MYBDC ...   Verifying the computer account on the PDC \\THEPDC ...   Secure channel checked successfully.				
4.00 prodnt ntfaqdom
Proprietà

ID articolo: 150518 - Ultima revisione: 05/11/2006 12:39:17 - Revisione: 2.0

  • Microsoft Windows NT Server 4.0 Standard Edition
  • kbnetwork KB150518
Feedback