Riepilogo
Per ogni workstation o server Windows 2000 o Windows XP membro di un dominio, esiste un canale di comunicazione discreto, noto come canale di sicurezza, con un controller di dominio.La password del canale di sicurezza viene archiviata insieme all'account del computer in tutti i controller di dominio. Per Windows 2000 o Windows XP, il periodo di modifica della password dell'account predefinito per il computer è ogni 30 giorni. Se, per qualche motivo, la password dell'account del computer e il segreto LSA non sono sincronizzati, il servizio Netlogon registra uno o entrambi i seguenti messaggi di errore:
ID evento NETLOGON 5723:Impossibile eseguire l'autenticazione della configurazione della sessione dal computer DOMAINMEMBER. Il nome dell'account a cui si fa riferimento nel database di sicurezza è DOMAINMEMBER$. Si è verificato l'errore seguente: Accesso negato.
NETLOGON Event ID 3210:Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.
Il servizio Netlogon nel controller di dominio registra il seguente messaggio di errore quando la password non viene sincronizzata:
ID evento NETLOGON 5722:Impossibile eseguire l'autenticazione della configurazione della sessione dal computer ComputerName. Il nome dell'account a cui si fa riferimento nel database di sicurezza è AccountName$.Si è verificato l'errore seguente:Accesso negato.
Questo articolo descrive quattro modi per reimpostare gli account computer in Windows 2000 o Windows XP. Questi metodi sono i seguenti:
-
Uso dello strumento da riga di comando Netdom.exe
-
Uso dello strumentoda riga di comando Nltest.exe Nota: gli strumenti Netdom.exe e Nltest.exe si trovano nel CD Windows Server nella cartella Support\Tools. Per installare questi strumenti, eseguire Setup.exe o estrarre i file dal file Support.cab.
-
Uso di Utenti e computer di Active Directory Microsoft Management Console (MMC)
-
Uso di uno script di Microsoft Visual Basic
Questi strumenti consentono l'amministrazione remota e non remota. Netdom.exe e Nltest.exe sono strumenti da riga di comando che reimpostano un canale di sicurezza stabilito correttamente. Non è possibile usare questi strumenti quando il canale di sicurezza è interrotto e la comunicazione non funziona correttamente.
Ulteriori informazioni
Netdom.exe
Per ogni membro, esiste un canale di comunicazione discreto (il canale di sicurezza) con un controller di dominio. Il canale di sicurezza viene utilizzato dal servizio Netlogon sul membro e sul controller di dominio per comunicare. Netdom consente di reimpostare il canale di sicurezza del membro. Puoi reimpostare il canale di sicurezza dei membri usando il comando seguente:
netdom reset 'nomecomputer' /dominio:'nomedominiodove 'nomecomputer' = il nome del computer locale e 'nomedominio' = il dominio in cui è archiviato il computer/account computer.Si supponga di avere un membro di dominio denominato DOMAINMEMBER in un dominio denominato MYDOMAIN. Puoi reimpostare il canale di sicurezza dei membri usando il comando seguente:
netdom reset domainmember /domain:mydomainÈ possibile eseguire questo comando sul membro DOMAINMEMBER o su qualsiasi altro membro o controller di dominio del dominio, a condizione che l'accesso sia stato eseguito con un account che dispone dell'accesso come amministratore a DOMAINMEMBER.
Nltest.exe
Nltest.exe può essere usato per testare la relazione di trust tra un computer che esegue Windows 2000 o Windows XP membro di un dominio e un controller di dominio in cui risiede l'account del computer.
C:\Ntreskit\Nltest.exeUtilizzo: nltest [/OPTIONS] /SC_QUERY:DomainName - Canale di sicurezza query per dominio su ServerName /SERVER:ServerName /SC_VERIFY:DomainName - Verifica il canale di sicurezza nel dominio specificato per una workstation locale o remota, un server o un controller di dominio. Contrassegni: 30 HAS_IP HAS_TIMESERV Nome controller di dominio attendibile \\server.windows2000.com stato di connessione controller di dominio attendibile = 0 0x0 NERR_SuccessIl comando è stato completato correttamente
Utenti e computer di Active Directory (DSA)
Con Windows 2000 o Windows XP è anche possibile reimpostare l'account del computer dall'interno dell'interfaccia utente grafica (GUI). Nel Utenti e computer di Active Directory MMC (DSA), è possibile fare clic con il pulsante destro del mouse sull'oggetto computer nel computer o nel contenitore appropriato e quindi scegliere Reimposta account. L'account del computer verrà reimpostato. La reimpostazione della password per i controller di dominio con questo metodo non è consentita. Il ripristino di un account computer interrompe la connessione del computer al dominio e lo richiede per ricongiungersi al dominio. Nota Questo impedirà a un computer stabilito di connettersi al dominio e dovrebbe essere utilizzato solo per un computer che è stato appena ricostruito.
Script di Microsoft Visual Basic
È possibile usare uno script per reimpostare l'account del computer. È necessario connettersi all'account del computer usando l'interfaccia IADsUser. Puoi quindi usare il metodo SetPassword per impostare la password su un valore iniziale. La password iniziale di un computer è sempre "nomecomputer$".Gli script di esempio seguenti potrebbero non funzionare in tutti gli ambienti e devono essere testati prima dell'implementazione. Il primo esempio riguarda gli account di computer Windows NT 4.0 e il secondo per gli account di computer Windows 2000 o Windows XP.
Esempio 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Esempio 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Per ulteriori informazioni su come determinare se la data e l'ora dell'evento 5722 corrispondono alla data e all'ora decodificate, fare clic sui numeri dell'articolo seguente per visualizzare gli articoli della Microsoft Knowledge Base:
175024 Reimpostazione del canale sicuro membro del dominio
810977 L'ID evento 5722 viene registrato nel controller di dominio basato su Windows 2000 Server
