Ereignis-ID 5722 wird auf Ihrem Domänencontroller protokolliert

In diesem Artikel wird beschrieben, wie Sie ein Problem diagnostizieren und beheben, bei dem das Ereignis 5722 im Systemprotokoll Ihres Domänencontrollers angezeigt wird.

Gilt für: Windows 2000
Ursprüngliche KB-Nummer: 810977

Dieser Artikel gilt für Windows 2000. Der Support für Windows 2000 endet am 13. Juli 2010. Weitere Informationen finden Sie unter Microsoft-Support Lifecycle-Richtlinie.

Zusammenfassung

Wenn Sie Ereignisanzeige verwenden, um das Systemprotokoll auf einem Windows-Domänencontroller anzuzeigen, wird möglicherweise das Ereignis 5722 protokolliert. Dieses Problem kann in zwei Szenarien auftreten:

• Wenn ein Computer sein Computerkontokennwort mit einem Domänencontroller aktualisiert
• Wenn ein Computer einer Domäne mit einem bereits vorhandenen Namen beigetreten ist

In diesem Artikel wird beschrieben, wie Sie die beiden Szenarien unterscheiden und das Problem beheben.

Symptome

Auf einem Microsoft Windows-Domänencontroller wird das folgende Ereignis im Systemprotokoll protokolliert:

Ereignistyp: Fehler
Ereignisquelle: NETLOGON
Ereigniskategorie: Keine
Ereignis-ID: 5722
Datum: Datum
Zeit: Zeit
Benutzer: Nicht zutreffend
Computer: ComputerName
Beschreibung: Die Sitzungseinrichtung des Computers ComputerName konnte nicht authentifiziert werden. Der Name des Kontos, auf das in der Sicherheitsdatenbank verwiesen wird, lautet AccountName $.
Der folgende Fehler ist aufgetreten:
Der Zugriff wurde verweigert.

Ursache

In einer Microsoft Windows-Domäne, ab Windows 2000, bietet ein diskreter Kommunikationskanal einen sichereren Kommunikationspfad zwischen dem Domänencontroller und den Mitgliedsservern oder Arbeitsstationen. Dieser Kanal wird als sicherer Kanal bezeichnet. Wenn Sie einen Computer einer Domäne hinzufügen, wird ein Computerkonto erstellt, und ein Kennwort wird zwischen dem Computer und der Domäne gemeinsam verwendet. Dieses Kennwort wird standardmäßig alle 30 Tage geändert. Das Kennwort des sicheren Kanals wird zusammen mit dem Computerkonto auf dem primären Domänencontroller (PDC) gespeichert. Das Kennwort wird auf alle Replikatdomänencontroller repliziert.

Ereignis 5722 wird in den folgenden Szenarien protokolliert:

• Wenn ein Computer sein Computerkontokennwort mit einem Domänencontroller aktualisiert, wird das Ereignis im Systemprotokoll des authentifizierenden Domänencontrollers protokolliert.

  In diesem Szenario ist der sichere Kanal des Computers mit dem authentifizierenden Domänencontroller weiterhin gültig.

• Wenn Sie einen Computer mit einer Domäne verbinden, indem Sie einen Namen verwenden, der bereits von einem anderen Computer verwendet wird, oder wenn ein vorhandenes Computerkonto zurückgesetzt wird. Ein vorhandenes Computerkonto kann mithilfe von Active Directory-Benutzer und -Computer oder mithilfe des Hilfsprogramms Netdom.exe zurückgesetzt werden.

  In diesem Szenario stimmt das Kontokennwort des Computers nicht mit dem Kennwort auf dem Domänencontroller überein, und Sie können keinen sicheren Kanal vom ursprünglichen Computer zum Domänencontroller festlegen.

Lösung

Um dieses Problem zu beheben, bestimmen Sie zunächst, welches Szenario die Ursache des Problems ist. Sie können die folgenden Schritte ausführen:

1. Notieren Sie sich das Datum und die Uhrzeit, zu der das Ereignis im Systemprotokoll protokolliert wurde.

2. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Resource Kit, und klicken Sie dann auf Verwaltungskonsole für Tools.

3. Klicken Sie in der Konsolenstruktur auf Tools A bis Z.

4. Klicken Sie im Detailbereich auf ADSI Editor.

   Hinweis

   ADSI-Bearbeitung ist in den Windows-Supporttools enthalten. Sie können die Windows-Supporttools aus dem Ordner Support\Tools der Windows 2000 Server-CD-ROM installieren.

   Um ADSI Edit auf Computern mit Windows Server® 2003- oder Windows® XP-Betriebssystemen zu installieren, installieren Sie Windows Server 2003 Support Tools von der Windows Server 2003-Produkt-CD. Weitere Informationen zum Installieren der Windows-Supporttools von der Produkt-CD finden Sie unter Installieren der Windows-Supporttools.

   Auf Servern unter Windows Server 2008 oder Windows Server 2008 R2 wird ADSI Edit installiert, wenn Sie die Rolle Active Directory Domain Services (AD DS) installieren, um einen Server zu einem Domänencontroller zu machen. Sie können auch die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) von Windows Server 2008 auf Domänenmitgliedsservern oder eigenständigen Servern installieren. Spezifische Anweisungen finden Sie unter Installieren oder Entfernen des Remoteserver-Verwaltungstoolspakets.

   Um ADSI Edit auf Computern zu installieren, auf denen Windows Vista® mit Service Pack 1 (SP1) oder Windows 7 ausgeführt wird, müssen Sie RSAT installieren.

5. Suchen Sie in ADSI-Bearbeitung den Computer, der das Problem verursacht, und klicken Sie dann mit der rechten Maustaste darauf.

6. Klicken Sie auf Eigenschaften.

7. Klicken Sie unter Auswählen, welche Eigenschaften angezeigt werden sollen auf Beide.

8. Klicken Sie unter Eigenschaft zum Anzeigen auswählen auf PwdLastSet.

   Wenn der ntte Wert auf der Benutzeroberfläche nicht in ein lesbares Datum und einen zeitstempel konvertiert wird, führen Sie den folgenden Befehl aus, oder fahren Sie mit Schritt 9 für eine alternative Methode fort:

   w32tm /ntte pwdlastsetvalue  
   

9. Kopieren Sie den Wert, der im Feld Wert(en) angezeigt wird, in die Zwischenablage.

10. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Zubehör, und klicken Sie dann auf Rechner.

11. Klicken Sie im Menü Ansicht auf Wissenschaftlich.

12. Klicken Sie auf Dec , um das Nummerierungssystem auf dezimal festzulegen.

13. Fügen Sie den Wert aus der Zwischenablage in Calculator ein.

14. Um den Wert von dezimal in hexadezimales Nummerierungssystem zu ändern, klicken Sie auf Hexadezimalzahl.

15. Klicken Sie im Menü Bearbeiten auf Kopieren.

16. Fügen Sie die hexadezimale Zahl aus der Zwischenablage in eine Datei im Editor ein.

17. Zählen Sie acht Zeichen aus dem äußersten rechten Zeichen der hexadezimalen Zeichenfolge, und drücken Sie dann die LEERTASTE.

    Hinweis

    Diese Aktion teilt die hexadezimale Zeichenfolge in zwei hexadezimale Zeichenfolgen auf.

18. Wenn die hexadezimale Zeichenfolge auf der linken Seite nur sieben Zeichen enthält, fügen Sie am Anfang der Zeichenfolge eine Null hinzu.

19. Geben Sie an einer Eingabeaufforderung folgendes Eingabeaufforderung ein:

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString  
    

    Sie erhalten eine Ausgabe ähnlich der folgenden:

     C:\>nltest /time:a25cc370 01c294bc  
     a25cc370 01c294bc = 11/25/2002 13:55:41  
     The command completed successfully.
    

20. Notieren Sie sich das decodierte Datum und die Uhrzeit.

21. Überprüfen Sie, ob Datum und Uhrzeit, die Sie sich in Schritt 1 notiert haben, und das decodierte Datum und die Uhrzeit, die Sie sich in Schritt 20 notiert haben, übereinstimmen.

22. Wenn Datum und Uhrzeit des Ereignisses 5722 protokolliert wurden und das decodierte Datum und die decodierte Uhrzeit übereinstimmen, überprüfen Sie, ob auf dem Computer, der das Problem verursacht, ein sicherer Kanal mit einem Domänencontroller eingerichtet wurde, indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben:

    Nltest /server: **ComputerName** /sc_query: **DomainName**  
    

    Wenn der Problemcomputer über einen gültigen sicheren Kanal verfügt, der mit einem Domänencontroller eingerichtet wurde, erhalten Sie eine Ausgabe, die der folgenden ähnelt:

    
     C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
    HAS_IP HAS_TIMESERV  
    Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.  
    
    

    Wenn der Problemcomputer keinen gültigen sicheren Kanal mit einem Domänencontroller eingerichtet hat, erhalten Sie eine Ausgabe ähnlich der folgenden:

    
     C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
    Trusted DC Name  
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.  
    
    

Wenn Das Datum und die Uhrzeit des Ereignisses 5722 und das decodierte Datum und die decodierte Uhrzeit nicht übereinstimmen, stimmt das Kontokennwort des problems möglicherweise nicht mit dem Kennwort überein, das sich auf dem Domänencontroller befindet. Dieses Problem kann unter einem der folgenden Umstände auftreten:

• Ein Administrator setzt ein Computerkonto mithilfe von Active Directory-Benutzer und -Computer oder einem anderen Tool wie Netdom.exe zurück.
• Ein neuer Computer wird mit der Domäne verknüpft, indem ein Name verwendet wird, der bereits in der Domäne vorhanden ist.

Diese Meldung wird nicht protokolliert, wenn ein Computer sein eigenes Computerkontokennwort aktualisiert.

Um Probleme im Zusammenhang mit doppelten Computernamen zu beheben, zuordnen Sie den ursprünglichen Computer erneut zur Domäne.

Sie können das Ereignis 5722 ignorieren, wenn beide der folgenden Bedingungen zutreffen:

• Wenn Datum und Uhrzeit des Ereignisses 5722 und decodiertes Datum und Uhrzeit übereinstimmen.
• Zwischen dem Problemcomputer und einem Domänencontroller wird ein gültiger sicherer Kanal eingerichtet.

Administratoren können Active Directory-Informationen auch von jedem Computer in der Domäne abfragen, indem sie Ldp.exe verwenden. Die Version von Ldp.exe, die in den Windows XP Service Pack 2-Supporttools enthalten ist, kann auch zum Decodieren des PwdLastSet-Werts verwendet werden.

References

Weitere Informationen zum Aktivieren der Debugprotokollierung finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:

109626 Aktivieren der Debugprotokollierung für den Net Logon-Dienst