Etki alanı denetleyicinizde Olay Kimliği 5722 günlüğe kaydedildi

  • Makale

Bu makalede, etki alanı denetleyicinizin sistem günlüğünde 5722 olayının göründüğü bir sorunu tanılama ve çözme açıklanmaktadır.

Şunlar için geçerlidir: Windows 2000
Özgün KB numarası: 810977

Not

Bu makale Windows 2000 için geçerlidir. Windows 2000 desteği 13 Temmuz 2010'da sona erer. Daha fazla bilgi için bkz. Microsoft Desteği Yaşam Döngüsü İlkesi.

Özet

Windows etki alanı denetleyicisinde sistem günlüğünü görüntülemek için Olay Görüntüleyicisi kullandığınızda 5722 olayının günlüğe kaydedilmiş olduğunu görebilirsiniz. Bu sorun iki senaryodan birinde oluşabilir:

  • Bir bilgisayar, bilgisayar hesabı parolasını bir etki alanı denetleyicisiyle güncelleştirdiğinde
  • Bir bilgisayar zaten var olan bir adla bir etki alanına katıldığında

Bu makalede iki senaryoyu ayırt etme ve sorunun nasıl çözüleceğini açıklanmaktadır.

Belirtiler

Microsoft Windows etki alanı denetleyicisinde aşağıdaki olay sistem günlüğüne kaydedilir:

Olay Türü: Hata
Olay Kaynağı: NETLOGON
Olay Kategorisi: Yok
Olay Kimliği: 5722
Tarih: Tarih
Zaman: Saat
Kullanıcı: Yok
Bilgisayar: ComputerName
Açıklama: ComputerName bilgisayarından oturum kurulumu kimlik doğrulaması başarısız oldu. Güvenlik veritabanında başvuruda bulunan hesabın adı AccountName $ şeklindedir.
Aşağıdaki hata oluştu:
Erişim reddedildi.

Neden

Bir Microsoft Windows etki alanında, Windows 2000'den başlayarak, ayrık bir iletişim kanalı, etki alanı denetleyicisi ile üye sunucular veya iş istasyonları arasında daha güvenli bir iletişim yolu sağlamaya yardımcı olur. Bu kanal güvenli kanal olarak bilinir. Bir bilgisayarı bir etki alanına eklediğinizde, bir bilgisayar hesabı oluşturulur ve bilgisayarla etki alanı arasında bir parola paylaşılır. Varsayılan olarak, bu parola her 30 günde bir değiştirilir. Güvenli kanalın parolası, birincil etki alanı denetleyicisindeki (PDC) bilgisayar hesabıyla birlikte depolanır. Parola tüm çoğaltma etki alanı denetleyicilerine çoğaltılır.

Olay 5722 aşağıdaki senaryolarda günlüğe kaydedilir:

  • Bir bilgisayar, bilgisayar hesabı parolasını bir etki alanı denetleyicisiyle güncelleştirdiğinde, olay kimlik doğrulama etki alanı denetleyicisinin sistem günlüğüne kaydedilir.

    Bu senaryoda, bilgisayarın kimlik doğrulama etki alanı denetleyicisine sahip güvenli kanalı hala geçerlidir.

  • Bir bilgisayarı başka bir bilgisayar tarafından zaten kullanılmakta olan bir ad kullanarak veya mevcut bir bilgisayar hesabı sıfırlandığında bir etki alanına eklediğinizde. Mevcut bir bilgisayar hesabı Active Directory Kullanıcıları ve Bilgisayarları veya Netdom.exe yardımcı programı kullanılarak sıfırlanabilir.

    Bu senaryoda, bilgisayarın hesap parolası etki alanı denetleyicisindeki parolayla eşleşmiyor ve özgün bilgisayardan etki alanı denetleyicisine güvenli bir kanal ayarlayamazsınız.

Çözüm

Uyarı

ADSI Düzenleme ek bileşenini, LDP yardımcı programını veya başka bir LDAP sürüm 3 istemcisini kullanıyorsanız ve Active Directory nesnelerinin özniteliklerini yanlış değiştirirseniz, ciddi sorunlara neden olabilirsiniz. Bu sorunlar Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 veya hem Windows hem de Exchange'i yeniden yüklemenizi gerektirebilir. Microsoft, Active Directory nesne özniteliklerini yanlış değiştirirseniz oluşan sorunların çözülebileceğini garanti edemez. Bu öznitelikleri değiştirme riski size aittir.

Bu sorunu çözmek için önce sorunun nedeninin hangi senaryo olduğunu belirleyin. Şu adımları izleyebilirsiniz:

  1. Olayın sistem günlüğüne kaydedildiğini tarih ve saati not edin.

  2. Başlat'a tıklayın, Programlar'ın üzerine gelin, Kaynak Seti'nin üzerine gelin ve araçlar yönetim konsolu'na tıklayın.

  3. Konsol ağacında Araçlar A'yı Z'ye tıklatın.

  4. Ayrıntılar bölmesinde ADSI Düzenleyici'e tıklayın.

    Not

    ADSI Düzenleme, Windows Destek Araçları'na dahildir. Windows Destek Araçları'nı Windows 2000 Server CD-ROM'unun Support\Tools klasöründen yükleyebilirsiniz.

    Windows Server® 2003 veya Windows® XP işletim sistemlerini çalıştıran bilgisayarlara ADSI Düzenleme'yi yüklemek için Windows Server 2003 ürün CD'sinden Windows Server 2003 Destek Araçları'nı yükleyin. Ürün CD'sinden Windows Destek Araçları'nı yükleme hakkında daha fazla bilgi için bkz. Windows Destek Araçları'nı yükleme.

    Windows Server 2008 veya Windows Server 2008 R2 çalıştıran sunucularda, sunucuyu etki alanı denetleyicisi yapmak için Active Directory Domain Services (AD DS) rolünü yüklediğinizde ADSI Düzenleme yüklenir. Windows Server 2008 Uzak Sunucu Yönetim Araçları'nı (RSAT) etki alanı üye sunucularına veya tek başına sunuculara da yükleyebilirsiniz. Belirli yönergeler için bkz. Uzak Sunucu Yönetim Araçları Paketini Yükleme veya Kaldırma.

    Service Pack 1 (SP1) veya Windows 7 yüklü Windows Vista® çalıştıran bilgisayarlara ADSI Düzenleme'yi yüklemek için RSAT'yi yüklemeniz gerekir.

  5. ADSI Düzenle'de soruna neden olan bilgisayarı bulun ve sağ tıklayın.

  6. Özellikler'e tıklayın.

  7. Hangi özelliklerin görüntüleyebileceğinizi seçin bölümünde Her İkisi'ne tıklayın.

  8. Görüntülemek için bir özellik seçin bölümünde PwdLastSet'e tıklayın.

    ntte Değer kullanıcı arabiriminde okunabilir bir tarih ve zaman damgasına dönüştürülmezse, aşağıdaki komutu çalıştırın veya alternatif bir yöntem için 9. adıma geçin:

    w32tm /ntte pwdlastsetvalue

  9. Değerler kutusunda görüntülenen değeri panoya kopyalayın.

  10. Başlat'a tıklayın, Programlar'ın üzerine gelin, Donatılar'ın üzerine gelin ve hesap makinesi'ne tıklayın.

  11. Görünüm menüsünde Bilimsel'e tıklayın.

  12. Numaralandırma sistemini ondalık olarak ayarlamak için Ara'ya tıklayın.

  13. Panodaki değeri Hesap Makinesi'ne yapıştırın.

  14. Değeri ondalıktan onaltılık ondalık numaralandırma sistemine değiştirmek için Onaltılık'a tıklayın.

  15. Düzenle menüsünde Kopyala'ya tıklayın.

  16. Onaltılık sayıyı panodan Not Defteri'ndeki bir dosyaya yapıştırın.

  17. Onaltılık dizenin en sağdaki karakterinden sekiz karakter sayıp ARA ÇUBUĞU'na basın.

    Not

    Bu eylem, onaltılık dizeyi iki onaltılık dizeye böler.

  18. Sol taraftaki onaltılık dize yalnızca yedi karakter içeriyorsa, dizenin başına sıfır ekleyin.

  19. Komut isteminde

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString

    Şuna benzer bir çıkış alırsınız:

     C:\>nltest /time:a25cc370 01c294bc  
 a25cc370 01c294bc = 11/25/2002 13:55:41  
 The command completed successfully.

  20. Kodu çözülen tarih ve saati not edin.

  21. 1. adımda not ettiğiniz tarih ve saat ile 20. adımda not ettiğiniz kodu çözülen tarih ve saatin eşleşip eşleşmediğini denetleyin.

  22. Olay 5722'nin tarih ve saati günlüğe kaydedildiyse ve kodu çözülen tarih ve saat eşleşiyorsa, komut istemine aşağıdaki komutu yazarak soruna neden olan bilgisayarın etki alanı denetleyicisiyle oluşturulmuş güvenli bir kanala sahip olup olmadığını denetleyin:

    Nltest /server: **ComputerName** /sc_query: **DomainName**

    Sorunlu bilgisayarda etki alanı denetleyicisiyle oluşturulmuş geçerli bir güvenli kanal varsa aşağıdakine benzer bir çıkış alırsınız:

    
 C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
HAS_IP HAS_TIMESERV  
Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.

    Sorunlu bilgisayarda etki alanı denetleyicisiyle oluşturulmuş geçerli bir güvenli kanal yoksa şuna benzer bir çıkış alırsınız:

    
 C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
Trusted DC Name  
Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.

5722 olayının tarih ve saati ile kodu çözülen tarih ve saat eşleşmiyorsa, sorunlu bilgisayarın hesap parolası etki alanı denetleyicisindeki parolayla eşleşmeyebilir. Bu sorun aşağıdaki koşullardan biri altında oluşabilir:

  • Yönetici, Active Directory Kullanıcıları ve Bilgisayarları veya Netdom.exe gibi başka bir aracı kullanarak bir bilgisayar hesabını sıfırlar.
  • Etki alanında zaten var olan bir ad kullanılarak etki alanına yeni bir bilgisayar katılır.

Not

Etki alanı denetleyicisi için Netlogon hizmet günlüğü açıksa, aşağıdakine benzer bir Netlogon.log girdisini denetleyerek bu senaryoyu onaylarsınız:

05/06 13:35:25 [MISC] NlMainLoop: Güven hesabının 0x#### 4$ TRUSTING_DOMAIN eklendiğini (veya değiştirildiğini) belirten bildirim

Bir bilgisayar kendi bilgisayar hesabı parolasını güncelleştirirse bu ileti günlüğe kaydedilmez.

Yinelenen bilgisayar adlarına ilişkin sorunları çözmek için, özgün bilgisayarı etki alanına yeniden ekleyin.

Aşağıdaki koşulların her ikisi de doğruysa 5722 olayını yoksayabilirsiniz:

  • Olay 5722'nin tarih ve saati ile kodu çözülen tarih ve saat eşleşiyorsa.
  • Sorunlu bilgisayar ve etki alanı denetleyicisi arasında geçerli bir güvenli kanal oluşturulur.

Not

Bu koşulların her ikisi de doğru olduğunda, bilgisayar bilgisayar hesabı güncelleştirme işlemi sırasında bir etki alanı denetleyicisiyle kimlik doğrulamayı denediğinde, etki alanı denetleyicisinde olay 5722 günlüğe kaydedilir.

Yöneticiler, Ldp.exe kullanarak etki alanındaki herhangi bir bilgisayardan Active Directory bilgilerini de sorgulayabilir. Windows XP Service Pack 2 Destek Araçları'nda bulunan Ldp.exe sürümü PwdLastSet değerinin kodunu çözmek için de kullanılabilir.

Başvurular

Hata ayıklama günlüğünü etkinleştirme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

Net Logon hizmeti için hata ayıklama günlüğünü etkinleştirmeyi 109626