Windows Server 기반 도메인 컨트롤러에 로그온 이벤트 ID 5722

이 문서는 Windows 2000에 적용 됩니다. 2010 년 7 월 13 일 Windows 2000 지원이 종료 됩니다. Windows 2000의 지원 종료 솔루션 센터 는 Windows 2000에서 마이그레이션 전략을 계획 하기 위한 출발점입니다. 자세한 내용은 Microsoft 지원 기간 정책을 참조 하십시오.

요약

Windows 도메인 컨트롤러에서 시스템 로그를 보려면 이벤트 뷰어를 사용 하면 이벤트 5722 기록 알 수 있습니다. 이 문제는 두 시나리오 중 하나에서 발생할 수 있습니다.
  • 컴퓨터를 도메인 컨트롤러와 해당 컴퓨터 계정 암호를 업데이트할 때
  • 이미 존재 하는 이름 가진 도메인에 컴퓨터를 가입 하는 경우
이 두 시나리오를 구별 하는 방법과 문제를 해결 하는 방법을 설명 합니다.

증상

Microsoft Windows 도메인 컨트롤러에서 다음 이벤트가 시스템 로그에 기록 됩니다.
이벤트 종류: 오류
이벤트 원본: NETLOGON
이벤트 범주: 없음
이벤트 ID: 5722
날짜: 날짜
시간: 시간
사용자: n/A
컴퓨터: 컴퓨터 이름
설명: 컴퓨터 이름 을 컴퓨터의 세션 설정을 인증 하지 못했습니다. 보안 데이터베이스에서 참조 되는 계정 이름은 AccountName$입니다.
다음 오류가 발생 했습니다.
액세스가 거부 되었습니다.

원인

Microsoft Windows 도메인에 Windows 2000 개별 통신 채널 인증은 서버 또는 워크스테이션 도메인 컨트롤러와 구성원 간의 보안 통신 경로 제공 합니다. 이 채널 보안 채널로 알려져 있습니다. 도메인에 컴퓨터를 가입 시킬 컴퓨터 계정을 만들고 암호를 컴퓨터와 도메인 간에 공유 됩니다. 이 암호는 기본적으로 30 일 마다 변경 됩니다. 보안 채널의 암호는 주 도메인 컨트롤러 (PDC)의 컴퓨터 계정을 함께 저장 됩니다. 암호는 모든 복제 도메인 컨트롤러에 복제 됩니다.

이벤트 5722가 다음과 같은 경우에 기록 됩니다.
  • 컴퓨터 도메인 컨트롤러와 해당 컴퓨터 계정 암호를 업데이트할 때 인증 도메인 컨트롤러의 시스템 로그에 이벤트가 기록 됩니다.

    이 시나리오에서는 컴퓨터의 보안 채널을 인증 하는 도메인 컨트롤러를 사용 하 여 여전히 유효합니다.
  • 때 사용자 컴퓨터를 도메인에 가입 사용 하 여 다른 컴퓨터 또는 기존 컴퓨터 계정을 다시 설정 하는 경우에 이미 있는 이름을 사용 하 여. Netdom.exe 유틸리티를 사용 하거나 Active Directory 사용자 및 컴퓨터를 사용 하 여 기존 컴퓨터 계정은 다시 설정 수 있습니다.

    이 시나리오에서 컴퓨터 계정 암호가 도메인 컨트롤러에서 암호가 맞지 않습니다 하 고 도메인 컨트롤러에 원본 컴퓨터에서 보안 채널을 설정할 수 없습니다.

해결 방법

경고 ADSI 편집 스냅인을 사용 하는 경우 LDP 유틸리티 또는 기타 LDAP 버전 3 클라이언트, 및 있습니다 올바르게 수정 Active Directory 개체의 특성, 심각한 문제가 발생할 수 있습니다. 이러한 문제는 Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 또는 Windows와 Exchange를 다시 설치 해야 할 수도 있습니다. Microsoft는 잘못 수정 하면 Active Directory 개체 특성을 발생 하는 문제를 해결할 수 있는지 보장할 수 없습니다. 자신의 위험에이 특성을 수정 합니다.


이 문제를 해결 하려면 먼저 어떤 경우는 문제의 원인을 확인 합니다. 이렇게 하려면, 다음 단계를 수행하십시오.
  1. 참고 시스템 로그에 이벤트가 기록 된 시간과 날짜입니다.
  2. 시작 프로그램, Resource Kit을 가리킨 다음 도구 관리 콘솔을 클릭 합니다.
  3. 콘솔 트리에서 오름차순 도구를 클릭 합니다.
  4. 세부 정보 창에서 ADSI 편집기를 클릭 합니다.


    참고: ADSI 편집은 Windows 지원 도구에 포함 되어 있습니다. Windows 2000 Server CD-ROM을 두 번 누르십시오 폴더에서 Windows 지원 도구를 설치할 수 있습니다.

    Windows 2000 용 Windows 지원 도구를 설치 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

    301423 Windows 2000 Server 기반 컴퓨터에 Windows 2000 지원 도구를 설치 하는 방법

    Windows Server® 2003 또는 Windows® XP 운영 체제를 실행 하는 컴퓨터에서 ADSI Edit를 설치 하려면 Microsoft 다운로드 센터 (http://go.microsoft.com/fwlink/?LinkId=100114) 또는 Windows Server 2003 제품 CD에서 Windows Server 2003 지원 도구를 설치 합니다. 제품 CD에서 Windows 지원 도구를 설치 하는 방법에 대 한 자세한 내용은 Windows 지원 도구를 (http://go.microsoft.com/fwlink/?LinkId=62270) 설치를 참조 하십시오.

    Windows Server 2008 또는 Windows Server 2008 r 2를 실행 하는 서버에 ADSI 편집 설치 된 서버를 도메인 컨트롤러를 Active Directory 도메인 서비스 AD DS 역할을 설치 하는 경우. 도메인 구성원 서버나 독립 실행형 서버에서 Windows Server 2008 원격 서버 관리 도구 (RSAT)을 설치할 수도 있습니다. 자세한 내용은 설치 또는 제거 원격 서버 관리 도구 팩 (http://go.microsoft.com/fwlink/?LinkId=143345)를 참조 하십시오.

    서비스 팩 1 (SP1) 또는 Windows 7을 사용 하 여 Windows Vista®를 실행 하는 컴퓨터에서 ADSI 편집을 설치, RSAT를 설치 해야 합니다. 자세한 내용은 및 RSAT를 다운로드 941314에는 Microsoft 기술 자료 문서 (http://go.microsoft.com/fwlink/?LinkID=116179)를 참조 하십시오.
  5. ADSI 편집에서 찾아 문제를 일으키는 컴퓨터를 마우스 오른쪽 단추로 클릭 합니다.
  6. 속성을 클릭합니다.
  7. 보려는 속성 선택에서 모두를 클릭 합니다.
  8. 표시할 속성 선택 PwdLastSet누릅니다.
  9. 클립보드에 상자에 나타나는 값을 복사 합니다.
  10. 시작, 프로그램, 보조 프로그램가리킨 및 다음 계산기를 클릭 합니다.
  11. 보기 메뉴에서 공학용을 클릭 합니다.
  12. Dec 10 진수 번호 매기기 시스템 설정을 클릭 합니다.
  13. 클립보드에서 값을 계산기 붙여넣습니다.
  14. 값을 십진수에서 16 진수 10 진수 번호 매기기 시스템을 변경, 16 진수를 클릭 합니다.
  15. 편집 메뉴에서 복사를 클릭 합니다.
  16. 클립보드에서 16 진수를 파일에 메모장에 붙여 넣습니다.
  17. 8 자 16 진수 문자열 오른쪽 대부분 문자에서를 계산 하 고 스페이스바를 누릅니다.

    참고: 이 이렇게 두 개의 16 진수 문자열로 16 진수 문자열을 분할합니다.
  18. 16 진수 문자열 왼쪽에만 일곱 개의 문자가 있으면 문자열의 시작 부분에 0을 추가 합니다.
  19. 명령 프롬프트에서 다음을 입력합니다
    Nltest /time:RightSideHexadecimalstringLeftSideHexadecimalString
    다음과 유사한 출력이 나타납니다.
    C:\>nltest /time:a25cc370 01c294bc a25cc370 01c294bc = 11/25/2002 13:55:41 
    The command completed successfully.

  20. 디코딩된 날짜 및 시간을 참고 합니다.
  21. 날짜 및 1 단계 및 디코딩된 날짜에 적어 둔 시간과에서 기록한 시간 20 일치 단계 여부를 확인 합니다.
  22. 날짜 및 시간 이벤트 5722가 기록 및 디코딩된 날짜 및 시간 일치 확인 문제의 원인이 되는 컴퓨터에 명령 프롬프트에서 다음 명령을 입력 하 여 도메인 컨트롤러와 설정 된 보안 채널 있는지 여부:
    Nltest /server:컴퓨터 이름 끝:도메인 이름
    도메인 컨트롤러와 설정 된 유효한 보안 채널 문제가 발생 한 컴퓨터에 있는 경우 다음과 비슷한 출력이 나타납니다.
    C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30HAS_IP HAS_TIMESERV
    Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.
    문제가 발생 한 컴퓨터에 도메인 컨트롤러와 설정 된 유효한 보안 채널 없는 경우 다음과 유사한 출력이 나타납니다.
    C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  Trusted DC Name
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.
날짜 및 시간 이벤트 5722 디코딩된 날짜 및 시간이 일치 하지 않으면 문제가 컴퓨터 계정 암호가 도메인 컨트롤러에 있는 암호를 일치 하지 않을 수 있습니다. 이 다음 상황 중 하나가 발생할 수 있습니다.
  • 관리자는 Active Directory 사용자 및 컴퓨터 또는 Netdom.exe 등과 같은 다른 도구를 사용 하 여 컴퓨터 계정을 다시 설정 합니다.
  • 새 컴퓨터는 도메인에 이미 있는 이름을 사용 하 여 도메인에 가입 됩니다.
참고: 도메인 컨트롤러에 대해 Netlogon 서비스 로깅이 켜져, 다음과 유사한 Netlogon.log 항목을 확인 하 여이 시나리오 확인.
05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4 
컴퓨터는 자체 컴퓨터 계정 암호를 업데이트 하면이 메시지가 기록 되지 않습니다.

컴퓨터 이름을 복제와 관련 된 문제를 해결 하려면 원래 컴퓨터를 도메인에 다시 가입 합니다.

다음 조건 모두에 해당할 경우 이벤트 5722를 무시할 수 있습니다.
  • 날짜 및 시간 이벤트 5722의 디코딩된 날짜 및 시간 일치 합니다.
  • 유효한 보안 채널 문제가 컴퓨터와 도메인 컨트롤러 사이 설정 됩니다.
참고: 이러한 조건에 모두 해당할 때 컴퓨터가 컴퓨터 계정 업데이트 프로세스 중에 도메인 컨트롤러를 인증 하려고 할 때 이벤트 5722가 도메인 컨트롤러에 로그온.

또한 관리자 Ldp.exe를 사용 하 여 도메인의 모든 컴퓨터에서 Active Directory 정보를 쿼리할 수 있습니다. Ldp.exe는 Windows XP 서비스 팩 2 지원 도구에 포함 되어 있는 버전 PwdLastSet 값을 디코딩하는 데 사용할 수도 있습니다.

에 대 한 자세한 내용은 Windows XP 서비스 팩 2 지원 도구, Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

838079 Windows XP 서비스 팩 2 지원 도구

Windows XP 유틸리티 W32tm.exe PwdLastSet 값을 디코딩하는 데 사용할 수도 있습니다.

참조

디버그 로깅을 사용 하도록 설정 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하는 다음 문서 번호를 클릭 합니다.

창의 221833 사용자 환경 디버그 로깅을 정품에서 설정 하는 방법 빌드

Net Logon 서비스에 대 한 로깅 디버그 109626 활성화

속성

문서 ID: 810977 - 마지막 검토: 2017. 2. 7. - 수정: 1

피드백