Kopsavilkums
Katram Windows 2000 vai Windows XP darbstacijai vai serverim, kas ir domēna dalībnieks, ir diskrēts saziņas kanāls, kas tiek dēvēts par drošības kanālu ar domēna kontrolleri. Drošības kanāla parole tiek glabāta kopā ar datora kontu visos domēna kontrolleros. Sistēmā Windows 2000 vai Windows XP noklusējuma datora konta paroles maiņas periods ir ik pēc 30 dienām. Ja kāda iemesla dēļ datora konta parole un LSA noslēpums netiek sinhronizēti, Netlogon pakalpojums reģistrē vienu vai abus no šiem kļūdas ziņojumiem:
NETLOGON notikuma ID 5723: sesijas iestatīšana no datora DOMAINMEMBER neizdevās autentificēt. Konta nosaukums, uz kuru ir atsauce drošības datu bāzē, ir DOMAINMEMBER $. Radās šāda kļūda: piekļuve ir liegta.
NETLOGON notikuma ID 3210: neizdevās autentificēties ar \\DOMAINDC, Windows NT domēna kontrolleri domēna DOMĒNĀ.
Pakalpojuma Netlogon pakalpojums domēna kontrollerī reģistrē šādu kļūdas ziņojumu, ja parole nav sinhronizēta:
NETLOGON notikuma ID 5722: sesijas iestatīšana no datora datora_nosaukums neizdevās autentificēt. Konta nosaukums, uz kuru ir atsauce drošības datu bāzē, ir KontaNosaukums $. Radās šāda kļūda: piekļuve ir liegta.
Šajā rakstā ir aprakstīti četri veidi, kā atiestatīt datora kontus sistēmā Windows 2000 vai Windows XP. Šīs metodes ir šādas:
-
NETDOM. exe komandrindas rīka izmantošana
-
Izmantojot komandrindas rīku Nltest. exe,ievērojiet , ka NETDOM. exe un Nltest. exe rīki atrodas Windows Server kompaktdiskā mapē Support\Tools. Lai instalētu šos rīkus, palaidiet setup. exe vai izvelciet failus no faila Support. cab.
-
Active Directory lietotāju un datoru izmantošana Microsoft pārvaldības konsolē (MMC)
-
Microsoft Visual Basic skripta lietošana
Šie rīki nodrošina attālas un neattālas administrēšanas iespējas. NETDOM. exe un Nltest. exe ir komandrindas rīki, kas atiestata veiksmīgi izveidoto drošības kanālu. Šos rīkus nevar izmantot, ja drošības kanāls ir bojāts, un saziņa nedarbojas pareizi.
Papildinformācija
Netdom.exe
Katram dalībniekam ir diskrēts saziņas kanāls (drošības kanāls) ar domēna kontrolleri. Drošības kanālu dalībnieks izmanto NETLOGON pakalpojumu un domēna kontrollerī, lai sazinātos. NETDOM dod iespēju atiestatīt dalībnieka drošības kanālu. Dalībnieka drošības kanālu varat atiestatīt, izmantojot šādu komandu:
NETDOM Reset ' machinename '/Domain: ' domainnamekur "machinename" = lokālā datora nosaukums un ' domainname ' = domēns, kur tiek glabāts datora/datora konts. Pieņemsim, ka domēnā ar nosaukumu MYDOMAIN jums ir domēna dalībnieks ar nosaukumu DOMAINMEMBER. Dalībnieka drošības kanālu varat atiestatīt, izmantojot šādu komandu:
NETDOM atiestatīšanas domainmember/Domain: mydomainŠo komandu varat izpildīt dalībniekam DOMAINMEMBER vai jebkuram citam dalībniekam vai domēna kontrollerim, ja esat pieteicies ar kontu, kuram ir administratora piekļuve pakalpojumam DOMAINMEMBER.
Nltest.exe
Nltest. exe var izmantot, lai pārbaudītu drošības kontroles attiecības starp datoru, kurā darbojas sistēma Windows 2000 vai Windows XP, kas ir domēna dalībnieks un domēna kontrolleris, kurā atrodas tā datora konts.
C:\Ntreskit\Nltest.exeUsage: Nltest [/OPTIONS]/SC_QUERY:domainname -Query Security Channel for Domain on servera serveris:servera nosaukums /SC_VERIFY:/Server -pārbauda lokālā vai attālā darbstacijas, servera vai domēna kontrollera drošības kanālu norādītajā domēnā. Karodziņi: 30 HAS_IP HAS_TIMESERV uzticams DC nosaukums \ \ server.windows2000.com uzticams DC savienojuma statusa statuss = 0 0x0 NERR_SuccessThe komanda veiksmīgi pabeigta
Active Directory lietotāji un datori (DSA)
Izmantojot Windows 2000 vai Windows XP, varat arī atiestatīt datora kontu no grafiskā lietotāja interfeisa (GUI). Sadaļā Active Directory lietotāji un datori MMC (DSA) varat ar peles labo pogu noklikšķināt uz datora objekta vai attiecīgā konteinera un pēc tam noklikšķināt uz Atiestatīt kontu. Tas atiestata datora kontu. Atiestatot domēna kontrolleru paroli, izmantojot šo metodi, nav atļauta. Atiestatot datora konta pārtraukumus, kas ir datora savienojums ar domēnu, un pieprasa tam atkārtoti pievienoties domēnam. Piezīme. Tas neļauj izveidot datoru izveidot savienojumu ar domēnu un to drīkst izmantot tikai datoram, kas tikko izveidots.
Microsoft Visual Basic skripts
Varat izmantot skriptu, lai atiestatītu datora kontu. Ir jāizveido savienojums ar datora kontu, izmantojot IADsUser interfeisu. Pēc tam varat izmantot funkciju SetPassword, lai iestatītu paroli līdz sākotnējai vērtībai. Datora sākotnējā parole vienmēr ir "datora_nosaukums $". Tālāk norādītie skriptu piemēri var nedarboties visās vidēs, un tie ir jāpārbauda pirms ieviešanas. Pirmais piemērs ir paredzēts Windows NT 4,0 datora kontiem, un otrais ir paredzēts Windows 2000 vai Windows XP datora kontiem.
1. piemērs
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit2. piemērs
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.QuitLai iegūtu papildinformāciju par to, kā noteikt, vai notikuma 5722 datums un laiks ir vienāds ar dekodēt datumu un laiku, noklikšķiniet uz šiem rakstu numuriem, lai skatītu rakstus Microsoft zināšanu bāzē:
175024 Domēna dalībnieka drošā kanāla atiestatīšana
810977 Notikuma ID 5722 ir pieteicies Windows 2000 servera domēna kontrollerī
