Sammendrag
Det er en diskret kommunikasjonskanal, kjent som sikkerhetskanal med en domenekontroller for hvert Windows 2000 eller Windows XP-arbeidsstasjon eller server som er medlem av et domene.
Sikkerhet-kanalens passordet lagres sammen med kontoen på alle domenekontrollere. For Windows 2000 eller Windows XP er datamaskinen konto passord endre standardperioden 30 dager. Hvis en eller annen grunn datamaskinen passord og hemmeligheten LSA ikke er synkronisert, logger nettpåloggingstjenesten ett eller begge av følgende feilmeldinger:
NETLOGON hendelses-ID 5723:
Økt-installasjonen fra datamaskinen DOMAINMEMBER ble ikke godkjent. Navnet på kontoen som det refereres til i sikkerhetsdatabasen er $ DOMAINMEMBER.
Følgende feil oppstod:
Ingen tilgang.
NETLOGON hendelses-ID 3210:
Kan ikke godkjenne med \\DOMAINDC, en Windows NT-domenekontroller for domenet domene.
Nettpåloggingstjenesten på domenekontrolleren logger følgende feilmelding når passordet ikke er synkronisert:
NETLOGON hendelses-ID 5722:
Opprettelsen av økten fra datamaskinen datamaskinnavn ble til å godkjenne. Navnet på kontoen som det refereres til i sikkerhetsdatabasen er $ kontonavn.
Følgende feil oppstod:
Ingen tilgang.
Denne artikkelen beskriver fire metoder for å tilbakestille datamaskinkontoer i Windows 2000 eller Windows XP. Disse metodene er som følger:
-
Ved hjelp av kommandolinjeverktøyet Netdom.exe
-
Ved hjelp av kommandolinjeverktøyet Nltest.exe
Obs! Verktøyene Netdom.exe og Nltest.exe er plassert på Windows Server-CD-ROMen i mappen Support\Tools. Kjør Setup.exe for å installere disse verktøyene, eller pakke ut filene fra Support.cab-filen. -
Ved hjelp av Active Directory-brukere og datamaskiner Microsoft Management Console (MMC)
-
Ved hjelp av et Microsoft Visual Basic-skript
Disse verktøyene gir eksterne og ikke ekstern administrasjon. Er kommandolinjeverktøy som tilbakestiller en vellykte sikkerhetskanal Netdom.exe og Nltest.exe. Du kan ikke bruke disse verktøyene når sikkerhet-kanalen er brutt, og kommunikasjon ikke fungerer som den skal.
Hvis du vil ha mer informasjon
Netdom.exe
Det er en diskret kommunikasjonskanal (sikkerhetskanal) med en domenekontroller for hvert medlem. Sikkerhet-kanalen brukes av nettpåloggingstjenesten på domenekontrolleren og på medlemmet til å kommunisere. Netdom gjør det mulig å tilbakestille sikkerhetskanal til medlemmet. Du kan tilbakestille medlem sikkerhet kanalen ved hjelp av følgende kommando:
Netdom tilbakestilt/Domain 'maskinnavn':' domenenavn
der 'maskinnavn' = det lokale datamaskinnavnet og 'domenenavn' = domenet der datamaskinen/maskinkontoen er lagret.
Anta at du har et domenemedlem kalt DOMAINMEMBER i et domene som heter MYDOMAIN. Du kan tilbakestille medlem sikkerhet kanalen ved hjelp av følgende kommando:
Netdom tilbakestille domainmember /domain:mydomain
Du kan kjøre denne kommandoen på medlemmet, DOMAINMEMBER eller noen andre medlem eller domenekontroller i domenet, forutsatt at du er logget på med en konto som har administratortilgang til DOMAINMEMBER.
Nltest.exe
NLTEST.exe kan brukes til å teste klareringsforholdet mellom en datamaskin som kjører Windows 2000 eller Windows XP som er medlem av et domene og en domenekontroller som sin maskinkonto befinner seg.
C:\Ntreskit\Nltest.exe
Bruk: nltest / [Options]
/ SC_QUERY:domenenavn - spørringskanalen sikkerhet for domenet på servernavn
/SERVER:ServerName
/ SC_VERIFY:domenenavn - bekrefter sikkerhetskanal i det angitte domenet for en lokal eller ekstern arbeidsstasjon, server eller domenekontroller.
Flagg: 30 HAS_IP HAS_TIMESERV
Klarerte DC navn \\server.windows2000.com
Klarerte DC tilkoblingsstatus Status = 0 0x0 NERR_Success
Kommandoen er fullført
Active Directory-brukere og -datamaskiner (DSA)
Med Windows 2000 eller Windows XP, kan du tilbakestille maskinkontoen fra det grafiske brukergrensesnittet (GUI). Du kan høyreklikke datamaskinobjektet i datamaskiner eller riktig beholder i Active Directory-brukere og -datamaskiner MMC (DSA) og deretter Tilbakestille kontoen. Dette tilbakestiller maskinkontoen. Tilbakestiller passordet for domenekontrollere ved hjelp av denne metoden er ikke tillatt. Tilbakestille en datamaskinkonto bryter denne datamaskinens tilkobling til domenet, og krever at det å koble til domenet igjen.
Obs! Dette vil hindre at en etablert datamaskin kobler til domenet, og bør bare brukes for en datamaskin som bare er bygd.
Microsoft Visual Basic-skript
Du kan bruke et skript til å tilbakestille maskinkontoen. Du må koble til kontoen ved hjelp av IADsUser-grensesnittet. Du kan deretter bruke SetPassword-metoden til å angi passordet til en startverdi. Det opprinnelige passordet på en datamaskin er alltid "datamaskinnavn$".
Følgende eksempelskript virker kanskje ikke i alle miljøer, og bør testes før implementering. I det første eksemplet er for datamaskinkontoer i Windows NT 4.0, og andre er for datamaskinkontoer i Windows 2000 eller Windows XP.
Eksempel 1
Dim objComputer
Set objComputer = GetObject("WinNT://WINDOWS2000/computername$")
objComputer.SetPassword "computername$"
Wscript.Quit
Eksempel 2
Dim objComputer
Set objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "computername$"
Wscript.Quit
Hvis du vil ha mer informasjon om hvordan du fastslår om datoen og klokkeslettet hendelsen 5722 like Dekodet dato og klokkeslett, klikker du artikkelnumrene nedenfor for å vise artiklene i Microsoft Knowledge Base:
175024 tilbakestiller domene medlem sikker kanal
810977 hendelses-ID 5722 er logget på Windows 2000 Server-baserte domenekontrolleren
