Sammendrag

For hver Windows 2000- eller Windows XP-arbeidsstasjon eller -server som er medlem av et domene, finnes det en diskret kommunikasjonskanal, kjent som sikkerhetskanalen, med en domenekontroller.Passordet for sikkerhetskanalen lagres sammen med datamaskinkontoen på alle domenekontrollere. For Windows 2000 eller Windows XP er standard endringsperiode for passord for datamaskinkonto hver 30. dag. Hvis passordet for datamaskinkontoen og LSA-hemmeligheten av en eller annen grunn ikke synkroniseres, logger Netlogon-tjenesten én eller begge av følgende feilmeldinger:

NETLOGON-hendelses-ID 5723: Øktoppsettet fra datamaskinen DOMAINMEMBER kan ikke godkjennes. Navnet på kontoen som det refereres til i sikkerhetsdatabasen, er DOMAINMEMBER$. Følgende feil oppstod: Ingen tilgang.

NETLOGON-hendelses-ID 3210:Kan ikke godkjenne med \\DOMAINDC, en Windows NT-domenekontroller for domeneDOMENE.

Netlogon-tjenesten på domenekontrolleren logger følgende feilmelding når passordet ikke synkroniseres:

NETLOGON-hendelses-ID 5722:Øktoppsettet fra datamaskinen ComputerName kan ikke godkjennes. Navnet på kontoen som det refereres til i sikkerhetsdatabasen, er AccountName$.Følgende feil oppstod: Ingen tilgang.

Denne artikkelen beskriver fire måter å tilbakestille datamaskinkontoer på i Windows 2000 eller Windows XP. Disse metodene er som følger:

  • Bruke kommandolinjeverktøyet Netdom.exe

  • Bruk Nltest.exe kommandolinjeverktøyetObs! Netdom.exe- og Nltest.exe-verktøyene er plassert på Windows Server CD-ROM i mappen Støtte\Verktøy. Hvis du vil installere disse verktøyene, kjører du Setup.exe eller pakker ut filene fra Support.cab-filen.

  • Bruke Active Directory-brukere og -datamaskiner Microsoft Management Console (MMC)

  • Bruke et Microsoft Visual Basic-skript

Disse verktøyene tillater ekstern og ikke-ekstern administrasjon. Netdom.exe og Nltest.exe er kommandolinjeverktøy som tilbakestiller en riktig etablert sikkerhetskanal. Du kan ikke bruke disse verktøyene når sikkerhetskanalen er brutt, og kommunikasjonen fungerer ikke som den skal.

Mer informasjon

Netdom.exe

For hvert medlem finnes det en diskret kommunikasjonskanal (sikkerhetskanalen) med en domenekontroller. Sikkerhetskanalen brukes av Netlogon-tjenesten på medlemmet og på domenekontrolleren til å kommunisere. Netdom gjør det mulig å tilbakestille sikkerhetskanalen til medlemmet. Du kan tilbakestille medlemssikkerhetskanalen ved hjelp av følgende kommando:

netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domain where the computer/machine account is stored.La oss si at du har et domenemedlem med navnet DOMENEMEDLEM i et domene kalt MITTDOMENE. Du kan tilbakestille medlemssikkerhetskanalen ved hjelp av følgende kommando:

netdom reset domainmember /domain:mydomainDu kan kjøre denne kommandoen på domenemedlemmet for medlemmet eller på et annet medlem eller domenekontroller for domenet, forutsatt at du er logget på med en konto som har administratortilgang til DOMENEMEDLEM.

Nltest.exe

Nltest.exe kan brukes til å teste klareringsrelasjonen mellom en datamaskin som kjører Windows 2000 eller Windows XP, som er medlem av et domene og en domenekontroller som maskinkontoen befinner seg på.

C:\Ntreskit\Nltest.exeBruk: nltest [/OPTIONS] /SC_QUERY:DomainName - Spørringssikkerhetskanal for domeneServernavn /SERVER:Servernavn /SC_VERIFY:DomainName - Bekrefter sikkerhetskanalen i det angitte domenet for en lokal eller ekstern arbeidsstasjon, server eller domenekontroller. Flagg: 30 HAS_IP HAS_TIMESERV klarert DC-navn \\server.windows2000.com Status for klarert DC-tilkobling = 0 0x0 NERR_SuccessKommandoen er fullført

Active Directory-brukere og -datamaskiner (DSA)

Med Windows 2000 eller Windows XP kan du også tilbakestille maskinkontoen fra det grafiske brukergrensesnittet (GUI). I Active Directory-brukere og -datamaskiner MMC (DSA) kan du høyreklikke på datamaskinobjektet i datamaskinene eller den aktuelle beholderen og deretter klikke Tilbakestill konto. Dette tilbakestiller maskinkontoen. Tilbakestilling av passordet for domenekontrollere som bruker denne metoden, er ikke tillatt. Tilbakestilling av en datamaskinkonto bryter datamaskinens tilkobling til domenet og krever at den blir med i domenet på nytt. Obs! Dette hindrer at en etablert datamaskin kobler seg til domenet og bare skal brukes for en datamaskin som nettopp er bygget på nytt.

Microsoft Visual Basic-skript

Du kan bruke et skript til å tilbakestille maskinkontoen. Du må koble til datamaskinkontoen ved hjelp av IADsUser-grensesnittet. Deretter kan du bruke SetPassword-metoden til å angi passordet til en startverdi. Det opprinnelige passordet for en datamaskin er alltid «datamaskinnavn$».Følgende eksempelskript fungerer kanskje ikke i alle miljøer og bør testes før implementering. Det første eksemplet er for Windows NT 4.0-datamaskinkontoer, og det andre er for windows 2000- eller Windows XP-datamaskinkontoer.

Eksempel 1

Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit

Eksempel 2

Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit

Hvis du vil ha mer informasjon om hvordan du fastslår om datoen og klokkeslettet for hendelsen 5722 samsvarer med dekodet dato og klokkeslett, klikker du følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:

175024 Tilbakestilling av sikker kanal for domenemedlem

810977 Hendelses-ID 5722 er logget på den Windows 2000 Server-baserte domenekontrolleren

Facebook LinkedIn E-post

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter