Samenvatting
Voor elk Windows 2000- of Windows XP-werkstation of elke server die lid is van een domein, is er een discreet communicatiekanaal, ook wel het beveiligingskanaal genoemd, met een domeincontroller.Het wachtwoord van het beveiligingskanaal wordt samen met het computeraccount op alle domeincontrollers opgeslagen. Voor Windows 2000 of Windows XP is de standaardperiode voor het wijzigen van het wachtwoord van het computeraccount elke 30 dagen. Als om een of andere reden het wachtwoord van het computeraccount en het LSA-geheim niet worden gesynchroniseerd, registreert de Netlogon-service een of beide van de volgende foutberichten:
NETLOGON-gebeurtenis-id 5723:De sessie-instelling van de computer DOMAINMEMBER kan niet worden geverifieerd. De naam van het account waarnaar wordt verwezen in de beveiligingsdatabase is DOMAINMEMBER$. De volgende fout is opgetreden: Toegang wordt geweigerd.
NETLOGON-gebeurtenis-id 3210:Kan niet verifiëren met \\DOMAINDC, een Windows NT-domeincontroller voor domeinDOMEIN.
De Netlogon-service op de domeincontroller registreert het volgende foutbericht wanneer het wachtwoord niet wordt gesynchroniseerd:
NETLOGON-gebeurtenis-id 5722:De sessie-installatie vanaf de computer ComputerName kan niet worden geverifieerd. De naam van het account waarnaar wordt verwezen in de beveiligingsdatabase is AccountName$.De volgende fout is opgetreden:Toegang is geweigerd.
In dit artikel worden vier manieren beschreven voor het opnieuw instellen van computeraccounts in Windows 2000 of Windows XP. Deze methoden zijn als volgt:
-
Het opdrachtregelprogramma Netdom.exe gebruiken
-
Het opdrachtregelprogrammaNltest.exe opmerking De hulpprogramma's voor Netdom.exe en Nltest.exe bevinden zich op de Windows Server cd-rom in de map Support\Tools. Als u deze hulpprogramma's wilt installeren, voert u Setup.exe uit of extraheert u de bestanden uit het Support.cab-bestand.
-
De Active Directory: gebruikers en computers Microsoft Management Console (MMC) gebruiken
-
Een Microsoft Visual Basic-script gebruiken
Met deze hulpprogramma's kunt u extern en niet-extern beheer uitvoeren. Netdom.exe en Nltest.exe zijn opdrachtregelprogramma's waarmee een tot stand gebracht beveiligingskanaal opnieuw wordt ingesteld. U kunt deze hulpprogramma's niet gebruiken wanneer het beveiligingskanaal is verbroken en de communicatie niet goed werkt.
Meer informatie
Netdom.exe
Voor elk lid is er een afzonderlijk communicatiekanaal (het beveiligingskanaal) met een domeincontroller. Het beveiligingskanaal wordt gebruikt door de Netlogon-service op het lid en op de domeincontroller om te communiceren. Met Netdom kunt u het beveiligingskanaal van het lid opnieuw instellen. U kunt het beveiligingskanaal voor leden opnieuw instellen met behulp van de volgende opdracht:
netdom reset 'machinename' /domain:'domainnamewaarbij 'machinename' = de naam van de lokale computer en 'domainname' = het domein waarin het computer-/machineaccount is opgeslagen.Stel dat u een domeinlid hebt met de naam DOMAINMEMBER in een domein met de naam MYDOMAIN. U kunt het beveiligingskanaal voor leden opnieuw instellen met behulp van de volgende opdracht:
netdom reset domainmember /domain:mydomainU kunt deze opdracht uitvoeren op het lid DOMEINLID of op een ander lid of op een andere domeincontroller van het domein, op voorwaarde dat u bent aangemeld met een account dat beheerderstoegang heeft tot DOMEINLID.
Nltest.exe
Nltest.exe kan worden gebruikt om de vertrouwensrelatie te testen tussen een computer met Windows 2000 of Windows XP die lid is van een domein en een domeincontroller waarop het computeraccount zich bevindt.
C:\Ntreskit\Nltest.exeGebruik: nltest [/OPTIONS] /SC_QUERY:DomainName - Beveiligingskanaal voor domeinopvragen op ServerName /SERVER:ServerName /SC_VERIFY:DomainName - Controleert het beveiligingskanaal in het opgegeven domein voor een lokaal of extern werkstation, server of domeincontroller. Vlaggen: 30 HAS_IP HAS_TIMESERV vertrouwde DC-naam \\server.windows2000.com Status van vertrouwde DC-verbinding = 0 0x0 NERR_SuccessDe opdracht is voltooid
Active Directory: gebruikers en computers (DSA)
Met Windows 2000 of Windows XP kunt u het computeraccount ook opnieuw instellen vanuit de grafische gebruikersinterface (GUI). In de Active Directory: gebruikers en computers MMC (DSA) kunt u met de rechtermuisknop op het computerobject in de computers of de juiste container klikken en vervolgens op Account opnieuw instellen klikken. Hiermee wordt het computeraccount opnieuw ingesteld. Het opnieuw instellen van het wachtwoord voor domeincontrollers met behulp van deze methode is niet toegestaan. Het opnieuw instellen van een computeraccount verbroken de verbinding van die computer met het domein en vereist dat deze opnieuw lid wordt van het domein. Opmerking Dit voorkomt dat een tot stand gebrachte computer verbinding maakt met het domein en mag alleen worden gebruikt voor een computer die zojuist opnieuw is opgebouwd.
Microsoft Visual Basic-script
U kunt een script gebruiken om het computeraccount opnieuw in te stellen. U moet verbinding maken met het computeraccount via de interface IADsUser. Vervolgens kunt u de methode SetPassword gebruiken om het wachtwoord in te stellen op een beginwaarde. Het eerste wachtwoord van een computer is altijd 'computernaam$'.De volgende voorbeeldscripts werken mogelijk niet in alle omgevingen en moeten vóór de implementatie worden getest. Het eerste voorbeeld is voor Windows NT 4.0-computeraccounts en het tweede is voor Windows 2000- of Windows XP-computeraccounts.
Voorbeeld 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Voorbeeld 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Voor meer informatie over het bepalen of de datum en tijd van gebeurtenis 5722 overeenkomen met de gedecodeerde datum en tijd, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
175024 Beveiligd kanaal domeinlid opnieuw instellen
810977 Gebeurtenis-id 5722 is geregistreerd op uw Windows 2000 Server-domeincontroller
