Podsumowanie
Dla każdej stacji roboczej lub serwera systemu Windows 2000 lub Windows XP będącego członkiem domeny istnieje osobny kanał komunikacji, nazywany kanałem zabezpieczeń, z kontrolerem domeny.Hasło kanału zabezpieczeń jest przechowywane razem z kontem komputera na wszystkich kontrolerach domeny. W systemie Windows 2000 lub Windows XP domyślny okres zmiany hasła do konta komputera wynosi co 30 dni. Jeśli z jakiegoś powodu hasło do konta komputera i klucz tajny LSA nie są zsynchronizowane, usługa Netlogon rejestruje jeden lub oba z następujących komunikatów o błędach:
NetLOGON Event ID 5723:The session setup from the computer DOMAINMEMBER failed to authenticate. Nazwa konta, do którego odwołuje się baza danych zabezpieczeń, to DOMAINMEMBER$. Wystąpił następujący błąd: Odmowa dostępu.
Identyfikator zdarzenia NETLOGON 3210:Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.
Usługa Netlogon na kontrolerze domeny rejestruje następujący komunikat o błędzie, gdy hasło nie jest synchronizowane:
NetLOGON Event ID 5722:The session setup from the computerName failed to authenticate. Nazwa konta, do którego odwołuje się baza danych zabezpieczeń, to AccountName$.Wystąpił następujący błąd:Odmowa dostępu.
W tym artykule opisano cztery sposoby resetowania kont komputerów w systemie Windows 2000 lub Windows XP. Poniżej przedstawiono następujące metody:
-
Korzystanie z narzędzia wiersza polecenia Netdom.exe
-
Korzystanie z narzędziawiersza polecenia Nltest.exe Uwaga Narzędzia Netdom.exe i Nltest.exe znajdują się na Windows Server CD-ROM w folderze Support\Tools. Aby zainstalować te narzędzia, uruchom Setup.exe lub wyodrębnij pliki z pliku Support.cab.
-
Korzystanie z Użytkownicy i komputery usługi Active Directory programu Microsoft Management Console (MMC)
-
Używanie skryptu języka Microsoft Visual Basic
Te narzędzia umożliwiają administrację zdalną i nie zdalną. Netdom.exe i Nltest.exe to narzędzia wiersza polecenia, które resetują pomyślnie utworzony kanał zabezpieczeń. Tych narzędzi nie można używać, gdy kanał zabezpieczeń jest uszkodzony, a komunikacja nie działa poprawnie.
Więcej informacji
Netdom.exe
Dla każdego członka jest osobny kanał komunikacji (kanał zabezpieczeń) z kontrolerem domeny. Kanał zabezpieczeń jest używany przez usługę Netlogon na członka i na kontrolerze domeny do komunikacji. Netdom umożliwia zresetowanie kanału zabezpieczeń członka. Kanał zabezpieczeń członka można zresetować, używając następującego polecenia:
netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = nazwa komputera lokalnego i 'nazwa_domeny' = domena, w której jest przechowywane konto komputera/komputera.Załóżmy, że w domenie o nazwie MYDOMAIN jest członek domeny o nazwie DOMAINMEMBER. Kanał zabezpieczeń członka można zresetować, używając następującego polecenia:
netdom reset domainmember /domain:mydomainTo polecenie można uruchomić na członku DOMAINMEMBER lub na dowolnym innym członku lub kontrolerze domeny, pod warunkiem że zalogowano się przy użyciu konta z dostępem administratora do elementu DOMAINMEMBER.
Nltest.exe
Nltest.exe może służyć do testowania relacji zaufania między komputerem z systemem Windows 2000 lub Windows XP będącym członkiem domeny i kontrolerem domeny, na którym znajduje się konto komputera.
C:\Ntreskit\Nltest.exeUżycie: nltest [/OPTIONS] /SC_QUERY:DomainName — kanał zabezpieczeń kwerendy dla domeny w usłudzeServerName /SERVER:ServerName /SC_VERIFY:DomainName — sprawdza kanał zabezpieczeń w określonej domenie dla lokalnej lub zdalnej stacji roboczej, serwera lub kontrolera domeny. Flagi: 30 HAS_IP HAS_TIMESERV zaufanej nazwy kontrolera domeny \\server.windows2000.com stan zaufanego połączenia kontrolera domeny = 0 0x0 NERR_SuccessPomyślnie ukończono polecenie
Użytkownicy i komputery usługi Active Directory (DSA)
W systemie Windows 2000 lub Windows XP można również zresetować konto komputera z poziomu graficznego interfejsu użytkownika (GUI). W Użytkownicy i komputery usługi Active Directory MMC (DSA) możesz kliknąć prawym przyciskiem myszy obiekt komputera w obszarze Komputery lub odpowiedni kontener, a następnie kliknąć polecenie Resetuj konto. Spowoduje to zresetowanie konta komputera. Resetowanie hasła kontrolerów domeny przy użyciu tej metody jest niedozwolone. Zresetowanie konta komputera powoduje przerwanie połączenia komputera z domeną i wymaga ponownego dołączenia do domeny. Uwaga Uniemożliwi to nawiązanie połączenia z domeną na ustalonym komputerze i powinno być używane tylko w przypadku komputera, który właśnie został przebudowany.
Skrypt języka Microsoft Visual Basic
Za pomocą skryptu możesz zresetować konto komputera. Musisz połączyć się z kontem komputera przy użyciu interfejsu IADsUser. Następnie możesz użyć metody SetPassword, aby ustawić hasło na wartość początkową. Początkowe hasło komputera to zawsze "nazwa_komputera$".Poniższe skrypty przykładowe mogą nie działać we wszystkich środowiskach i powinny zostać przetestowane przed wdrożeniem. Pierwszy przykład dotyczy kont komputerowych systemu Windows NT 4.0, a drugi dla kont komputerów z systemem Windows 2000 lub Windows XP.
Przykład 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Przykład 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Aby uzyskać więcej informacji na temat określania, czy data i godzina zdarzenia 5722 są zgodne z datą i godziną dekodowanego, kliknij następujące numery artykułów, aby wyświetlić artykuły z bazy wiedzy Microsoft Knowledge Base:
175024 Resetowanie bezpiecznego kanału członka domeny
810977 Identyfikator zdarzenia 5722 jest zalogowany na kontrolerze domeny opartym na systemie Windows 2000 Server
