Resumo
Para cada estação de trabalho ou servidor Windows XP ou Windows 2000 que seja membro de um domínio, existe um canal de comunicação discreto, conhecido como canal de segurança, com um controlador de domínio.A palavra-passe do canal de segurança é armazenada juntamente com a conta de computador em todos os controladores de domínio. Para o Windows 2000 ou Windows XP, o período de alteração da palavra-passe da conta de computador predefinido é de 30 em 30 dias. Se, por algum motivo, a palavra-passe da conta de computador e o segredo LSA não estiverem sincronizados, o serviço Netlogon regista uma ou ambas as seguintes mensagens de erro:
ID do Evento NETLOGON 5723: a configuração da sessão do DOMAINMEMBER do computador não conseguiu autenticar. O nome da conta referenciada na base de dados de segurança é DOMAINMEMBER$. Ocorreu o seguinte erro: Acesso negado.
ID de Evento NETLOGON 3210:Falha ao autenticar com \\DOMAINDC, um controlador de domínio do Windows NT para domínio DOMÍNIO.
O serviço Netlogon no controlador de domínio regista a seguinte mensagem de erro quando a palavra-passe não é sincronizada:
ID do Evento NETLOGON 5722: a configuração da sessão do computador ComputerName não foi autenticada. O nome da conta referenciada na base de dados de segurança é AccountName$.Ocorreu o seguinte erro: Acesso negado.
Este artigo descreve quatro formas de repor contas de computador no Windows 2000 ou Windows XP. Estes métodos são os seguintes:
-
Utilizar a ferramenta de linha de comandos Netdom.exe
-
Utilizar a ferramentade linha de comandos Nltest.exe Nota As ferramentas de Netdom.exe e Nltest.exe estão localizadas na Windows Server CD-ROM na pasta Support\Tools. Para instalar estas ferramentas, execute Setup.exe ou extraia os ficheiros do ficheiro Support.cab.
-
Utilizar o Utilizadores e Computadores do Active Directory Consola de Gestão da Microsoft (MMC)
-
Utilizar um script do Microsoft Visual Basic
Estas ferramentas permitem uma administração remota e não remota. Netdom.exe e Nltest.exe são ferramentas de linha de comandos que repõem um canal de segurança estabelecido com êxito. Não pode utilizar estas ferramentas quando o canal de segurança está danificado e a comunicação não está a funcionar corretamente.
Mais Informações
Netdom.exe
Para cada membro, existe um canal de comunicação discreto (o canal de segurança) com um controlador de domínio. O canal de segurança é utilizado pelo serviço Netlogon no membro e no controlador de domínio para comunicar. O Netdom permite repor o canal de segurança do membro. Pode repor o canal de segurança dos membros com o seguinte comando:
netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domain where the computer/machine account is stored.Suponha que tem um membro de domínio com o nome DOMAINMEMBER num domínio chamado MYDOMAIN. Pode repor o canal de segurança dos membros com o seguinte comando:
netdom reset domainmember /domain:mydomainPode executar este comando no membro DOMAINMEMBER ou em qualquer outro membro ou controlador de domínio do domínio, desde que tenha sessão iniciada com uma conta que tenha acesso de administrador a DOMAINMEMBER.
Nltest.exe
Nltest.exe podem ser utilizadas para testar a relação de confiança entre um computador com o Windows 2000 ou o Windows XP que seja membro de um domínio e um controlador de domínio no qual reside a respetiva conta de computador.
C:\Ntreskit\Nltest.exeUtilização: nltest [/OPTIONS] /SC_QUERY:DomainName - Canal de segurança de consulta para domínio em ServerName /SERVER:ServerName /SC_VERIFY:DomainName - Verifica o canal de segurança no domínio especificado para uma estação de trabalho local ou remota, servidor ou controlador de domínio. Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \\server.windows2000.com Trusted DC Connection Status = 0 0x0 NERR_SuccessO comando foi concluído com êxito
Utilizadores e Computadores do Active Directory (DSA)
Com o Windows 2000 ou o Windows XP, também pode repor a conta do computador a partir da interface gráfica (GUI). No Utilizadores e Computadores do Active Directory MMC (DSA), pode clicar com o botão direito do rato no objeto do computador no contentor Computadores ou no contentor adequado e, em seguida, clicar em Repor Conta. Esta ação repõe a conta do computador. A reposição da palavra-passe para controladores de domínio com este método não é permitida. A reposição de uma conta de computador interrompe a ligação desse computador ao domínio e requer que volte a associar-se ao domínio. Nota Isto impedirá que um computador estabelecido se ligue ao domínio e só deve ser utilizado para um computador que acabou de ser reconstruído.
Script do Microsoft Visual Basic
Pode utilizar um script para repor a conta do computador. Tem de se ligar à conta de computador com a interface IADsUser. Em seguida, pode utilizar o método SetPassword para definir a palavra-passe para um valor inicial. A palavra-passe inicial de um computador é sempre "computername$".Os seguintes scripts de exemplo podem não funcionar em todos os ambientes e devem ser testados antes da implementação. O primeiro exemplo é para contas de computador Windows NT 4.0 e o segundo é para contas de computador Windows 2000 ou Windows XP.
Exemplo 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Exemplo 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Para obter mais informações sobre como determinar se a data e a hora do evento 5722 correspondem à data e hora descodificadas, clique nos seguintes números de artigo para ver os artigos na Base de Dados de Conhecimento Microsoft:
175024 Repor o Canal Seguro do Membro do Domínio
810977 O ID do Evento 5722 é registado no controlador de domínio baseado no Windows 2000 Server
