Rezumat
Pentru fiecare stație de lucru sau server Windows 2000 sau Windows XP care este membră a unui domeniu, există un canal de comunicare discret, cunoscut sub numele de canal de securitate, cu un controler de domeniu. Parola canalului de securitate este stocată împreună cu contul computerului pe toate controlerele de domeniu. Pentru Windows 2000 sau Windows XP, perioada implicită de modificare a parolei contului computerului este la fiecare 30 de zile. Dacă, din anumite motive, parola contului computerului și secretul LSA nu sunt sincronizate, Serviciul Netlogon înregistrează unul sau ambele dintre următoarele mesaje de eroare:
5723 ID eveniment NETLOGON: Configurarea sesiunii de pe computer DOMAINMEMBER nu a reușit să se autentifice. Numele contului la care se face referire în baza de date de securitate este DOMAINMEMBER $. A apărut următoarea eroare: accesul este refuzat.
3210 ID eveniment NETLOGON: nu s-a reușit autentificarea cu \\DOMAINDC, un controler de domeniu Windows NT pentru domeniul Domain.
Serviciul Netlogon din controlerul de domeniu înregistrează următorul mesaj de eroare atunci când parola nu este sincronizată:
5722 ID eveniment NETLOGON: Configurarea sesiunii de pe computer numecomputer nu a reușit să se autentifice. Numele contului la care se face referire în baza de date de securitate este AccountName $. A apărut următoarea eroare: accesul este refuzat.
Acest articol descrie patru modalități de a reinițializa conturile de computer în Windows 2000 sau Windows XP. Aceste metode sunt următoarele:
-
Utilizarea instrumentului linie de comandă Netdom. exe
-
Utilizând instrumentul de linie de comandă Nltest. exe, se află instrumentele Netdom. exe și Nltest. exe pe CD-ROM-ul Windows Server din folderul Support\Tools. Pentru a instala aceste instrumente, setați setup. exe sau Extrageți fișierele din fișierul suport. cab.
-
Utilizarea utilizatorilor Active Directory și a computerelor Microsoft consolă de gestionare (MMC)
-
Utilizarea unui script Microsoft Visual Basic
Aceste instrumente permit administrarea la distanță și la distanță. Netdom. exe și Nltest. exe sunt instrumente de linie de comandă care reinițializează un canal de securitate stabilit cu succes. Nu puteți utiliza aceste instrumente atunci când canalul de securitate este deteriorat și comunicarea nu funcționează corect.
Mai multe informații
Netdom.exe
Pentru fiecare membru, există un canal de comunicare discret (canalul de securitate) cu un controler de domeniu. Canalul de securitate este utilizat de Serviciul Netlogon din membru și de controlerul de domeniu pentru a comunica. Netdom face posibilă resetarea canalului de securitate al membrului. Puteți reseta canalul de securitate membru utilizând următoarea comandă:
Netdom Reset ' MachineName '/domain: ' numedomeniuunde ' MachineName ' = numele computerului local și ' numedomeniu ' = domeniul în care este stocat contul computer/mașină. Să presupunem că aveți un membru de domeniu numit DOMAINMEMBER într-un domeniu denumit MYDOMAIN. Puteți reseta canalul de securitate membru utilizând următoarea comandă:
Netdom resetați domainmember/domain: mydomainPuteți executa această comandă pe DOMAINMEMBER membru sau pe orice alt controler de domeniu sau de domeniu al domeniului, cu condiția să fiți conectat cu un cont care are acces de administrator la DOMAINMEMBER.
Nltest.exe
Nltest. exe poate fi utilizat pentru a testa relația de încredere dintre un computer care rulează Windows 2000 sau Windows XP care este membru al unui domeniu și un controler de domeniu pe care se află contul său de mașină.
C:\Ntreskit\Nltest.exeUsage: Nltest [/OPTIONS]/SC_QUERY:numedomeniu -canalul de securitate al interogării pentru domeniu în server/server:server/SC_VERIFY:numedomeniu -verifică canalul de securitate în domeniul specificat pentru o stație de lucru locală sau la distanță, server sau controler de domeniu. Steaguri: 30 HAS_IP HAS_TIMESERV Trusted DC Name \ \ server.windows2000.com Trusted DC Status Connection Status = 0 0x0 NERR_SuccessThe comanda s-a finalizat cu succes
Utilizatori și computere Active Directory (DSA)
Cu Windows 2000 sau Windows XP, puteți reseta, de asemenea, contul de mașină din interfața grafică cu utilizatorul (GUI). În Active Directory Users and Computers MMC (DSA), puteți să faceți clic dreapta pe obiectul computerului din computere sau containerul corespunzător, apoi să faceți clic pe Resetare cont. Acest lucru resetează contul de mașină. Resetarea parolei pentru controlerele de domeniu utilizând această metodă nu este permisă. Reinițializarea unui cont de computer întrerupe conexiunea computerului la domeniu și necesită reasocierea la domeniu. Notă Acest lucru va împiedica un computer stabilit să se conecteze la domeniu și ar trebui să fie utilizat doar pentru un computer care tocmai a fost reconstruit.
Script Microsoft Visual Basic
Puteți utiliza un script pentru a reseta contul de mașină. Trebuie să vă conectați la contul de pe computer utilizând interfața IADsUser. Apoi puteți utiliza metoda SetPassword pentru a seta parola la o valoare inițială. Parola inițială a unui computer este întotdeauna "numecomputer $". Următoarele scripturi eșantion pot să nu funcționeze în toate mediile și ar trebui să fie testate înainte de implementare. Primul exemplu este pentru conturile de computer Windows NT 4,0, iar al doilea este pentru conturile de computer Windows 2000 sau Windows XP.
Eșantion 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.QuitEșantion 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.QuitPentru mai multe informații despre cum să determinați dacă data și ora evenimentului 5722 se potrivește cu data și ora decodificate, faceți clic pe următoarele numere de articol pentru a vedea articolele în baza de cunoștințe Microsoft:
175024 Reinițializarea canalului securizat al membrilor domeniului
810977 ID eveniment 5722 este conectat la controlerul de domeniu Windows 2000 bazat pe server
