Rezumat
Pentru fiecare stație de lucru sau server Windows 2000 sau Windows XP care este membru al unui domeniu, există un canal de comunicare discret, denumit canal de securitate, cu un controler de domeniu.Parola canalului de securitate este stocată împreună cu contul de computer pe toate controlerele de domeniu. Pentru Windows 2000 sau Windows XP, perioada implicită de modificare a parolei contului de computer este la fiecare 30 de zile. Dacă, dintr-un anumit motiv, parola contului de computer și secretul LSA nu sunt sincronizate, serviciul Netlogon înregistrează unul dintre următoarele mesaje de eroare sau pe ambele:
NETLOGON ID-ul de eveniment 5723:Configurarea sesiunii de pe computerul DOMAINMEMBER nu a reușit să se autentifice. Numele contului la care se face referire în baza de date de securitate este DOMAINMEMBER$. S-a produs următoarea eroare: Acces refuzat.
ID-ul de eveniment NETLOGON 3210:Nu a reușit autentificarea cu \\DOMAINDC, un controler de domeniu Windows NT pentru domeniu.
Serviciul Netlogon de pe controlerul de domeniu înregistrează următorul mesaj de eroare atunci când parola nu este sincronizată:
NETLOGON ID-ul de eveniment 5722:Configurarea sesiunii de pe computer ComputerName nu a reușit să se autentifice. Numele contului la care se face referire în baza de date de securitate este AccountName$.A apărut următoarea eroare:Acces refuzat.
Acest articol descrie patru modalități de resetare a conturilor de computer în Windows 2000 sau Windows XP. Aceste metode sunt următoarele:
-
Utilizarea instrumentului de linie de comandă Netdom.exe
-
Utilizarea instrumentuluide linie de comandă Nltest.exe Notă Instrumentele Netdom.exe și Nltest.exe se află pe Windows Server CD-ROM în folderul Support\Tools. Pentru a instala aceste instrumente, rulați Setup.exe sau extrageți fișierele din fișierul Support.cab.
-
Utilizarea Consolei de gestionare Microsoft Active Directory Users and Computers (MMC)
-
Utilizarea unui script Microsoft Visual Basic
Aceste instrumente permit administrarea la distanță și fără telecomandă. Netdom.exe și Nltest.exe sunt instrumente în linia de comandă care resetează un canal de securitate stabilit cu succes. Nu puteți utiliza aceste instrumente atunci când canalul de securitate este întrerupt, iar comunicarea nu funcționează corect.
Mai multe informații
Netdom.exe
Pentru fiecare membru, există un canal de comunicare discret (canalul de securitate) cu un controler de domeniu. Canalul de securitate este utilizat de serviciul Netlogon pe membru și pe controlerul de domeniu pentru a comunica. Netdom face posibilă resetarea canalului de securitate al membrului. Puteți reseta canalul de securitate al membrului utilizând următoarea comandă:
netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domain where the computer/machine account is stored.Să presupunem că aveți un membru de domeniu numit DOMAINMEMBER într-un domeniu numit MYDOMAIN. Puteți reseta canalul de securitate al membrului utilizând următoarea comandă:
netdom reset domainmember /domain:mydomainPuteți rula această comandă pe DOMAINMEMBER membru sau pe orice alt membru sau controler de domeniu al domeniului, cu condiția să fiți conectat cu un cont care are acces de administrator la DOMAINMEMBER.
Nltest.exe
Nltest.exe se poate utiliza pentru a testa relația de încredere dintre un computer care rulează Windows 2000 sau Windows XP care este membru al unui domeniu și un controler de domeniu pe care se află contul său de computer.
C:\Ntreskit\Nltest.exeUtilizare: nltest [/OPTIONS] /SC_QUERY:DomainName - canal de securitate interogare pentru domeniu pe ServerName /SERVER:ServerName /SC_VERIFY:DomainName - verifică canalul de securitate din domeniul specificat pentru o stație de lucru locală sau la distanță, un server sau un controler de domeniu. Semnalizări: 30 HAS_IP HAS_TIMESERV Nume DC de încredere \\server.windows2000.com Stare stare conexiune DC de încredere = 0 0x0 NERR_SuccessComanda s-a finalizat cu succes
Active Directory Users and Computers (DSA)
Cu Windows 2000 sau Windows XP, puteți, de asemenea, să resetați contul computerului din interfața grafică cu utilizatorul (GUI). În Active Directory Users and Computers MMC (DSA), puteți să faceți clic dreapta pe obiectul computer în Computere sau în containerul corespunzător, apoi să faceți clic pe Reinițializare cont. Acest lucru resetează contul computerului. Resetarea parolei pentru controlerele de domeniu utilizând această metodă nu este permisă. Resetarea unui cont de computer întrerupe conexiunea computerului la domeniu și îi solicită să se reasocieze la domeniu. Notă Acest lucru va împiedica un computer stabilit să se conecteze la domeniu și ar trebui utilizat doar pentru un computer care tocmai a fost reconstruit.
Script Microsoft Visual Basic
Puteți utiliza un script pentru a reseta contul computerului. Trebuie să vă conectați la contul de computer utilizând interfața IADsUser. Apoi puteți utiliza metoda SetPassword pentru a seta parola la o valoare inițială. Parola inițială a unui computer este întotdeauna "numecomputer$".Următoarele exemple de scripturi pot să nu funcționeze în toate mediile și trebuie testate înainte de implementare. Primul exemplu este pentru conturile de computer Windows NT 4.0, iar al doilea este pentru conturile de computer Windows 2000 sau Windows XP.
Eșantion 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Eșantion 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Pentru mai multe informații despre cum să determinați dacă data și ora evenimentului 5722 se potrivesc cu data și ora decodate, faceți clic pe următoarele numere de articol pentru a vedea articolele din Baza de cunoștințe Microsoft:
175024 Se reinițializează canalul securizat membru de domeniu
810977 ID-ul de eveniment 5722 este conectat pe controlerul de domeniu Windows 2000 Server
