Аннотация
Для каждого компьютера или сервера, работающего под управлением Windows 2000 или Windows XP и являющегося членом домена, существует отдельный канал связи с контроллером домена, называемый также безопасным каналом.
Пароль безопасного канала хранится вместе с учетной записью компьютера на всех контроллерах домена. Для операционных систем Windows 2000 и Windows XP период изменения пароля по умолчанию равен 30 дням. Если пароль учетной записи компьютера не синхронизирован с данными LSA, служба входа в сеть записывает в журнал одно из следующих сообщений об ошибке:
При установке сеанса компьютера DOMAINMEMBER не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи DOMAINMEMBER$. Произошла следующая ошибка: Отказано в доступе.
NETLOGON Код события 3210:
Сбой при проверке имени на \\DOMAINDC, контроллере домена Windows NT для домена DOMAIN.
Если пароль не синхронизирован, то служба входа в сеть на контроллере домена записывает в журнал следующее сообщение об ошибке:
NETLOGON Код события 5722:
При установке сеанса компьютера %1 не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи %2. Ошибка: %n%3
В данной статье описаны четыре способа переустановки учетных записей компьютеров под управлением Windows 2000 или Windows XP. Эти способы перечислены ниже.
-
Использование запускаемого из командной строки средства Netdom.exe.
-
Использование запускаемого из командной строки средства Nltest.exe.
Примечание. Средства Netdom.exe и Nltest.exe содержатся на компакт-диске Windows Server в папке «Support\Tools». Для их установки необходимо запустить программу Setup.exe или извлечь соответствующие файлы из файла Support.cab. -
Использование консоли управления «Пользователи и компьютеры Active Directory».
-
Использование сценария Microsoft Visual Basic.
Эти средства можно использовать как для удаленного, так и для локального администрирования. Netdom.exe и Nltest.exe – это запускаемые из командной строки средства, выполняющие переустановку успешно установленного безопасного канала. Их не следует использовать при разрыве безопасного канала и неправильной работе подключения.
Дополнительная информация
Netdom.exe
Для каждого компьютера в составе домена существует отдельный канал связи (безопасный канал) с контроллером домена. Безопасный канал используется службой входа в сеть для обмена данными между компьютером домена и контроллером домена. Эта служба обеспечивает переустановку безопасного канала компьютера, входящего в состав домена. Чтобы переустановить безопасный канал компьютера, введите следующую команду:
netdom reset 'компьютер' /domain:'домен, где «компьютер» – имя локального компьютера, а «домен» – имя домена, которому принадлежит учетная запись этого компьютера.
Предположим, в домене МОЙ_ДОМЕН имеется компьютер ЧЛЕН_ДОМЕНА. Чтобы переустановить безопасный канал компьютера, введите следующую команду:
netdom reset ЧЛЕН_ДОМЕНА /domain:МОЙ_ДОМЕН Эту команду можно выполнить на компьютере ЧЛЕН_ДОМЕНА, на любом компьютере – члене данного домена или на контроллере домена, используя учетную запись с правами администратора для компьютера ЧЛЕН_ДОМЕНА.
Nltest.exe
Средство Nltest.exe используется для проверки доверительных отношений между компьютером, работающим под управлением Windows 2000 или Windows XP и являющимся членом домена, и контроллером домена, которому принадлежит учетная запись этого компьютера.
C:\Ntreskit\Nltest.exe
Использование: nltest [/параметры]
/SC_QUERY:имя_домена – Отображает состояние безопасного канала для домена имя_домена на сервере имя_сервера
/SERVER:имя_сервера
/SC_VERIFY:имя_домена – Отображает состояние безопасного канала в заданном домене для локальной или удаленной рабочей станции, сервера или контроллера домена.
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \\server.windows2000.com
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Команда выполнена успешно
Пользователи и компьютеры Active Directory
Windows 2000 и Windows XP позволяют переустановить учетную запись компьютера с помощью графического интерфейса пользователя. Для этого необходимо в оснастке «Пользователи и компьютеры Active Directory» щелкнуть правой кнопкой мыши элемент, соответствующий требуемому компьютеру, и выбрать команду Переустановить учетную запись. При этом учетная запись выбранного компьютера будет переустановлена. Этот способ не позволяет переустанавливать пароль контроллеров домена. Переустановка учетной записи компьютера прекращает его подключение к домену и требует заново ввести данный компьютер в домен.
Примечание. Это делает невозможным дальнейшее подключение компьютера к домену и должно использоваться только после переустановки.
Сценарий Microsoft Visual Basic
Переустановку учетной записи компьютера можно выполнить с помощью сценария Visual Basic. Для этого следует подключиться к учетной записи компьютера с помощью интерфейса IADsUser. Затем необходимо использовать метод SetPassword для присвоения паролю начального значения. Начальным паролем компьютера всегда является «имя_компьютера$».
Приведенные примеры сценариев могут работать не на всех компьютерах и должны быть проверены перед использованием. Первый пример рассчитан на учетную запись компьютера под управлением Windows NT, а второй – на учетную запись компьютера под управлением Windows 2000 или Windows XP.
Пример 1
Dim objComputer
Set objComputer = GetObject("WinNT://WINDOWS2000/computername$")
objComputer.SetPassword "computername$"
Wscript.Quit
Пример 2
Dim objComputer
Set objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "computername$"
Wscript.Quit
