Аннотация
Для каждой рабочей станции или сервера Windows 2000 или Windows XP, входящего в домен, существует отдельный канал связи, известный как канал безопасности, с контроллером домена.Пароль канала безопасности хранится вместе с учетной записью компьютера на всех контроллерах домена. Для Windows 2000 или Windows XP период изменения пароля учетной записи компьютера по умолчанию составляет каждые 30 дней. Если по какой-либо причине пароль учетной записи компьютера и секрет LSA не синхронизированы, служба Netlogon регистрирует одно или оба следующих сообщения об ошибках:
Событие NETLOGON с идентификатором 5723: не удалось пройти проверку подлинности при настройке сеанса с компьютера DOMAINMEMBER. Имя учетной записи, на который ссылается база данных безопасности, — DOMAINMEMBER$. Произошла следующая ошибка: Доступ запрещен.
Событие NETLOGON с идентификатором 3210:Сбой проверки подлинности с помощью \\DOMAINDC, контроллера домена Windows NT для домена.
Служба Netlogon на контроллере домена регистрирует следующее сообщение об ошибке, если пароль не синхронизирован:
Событие NETLOGON с идентификатором 5722: не удалось пройти проверку подлинности при настройке сеанса с компьютера ComputerName. Имя учетной записи, на который ссылается база данных безопасности, — AccountName$.Произошла следующая ошибка:Доступ запрещен.
В этой статье описаны четыре способа сброса учетных записей компьютеров в Windows 2000 или Windows XP. Ниже приведены следующие методы.
-
Использование программы командной строки Netdom.exe
-
Использование программыкомандной строки Nltest.exe Примечание. Средства Netdom.exe и Nltest.exe находятся на компакт-диске Windows Server в папке Support\Tools. Чтобы установить эти средства, запустите Setup.exe или извлеките файлы из файла Support.cab.
-
Использование Пользователи и компьютеры Active Directory консоли управления (MMC)
-
Использование скрипта Microsoft Visual Basic
Эти средства обеспечивают удаленное и неудалённое администрирование. Netdom.exe и Nltest.exe — это средства командной строки, которые сбрасывают успешно установленный канал безопасности. Эти средства нельзя использовать, если канал безопасности не работает и обмен данными работает неправильно.
Дополнительная информация
Netdom.exe
Для каждого члена существует дискретный канал связи (канал безопасности) с контроллером домена. Канал безопасности используется службой Netlogon на члене и на контроллере домена для обмена данными. Netdom позволяет сбросить канал безопасности элемента. Сбросить канал безопасности члена можно с помощью следующей команды:
netdom reset 'machinename' /domain:'domainname, где 'machinename' = имя локального компьютера и 'имя_домена' = домен, в котором хранится учетная запись компьютера или компьютера.Предположим, что у вас есть член домена с именем DOMAINMEMBER в домене с именем MYDOMAIN. Сбросить канал безопасности члена можно с помощью следующей команды:
netdom reset domainmember /domain:mydomain. Эту команду можно выполнить на члене DOMAINMEMBER или на любом другом члене или контроллере домена при условии, что вы вошли в систему с учетной записью с правами администратора к DOMAINMEMBER.
Nltest.exe
Nltest.exe можно использовать для проверки отношения доверия между компьютером под управлением Windows 2000 или Windows XP, который является членом домена, и контроллером домена, на котором находится учетная запись компьютера.
использование C:\Ntreskit\Nltest.exe: nltest [/OPTIONS] /SC_QUERY:DomainName — запрос канала безопасности для домена на сервере ServerName /SERVER:ServerName /SC_VERIFY:DomainName — проверяет канал безопасности в указанном домене для локальной или удаленной рабочей станции, сервера или контроллера домена. Флаги: 30 HAS_IP HAS_TIMESERV имя доверенного контроллера домена \\server.windows2000.com состояние подключения доверенного контроллера домена = 0 0x0 NERR_Successкоманда успешно завершена
Пользователи и компьютеры Active Directory (DSA)
В Windows 2000 или Windows XP можно также сбросить учетную запись компьютера в графическом пользовательском интерфейсе (GUI). В Пользователи и компьютеры Active Directory MMC (DSA) можно щелкнуть правой кнопкой мыши объект компьютера в разделе Компьютеры или соответствующий контейнер, а затем выбрать команду Сбросить учетную запись. Это сбрасывает учетную запись компьютера. Сброс пароля для контроллеров домена с помощью этого метода не допускается. Сброс учетной записи компьютера прерывает подключение этого компьютера к домену и требует повторного подключения к домену. Примечание. Это предотвратит подключение установленного компьютера к домену и должно использоваться только для компьютера, который только что был перестроен.
Скрипт Microsoft Visual Basic
Для сброса учетной записи компьютера можно использовать скрипт. Необходимо подключиться к учетной записи компьютера с помощью интерфейса IADsUser. Затем можно использовать метод SetPassword, чтобы задать для пароля начальное значение. Начальный пароль компьютера всегда имеет значение computername$.Приведенные ниже примеры скриптов могут работать не во всех средах и должны быть протестированы перед реализацией. Первый пример — для учетных записей компьютеров Windows NT версии 4.0, а второй — для учетных записей компьютеров с Windows 2000 или Windows XP.
Пример 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Пример 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Дополнительные сведения о том, как определить, соответствуют ли дата и время события 5722 декодированных дате и времени, щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
175024 Сброс защищенного канала члена домена
810977 Событие с идентификатором 5722 регистрируется на контроллере домена под управлением Windows 2000 Server
