Súhrn
Pre každú pracovnú stanicu alebo server Windows 2000 alebo Windows XP, ktorá je členom domény, je k dispozícii diskrétny komunikačný kanál, známy ako kanál zabezpečenia s radičom domény. Heslo bezpečnostného kanála je uložené spolu s kontom počítača na všetkých radičoch domény. Pre Windows 2000 alebo Windows XP je predvolené obdobie zmeny hesla konta počítača každých 30 dní. Ak sa z nejakého dôvodu heslo konta počítača a tajné LSA nesynchronizujú, Služba Netlogon zapíše jedno alebo obe z nasledujúcich chybových hlásení:
Identifikácia udalosti NETLOGON 5723: nastavenie relácie z počítača DOMAINMEMBER zlyhalo overenie. Názov konta, na ktoré sa odkazuje v databáze zabezpečenia, je DOMAINMEMBER $. Vyskytla sa nasledujúca chyba: prístup bol odmietnutý.
Identifikácia udalosti NETLOGON 3210: zlyhalo overenie pomocou \\DOMAINDC, radiča domény systému Windows NT pre doménu domény.
Služba Netlogon na radiči domény zapíše nasledujúce chybové hlásenie, keď heslo nie je synchronizované:
Identifikácia udalosti NETLOGON 5722: nastavenie relácie z počítačového Názov_po čítača zlyhalo overenie. Názov konta, na ktoré sa odkazuje v databáze zabezpečenia, je AccountName $. Vyskytla sa nasledujúca chyba: prístup bol odmietnutý.
V tomto článku sú popísané štyri spôsoby resetovania počítačových kont vo Windowse 2000 alebo Windowse XP. Tieto metódy sú nasledovné:
-
Používanie nástroja príkazového riadkov Netdom. exe
-
Pomocou nástroja príkazového riadkov Nltest. exePoznámka: nástroje Netdom. exe a Nltest. exe sa nachádzajú na disku CD-ROM Windows servera v priečinku Support\Tools. Ak chcete tieto nástroje nainštalovať, spustite súbor Setup. exe alebo Extrahujte súbory zo súboru Support. cab.
-
Používanie konzoly MMC (používatelia a počítače služby Active Directory)
-
Používanie skriptu jazyka Microsoft Visual Basic
Tieto nástroje umožňujú vzdialenú a nevzdialenú správu. Netdom. exe a Nltest. exe sú nástroje príkazového tlačidla, ktoré resetujú úspešne vytvorený kanál zabezpečenia. Tieto nástroje nie je možné použiť pri rozbití bezpečnostného kanála a komunikácia nefunguje správne.
Ďalšie informácie
Netdom.exe
Pre každého člena je k dispozícii diskrétny komunikačný kanál (kanál zabezpečenia) s radičom domény. Kanál zabezpečenia používajú služby Netlogon na člena a na radiči domény na komunikáciu. NETDOM umožňuje vytvorenie nového kanála zabezpečenia člena. Pomocou nasledujúceho príkazu môžete obnoviť kanál zabezpečenia člena.
Obnova Netdom ' MachineName '/Domain: ' domainnamekde ' MachineName ' = názov lokálneho počítača a ' domainname ' = doména, v ktorej je uložené konto počítača alebo počítača. Predpokladajme, že máte člen domény s názvom DOMAINMEMBER v doméne s názvom MYDOMAIN. Pomocou nasledujúceho príkazu môžete obnoviť kanál zabezpečenia člena.
Nastavenie Netdom DOMAINMEMBER/Domain: mydomainTento príkaz môžete spustiť na členskej DOMAINMEMBER alebo na ľubovoľnom inom členskom alebo radiči domény domény za predpokladu, že ste prihlásení pomocou konta, ktoré má prístup správcu k DOMAINMEMBER.
Nltest.exe
Nltest. exe sa môže použiť na otestovanie vzťahu dôvery medzi počítačom s Windowsom 2000 alebo Windowsom XP, ktorý je členom domény a radičom domény, v ktorom sa nachádza jeho konto počítača.
C:\Ntreskit\Nltest.exeUsage: NLTEST [/OPTIONS]/SC_QUERY:domainname -dotaz zabezpečenia kanála pre doménu na názov_servera server:názov_servera /SC_VERIFY:domainname -overí kanál zabezpečenia v zadanej doméne pre lokálnu alebo vzdialenú pracovnú stanicu, server alebo radič domény. Flags: 30 HAS_IP HAS_TIMESERV názov dôveryhodného radiča domény \ \ server.windows2000.com Trusted DC Connection Status = 0 0x0 NERR_SuccessThe príkaz sa úspešne dokončil
Používatelia a počítače služby Active Directory (DSA)
S Windowsom 2000 alebo Windowsom XP môžete vynulovať aj konto počítača v rámci grafického používateľského rozhrania (GUI). V časti Active Directory Users and Computers MMC (DSA) môžete kliknúť pravým tlačidlom myši na objekt počítača v počítačoch alebo vhodnom kontajneri a potom kliknúť na položku vytvoriť konto. Týmto sa obnoví konto počítača. Obnovenie hesla pre radiče domén pomocou tejto metódy nie je povolené. Obnovením konta počítača sa preruší pripojenie počítača k doméne a vyžaduje sa, aby sa znova pripojil k doméne. Poznámka: Tým sa zabráni pripojeniu počítača k doméne a mali by sa použiť len pre počítač, ktorý bol práve obnovený.
Skript jazyka Microsoft Visual Basic
Na vytvorenie nového konta počítača môžete použiť skript. Musíte sa pripojiť k kontu počítača pomocou rozhrania IADsUser. Potom môžete použiť metódu SetPassword na nastavenie hesla na počiatočnú hodnotu. Počiatočné heslo počítača je vždy "názov_po čítača $". Nasledujúce vzorové skripty nemusia fungovať vo všetkých prostrediach a pred implementáciou by sa mali testovať. Prvý príklad je určený pre počítačové kontá Windows NT 4,0 a druhá je pre počítačové kontá Windows 2000 alebo Windows XP.
Ukážka 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Ukážka 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Ďalšie informácie o tom, ako zistiť, či sa dátum a èas udalosti 5722 zhodujú s dekódovaným dátumom a časom, získate po kliknutí na nasledovné číslo článku, čím zobrazíte články v databáze Microsoft Knowledge Base:
175024 Obnovenie člena domény zabezpečený kanál
810977 Event ID 5722 je prihlásený na radiči domény so systémom Windows 2000