Sammanfattning
För varje Windows 2000-eller Windows XP-arbetsstation eller-server som är medlem i en domän finns det en diskret kommunikations kanal, som kallas säkerhets kanalen, med en domänkontrollant. Säkerhets kanalens lösen ord sparas tillsammans med dator kontot på alla domänkontrollanter. För Windows 2000 eller Windows XP är standard för lösen ords ändring för dator konton 30 dagar. Om dator kontots lösen ord och LSA-hemlighet inte synkroniseras loggar tjänsten Netlogon ett eller båda av följande fel meddelanden:
NETLOGON-händelse-ID 5723: sessionen från dator DOMAINMEMBER kunde inte autentisera. Namnet på kontot som refereras till i säkerhets data basen är DOMAINMEMBER $. Följande fel inträffade: åtkomst nekades.
NETLOGON-händelse-ID 3210: det gick inte att autentisera med \\DOMAINDC, en Windows NT-domänkontrollant för domän domän.
NETLOGON-tjänsten på domänkontrollanten loggar följande fel meddelande när lösen ordet inte är synkroniserat:
NETLOGON-händelse-ID 5722: det gick inte att autentisera sessionens konfiguration från datorns dator namn. Namnet på kontot som refereras till i säkerhets data basen är AccountName $. Följande fel inträffade: åtkomst nekades.
I den här artikeln beskrivs fyra sätt att återställa dator konton i Windows 2000 eller Windows XP. De här metoderna är följande:
-
Använda kommando rads verktyget Netdom. exe
-
Använda kommando rads verktyget Nltest. exe-Obs! verktygen Netdom. exe och Nltest. exe finns på Windows Server-CD: n i mappen Support\Tools. Om du vill installera de här verktygen kör du setup. exe eller extraherar filerna från filen support. cab.
-
Använda MMC (Microsoft Management Console) Active Directory-användare och datorer
-
Använda ett Microsoft Visual Basic-skript
Dessa verktyg tillåter fjärr-och icke-fjärr administration. Netdom. exe och Nltest. exe är kommando rads verktyg som återställer en korrekt upprättad säkerhets kanal. Du kan inte använda de här verktygen när säkerhets kanalen är bruten och kommunikationen fungerar inte som den ska.
Mer information
Netdom.exe
För varje medlem finns en diskret kommunikations kanal (säkerhets kanalen) med en domänkontrollant. Säkerhets kanalen används av NETLOGON-tjänsten på medlemmen och domänkontrollanten för att kommunicera. Netdom gör det möjligt att återställa medlemmens säkerhets kanal. Du kan återställa medlemmens säkerhets kanal genom att använda följande kommando:
Netdom återställer "MachineName"där "MachineName" = namnet på den lokala datorn och "domän namn" = den domän där dator-eller dator kontot lagras. Anta att du har en domän medlem som heter DOMAINMEMBER i en domän som heter domän. Du kan återställa medlemmens säkerhets kanal genom att använda följande kommando:
Netdom reset domainmember/Domain: domänDu kan köra det här kommandot på medlems DOMAINMEMBER eller på en annan medlem eller domänkontrollant i domänen, förutsatt att du är inloggad med ett konto som har administratörs åtkomst till DOMAINMEMBER.
Nltest.exe
Med hjälp av Nltest. exe kan du testa förtroende relationen mellan en dator med Windows 2000 eller Windows XP som är medlem i en domän och en domänkontrollant där dator kontot finns.
C:\Ntreskit\Nltest.exeUsage: Nltest [/OPTIONS]/SC_QUERY:domän namn -fråga säkerhets kanal för domän på Server namn /Server:Server namn /SC_VERIFY:domän namn – verifierar säkerhets kanalen i den angivna domänen för en lokal eller fjärrarbetsstation, server eller domänkontrollant. Flaggor: 30 HAS_IP HAS_TIMESERV namn på betrodd DOMÄNKONTROLLANT \ \ server.windows2000.com status för statusen för en betrodd DOMÄNKONTROLLANT = 0 0x0 NERR_SuccessThe kommando slutfört
Active Directory-användare och datorer (DSA)
Med Windows 2000 eller Windows XP kan du även återställa dator kontot från det grafiska användar gränssnittet (GUI). I Active Directory-användare och datorer MMC (DSA) kan du högerklicka på datorobjektet på datorerna eller lämplig behållare och sedan klicka på Återställ konto. Detta återställer dator kontot. Det är inte tillåtet att återställa lösen ordet för domänkontrollanter med den här metoden. Om du återställer ett dator konto bryts datorns anslutning till domänen och den måste anslutas till domänen igen. Obs! Detta förhindrar att en dator ansluts till domänen och bör bara användas för datorer som just har återskapats.
Microsoft Visual Basic-skript
Du kan använda ett skript för att återställa dator kontot. Du måste ansluta till dator kontot med IADsUser-gränssnittet. Sedan kan du använda SetPassword-metoden för att ange lösen ordet till ett initialt värde. Det ursprungliga lösen ordet för en dator är alltid "COMPUTERNAME $". Följande exempel skript kanske inte fungerar i alla miljöer och bör testas före implementeringen. Det första exemplet är för Windows NT 4,0-dator konton och det andra är för Windows 2000-eller Windows XP-konton.
Exempel 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.QuitExempel 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.QuitMer information om hur du avgör om datum och tid för händelsen 5722 matchar det avkodade datumet och tiden får du om du klickar på följande artikel nummer och läser artiklarna i Microsoft Knowledge Base:
175024 Återställa en säker kanal för domän medlem
810977 Händelse-ID 5722 är inloggad på en server baserad domänkontrollant i Windows 2000
