สรุป
สำหรับแต่ละ Windows ๒๐๐๐หรือเวิร์กสเตชัน Windows XP หรือเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนจะมีแชนเนลการสื่อสารแบบแยกต่างหากที่เรียกว่าแชนเนลการรักษาความปลอดภัยที่มีตัวควบคุมโดเมน รหัสผ่านของแชนเนลความปลอดภัยจะถูกเก็บไว้พร้อมกับบัญชีคอมพิวเตอร์บนตัวควบคุมโดเมนทั้งหมด สำหรับ Windows ๒๐๐๐หรือ Windows XP ระยะเวลาการเปลี่ยนแปลงรหัสผ่านบัญชีคอมพิวเตอร์เริ่มต้นคือทุกๆ30วัน ถ้าไม่มีการซิงโครไนซ์รหัสผ่านของบัญชีคอมพิวเตอร์และความลับ LSA จะไม่ซิงโครไนซ์บริการ Netlogon จะบันทึกหนึ่งหรือทั้งสองข้อความแสดงข้อผิดพลาดต่อไปนี้:
รหัสเหตุการณ์ NETLOGON 5723: การตั้งค่าเซสชันจากคอมพิวเตอร์ DOMAINMEMBER ล้มเหลวในการรับรองความถูกต้อง ชื่อของบัญชีผู้ใช้ที่ถูกอ้างอิงในฐานข้อมูลความปลอดภัยคือ DOMAINMEMBER $ เกิดข้อผิดพลาดต่อไปนี้: การเข้าถึงถูกปฏิเสธ
รหัสเหตุการณ์ NETLOGON 3210: ล้มเหลวในการรับรองความถูกต้องด้วย \\DOMAINDC ตัวควบคุมโดเมน Windows NT สำหรับโดเมนโดเมน
บริการ Netlogon บนตัวควบคุมโดเมนจะบันทึกข้อความแสดงข้อผิดพลาดต่อไปนี้เมื่อรหัสผ่านไม่ได้รับการซิงโครไนซ์:
รหัสเหตุการณ์ NETLOGON 5722: การตั้งค่าเซสชันจากคอมพิวเตอร์ ComputerName ล้มเหลวในการรับรองความถูกต้อง ชื่อของบัญชีผู้ใช้ที่ถูกอ้างอิงในฐานข้อมูลความปลอดภัยคือ AccountName $ เกิดข้อผิดพลาดต่อไปนี้: การเข้าถึงถูกปฏิเสธ
บทความนี้จะอธิบายวิธีการตั้งค่าบัญชีผู้ใช้คอมพิวเตอร์ใน Windows ๒๐๐๐หรือ Windows XP สี่วิธี วิธีการเหล่านี้มีดังต่อไปนี้:
-
การใช้เครื่องมือบรรทัดคำสั่ง Netdom.exe
-
การใช้เครื่องมือบรรทัดคำสั่ง Nltestหมายเหตุ: เครื่องมือ Netdom.exe และ Nltest จะอยู่บนซีดีรอม Windows Server ในโฟลเดอร์ Support\Tools เมื่อต้องการติดตั้งเครื่องมือเหล่านี้ให้เรียกใช้ setup.exe หรือแยกไฟล์จากไฟล์ .cab ที่สนับสนุน
-
การใช้ผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ Microsoft Management Console (MMC)
-
การใช้สคริปต์ Microsoft Visual Basic
เครื่องมือเหล่านี้อนุญาตให้มีการดูแลระบบระยะไกลและไม่ใช่ระยะไกล Netdom.exe และ Nltest เป็นเครื่องมือบรรทัดคำสั่งที่ตั้งค่าช่องทางการรักษาความปลอดภัยที่ได้รับการจัดตั้งเสร็จสมบูรณ์แล้ว คุณไม่สามารถใช้เครื่องมือเหล่านี้ได้เมื่อแชนเนลความปลอดภัยเสียหายและการสื่อสารไม่ทำงานอย่างถูกต้อง
ข้อมูลเพิ่มเติม
Netdom.exe
สำหรับสมาชิกแต่ละคนจะมีแชนเนลการสื่อสารแบบแยกต่างหาก (แชนเนลความปลอดภัย) ที่มีตัวควบคุมโดเมน แชนเนลการรักษาความปลอดภัยถูกใช้โดยบริการ Netlogon บนสมาชิกและบนตัวควบคุมโดเมนในการติดต่อสื่อสาร Netdom ทำให้สามารถตั้งค่าช่องทางการรักษาความปลอดภัยของสมาชิกใหม่ได้ คุณสามารถตั้งค่าแชนเนลการรักษาความปลอดภัยของสมาชิกใหม่ได้โดยใช้คำสั่งต่อไปนี้:
การตั้งค่า netdom ' machinename '/domain: ' domainnameที่ ' machinename ' = ชื่อคอมพิวเตอร์ภายในเครื่องและ ' domainname ' = โดเมนที่มีการจัดเก็บบัญชีคอมพิวเตอร์/เครื่องคอมพิวเตอร์ สมมติว่าคุณมีสมาชิกโดเมนที่ชื่อ DOMAINMEMBER ในโดเมนที่เรียกว่า MYDOMAIN คุณสามารถตั้งค่าแชนเนลการรักษาความปลอดภัยของสมาชิกใหม่ได้โดยใช้คำสั่งต่อไปนี้:
การตั้งค่า netdom domainmember/domain: mydomainคุณสามารถเรียกใช้คำสั่งนี้บนสมาชิก DOMAINMEMBER หรือบนสมาชิกอื่นหรือตัวควบคุมโดเมนของโดเมนที่คุณเข้าสู่ระบบด้วยบัญชีผู้ใช้ที่มีสิทธิ์ในการเข้าถึง DOMAINMEMBER
Nltest.exe
Nltest สามารถใช้ในการทดสอบความสัมพันธ์ของความเชื่อถือระหว่างคอมพิวเตอร์ที่ใช้ Windows ๒๐๐๐หรือ Windows XP ที่เป็นสมาชิกของโดเมนและตัวควบคุมโดเมนที่มีบัญชีผู้ใช้ของเครื่อง
C:\Ntreskit\Nltest.exeUsage: Nltest [/OPTIONS]/SC_QUERY: ช่องทางการรักษาความปลอดภัยของDomainName -QUERY สำหรับ โดเมน บน servername /SERVER:servername /SC_VERIFY:DomainName -ตรวจสอบแชนเนลการรักษาความปลอดภัยในโดเมนที่ระบุสำหรับเวิร์กสเตชันภายในเครื่องหรือตัวควบคุมโดเมนระยะไกลเซิร์ฟเวอร์หรือโดเมน ค่าสถานะ:30 HAS_IP HAS_TIMESERV ชื่อ DC ที่เชื่อถือได้ \ \ server.windows2000.com สถานะสถานะการเชื่อมต่อ DC ที่เชื่อถือได้ = 0 0x0 NERR_SuccessThe คำสั่งเสร็จสมบูรณ์แล้ว
ผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ (DSA)
ด้วย Windows ๒๐๐๐หรือ Windows XP คุณยังสามารถตั้งค่าบัญชีผู้ใช้ของเครื่องใหม่จากภายในส่วนติดต่อผู้ใช้แบบกราฟิก (GUI) ได้อีกด้วย ในผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ MMC (DSA) คุณสามารถคลิกขวาที่วัตถุคอมพิวเตอร์ในคอมพิวเตอร์หรือคอนเทนเนอร์ที่เหมาะสมแล้วคลิกตั้งค่าบัญชีผู้ใช้ใหม่ ซึ่งจะเป็นการตั้งค่าบัญชีผู้ใช้ของเครื่องใหม่ การรีเซ็ตรหัสผ่านสำหรับตัวควบคุมโดเมนโดยใช้วิธีนี้ไม่ได้รับอนุญาต การตั้งค่าบัญชีผู้ใช้คอมพิวเตอร์ใหม่จะเป็นการเชื่อมต่อกับโดเมนของคอมพิวเตอร์นั้นและจำเป็นต้องใช้ในการเข้าร่วมโดเมนใหม่ หมายเหตุ การทำเช่นนี้จะป้องกันไม่ให้คอมพิวเตอร์ที่มีการเชื่อมต่อกับโดเมนและควรใช้เฉพาะสำหรับคอมพิวเตอร์ที่ได้รับการสร้างขึ้นใหม่เท่านั้น
สคริปต์ Microsoft Visual Basic
คุณสามารถใช้สคริปต์เพื่อตั้งค่าบัญชีผู้ใช้เครื่องใหม่ได้ คุณจำเป็นต้องเชื่อมต่อกับบัญชีผู้ใช้คอมพิวเตอร์โดยใช้ส่วนติดต่อ IADsUser จากนั้นคุณสามารถใช้วิธีการ SetPassword เพื่อตั้งค่ารหัสผ่านเป็นค่าเริ่มต้น รหัสผ่านเริ่มต้นของคอมพิวเตอร์มักจะเป็น "computername $" สคริปต์ตัวอย่างต่อไปนี้อาจไม่ทำงานในสภาพแวดล้อมทั้งหมดและควรได้รับการทดสอบก่อนที่จะดำเนินการ ตัวอย่างแรกคือบัญชีผู้ใช้คอมพิวเตอร์ Windows NT ๔.๐และที่สองคือสำหรับ Windows ๒๐๐๐หรือบัญชีคอมพิวเตอร์ที่ใช้ Windows XP
ตัวอย่างที่1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
ตัวอย่างที่2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตรวจสอบว่าวันที่และเวลาของเหตุการณ์๕๗๒๒ตรงกับวันที่และเวลาของเหตุการณ์ถอดหรือไม่ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
๑๗๕๐๒๔ การรีเซ็ตการตั้งค่าสมาชิกโดเมนแชนเนลที่ปลอดภัย
๘๑๐๙๗๗ รหัสเหตุการณ์๕๗๒๒ถูกบันทึกบนตัวควบคุมโดเมนที่ใช้ Windows ๒๐๐๐ Server ของคุณ