สรุป
สําหรับเวิร์กสเตชันหรือเซิร์ฟเวอร์ของ Windows 2000 หรือ Windows XP ที่เป็นสมาชิกของโดเมน จะมีช่องทางการติดต่อสื่อสารแบบแยกหรือที่เรียกว่าช่องทางการรักษาความปลอดภัยที่มีตัวควบคุมโดเมนรหัสผ่านของแชนเนลความปลอดภัยจะถูกเก็บไว้พร้อมกับบัญชีคอมพิวเตอร์บนตัวควบคุมโดเมนทั้งหมด สําหรับ Windows 2000 หรือ Windows XP ระยะเวลาการเปลี่ยนรหัสผ่านบัญชีคอมพิวเตอร์เริ่มต้นคือทุก 30 วัน ถ้าด้วยเหตุผลบางอย่าง รหัสผ่านของบัญชีคอมพิวเตอร์และความลับ LSA ไม่ถูกซิงโครไนซ์ บริการ Netlogon บันทึกข้อความแสดงข้อผิดพลาดอย่างใดอย่างหนึ่งหรือทั้งสองข้อความต่อไปนี้:
NETLOGON EVENT ID 5723:The session setup from the computer DOMAINMEMBER failed to authenticate. ชื่อของบัญชีที่อ้างอิงในฐานข้อมูลความปลอดภัยคือ DOMAINMEMBER$ เกิดข้อผิดพลาดต่อไปนี้: การเข้าถึงถูกปฏิเสธ
NETLOGON EVENT ID 3210:Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain.
บริการ Netlogon ในตัวควบคุมโดเมนบันทึกข้อความแสดงข้อผิดพลาดต่อไปนี้เมื่อไม่มีการซิงโครไนซ์รหัสผ่าน:
NETLOGON EVENT ID 5722:The session setup from the computer ComputerName failed to authenticate. ชื่อของบัญชีที่อ้างอิงในฐานข้อมูลความปลอดภัยคือ AccountName$เกิดข้อผิดพลาดต่อไปนี้:การเข้าถึงถูกปฏิเสธ
บทความนี้อธิบายถึงสี่วิธีในการตั้งค่าบัญชีคอมพิวเตอร์ใหม่ใน Windows 2000 หรือ Windows XP วิธีการเหล่านี้มีดังนี้:
-
การใช้เครื่องมือบรรทัดคําสั่ง Netdom.exe
-
การใช้เครื่องมือบรรทัดคําสั่ง Nltest.exe หมายเหตุ เครื่องมือ Netdom.exe และ Nltest.exe อยู่ใน Windows Server ซีดีรอมในโฟลเดอร์ Support\Tools เมื่อต้องการติดตั้งเครื่องมือเหล่านี้ ให้เรียกใช้ Setup.exe หรือแยกแฟ้มจากแฟ้ม Support.cab
-
การใช้ ผู้ใช้และคอมพิวเตอร์ Active Directory Microsoft Management Console (MMC)
-
การใช้สคริปต์ Microsoft Visual Basic
เครื่องมือเหล่านี้มีไว้สําหรับการดูแลระบบระยะไกลและที่ไม่ใช่การดูแลจากระยะไกล Netdom.exe และ Nltest.exe เป็นเครื่องมือบรรทัดคําสั่งที่รีเซ็ตช่องทางความปลอดภัยที่สร้างขึ้นเรียบร้อยแล้ว คุณไม่สามารถใช้เครื่องมือเหล่านี้เมื่อแชนเนลความปลอดภัยใช้งานไม่ได้ และการติดต่อสื่อสารทํางานไม่ถูกต้อง
ข้อมูลเพิ่มเติม
Netdom.exe
สําหรับสมาชิกแต่ละคน มีช่องทางการสื่อสารแบบแยก (ช่องทางความปลอดภัย) ที่มีตัวควบคุมโดเมน บริการ Netlogon บนสมาชิกและบนตัวควบคุมโดเมนจะใช้โดยบริการ Netlogon ในการสื่อสาร Netdom ทําให้สามารถรีเซ็ตช่องทางความปลอดภัยของสมาชิกได้ คุณสามารถตั้งค่าแชนเนลความปลอดภัยสมาชิกใหม่โดยใช้คําสั่งต่อไปนี้:
netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domain where the computer/machine account is stored.สมมติว่าคุณมีสมาชิกโดเมนที่ชื่อว่า DOMAINMEMBER ในโดเมนที่เรียกว่า MYDOMAIN คุณสามารถตั้งค่าแชนเนลความปลอดภัยสมาชิกใหม่โดยใช้คําสั่งต่อไปนี้:
netdom reset domainmember /domain:mydomainคุณสามารถเรียกใช้คําสั่งนี้บน DOMAINMEMBER สมาชิกหรือบนสมาชิกอื่นหรือตัวควบคุมโดเมนของโดเมน หากคุณเข้าสู่ระบบด้วยบัญชีที่มีสิทธิ์เข้าถึง DOMAINMEMBER ของผู้ดูแลระบบ
Nltest.exe
Nltest.exe สามารถใช้ในการทดสอบความสัมพันธ์แบบเชื่อถือได้ระหว่างคอมพิวเตอร์ที่ใช้ Windows 2000 หรือ Windows XP ที่เป็นสมาชิกของโดเมนและตัวควบคุมโดเมนที่มีบัญชีเครื่องอยู่
การใช้งาน C:\Ntreskit\Nltest.exe: nltest [/OPTIONS] /SC_QUERY:DomainName - ช่องทางความปลอดภัยของคิวรีสําหรับโดเมนบน ServerName /SERVER:ServerName /SC_VERIFY:DomainName - ตรวจสอบแชนเนลความปลอดภัยในโดเมนที่ระบุสําหรับเวิร์กสเตชันภายในหรือระยะไกล เซิร์ฟเวอร์ หรือตัวควบคุมโดเมน ค่าสถานะ: 30 HAS_IP HAS_TIMESERV Trusted DC Name \\server.windows2000.com Trusted DC Connection Status = 0 0x0 NERR_Successคําสั่งเสร็จสมบูรณ์แล้ว
ผู้ใช้และคอมพิวเตอร์ Active Directory (DSA)
ด้วย Windows 2000 หรือ Windows XP คุณสามารถรีเซ็ตบัญชีเครื่องจากภายในส่วนติดต่อผู้ใช้แบบกราฟิก (GUI) ในผู้ใช้และคอมพิวเตอร์ Active Directory MMC (DSA) คุณสามารถคลิกขวาที่วัตถุคอมพิวเตอร์ในคอมพิวเตอร์หรือคอนเทนเนอร์ที่เหมาะสม แล้วคลิก ตั้งค่าบัญชีผู้ใช้ใหม่ การดําเนินการนี้จะรีเซ็ตบัญชีเครื่อง ไม่อนุญาตให้ตั้งค่ารหัสผ่านใหม่สําหรับตัวควบคุมโดเมนโดยใช้วิธีนี้ การตั้งค่าบัญชีคอมพิวเตอร์ใหม่จะหยุดการเชื่อมต่อคอมพิวเตอร์กับโดเมน และกําหนดให้ต้องรวมโดเมนอีกครั้ง หมายเหตุ วิธีนี้จะป้องกันไม่ให้คอมพิวเตอร์ที่สร้างไว้เชื่อมต่อกับโดเมน และควรใช้สําหรับคอมพิวเตอร์ที่เพิ่งถูกสร้างขึ้นใหม่เท่านั้น
สคริปต์ Microsoft Visual Basic
คุณสามารถใช้สคริปต์เพื่อรีเซ็ตบัญชีเครื่อง คุณต้องเชื่อมต่อกับบัญชีคอมพิวเตอร์โดยใช้ส่วนติดต่อ IADsUser จากนั้นคุณสามารถใช้วิธี SetPassword เพื่อตั้งค่ารหัสผ่านเป็นค่าเริ่มต้น รหัสผ่านเริ่มต้นของคอมพิวเตอร์จะเป็น "ชื่อคอมพิวเตอร์$" เสมอสคริปต์ตัวอย่างต่อไปนี้อาจไม่ทํางานในสภาพแวดล้อมทั้งหมด และควรได้รับการทดสอบก่อนใช้งาน ตัวอย่างแรกสําหรับบัญชีคอมพิวเตอร์ที่ใช้ Windows NT 4.0 และบัญชีที่สองใช้สําหรับบัญชีคอมพิวเตอร์ที่ใช้ Windows 2000 หรือ Windows XP
ตัวอย่าง 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
ตัวอย่างที่ 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตรวจสอบว่าวันที่และเวลาของเหตุการณ์ 5722 ตรงกับวันที่และเวลาที่ถอดรหัสหรือไม่
175024 การตั้งค่าแชนเนลที่ปลอดภัยสําหรับสมาชิกโดเมนใหม่
810977 รหัสเหตุการณ์ 5722 ถูกบันทึกบนตัวควบคุมโดเมนที่ใช้ Windows 2000 Server ของคุณ
