Загальні відомості
Для кожної робочої станції Windows 2000 або сервера Windows XP, що входить до складу домену, є Дискретний канал зв'язку, відомий як канал безпеки, з контролером домену. Пароль каналу безпеки зберігається разом з обліковим записом комп'ютера на всіх контролерах доменів. Для Windows 2000 або Windows XP, за замовчуванням, протягом 30 днів, термін змінення пароля на комп'ютері. Якщо з якоїсь причини пароль облікового запису комп'ютера та секретне LSA не синхронізуються, служба Netlogon реєструє одну або обидві такі повідомлення про помилку:
Служба NETLOGON ID 5723: настроювання сеансу з комп'ютера, який не вдалося перевірити. Ім'я облікового запису, на який посилається база даних безпеки, – це домен DOMENAME $. Сталося таке повідомлення про помилку: відмовлено в доступі.
Служба NETLOGON ID 3210: не вдалося автентифікувати з \\DOMAINDC, контролером домену Windows NT для домену домену.
Служба Netlogon на контролері домену реєструє таке повідомлення про помилку, якщо пароль не синхронізовано:
Служба NETLOGON ID 5722: настроювання сеансу з імені комп'ютера не вдалося виконати автентифікацію. Ім'я облікового запису, на який посилається база даних безпеки, становить AccountName $. Сталося таке повідомлення про помилку: відмовлено в доступі.
У цій статті подано чотири способи скидання облікових записів комп'ютера в ОС Windows 2000 або Windows XP. Ці способи наведено нижче.
-
Використання засобу командного рядка Netdom. exe
-
За допомогою засобу командного рядка Nltest. exeзверніть увагу на те, що Знаряддя netdom. exe і Nltest. exe РОЗТАШОВАНО на компакт-диску Windows Server у папці "Support\Tools". Щоб інсталювати ці знаряддя, запустіть програму Setup. exe або видобудьте файли з файлу підтримки. cab.
-
Використання консолі керування для користувачів і комп'ютерів Active Directory (MMC)
-
Використання сценарію Microsoft Visual Basic
Ці знаряддя дають змогу віддалено та без віддаленого адміністрування. Netdom. exe і Nktest. exe – це Знаряддя командного рядка, які скинете успішно створений канал безпеки. Ви не можете використовувати ці знаряддя, коли канал безпеки пошкоджений, і зв'язок не працює належним чином.
Додаткові відомості
Netdom.exe
Для кожного учасника існує Дискретний канал зв'язку (канал безпеки) з контролером домену. Канал безпеки використовується службою "Netlogon" для учасників і на контролері домену, щоб спілкуватися. Netdom дає змогу скинути канал безпеки учасника. Ви можете скинути канал безпеки учасника, виконавши таку команду:
Скинути "machinename"/domain: "домен \ ім'я _ домену"де "machinename" = ім'я локального комп'ютера та "ім'я _ домену" = домен, на якому зберігається обліковий запис комп'ютера або комп'ютера. Припустимо, у вас є член домену, названий на ім'я домену, який називається MYDOMAIN. Ви можете скинути канал безпеки учасника, виконавши таку команду:
скинути елемент "домен \ ім'я _ домену"/domain: mydomainЦю команду можна виконати в полі учасник або на будь-якому іншому члену або контролері домену, якщо ви ввійшли в обліковий запис, який має доступ адміністратора до ДОМЕНУ "домен".
Nltest.exe
Nktest. exe можна використовувати, щоб перевірити довірчий зв'язок між комп'ютером під керуванням ОС Windows 2000 або Windows XP, який входить до складу домену та контролера домену, на якому розташовано його машинний обліковий запис.
C:\Ntreskit\Nltest.exeUsage: ndns [/OPTIONS]/SC_QUERY:ім'я домену – джерело безпеки запиту для домену на ім'я _ сервера/Options: ім'я _ сервера або SC_VERIFY :ім'я домену – перевірка каналу безпеки в зазначеному домені для локальної або віддаленої робочої станції, сервера або контролера домену. Прапорці: 30 HAS_IP HAS_TIMESERV надійне ім'я DC \ \ server.windows2000.com довірений стан підключення DC = 0 0x0 NERR_SuccessThe команда успішно завершена
Користувачі та комп'ютери Active Directory (DSA)
У Windows 2000 або операційній системі Windows XP також можна скинути машинний обліковий запис у графічному інтерфейсі користувача (GUI). У службі Active Directory користувачі та комп'ютери MMC (DSA) можна клацнути правою кнопкою миші об'єкт комп'ютера на комп'ютерах або відповідному контейнері, а потім натиснути кнопку скинути обліковий запис. Це скидає обліковий запис комп'ютера. Скидання пароля для контролерів доменів за допомогою цього методу заборонено. Скидання облікового запису комп'ютера порушує підключення комп'ютера до домену та вимагає, щоб його повторно приєднатися до домену. Примітка. Це запобігає налагодженню комп'ютера від підключення до домену, і його потрібно використовувати лише для комп'ютера, який щойно було відновлено.
Сценарій Microsoft Visual Basic
Ви можете скористатися сценарієм, щоб скинути машинний обліковий запис. Потрібно підключитися до облікового запису комп'ютера за допомогою інтерфейсу IADsUser. Щоб установити пароль для початкового значення, можна скористатися методом SetPassword. Початковий пароль комп'ютера завжди "compuitname $". Наведені нижче зразки сценаріїв можуть не працювати в усіх середовищах, і їх слід перевіряти перед виконанням цієї програми. Перший приклад: для облікових записів комп'ютера з Windows NT 4,0, а другий – для облікових записів Windows 2000 або Windows XP.
Зразок 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.QuitЗразок 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.QuitЩоб отримати докладні відомості про те, як визначити дату та час події 5722 відповідно до розшифровані дати й часу, клацніть наведені нижче номери статей, щоб переглянути статті в базі знань Microsoft Knowledge Base:
175024 Скидання захищеного каналу для елемента "домен"
810977 ІДЕНТИФІКАТОР події 5722 записується на контролері домену під керуванням сервера Windows 2000
