Загальні відомості
Для кожної робочої станції або сервера Windows 2000 або Windows XP, який входить до складу домену, є дискретний канал зв'язку, відомий як канал безпеки, з контролером домену.Пароль каналу безпеки зберігається разом з обліковим записом комп'ютера на всіх контролерах домену. Для Windows 2000 або Windows XP стандартний період зміни пароля облікового запису комп'ютера становить кожні 30 днів. Якщо з якоїсь причини пароль облікового запису комп'ютера та секрет LSA не синхронізуються, служба Netlogon реєструє одне або обидва з таких повідомлень про помилку:
ІДЕНТИФІКАТОР події NETLOGON 5723:Не вдалося автентифікувати інсталяцію сеансу з комп'ютера DOMAINMEMBER. Ім'я облікового запису, на який посилається база даних безпеки, – DOMAINMEMBER$. Сталася така помилка: Немає доступу.
NetLOGON Подія з ідентифікатором 3210:Не вдалося пройти автентифікацію за допомогою \\DOMAINDC, контролера домену Windows NT для домену.
Служба Netlogon на контролері домену реєструє таке повідомлення про помилку, якщо пароль не синхронізовано:
ІДЕНТИФІКАТОР події NETLOGON 5722:Не вдалося автентифікувати інсталяцію сеансу з комп'ютера ComputerName. Ім'я облікового запису, на який посилається база даних безпеки, – AccountName$.Сталася така помилка:Немає доступу.
У цій статті описано чотири способи скидання облікових записів комп'ютера у Windows 2000 або Windows XP. Ось як це зробити:
-
Використання засобу командного рядка Netdom.exe
-
Використання засобукомандного рядка Nltest.exe Примітка. Засоби Netdom.exe та Nltest.exe розташовано на компакт-диску Windows Server в папці Support\Tools. Щоб інсталювати ці засоби, запустіть Setup.exe або видобути файли з файлу Support.cab.
-
Використання Active Directory - користувачі й комп'ютери консолі керування MMC
-
Використання сценарію Microsoft Visual Basic
Ці засоби дозволяють віддалене та не віддалене адміністрування. Netdom.exe та Nltest.exe – це засоби командного рядка, які скидає успішно створений канал безпеки. Ці засоби не можна використовувати, якщо канал безпеки пошкоджено, а зв'язок працює неправильно.
Додаткові відомості
Netdom.exe
Для кожного учасника є дискретний канал зв'язку (канал безпеки) з контролером домену. Канал безпеки використовується службою Netlogon на учасника та контролері домену, щоб спілкуватися. Netdom дає змогу скинути канал безпеки учасника. Щоб скинути канал безпеки учасника, виконайте таку команду:
netdom reset "machinename" /domain:'domainnamewhere 'machinename' = ім'я локального комп'ютера та "ім'я_домену" = домен, де зберігається обліковий запис комп'ютера або комп'ютера.Припустімо, що у вас є учасник домену з іменем DOMAINMEMBER у домені MYDOMAIN. Щоб скинути канал безпеки учасника, виконайте таку команду:
netdom reset domainmember /domain:mydomainВи можете виконати цю команду на члені DOMAINMEMBER або на будь-якому іншому елементі чи контролері домену за умови, що ви ввійшли в систему за допомогою облікового запису, який має доступ адміністратора до DOMAINMEMBER.
Nltest.exe
Nltest.exe можна використовувати, щоб перевірити довірчий зв'язок між комп'ютером під керуванням Windows 2000 або Windows XP, який входить до домену та контролером домену, на якому розташовано обліковий запис комп'ютера.
C:\Ntreskit\Nltest.exeвикористання: nltest [/OPTIONS] /SC_QUERY:DomainName – канал безпеки запиту для доменуна сервері ServerName /SERVER:ServerName /SC_VERIFY:DomainName – перевіряє канал безпеки у вказаному домені для локальної або віддаленої робочої станції, сервера або контролера домену. Позначки: 30 HAS_IP HAS_TIMESERV надійне ім'я постійного струму \\server.windows2000.com Стан надійного підключення постійного струму = 0 0x0 NERR_Successкоманду успішно завершено
Active Directory - користувачі й комп'ютери (DSA)
Windows 2000 або Windows XP також можна скинути обліковий запис комп'ютера з графічного інтерфейсу користувача (GUI). У Active Directory - користувачі й комп'ютери MMC (DSA) можна клацнути правою кнопкою миші об'єкт комп'ютера в комп'ютерах або відповідному контейнері, а потім натисніть кнопку Скинути обліковий запис. Після цього обліковий запис комп'ютера буде скинуто. Скидання пароля для контролерів домену за допомогою цього методу заборонено. Скидання облікового запису комп'ютера порушує підключення комп'ютера до домену та вимагає повторного приєднання до домену. Примітка. Це завадить створеному комп'ютеру підключитися до домену, і його слід використовувати лише для щойно перебудованого комп'ютера.
Сценарій Microsoft Visual Basic
За допомогою сценарію можна скинути обліковий запис комп'ютера. Потрібно підключитися до облікового запису комп'ютера за допомогою інтерфейсу IADsUser. Потім за допомогою методу SetPassword можна встановити початкове значення пароля. Початковий пароль комп'ютера – це завжди "ім'я_комп'ютера$".Наведені нижче зразки сценаріїв можуть працювати не в усіх середовищах і перед виконанням їх слід перевірити. Перший приклад – для облікових записів комп'ютерів під керуванням Windows NT 4.0, а другий – для облікових записів комп'ютерів під керуванням Windows 2000 або Windows XP.
Зразок 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
Зразок 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
Щоб отримати додаткові відомості про те, як визначити, чи збігається дата та час події 5722 з декодованою датою й часом, клацніть наведені нижче номери статей, щоб переглянути статті в базі знань Microsoft Knowledge Base:
175024 Скидання захищеного каналу учасника домену
810977 Подія з ідентифікатором 5722 реєструється на контролері домену під керуванням Windows 2000 Server
