Tóm tắt
Đối với mỗi máy trạm chạy Windows 2000 hoặc Windows XP là một thành viên của tên miền, có một kênh liên lạc rời rạc, được gọi là kênh bảo mật, với bộ điều khiển tên miền. Mật khẩu kênh bảo mật được lưu trữ cùng với tài khoản máy tính trên tất cả các bộ điều khiển tên miền. Đối với Windows 2000 hoặc Windows XP, thời gian thay đổi mật khẩu tài khoản máy tính mặc định là mỗi 30 ngày. Nếu vì lý do nào đó, mật khẩu của tài khoản máy tính và bí mật của LSA không được đồng bộ hóa, Nhật ký dịch vụ Netlogon là một hoặc cả hai thông báo lỗi sau đây:
ID sự kiện NETLOGON 5723: việc thiết lập phiên từ máy tính DOMAINMEMBER không thể xác thực. Tên của tài khoản được tham chiếu trong cơ sở dữ liệu bảo mật là DOMAINMEMBER $. Lỗi sau xảy ra: Access bị từ chối.
ID sự kiện NETLOGON: không thể xác thực với domaindc \, bộ điều khiển tên miền Windows NT cho miền tên miền.
Dịch vụ Netlogon trên Nhật ký tên miền điều khiển thông báo lỗi sau đây khi mật khẩu không được đồng bộ hóa:
ID sự kiện NETLOGON 5722: việc thiết lập phiên từ máy tính ComputerName không thể xác thực. Tên của tài khoản được tham chiếu trong cơ sở dữ liệu bảo mật là AccountName $. Lỗi sau xảy ra: Access bị từ chối.
Bài viết này mô tả bốn cách đặt lại tài khoản máy tính trong Windows 2000 hoặc Windows XP. Những phương pháp này như sau:
-
Sử dụng công cụ dòng lệnh Netdom. exe
-
Sử dụng công cụ dòng lệnh Nltest. exelưu ý các công cụ netdom. exe và nltest. exe được đặt trên ổ đĩa CD Windows Server-ROM trong thư mục Support\Tools. Để cài đặt các công cụ này, hãy chạy setup. exe hoặc trích xuất các tệp từ tệp hỗ trợ. cab.
-
Sử dụng người dùng Active Directory và máy tính bàn điều khiển quản lý Microsoft (MMC)
-
Sử dụng một script Microsoft Visual Basic
Những công cụ này cho phép quản trị từ xa và không phải là từ xa. Netdom. exe và Nltest. exe là công cụ dòng lệnh đặt lại kênh bảo mật được thiết lập thành công. Bạn không thể sử dụng các công cụ này khi kênh bảo mật bị hỏng và liên lạc không hoạt động chính xác.
Thông tin Bổ sung
Netdom.exe
Đối với mỗi thành viên, có một kênh liên lạc rời rạc (kênh bảo mật) với bộ điều khiển tên miền. Kênh bảo mật được sử dụng bởi dịch vụ Netlogon trên thành viên và trên bộ điều khiển tên miền để liên lạc. Netdom giúp bạn có thể đặt lại kênh bảo mật của thành viên. Bạn có thể đặt lại kênh bảo mật thành viên bằng cách sử dụng lệnh sau đây:
netdom đặt lại ' \ phần \ Ename '/Domain: ' domainnametrong đó ' trình cài đặt \ ' = tên máy tính cục bộ và ' domainname ' = tên miền mà máy tính/tài khoản máy tính được lưu trữ. Giả sử bạn có một thành viên miền có tên là DOMAINMEMBER trong tên miền có tên là MYDOMAIN. Bạn có thể đặt lại kênh bảo mật thành viên bằng cách sử dụng lệnh sau đây:
netdom Reset domainmember/Domain: mydomainBạn có thể chạy lệnh này trên phần giới hạn thành viên hoặc trên bất kỳ bộ điều khiển tên miền hoặc thành viên khác của tên miền đó, miễn là bạn đã đăng nhập bằng tài khoản có quyền truy nhập người quản trị vào DOMAINMEMBER.
Nltest.exe
Nltest. exe có thể được dùng để kiểm tra mối quan hệ tin cậy giữa một máy tính chạy Windows 2000 hoặc Windows XP là một thành viên của một tên miền và bộ điều khiển tên miền mà tài khoản máy tính của nó nằm trên đó.
C:\Ntreskit\Nltest.exeUsage: nltest [/tùy chọn]/SC_QUERY:domainname -kênh bảo mật truy vấn cho tên miền trên ServerName /server:ServerName /SC_VERIFY:domainname -xác thực kênh bảo mật trong tên miền được chỉ định cho một máy chủ cục bộ hoặc từ xa, máy chủ hoặc tên miền. Cờ: 30 HAS_IP HAS_TIMESERV tên DC tin cậy \ \ server.windows2000.com tin cậy trạng thái trạng thái kết nối DC = 0 0x0 NERR_SuccessThe lệnh đã hoàn thành thành công
Người dùng và máy tính Active Directory (DSA)
Với Windows 2000 hoặc Windows XP, bạn cũng có thể đặt lại tài khoản máy từ bên trong giao diện người dùng đồ họa (GUI). Trong người dùng Active Directory và máy tính MMC (DSA), bạn có thể bấm chuột phải vào đối tượng máy tính trong các máy tính hoặc bộ chứa thích hợp, rồi bấm đặt lại tài khoản. Việc này đặt lại tài khoản máy. Đặt lại mật khẩu cho bộ điều khiển tên miền bằng cách sử dụng phương pháp này không được phép. Việc đặt lại một tài khoản máy tính bị ngắt kết nối với tên miền của máy tính và cần phải gia nhập lại tên miền đó. Lưu ý Điều này sẽ ngăn không cho máy tính đã thiết lập kết nối với tên miền và chỉ nên dùng cho một máy tính vừa được dựng sẵn.
Script Microsoft Visual Basic
Bạn có thể sử dụng một tập lệnh để đặt lại tài khoản máy. Bạn cần kết nối với tài khoản máy tính bằng cách sử dụng giao diện IADsUser. Sau đó, bạn có thể sử dụng phương pháp SetPassword để đặt mật khẩu cho một giá trị ban đầu. Mật khẩu ban đầu của máy tính luôn là "ComputerName $". Các script mẫu sau đây có thể không hoạt động trong tất cả các môi trường và cần được kiểm nghiệm trước khi thực hiện. Ví dụ đầu tiên dành cho tài khoản máy tính Windows NT 4,0 và phần thứ hai là dành cho các tài khoản máy tính Windows 2000 hoặc Windows XP.
Mẫu 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.QuitMẫu 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.QuitĐể biết thêm thông tin về cách xác định ngày tháng và thời gian của sự kiện 5722 khớp với ngày và thời gian được phân tích, hãy bấm vào các số bài viết sau đây để xem các bài viết trong cơ sở kiến thức Microsoft:
175024 Đặt lại kênh an toàn cho thành viên miền
810977 ID sự kiện 5722 được đăng nhập vào bộ điều khiển miền trên máy chủ Windows 2000 của bạn
