Tóm tắt

Đối với mỗi máy trạm hoặc máy chủ Windows 2000 hoặc Windows XP là một thành viên của một miền, có một kênh giao tiếp riêng, được gọi là kênh bảo mật, với bộ kiểm soát miền.Mật khẩu của kênh bảo mật được lưu trữ cùng với tài khoản máy tính trên tất cả các bộ kiểm soát miền. Đối với Windows 2000 hoặc Windows XP, khoảng thời gian thay đổi mật khẩu tài khoản máy tính mặc định là 30 ngày một lần. Nếu, đối với một số lý do, mật khẩu của tài khoản máy tính và bí mật LSA không được đồng bộ hóa, dịch vụ Netlogon nhật ký một hoặc cả hai thông báo lỗi sau đây:

NETLOGON Event ID 5723:The session setup from the computer DOMAINMEMBER failed to authenticate. Tên của tài khoản được tham chiếu trong cơ sở dữ liệu bảo mật là DOMAINMEMBER$. Lỗi sau đây xảy ra: Quyền truy nhập bị từ chối.

NETLOGON Event ID 3210:Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.

Dịch vụ Netlogon trên bộ kiểm soát miền ghi lại thông báo lỗi sau khi mật khẩu không được đồng bộ hóa:

NETLOGON Event ID 5722:The session setup from the computerName failed to authenticate. Tên của tài khoản được tham chiếu trong cơ sở dữ liệu bảo mật là AccountName$.Lỗi sau đây xảy ra:Truy nhập bị từ chối.

Bài viết này mô tả bốn cách đặt lại tài khoản máy tính trong Windows 2000 hoặc Windows XP. Các phương pháp sau đây như sau:

  • Sử dụng Netdom.exe công cụ dòng lệnh

  • Sử dụng công cụdòng lệnh Nltest.exe Chú ý Công cụ Netdom.exe và Nltest.exe được đặt trên Windows Server CD-ROM trong thư mục Support\Tools. Để cài đặt các công cụ này, Setup.exe chạy hoặc trích xuất tệp từ tệp Support.cab tệp.

  • Sử dụng Active Directory Users and Computers Microsoft Management Console (MMC)

  • Sử dụng tập lệnh Microsoft Visual Basic

Các công cụ này cho phép quản trị từ xa và không từ xa. Netdom.exe và Nltest.exe là các công cụ dòng lệnh giúp đặt lại kênh bảo mật đã được thiết lập thành công. Bạn không thể sử dụng các công cụ này khi kênh bảo mật bị hỏng và giao tiếp không hoạt động đúng cách.

Thông tin Bổ sung

Netdom.exe

Đối với mỗi thành viên, có một kênh giao tiếp riêng (kênh bảo mật) với bộ kiểm soát miền. Kênh bảo mật được sử dụng bởi các dịch vụ Netlogon trên các thành viên và trên bộ kiểm soát miền để giao tiếp. Netdom làm cho nó có thể đặt lại các kênh an ninh của thành viên. Bạn có thể đặt lại kênh bảo mật thành viên bằng cách sử dụng lệnh sau:

netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = the local computer name and 'domainname' = the domainname where the computer/machine account is stored.Giả sử bạn có một thành viên tên miền tên là DOMAINMEMBER trong tên miền có tên là MYDOMAIN. Bạn có thể đặt lại kênh bảo mật thành viên bằng cách sử dụng lệnh sau:

netdom reset domainmember /domain:mydomainYou can run this command on the member DOMAINMEMBER or on any other member or domain controller of the domain, provided that you are logged on with an account that has administrator access to DOMAINMEMBER.

Nltest.exe

Nltest.exe thể được dùng để kiểm tra mối quan hệ tin cậy giữa một máy tính chạy Windows 2000 hoặc Windows XP là một thành viên của một miền và một bộ kiểm soát miền có tài khoản máy của nó.

C:\Ntreskit\Nltest.exeSử dụng: nltest [/OPTIONS] /SC_QUERY:DomainName - Kênh bảo mật truy vấn cho miền trên ServerName /SERVER:ServerName /SC_VERIFY:DomainName - Xác minh kênh bảo mật trong miền được chỉ định cho máy trạm cục bộ hoặc từ xa, máy chủ hoặc bộ kiểm soát miền. Cờ: 30 HAS_IP HAS_TIMESERV DC Name Đáng tin cậy \\server.windows2000.com Trạng thái Kết nối DC Đáng tin cậy = 0 0x0 NERR_SuccessHoàn tất thành công lệnh

Người dùng và Máy tính Active Directory (DSA)

Với Windows 2000 hoặc Windows XP, bạn cũng có thể đặt lại tài khoản máy từ trong giao diện người dùng đồ họa (GUI). Trong MMC Người dùng và Máy tính Active Directory (DSA), bạn có thể bấm chuột phải vào đối tượng máy tính trong Máy tính hoặc bộ chứa thích hợp rồi bấm Đặt lại Tài khoản. Thao tác này sẽ đặt lại tài khoản máy. Không cho phép đặt lại mật khẩu cho bộ điều khiển miền bằng phương pháp này. Việc đặt lại tài khoản máy tính sẽ làm ngắt kết nối của máy tính với miền đó và yêu cầu máy tính gia nhập lại miền. Lưu ý Điều này sẽ ngăn chặn một máy tính được thành lập từ kết nối với tên miền và chỉ nên được sử dụng cho một máy tính vừa được xây dựng lại.

Tập lệnh Microsoft Visual Basic

Bạn có thể sử dụng tập lệnh để đặt lại tài khoản máy. Bạn cần kết nối với tài khoản máy tính bằng cách sử dụng giao diện IADsUser. Sau đó, bạn có thể sử dụng phương pháp SetPassword để đặt mật khẩu thành giá trị ban đầu. Mật khẩu ban đầu của máy tính luôn là "computername$".Các tập lệnh mẫu sau đây có thể không hoạt động trong tất cả các môi trường và nên được kiểm tra trước khi thực hiện. Ví dụ đầu tiên là cho Windows NT 4.0 tài khoản máy tính và thứ hai là cho Windows 2000 hoặc Windows XP tài khoản máy tính.

Mẫu 1

Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit

Mẫu 2

Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit

Để biết thêm thông tin về cách xác định xem ngày và giờ của sự kiện 5722 có khớp với ngày và giờ đã giải mã hay không, hãy bấm vào số bài viết sau đây để xem các bài viết trong Cơ sở Tri thức Microsoft:

175024 Đặt lại Kênh Bảo mật Thành viên Miền

810977 ID Sự kiện 5722 được ghi nhật ký trên bộ kiểm soát miền dựa trên Máy chủ Windows 2000 của bạn

Facebook LinkedIn Email

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng