你目前正处于脱机状态,正在等待 Internet 重新连接

在您的基于 Windows 服务器的域控制器上记录了事件 ID 5722

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 810977
注意
本文应用到 Windows 2000。在 2010 年 7 月 13 日结束的 Windows 2000 支持。" Windows 2000 支持的最终解决方案中心 是规划迁移策略从 Windows 2000 的起始点。有关详细信息,请参阅 Microsoft 技术支持生命周期策略.
概要
当您使用事件查看器查看系统日志中的 Windows 域控制器时,您可能会发现事件 5722 记录。在上述两种情况下,可能发生此问题:
  • 当一台计算机更新其计算机帐户密码的域控制器
  • 当计算机加入到域的名称已存在
本文介绍如何区分两种情形,以及如何解决该问题。
症状
在 Microsoft Windowsdomain 控制器上,系统日志中记录以下事件:
事件类型: 错误
事件源: NETLOGON
事件类别: 无
事件 ID: 5722
日期: 日期
时间: 时间
用户: 不适用
计算机: 计算机名
说明: 从计算机建立的会话 计算机名 身份验证失败。安全数据库中引用的帐户名称 帐户名$.
出现了以下错误:
访问被拒绝。
原因
在 Microsoft Windows 域中,使用 Windows 2000 时,启动一个离散的通讯通道有助于提供更安全的通信路径之间的域控制器和成员服务器或工作站。此通道被称为一个安全通道。当您将计算机加入到域中时,创建一个计算机帐户,和计算机和域之间共享的密码。默认情况下,此密码更改每隔 30 天。安全通道的密码将存储与主域控制器 (PDC) 上的计算机帐户。密码将被复制到复制副本的所有域控制器。

5722 事件记录在下面的情形:
  • 当计算机与域控制器更新其计算机帐户密码时,身份验证的域控制器的系统日志中记录事件。

    在这种情况下,计算机的通过身份验证的域控制器的安全通道是仍然有效。
  • 当您将计算机加入到域使用已在另一台计算机,或重置现有计算机帐户时使用的名称。通过使用 活动目录(AD) 用户和计算机或使用 Netdom.exe 实用工具,可以重置现有计算机帐户。

    在这种情况下,计算机帐户密码与域控制器上的密码不匹配,并不能设置安全通道从原来的计算机到域控制器。
解决方案
警告如果您使用 ADSI Edit 管理单元中,LDP 实用工具,或者任何其他 LDAP 版本 3 客户端,而且您不正确地修改了 活动目录(AD) 对象的属性,可能会导致严重的问题。这些问题可能要求您重新安装 Microsoft Windows 2000 服务器,Microsoft Windows Server 2003,Microsoft Exchange 2000 服务器,Microsoft Exchange Server 2003 中,或 Windows 和 Exchange)。Microsoft 不能保证不正确地修改了 活动目录(AD) 对象属性时出现的问题能够得到解决。修改这些属性,需要您自担风险。

要解决此问题,请首先确定哪些方案是问题的原因。若要执行此操作,请按照下列步骤操作:
  1. 请注意日期和系统日志中记录了该事件的时间。
  2. 单击开始,指向程序、 指向资源工具包,然后单击管理控制台工具
  3. 在控制台树中,单击工具从 A 到 Z
  4. 在详细信息窗格中,单击ADSI 编辑器

    注意:ADSI 编辑是包含在 Windows 支持工具。您可以从 Windows 2000 Server CD-ROM 的 Support\Tools 文件夹中安装 Windows 支持工具。

    有关如何安装 Windows 支持工具进行 Windows 2000 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    301423 如何在基于 Windows 2000 Server 的计算机上安装 Windows 2000 支持工具
    若要在运行 Windows Server ® 2003年或 Windows ® XP 操作系统的计算机上安装 ADSI 编辑,Windows Server 2003 支持工具从 Windows Server 2003 产品 CD 或安装的 Microsoft 下载中心 (http://go.microsoft.com/fwlink/?LinkId=100114).有关如何从产品 CD 中安装 Windows 支持工具的详细信息,请参阅安装 Windows 支持工具 (http://go.microsoft.com/fwlink/?LinkId=62270).

    在服务器上运行 Windows Server 2008 或 Windows Server 2008 R2,ADSI 编辑被安装时安装您要使域控制器的服务器的 活动目录(AD) 域服务 (AD DS) 角色。您还可以在域成员服务器或独立服务器上安装 Windows 服务器 2008年远程服务器管理工具 (RSAT)。有关特定说明,请参阅安装或删除的远程服务器管理工具包 (http://go.microsoft.com/fwlink/?LinkId=143345).

    若要在运行 Windows Vista ® Service Pack 1 (SP1) 或 Windows 7 的计算机上安装 ADSI 编辑,则必须安装 RSAT。有关详细信息和下载 RSAT,请参阅文章 941314 中的 Microsoft 知识库文章 (http://go.microsoft.com/fwlink/?LinkID=116179).
  5. 在 Adsi 中,找到并右键单击导致了此问题的计算机。
  6. 单击属性
  7. 选择要查看的属性,请单击两者
  8. 选择要查看的属性,单击PwdLastSet
  9. 复制到剪贴板框中显示的值。
  10. 单击开始,指向程序,指向附件,然后单击计算器
  11. 视图菜单上单击科学型
  12. 单击设置为十进制编号系统12 月
  13. 将值从剪贴板粘贴到计算器。
  14. 若要从十进制的值更改为十六进制的十进制编号系统,请单击十六进制
  15. 编辑菜单上,单击复制
  16. 在记事本中粘贴剪贴板中的文件的十六进制数。
  17. 计数从右大多数字符的十六进制字符串,八个字符,然后按空格键。

    注意:此操作将十六进制字符串拆分成两个十六进制字符串。
  18. 如果在左侧的十六进制字符串包含七个字符,将添加到字符串的起始位置为零。
  19. 在命令提示符下,键入
    Nltest /time:RightSideHexadecimalstringLeftSideHexadecimalString
    您将收到类似于下面的输出:
    C:\>nltest /time:a25cc370 01c294bca25cc370 01c294bc = 11/25/2002 13:55:41 The command completed successfully.
  20. 请注意已解码的日期和时间。
  21. 检查日期和时间在第 1 步和解码的日期记录中记下的时间步骤 20 匹配。
  22. 如果 5722 事件的日期和时间已记录并已解码的日期和时间匹配,则检查导致了此问题的计算机是否可以通过在命令提示符处键入下面的命令与域控制器建立安全通道:
    Nltest /server:计算机名 /sc_query:域名称
    如果问题的计算机具有有效的域控制器建立安全通道,您将收到类似于下面的输出:
    C:\>Nltest /server:computer1 /sc_query:DomainNameFlags: 30HAS_IP HAS_TIMESERVTrusted DC Name \\homenode1.myhouse.comTrusted DC Connection Status Status = 0 0x0 NERR_SuccessThe command completed successfully.
    如果问题的计算机没有有效的域控制器建立安全通道,您将收到类似于下面的输出:
    C:\>nltest /server:machine1 /sc_query:DomainNameFlags: 0 Trusted DC NameTrusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIEDThe command completed successfully.
如果不匹配的日期和时间的 5722 事件的已解码的日期和时间,问题的计算机帐户密码可能与域控制器上的密码不匹配。这下可能会发生下列情况之一:
  • 管理员通过使用 活动目录(AD) 用户和计算机或其他如 Netdom.exe 工具重置计算机帐户。
  • 通过在域中使用的名称已经存在情况下,新的计算机加入到域。
注意:如果域控制器的 Netlogon 服务日志记录开启,您可以通过检查 Netlogon.log 条目,它类似于以下确认这种情况下:
05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4
如果一台计算机更新其自己的计算机帐户密码,则不会记录此消息。

要解决重复的计算机名称与相关的问题,请重新加入原始计算机加入域。

如果同时满足以下条件,则可以忽略 5722 事件:
  • 如果日期和时间的 5722 事件和解码的日期和时间匹配。
  • 问题的计算机和域控制器之间建立有效的安全通道。
注意:当两个条件都为真时,5722 事件将记录在域控制器上,当计算机尝试进行身份验证的域控制器计算机帐户更新过程中。

管理员还可以使用 Ldp.exe 查询 活动目录(AD) 域中任何计算机的信息。此外可以使用 Ldp.exe Windows XP 服务包 2 的支持工具中包含的版本 PwdLastSet 值进行解码。

有关 Windows XP 服务包 2 的支持工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
838079 Windows XP 服务包 2 的支持工具
您还可以使用 Windows XP 实用程序 W32tm.exe PwdLastSet 值进行解码。
参考
有关启用调试日志的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
221833 如何启用用户环境调试日志记录的零售版 Windows
109626 启用网络登录服务的调试日志记录
DC

警告:本文已自动翻译

属性

文章 ID:810977 - 上次审阅时间:03/15/2015 10:21:00 - 修订版本: 3.0

Microsoft Windows 2000 Server, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003, Standard x64 Edition, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard

  • kbtshoot kbeventlog kbprb kbmt KB810977 KbMtzh
反馈