結論

對於屬於網域成員的每個 Windows 2000 或 Windows XP 工作站或伺服器而言,分隔的通訊通道 (稱為安全通道) 是隨著網域控制站而建立的。 安全通道的密碼是與電腦帳戶一起儲存在所有的網域控制站中。在 Windows 2000 或 Windows XP 中,預設電腦帳戶密碼的更換週期為 30 天。如果電腦帳戶的密碼因某種原因而與 LSA 機密不同步,Netlogon 服務會記錄下列一或兩個錯誤訊息:

從電腦 DOMAINMEMBER 設定的工作階段無法驗證。安全性資料庫中參照的帳戶名稱是 DOMAINMEMBER$。發生下列錯誤: 拒絕存取。

NETLOGON 事件 ID 3210: 無法與 \\DOMAINDC 進行驗證,它是網域 DOMAIN 的 Windows NT 網域控制站。

當密碼不同步時,網域控制站的 Netlogon 服務會記錄下列錯誤訊息:

NETLOGON 事件 5722: 從電腦 %1 設定的工作階段無法驗證。安全性資料庫中參照的帳戶名稱是 %2。發生下列錯誤:%n%3

本文說明在 Windows 2000 或 Windows XP 中重設電腦帳戶的四種方法,這些方法如下:

  • 使用 Netdom.exe 命令列工具

  • 使用 Nltest.exe 命令列工具注意 Netdom.exe 和 Nltest.exe 工具位於 Windows Server CD-ROM 的 Support\Tools 資料夾中。如果要安裝這些工具,請執行 Setup.exe 或從 Support.cab 檔案解壓縮檔案。

  • 使用 Active Directory 使用者及電腦 Microsoft Management Console (MMC)

  • 使用 Microsoft Visual Basic 指令碼

這些工具允許遠端及非遠端管理。Netdom.exe 和 Nltest.exe 是可重設已成功建立之安全通道的命令列工具。當安全通道損壞,通訊無法正常進行時,您無法使用這些工具。

其他相關資訊

Netdom.exe

對於每個成員,網域控制站都有分隔的通訊通道 (即安全通道)。在成員和網域控制站上,Netlogon 服務會使用安全通道進行通訊。Netdom 可以重設成員的安全通道。您可以使用下列命令重設成員的安全通道:

netdom reset 'machinename' /domain:'domainname 其中 'machinename' = 本機電腦名稱,'domainname' = 儲存電腦/機器帳戶的網域。 假設您在 MYDOMAIN 的網域中具有名為 DOMAINMEMBER 的網域成員。您可以使用下列命令重設成員的安全通道:

netdom reset domainmember /domain:mydomain 如果您使用具有 DOMAINMEMBER 系統管理員存取權限的帳戶登入,您就可以在 DOMAINMEMBER 成員或網域的任何其他成員或網域控制站上執行這個命令。

Nltest.exe

Nltest.exe 可以用來測試屬於網域成員或其機器帳戶所在之網域控制站的 Windows 2000 或 Windows XP 電腦之間的信任關係。

C:\Ntreskit\Nltest.exe使用方式:nltest [/OPTIONS]/SC_QUERY:DomainName - 查詢 ServerName 上的 domain 的安全通道/SERVER:ServerName/SC_VERIFY:DomainName - 為本機或遠端工作站、伺服器或網域控制站驗證指定網域中的安全通道。旗標:30 HAS_IP HAS_TIMESERV 受信任的 DC 名稱 \\server.windows2000.com 受信任的 DC 連線狀態 Status = 0 0x0 NERR_Success命令執行成功

Active Directory 使用者及電腦 (DSA)

在 Windows 2000 或 Windows XP 中,您也可以從圖形使用者介面 (GUI) 重設機器帳戶。在 [Active Directory 使用者及電腦] MMC (DSA) 中,您可以用滑鼠右鍵按一下 [電腦] 或適當容器中的電腦物件,然後按一下 [重設帳戶]。這會重設該機器帳戶。使用這個方法無法重設網域控制站的密碼。重設電腦帳戶將會中斷該電腦到網域的連線,並會要求電腦重新加入網域。注意 這將會使已建立的電腦無法連線到該網域,因此,只適用於剛重建完成的電腦。

Microsoft Visual Basic 指令碼

您可以使用指令碼重設機器帳戶。您必須使用 IADsUser 介面連線到電腦帳戶。然後,您可以使用 SetPassword 方法將密碼設為初始值。電腦的初始密碼永遠是 computername$。 下列範例指令碼可能無法在所有環境中執行,實作之前必須先行測試。第一個範例適用於 Windows NT 4.0 電腦帳戶,第二個範例適用於 Windows 2000 或 Windows XP 電腦帳戶。

範例 1

Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit

範例 2

Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。