5722 ошибка netlogon

title	description	ms.date	author	ms.author	manager	audience	ms.topic	ms.prod	localization_priority	ms.reviewer	ms.custom	ms.technology
Event ID 5722 is logged	Describes how to diagnose and resolve a problem where event 5722 appears in the system log of your domain controller.	9/24/2021	Deland-Han	delhan	dcscontentpm	itpro	troubleshooting	windows-server	medium	kaushika, jarrettr	sap:user-computer-group-and-object-management, csstroubleshoot	windows-server-active-directory

This article describes how to diagnose and resolve a problem where event 5722 appears in the system log of your domain controller.

Applies to:   Windows 2000
Original KB number:   810977

[!NOTE]
This article applies to Windows 2000. Support for Windows 2000 ends on July 13, 2010. For more information, see the Microsoft Support Lifecycle Policy.

Summary

When you use Event Viewer to view the system log in a Windows domain controller, you may find event 5722 logged. This problem may occur in either of two scenarios:

• When a computer updates its computer account password with a domain controller
• When a computer is joined to a domain with a name that already exists

This article describes how to differentiate the two scenarios and how to resolve the problem.

Symptoms

On a Microsoft Windows domain controller, the following event is logged in the system log:

Event Type: Error
Event Source: NETLOGON
Event Category: None
Event ID: 5722
Date: Date
Time: Time
User: N/A
Computer: ComputerName
Description: The session setup from the computer ComputerName failed to authenticate. The name of the account referenced in the security database is AccountName $.
The following error occurred:
Access is denied.

Cause

In a Microsoft Windows domain, starting with Windows 2000, a discrete communication channel helps provide a more secure communication path between the domain controller and the member servers or workstations. This channel is known as a secure channel. When you join a computer to a domain, a computer account is created, and a password is shared between the computer and the domain. By default, this password is changed every 30 days. The secure channel’s password is stored together with the computer account on the primary domain controller (PDC). The password is replicated to all replica domain controllers.

Event 5722 is logged in the following scenarios:

• When a computer updates its computer account password with a domain controller, the event is logged in the system log of the authenticating domain controller.

  In this scenario, the computer’s secure channel with the authenticating domain controller is still valid.

• When you join a computer to a domain by using a name that is already in use by another computer, or when an existing computer account is reset. An existing computer account may be reset by using Active Directory Users and Computers or by using the Netdom.exe utility.

  In this scenario, the computer’s account password does not match the password on the domain controller, and you cannot set a secure channel from the original computer to the domain controller.

Resolution

[!WARNING]
If you use the ADSI Edit snap-in, the LDP utility, or any other LDAP version 3 client, and you incorrectly modify the attributes of Active Directory objects, you can cause serious problems. These problems may require you to reinstall Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003, or both Windows and Exchange. Microsoft cannot guarantee that problems that occur if you incorrectly modify Active Directory object attributes can be solved. Modify these attributes at your own risk.

To resolve this problem, first determine which scenario is the cause of the problem. You can follow these steps:

1. Note the date and the time that the event was logged in the system log.

2. Click Start, point to Programs, point to Resource Kit, and then click Tools Management Console.

3. In the console tree, click Tools A to Z.

4. In the details pane, click ADSI Editor.

   [!NOTE]
   ADSI Edit is included with the Windows Support Tools. You can install the Windows Support Tools from the SupportTools folder of the Windows 2000 Server CD-ROM.

   To install ADSI Edit on computers running Windows Server® 2003 or Windows® XP operating systems, install Windows Server 2003 Support Tools from the Windows Server 2003 product CD or from the Microsoft Download Center. For more information about how to install Windows Support Tools from the product CD, see Install Windows Support Tools.

   On servers running Windows Server 2008 or Windows Server 2008 R2, ADSI Edit is installed when you install the Active Directory Domain Services (AD DS) role to make a server a domain controller. You can also install Windows Server 2008 Remote Server Administration Tools (RSAT) on domain member servers or stand-alone servers. For specific instructions, see Installing or Removing the Remote Server Administration Tools Pack.

   To install ADSI Edit on computers running Windows Vista® with Service Pack 1 (SP1) or Windows 7, you must install RSAT.

5. In ADSI Edit, locate and then right-click the computer that is causing the problem.

6. Click Properties.

7. In Select which properties to view, click Both.

8. In Select a property to view, click PwdLastSet.

   If the ntte value is not converted in the UI to a readable date and timestamp, run the following command or proceed to step 9 for an alternate method:

   w32tm /ntte pwdlastsetvalue  

9. Copy the value that appears in the Value(s) box to the clipboard.

10. Click Start, point to Programs, point to Accessories, and then click Calculator.

11. On the View menu, click Scientific.

12. Click Dec to set the numbering system to decimal.

13. Paste the value from the clipboard into Calculator.

14. To change the value from decimal to hexadecimal decimal numbering system, click Hex.

15. On the Edit menu, click Copy.

16. Paste the hexadecimal number from the clipboard to a file in Notepad.

17. Count eight characters from the rightmost character of the hexadecimal string, and then press SPACEBAR.

    [!NOTE]
    This action splits the hexadecimal string into two hexadecimal strings.

18. If the hexadecimal string on the left side contains only seven characters, add a zero to the beginning of the string.

19. At a command prompt, type

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString  

    You will receive output that is similar to:

     C:>nltest /time:a25cc370 01c294bc  
     a25cc370 01c294bc = 11/25/2002 13:55:41  
     The command completed successfully.

20. Note the decoded date and time.

21. Check whether the date and time that you noted in step 1 and the decoded date and time that you noted in step 20 match.

22. If the date and time that event 5722 was logged and the decoded date and time match, check whether the computer that is causing the problem has a secure channel established with a domain controller by typing the following command at a command prompt:

    Nltest /server: **ComputerName** /sc_query: **DomainName**  

    If the problem computer has a valid secure channel established with a domain controller, you receive output that is similar to:

     C:>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
    HAS_IP HAS_TIMESERV  
    Trusted DC Name \homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.  
    

    If the problem computer does not have a valid secure channel established with a domain controller, you receive output that is similar to:

     C:>nltest /server:machine1 /sc_query: DomainName Flags: 0  
    Trusted DC Name  
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.  
    

If the date and time of event 5722 and the decoded date and time do not match, the problem computer’s account password may not match the password that is on the domain controller. This issue can occur under either of the following circumstances:

• An administrator resets a computer account by using Active Directory Users and Computers or another tool such as Netdom.exe.
• A new computer is joined to the domain by using a name that already exists in the domain.

[!NOTE]
If Netlogon service logging is turned on for the domain controller, you confirm this scenario by checking for a Netlogon.log entry that is similar to the following:

05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4

This message is not logged if a computer updates its own computer account password.

To resolve problems that are related to duplicate computer names, rejoin the original computer to the domain.

You can ignore event 5722 if both of the following conditions are true:

• If the date and time of event 5722 and the decoded date and time match.
• A valid secure channel is established between the problem computer and a domain controller.

[!NOTE]
When both of these conditions are true, event 5722 is logged on the domain controller when the computer tries to authenticate with a domain controller during the computer account update process.

Administrators can also query Active Directory information from any computer in the domain by using Ldp.exe. The version of Ldp.exe that is included in the Windows XP Service Pack 2 Support Tools can also be used to decode the PwdLastSet value.

References

For additional information about enabling debug logging, click the following article number to view the article in the Microsoft Knowledge Base:

109626 enabling debug logging for the Net Logon service

При установке сеанса с компьютера не получено подтверждение имен

Этот форум закрыт. Спасибо за участие!

Спрашивающий

Общие обсуждения

Вот такого типа ошибки имеются на КД, в параметре ServicePrincipalName указано 2 записи, куда копать?

Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5722
Дата: 08.05.2012
Время: 14:33:01
Пользователь: Н/Д
Компьютер: CO-DC04
Описание:
При установке сеанса с компьютера O2-IT09-NB не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи O2-IT09-NB$. Ошибка:
Отказано в доступе.

Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».
Данные:
0000: 22 00 00 c0 «..À

Все ответы

1) На сетевой карте компьютера, указанного в сообщении об ошибке, запретите отключение для экономии электроэнергии

2)При помощи ADSIEdit проверьте, что проблемная учетная запись не дублируется в AD

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Follow us on Twitter

Скорее всего, пароль учетной записи компьютера в AD не солвпадает с паролем, который предъявляет компьютер, имя которого указано в тексте ошибки.

В таком случае следует сбросить учетную запись компьютера с помощью netdom или nltest (из Support Tools, см. http://support.microsoft.com/kb/216393) или просто вывести компьютер из домена и ввести его заново.

Учетная запись компьютера также может оказаться отсутствующей (такое бывает, например, если склонировать компьютер, входящий в домен, а потом переименовать копию, используя учетку, имеющую достаточные разрешения в AD). Тогда придется компьютер выводить из домена и вводить его заново.

Источник

При установке сеанса с компьютера не получено подтверждение имен

Этот форум закрыт. Спасибо за участие!

Спрашивающий

Общие обсуждения

Вот такого типа ошибки имеются на КД, в параметре ServicePrincipalName указано 2 записи, куда копать?

Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5722
Дата: 08.05.2012
Время: 14:33:01
Пользователь: Н/Д
Компьютер: CO-DC04
Описание:
При установке сеанса с компьютера O2-IT09-NB не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи O2-IT09-NB$. Ошибка:
Отказано в доступе.

Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».
Данные:
0000: 22 00 00 c0 «..À

Все ответы

1) На сетевой карте компьютера, указанного в сообщении об ошибке, запретите отключение для экономии электроэнергии

2)При помощи ADSIEdit проверьте, что проблемная учетная запись не дублируется в AD

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Follow us on Twitter

Скорее всего, пароль учетной записи компьютера в AD не солвпадает с паролем, который предъявляет компьютер, имя которого указано в тексте ошибки.

В таком случае следует сбросить учетную запись компьютера с помощью netdom или nltest (из Support Tools, см. http://support.microsoft.com/kb/216393) или просто вывести компьютер из домена и ввести его заново.

Учетная запись компьютера также может оказаться отсутствующей (такое бывает, например, если склонировать компьютер, входящий в домен, а потом переименовать копию, используя учетку, имеющую достаточные разрешения в AD). Тогда придется компьютер выводить из домена и вводить его заново.

Источник

При установке сеанса с компьютера не получено подтверждение имен

Этот форум закрыт. Спасибо за участие!

Спрашивающий

Общие обсуждения

Вот такого типа ошибки имеются на КД, в параметре ServicePrincipalName указано 2 записи, куда копать?

Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5722
Дата: 08.05.2012
Время: 14:33:01
Пользователь: Н/Д
Компьютер: CO-DC04
Описание:
При установке сеанса с компьютера O2-IT09-NB не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи O2-IT09-NB$. Ошибка:
Отказано в доступе.

Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».
Данные:
0000: 22 00 00 c0 «..À

Все ответы

1) На сетевой карте компьютера, указанного в сообщении об ошибке, запретите отключение для экономии электроэнергии

2)При помощи ADSIEdit проверьте, что проблемная учетная запись не дублируется в AD

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Follow us on Twitter

Скорее всего, пароль учетной записи компьютера в AD не солвпадает с паролем, который предъявляет компьютер, имя которого указано в тексте ошибки.

В таком случае следует сбросить учетную запись компьютера с помощью netdom или nltest (из Support Tools, см. http://support.microsoft.com/kb/216393) или просто вывести компьютер из домена и ввести его заново.

Учетная запись компьютера также может оказаться отсутствующей (такое бывает, например, если склонировать компьютер, входящий в домен, а потом переименовать копию, используя учетку, имеющую достаточные разрешения в AD). Тогда придется компьютер выводить из домена и вводить его заново.

Источник

При установке сеанса с компьютера не получено подтверждение имен

Этот форум закрыт. Спасибо за участие!

Спрашивающий

Общие обсуждения

Вот такого типа ошибки имеются на КД, в параметре ServicePrincipalName указано 2 записи, куда копать?

Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5722
Дата: 08.05.2012
Время: 14:33:01
Пользователь: Н/Д
Компьютер: CO-DC04
Описание:
При установке сеанса с компьютера O2-IT09-NB не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи O2-IT09-NB$. Ошибка:
Отказано в доступе.

Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».
Данные:
0000: 22 00 00 c0 «..À

Все ответы

1) На сетевой карте компьютера, указанного в сообщении об ошибке, запретите отключение для экономии электроэнергии

2)При помощи ADSIEdit проверьте, что проблемная учетная запись не дублируется в AD

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Follow us on Twitter

Скорее всего, пароль учетной записи компьютера в AD не солвпадает с паролем, который предъявляет компьютер, имя которого указано в тексте ошибки.

В таком случае следует сбросить учетную запись компьютера с помощью netdom или nltest (из Support Tools, см. http://support.microsoft.com/kb/216393) или просто вывести компьютер из домена и ввести его заново.

Учетная запись компьютера также может оказаться отсутствующей (такое бывает, например, если склонировать компьютер, входящий в домен, а потом переименовать копию, используя учетку, имеющую достаточные разрешения в AD). Тогда придется компьютер выводить из домена и вводить его заново.

Источник

ID события 5722 регистрируется в контроллере домена

В этой статье описывается, как диагностировать и устранять проблему, в которой событие 5722 отображается в системном журнале контроллера домена.

Применяется к: Windows 2000 г.
Исходный номер КБ: 810977

Эта статья применяется к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Дополнительные сведения см. в политике жизненного цикла поддержки Майкрософт.

Сводка

Если вы используете viewer событий для просмотра системного журнала в контроллере Windows домена, вы можете найти событие 5722 в журнале. Эта проблема может возникнуть в любом из двух сценариев:

В этой статье описывается, как различать два сценария и как устранить проблему.

Симптомы

В контроллере Windows Майкрософт в журнале системы регистрируется следующее событие:

Причина

В домене Microsoft Windows, начиная с Windows 2000 г., дискретный канал связи помогает обеспечить более безопасный путь связи между контроллером домена и серверами-членами или рабочими станциями. Этот канал называется защищенным каналом. При подмыве компьютера к домену создается учетная запись компьютера, а между компьютером и доменом общий пароль. По умолчанию этот пароль меняется каждые 30 дней. Пароль безопасного канала хранится вместе с учетной записью компьютера на основном контроллере домена (PDC). Пароль реплицируется во все контроллеры домена реплики.

Событие 5722 регистрируется в следующих сценариях:

Когда компьютер обновляет пароль учетной записи компьютера с контроллером домена, событие регистрируется в системном журнале контроллера домена проверки подлинности.

В этом сценарии безопасный канал компьютера с контроллером проверки подлинности домена по-прежнему действителен.

При подступе компьютера к домену с помощью имени, которое уже используется другим компьютером, или при сбросе существующей учетной записи компьютера. Существующая учетная запись компьютера может быть сброшена с помощью пользователей и компьютеров Active Directory или с помощью Netdom.exe утилиты.

В этом сценарии пароль учетной записи компьютера не совпадает с паролем контроллера домена, и нельзя установить безопасный канал с исходного компьютера на контроллер домена.

Решение

Если вы используете оснастку ADSI Edit, утилиту LDP или любой другой клиент версии LDAP 3 и неправильно измените атрибуты объектов Active Directory, вы можете вызвать серьезные проблемы. Эти проблемы могут потребовать переустановки Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 или Windows и Exchange. Корпорация Майкрософт не может гарантировать, что проблемы, которые возникают при неправильном изменении атрибутов объектов Active Directory, могут быть решены. Измените эти атрибуты на свой собственный риск.

Чтобы устранить эту проблему, сначала определите, какой сценарий является причиной проблемы. Вы можете следовать следующим шагам:

Обратите внимание на дату и время входа события в журнал системы.

Нажмите кнопку Начните, указать на программы, указать набор ресурсов, а затем нажмите консоль управления средствами.

В дереве консоли щелкните Инструменты A для Z.

В области сведений нажмите редактор ADSI.

Редактирование ADSI включено в Windows средства поддержки. Вы можете установить Windows поддержки из папки SupportTools Windows CD-ROM 2000 Server.

Чтобы установить adsi Edit на компьютерах с Windows Server® 2003 или Windows® XP, установите средства поддержки Windows Server 2003 на компакт-диске продукта Windows Server 2003 или в Центре загрузки Microsoft. Дополнительные сведения об установке Windows средств поддержки на компакт-диске продукта см. в Windows Средства поддержки.

На серверах Windows Server 2008 или Windows Server 2008 R2 при установке роли Active Directory Domain Services (AD DS) для того, чтобы сделать сервер контроллером домена, устанавливается редактирование ADSI. Вы также можете установить Windows Server 2008 Remote Server Administration Tools (RSAT) на серверах членов домена или автономных серверах. Дополнительные инструкции см. в инструкции По установке или удалению пакета инструментов администрирования удаленного сервера.

Чтобы установить ADSI Edit на компьютерах Windows Vista® с Пакет обновления 1 (SP1) или Windows 7, необходимо установить RSAT.

В ADSI Изменить, найдите и нажмите правой кнопкой мыши на компьютере, который вызывает проблему.

Выберите команду Свойства.

Выберите свойства, которые необходимо просмотреть, щелкните Оба.

В выберите свойство, чтобы просмотреть, щелкните PwdLastSet.

Если значение не преобразуется в пользовательском интерфейсе в читаемую дату и время, запустите следующую команду или приступите к шагу 9 для ntte альтернативного метода:

Скопируйте значение, которое отображается в поле Value(s) в буфер обмена.

Нажмите кнопку Начните, указать на программы, указать на аксессуары, а затем нажмите калькулятор.

В меню Просмотр щелкните Научный.

Нажмите кнопку Dec, чтобы установить десятичной номер системы.

Вклеить значение из буфера обмена в калькулятор.

Чтобы изменить значение с десятичной на гексадецимальную систему десятичных номеров, щелкните Hex.

В меню Правка выберите команду Копировать.

Вклеить hexadecimal номер из буфера обмена в файл в Блокнот.

Считайте восемь символов из правильного символа гексадецимальной строки и нажмите кнопку SPACEBAR.

Это действие разделяет гексадецимальную строку на две гексадецимальные строки.

Если гексадецимальная строка слева содержит всего семь символов, добавьте ноль к началу строки.

В командной подсказке введите

Вы получите выход, аналогичный:

Обратите внимание на декодированную дату и время.

Проверьте, совпадают ли дата и время, отмеченные на шаге 1, а также дата и время расшифровки, которые были отмечены в шаге 20.

Если дата и время этого события 5722 вошли в журнал и совпадают дата и время декодирования, проверьте, имеет ли компьютер, вызывающий проблему, защищенный канал, созданный с контроллером домена, введя следующую команду по командной подсказке:

Если на проблемном компьютере установлен надежный защищенный канал с контроллером домена, вы получаете выход, аналогичный:

Если на проблемном компьютере не установлен надежный защищенный канал с контроллером домена, вы получаете выход, аналогичный:

Если дата и время события 5722 и дата и время расшифровки не совпадают, пароль учетной записи компьютера проблемы может не совпадать с паролем, который находится на контроллере домена. Эта проблема может возникнуть при любом из следующих обстоятельств:

Если журнал службы Netlogon включен для контроллера домена, вы подтверждаете этот сценарий, проверяя запись Netlogon.log, аналогичную следующему:

05/06 13:35:25 [MISC] NlMainLoop: Уведомление о добавлении (или изменении) учетной записи доверия TRUSTING_DOMAIN$ 0x##### 4

Это сообщение не регистрируется, если компьютер обновляет собственный пароль учетной записи компьютера.

Чтобы устранить проблемы, связанные с дублирующимися именами компьютеров, переназначив исходный компьютер в домен.

Вы можете игнорировать событие 5722, если оба следующих условия верны:

Если оба этих условия верны, событие 5722 регистрируется на контроллере домена, когда компьютер пытается проверить подлинность с контроллером домена во время процесса обновления учетной записи компьютера.

Администраторы также могут запрашивать сведения Active Directory с любого компьютера в домене с помощью Ldp.exe. Версия Ldp.exe, включенная в Windows XP Пакет обновления 2, также может использоваться для расшифровки значения PwdLastSet.

Ссылки

Дополнительные сведения о том, как включить ведение журнала отключки, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

109626 ведение журнала отключки для службы Net Logon

Источник