DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 216393 - Geändert am: Freitag, 12. März 2004 - Version: 3.0

Dieser Artikel wurde zuvor veröffentlicht unter D41685
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
216393  (http://support.microsoft.com/kb/216393/EN-US/ ) Resetting Computer Accounts in Windows 2000 and Windows XP
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Zusammenfassung

Alle auf Windows 2000 oder Windows XP basierenden Arbeitsstationen oder Server, die Mitglied einer Domäne sind, sind über einen diskreten Kommunikationskanal, den so genannten sicheren Kanal, mit einem Domänencontroller verbunden.

Das Kennwort für den sicheren Kanal wird zusammen mit dem Computerkonto auf allen Domänencontrollern gespeichert. Bei Windows 2000 oder Windows XP wird das Kennwort für das Computerkonto standardmäßig alle 30 Tage geändert. Wenn aus irgendeinem Grund das Kennwort des Computerkontos und das LSA-Geheimnis nicht synchronisiert werden, protokolliert der NETLOGON-Dienst eine oder beide der folgenden Fehlermeldungen:
Die Einrichtung einer Sitzung von Computer DOMÄNENMITGLIED ist an der Authentifizierung gescheitert. Der/die Kontoname(n) in der Sicherheitsdatenbank lauten DOMÄNENMITGLIED$. Folgender Fehler ist aufgetreten: Zugriff wurde verweigert.
NETLOGON Ereignis-ID 3210:
Echtheitsbestätigung des Windows NT-Domänencontrollers DOMÄNENCONTROLLER der Domäne DOMÄNE fehlgeschlagen.
Der NETLOGON-Dienst auf dem Domänencontroller protokolliert die folgende Fehlermeldung, wenn das Kennwort nicht synchronisiert wird:
NETLOGON Ereignis-ID 5722:
Die Einrichtung einer Sitzung von Computer %1 ist an der Authentifizierung gescheitert. Der/die Kontoname(n) in der Sicherheitsdatenbank lauten %2. Folgender Fehler ist aufgetreten: %n%3
Dieser Artikel beschreibt vier Methoden zum Zurücksetzen von Computerkonten in Windows 2000 oder Windows XP. Es handelt sich um die folgenden Methoden:
  • Verwenden des Befehlszeilenprogramms "Netdom.exe"
  • Verwenden des Befehlszeilenprogramms "Nltest.exe"

    Hinweis: Die Programme "Netdom.exe" und "Nltest.exe" befinden sich auf der Windows Server-CD-ROM im Ordner "Support\Tools". Führen Sie zum Installieren dieser Programme "Setup.exe" aus, oder extrahieren Sie die Dateien aus der Datei "Support.cab".
  • Verwenden der in Active Directory-Benutzer und -Computer enthaltenen Microsoft Management Console (MMC)
  • Verwenden eines Microsoft Visual Basic-Skripts
Diese Programme ermöglichen sowohl Remote- als auch Nicht-Remoteverwaltung.

Weitere Informationen

Netdom.exe

Jedes Mitglied ist über einen diskreten Kommunikationskanal (den sicheren Kanal) mit einem Domänencontroller verbunden. Der sichere Kanal wird vom NETLOGON-Dienst auf dem Mitglied und auf dem Domänencontroller für die Kommunikation verwendet. Netdom ermöglicht das Zurücksetzen des sicheren Kanals des Mitglieds. Sie können den sicheren Kanal des Mitglieds mit dem folgenden Befehl zurücksetzen:

netdom reset 'Computername' /domain:'Domänenname'
Dabei ist 'Computername' der Name des lokalen Computers und 'Domänenname' der Name der Domäne, auf dem das Computerkonto gespeichert ist.

Angenommen, es gibt ein Domänenmitglied mit dem Namen DOMÄNENMITGLIED in einer Domäne mit dem Namen MEINEDOMÄNE. Sie können den sicheren Kanal des Mitglieds mit dem folgenden Befehl zurücksetzen:
netdom reset DOMÄNENMITGLIED /domain:MEINEDOMÄNE
Sie können diesen Befehl für das Mitglied DOMÄNENMITGLIED oder jedes andere Mitglied / jeden anderen Domänencontroller der Domäne ausführen, sofern Sie mit einem Konto angemeldet sind, das über Administratorrechte für den Zugriff auf DOMÄNENMITGLIED verfügt.

Nltest.exe

Nltest kann verwendet werden, um die Vertrauensstellung zwischen einem Windows 2000- oder Windows XP-Computer, der Mitglied einer Domäne ist, und einem Domänencontroller, auf dem sich sein Computerkonto befindet, zu prüfen.
C:\Ntreskit\Nltest.exe

Verwendung: nltest [/OPTIONEN]

/SC_QUERY:Domänenname - Sicheren Kanal nach Domäne auf Servername abfragen

/SERVER:Servername

/SC_QUERY:Domänenname - Überprüft den sicheren Kanal in der angegebenen Domäne auf lokaler/m oder Remote-Arbeitsstation, -Server oder -Domänencontroller.

Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \\server.windows2000.com
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Der Befehl wurde erfolgreich ausgeführt

Active Directory-Benutzer und -Computer (DSA)

Bei Windows 2000 oder Windows XP können Sie das Computerkonto auch über die grafische Benutzeroberfläche zurücksetzen. In der Active Directory-Benutzer und -Computer-MMC (DSA) können Sie unter Computer oder dem entsprechenden Container mit der rechten Maustaste auf das Computerobjekt klicken und anschließend auf Konto zurücksetzen klicken. Dadurch wird das Computerkonto zurückgesetzt. Das Zurücksetzen des Kennworts für Domänencontroller mit dieser Methode ist nicht zulässig. Durch das Zurücksetzen eines Computerkontos wird die Verbindung dieses Computers zu der Domäne unterbrochen, sodass der Computer neu mit der Domäne verbunden werden muss.

Hinweis: Dadurch wird verhindert, dass ein länger bestehender Computer eine Verbindung zu der Domäne herstellt; der Befehl ist nur für gerade neu erstellte Computer vorgesehen.

Microsoft Visual Basic-Skript

Sie können das Computerkonto auch mithilfe eines Skripts zurücksetzen. Sie müssen über die IAD-Benutzeroberfläche die Verbindung zu dem Computerkonto herstellen. Anschließend können Sie die SetPassword-Methode verwenden, um das Kennwort auf einen Anfangswert zu setzen. Das Anfangskennwort eines Computers lautet immer "Computername$".

Die folgenden Beispielskripts funktionieren möglicherweise nicht in allen Umgebungen und sollten vor der Anwendung getestet werden. Das erste Beispiel ist für Windows NT 4.0-Computerkonten, das zweite Beispiel für Windows 2000- oder Windows XP-Computerkonten.

Beispiel 1

Dim objComputer

Set objComputer = GetObject("WinNT://WINDOWS2000/computername$")
objComputer.SetPassword "computername$"

Wscript.Quit
				

Beispiel 2

Dim objComputer

Set objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "computername$"

Wscript.Quit
				

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Keywords: 
kbhowto kbenv KB216393
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store