该提示的原因绝大多数由于DC中的计算机帐户重名或者被禁用所导致。当您将一台客户端加入域时,默认情况下在DC的computer的容器中会自动创建一个以该机器的用户名命名的计算机对象,这意味着DC已经和客户端建立起了secure channel,同时会生成一个key,安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于 Windows 2000 或 Windows XP,默认计算机帐户密码的更换周期为 30 天。如果因某种原因导致计算机帐户的密码和 LSA 机密不同步,意味着客户端与DC的通信被断掉,则会导致您所述的提示信息没有找到计算机账户。而如果secure channel被断掉。导致secure channel出错的原因可能有以下几种:
1. 将客户端加入到域时,域中已经存在与该计算机同名的计算机账户,那么在该计算机加入域后,会将本计算机的名称覆盖与其同名的计算机帐户,这样就会导致备覆盖的哪个计算机在登录域时报错
2. 将ADUC中的计算机账户删除也会导致上述错误
解决该问题,我们需要同步计算机帐户的密码和 LSA 机密,在 Windows 2000 或 Windows XP 中重置计算机帐户的四种方法:
1.使用 Netdom.exe 命令行工具
2.使用 Nltest.exe 命令行工具
注意:Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 Support\Tools 文件夹中。要安装这两个工具,请运行 Setup.exe 或从 Support.cab 文件中提取文件。
3.使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC)。
4.使用 Microsoft Visual Basic 脚本
具体步骤请参照:
http://support.microsoft.com/kb/216393/zh-cn如果希望避免此问题可以参照下面几点建议:
1. 将客户端加入到域时请检查是否与域中的计算机同名
2. 请不要在ADUC中删除域中的有效计算机账户
相关出错对照信息:
1.每个成员都维护着这样的一个 LSA 机密,用于建立安全通道由 Netlogon 服务。 如果,出于某种原因,计算机帐户的密码和 LSA 机密不同步,Netlogon 服务记录以下错误:
NETLOGON Event ID 3210:
Failed to authenticate with
\\DOMAINDC, a Windows NT domain controller
for domain DOMAIN.
2.如果计算机账户被删除,通过成员Netlogon服务会记录下面的错误信息:
NETLOGON Event ID 5721:
The session setup to the Windows NT Domain Controller <Unknown> for the
domain DOMAIN failed because the Windows NT Domain Controller does not
have an account for the computer DOMAINMEMBER.
3.同样,域控制器上的 Netlogon 服务密码不同步时记录以下错误:
NETLOGON Event 5722
The session setup from the computer DOMAINMEMBER failed to authenticate.
The name of the account referenced in the security database is
DOMAINMEMBER$. The following error occurred: Access is denied.
有关安全通道的信息,请参阅 Microsoft 知识库中下列文章:
ARTICLE-ID: 131366 (
http://support.microsoft.com/kb/131366/EN-US/)
TITLE: 事件错误 5712 状态访问被拒绝
ARTICLE-ID: 142869 (
http://support.microsoft.com/kb/142869/EN-US/)
TITLE: 同步整个域时出现事件 ID 3210 and 5722
ARTICLE-ID: 149664 (
http://support.microsoft.com/kb/149664/EN-US/)
TITLE: 验证域 Netlogon 同步
ARTICLE-ID: 158148 (
http://support.microsoft.com/kb/158148/EN-US/)
TITLE: 域安全通道实用工具--Nltest.exe
