NT环境下由安全通道引起的网络登录错误

故障现象

在我公司约有350台计算机，其中有5台服务器：一台PDC、两台BDC、另有三台独立服务器；PDC及BDC均为NT4.0 英文版，PDC为Service Pack 5，BDC均为Sservice Pack 6a。前几日，有一台WIN2000的工作站在登录到域时出现如下奇怪的错误：

The system cannot log you on to this Domain because the system's computer account in its primary domain is missing or the password on that account is incorrect.

事实上，这台计算机的网络设置完全正确，PDC上已为此计算机设立了计算机帐户，同时该用户登录时的用户名及密码都正确。

检查PDC及BDC上的Event View后，在一台BDC上发现如下一条Event：

Netlogon Event 5722:

The session setup from the computer DOMAINMEMBER failed to authenticates，the name of the account referenced in the security database is DOMAINMEMBER$. The following error occurred：Access is denied.

同时，在具体数据字中出现"0xC0000022"，这代表密码错。

解决过程

首先，我在PDC上将此计算机的计算机帐户删除后又重新建立，但在重新登录时故障依旧。

查了一些资料后了解到，以下条件成立时将会发生以上现象：

1.域成员的名字最近更改过

2.使用过Emergency Repair Disk，但此救援盘中包含旧的信息.

3.域成员的计算机帐户被删除了.

这时，我回忆起因为机房内设备的调整我曾将所有的服务器重新启动过，所以我首先想到是否因为服务器重启后PDC和BDC的同步出现了问题，因此我立即将PDC及BDC做了同步，但未有任何效果。

接着，我使用NT Resource Kit提供的Netdom 工具来重置上述BDC在NT域中的安全通道：

C:/WINNT>Netdom BDC BDCMember /Reset 命令执行后出现如下提示：

NetDom 1.2 @1997

Querying domain information on computer //MYBDC…

The computer //MYBDC is a domain controller of THEDOMAIN.

Searching PDC for domain THEDOMAIN…

Found PDC //THEPDC

Verifying secure channel on //MYBDC…

Verifying the computer account on the PDC //THEPDC…

Secure channel checked successfully.

上述提示表明BDC的安全通道已成功建立并重置。此时，在工作站上重新登录，但故障依旧。

通过查阅其他资料得知，对于域中的每一个成员，在本地都有一个不连续的通讯通道和域控制器相连，即安全通道；这个安全通道被域成员用于在登录时和域控制器作通讯使用。同时，不同的域控制器之间也通过安全通道建立通讯连接，并交换信任关系的通讯和不同域用户的合法请求。所以，问题应该出在不能登录网络的工作站和域控制器之间建立的安全通道上。

所以，决定将此工作站重新加入到域中以重建安全通道，使用如下命令：

C:/WINNT>Netdom /DOMAIN:DomainName MEMBER //Domainmember /JoinDomain

出现如下结果：

Searching PDC for domain DOMAIN…

Found PDC //DOMAINPDC

Querying domain information on PDC //DOMAINPDC…

Querying domain information on computer //DOMAINMEMBER…

The RPC Server is unavailable.

出现RPC Server 不可用，说明权限不对，则应先取得Domainmember(即出错工作站)的管理员权限。使用如下命令：

C:/WINNT>NET USE //DOMAINMEMBER/IPC$ /USER:DOMAINMEMBER /ADMINISTRATOR password

在确认密码后，取得相当于本地管理员权限，再重新运行上述将工作站加入到域的命令。出现如下显示：

Searching PDC for domain DOMAIN…

Found PDC //DOMAINPDC

Querying domain information on PDC //DOMAINPDC…

Querying domain information on computer //DOMAINMEMBER…

Computer//DOMAINMEMBER is already a member of domain DOMAIN.

Verifying secure channel on //DOMAINMEMBER…

Verifying the computer account on the PDC //DOMAINPDC…

Resetting secure channel…

Changing computer account on PDC //DOMAINPDC…

Stopping service NETLOGON on//DOMAINMEMBER ….stopped.

Starting service NETLOGON on //DOMAINMEMBER ….started.

Querying user groups of //DOMAINMEMBER…

Adding DOMAIN domain groups on //DOMAINMEMBER…

The computer //DOMAINMEMBER joined the domain DOMAIN successfully.

Logoff/Logon //DOMAINMEMBER to take modifications into effect.

再到服务器管理器中看DOMAINMEMBER(即出错工作站)已可看到属性。此工作站再登录，成功。

通过查阅其他资料，得知其实还有其他解决办法,如：

1．使用NT Resource Kit 中的Nltest.exe；

2．使用Active Directory 的MMC（for windows2k domain server）；

3．使用VB script。