Active Directory-Gesamtstrukturwiederherstellung: Zurücksetzen des krbtgt-Kennworts
Gehen Sie wie folgt vor, um das krbtgt-Kennwort für die Domäne zurückzusetzen. Beim folgenden Verfahren werden schreibbare DCs angewendet, jedoch keine schreibgeschützten Domänencontroller (RODCs).
Wichtig
Wenn Sie beabsichtigen, RODCs während der Gesamtstrukturwiederherstellung online wiederherzustellen, löschen Sie die krbtgt-Konten für die RODCs nicht. Das krbtgt-Konto für einen RODC wird im Format krbtgt_Nummer angegeben.
Wenn Sie einen benutzerdefinierten Kennwortfilter (z. B. passfilt.dll) für einen Domänencontroller verwenden, wird Ihnen möglicherweise eine Fehlermeldung angezeigt, wenn Sie versuchen, das krbtgt-Kennwort zurückzusetzen. Weitere Informationen, einschließlich einer Problemumgehung, finden Sie im Microsoft Knowledge Base-Artikel 2549833.
Zurücksetzen des krbtgt-Kennworts
- Klicken Sie auf Start, zeigen Sie auf die Systemsteuerung und dann auf Verwaltung und klicken Sie auf Active Directory-Benutzer und -Computer.
- Wählen Sie Ansicht und dann Erweiterte Features aus.
- Doppelklicken Sie in der Konsolenstruktur auf den Domänencontainer, und klicken Sie dann auf Benutzer.
- Klicken Sie im Detailbereich mit der rechten Maustaste auf das Benutzerkonto krbtgt und dann auf Kennwort zurücksetzen.
- Geben Sie unter Neues Kennwort ein neues Kennwort ein, geben Sie es erneut in Kennwort bestätigen ein und klicken Sie auf OK. Das von Ihnen angegebene Kennwort ist nicht signifikant, da das System unabhängig von dem von Ihnen angegebenen Kennwort automatisch ein sicheres Kennwort generiert.
Wichtig
Sie sollten diesen Vorgang zweimal ausführen. Beim zweimaligen Zurücksetzen des Schlüsselverteilungscenter-Dienstkontokennworts ist eine Wartezeit von 10 Stunden zwischen den Zurücksetzungen erforderlich. 10 Stunden sind die Standardrichtlinieneinstellungen für die Maximale Lebensdauer für Benutzertickets und die Maximale Lebensdauer für Diensttickets. In einem Fall, in dem die maximale Lebensdauer geändert wurde, sollte daher die minimale Wartezeit zwischen Zurücksetzungen größer als der konfigurierte Wert sein.
Hinweis
Der Wert des Kennwortverlaufs für das krbtgt-Konto ist 2, d. h. er enthält die beiden neuesten Kennwörter. Indem Sie das Kennwort zweimal zurücksetzen, löschen Sie effektiv alle alten Kennwörter aus dem Verlauf, sodass es keine Möglichkeit gibt, dass ein anderer DC mithilfe eines alten Kennworts diesen DC repliziert.
Nächste Schritte
- Wiederherstellung der AD-Gesamtstruktur: Voraussetzungen
- AD-Gesamtstrukturwiederherstellung: Entwickeln eines benutzerdefinierten Gesamtstrukturwiederherstellungsplans
- AD-Gesamtstrukturwiederherstellung: Schritte zum Wiederherstellen der Gesamtstruktur
- AD-Gesamtstrukturwiederherstellung: Erkennen des Problems
- AD-Gesamtstrukturwiederherstellung: Bestimmen der Wiederherstellung
- AD-Gesamtstrukturwiederherstellung: Durchführen der anfänglichen Wiederherstellung
- Wiederherstellung der AD-Gesamtstruktur: Verfahren
- AD-Gesamtstrukturwiederherstellung: Häufig gestellte Fragen (FAQ)
- AD-Gesamtstrukturwiederherstellung: Wiederherstellen einer einzelnen Domäne mit einer Gesamtstruktur mit mehreren Domänen
- Wiederherstellung der AD-Gesamtstruktur: erneutes Bereitstellen verbleibender DCs
- Wiederherstellung der AD-Gesamtstruktur: Virtualisierung
- AD-Gesamtstrukturwiederherstellung: Bereinigung