Récupération de forêt Active Directory : réinitialiser le mot de passe krbtgt

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 et 2012 R2, Windows 2008 et 2008 R2

Utilisez la procédure suivante pour réinitialiser le mot de passe krbtgt pour le domaine. La procédure suivante s’applique aux contrôleurs de domaine accessibles en écriture, mais pas aux contrôleurs de domaine en lecture seule (RODC).

Important

Si vous envisagez de récupérer des contrôleurs de domaine en lecture seule en ligne pendant la récupération de forêt, ne supprimez pas les comptes krbtgt pour ces RODC. Le compte krbtgt d’un contrôleur de domaine en lecture seule est répertorié au format krbtgt_number.

Si vous utilisez un filtre de mot de passe personnalisé (tel que passfilt.dll) sur un contrôleur de domaine, il se peut que vous receviez une erreur lorsque vous essayez de réinitialiser le mot de passe krbtgt. Pour plus d’informations, notamment pour obtenir une solution de contournement, consultez l’article 2549833 de la Base de connaissances Microsoft.

Réinitialiser le mot de passe krbtgt

1. Sélectionnez Démarrer, déplacez la souris sur Panneau de configuration, puis sur Outils d’administration, puis sélectionnez Utilisateurs et ordinateurs Active Directory.
2. Sélectionnez Affichage, puis sélectionnez Fonctionnalités avancées.
3. Dans l’arborescence de la console, double-cliquez sur le conteneur de domaine, puis sélectionnez Utilisateurs.
4. Dans le volet d’informations, cliquez avec le bouton droit sur le compte d’utilisateur krbtgt, puis sélectionnez Réinitialiser le mot de passe.
5. Tapez un nouveau mot de passe dans Nouveau mot de passe, retapez le mot de passe dans Confirmer le mot de passe, puis sélectionnez OK. Le mot de passe que vous spécifiez n’est pas significatif, car le système génère automatiquement un mot de passe fort indépendamment du mot de passe que vous spécifiez.

Important

Vous devez effectuer cette opération deux fois. Lors de la réinitialisation du mot de passe du compte de service du centre de distribution de clés à deux reprises, un délai d’attente de 10 heures est nécessaire entre les réinitialisations. Dix heures est la durée de vie maximale par défaut pour le ticket utilisateur et la durée de vie maximale pour les paramètres de stratégie de ticket de service. Par conséquent, dans le cas où la durée de vie maximale a été modifiée, la période d’attente minimale entre les réinitialisations doit être supérieure à la valeur configurée.

Remarque

La valeur de l’historique des mots de passe pour le compte krbtgt est 2, ce qui signifie qu’elle inclut les deux mots de passe les plus récents. En réinitialisant le mot de passe deux fois, vous effacez efficacement les anciens mots de passe de l’historique. Il n’existe donc aucun moyen pour un autre contrôleur de domaine de répliquer avec ce contrôleur de domaine à l’aide d’un ancien mot de passe.

Étapes suivantes

• Récupération de la forêt Active Directory : conditions préalables
• Récupération de forêt AD : concevoir un plan de récupération de forêt personnalisé
• Récupération de forêt AD : étapes de restauration de la forêt
• Récupération de forêt AD – Identification du problème
• Récupération de forêt AD – Identification de la procédure de récupération
• Récupération de forêt AD – Récupération initiale
• Récupération de la forêt Active Directory : procédures
• Récupération de forêt AD : forum aux questions (FAQ)
• Récupération de forêt AD : récupérer un domaine unique au sein d’une forêt multidomaine
• Récupération de forêt AD : redéployer les contrôleurs de domaine restants
• Récupération de la forêt Active Directory : virtualisation
• Récupération de forêt AD : nettoyage