Używanie Netdom.exe do resetowania haseł konta komputera kontrolera domeny systemu Windows Server

W tym artykule krok po kroku opisano sposób używania Netdom.exe do resetowania haseł kont komputera kontrolera domeny w systemie Windows Server.

Oryginalny numer KB: 325850

Podsumowanie

Każdy komputer z systemem Windows przechowuje historię haseł konta komputera, która zawiera bieżące i poprzednie hasła używane dla konta. Gdy dwa komputery spróbują uwierzytelnić się ze sobą, a zmiana bieżącego hasła nie zostanie jeszcze odebrana, system Windows korzysta z poprzedniego hasła. Jeśli sekwencja zmian haseł przekracza dwie zmiany, komputery, których to dotyczy, mogą nie być w stanie się komunikować i mogą pojawić się komunikaty o błędach. Na przykład podczas replikacji usługi Active Directory są wyświetlane komunikaty o błędach Odmowy dostępu.

To zachowanie dotyczy również replikacji między kontrolerami domeny tej samej domeny. Jeśli kontrolery domeny, które nie są replikujące, znajdują się w dwóch różnych domenach, przyjrzyj się bliżej relacji zaufania.

Nie można zmienić hasła konta komputera przy użyciu przystawki Użytkownicy i komputery usługi Active Directory. Możesz jednak zresetować hasło przy użyciu narzędzia Netdom.exe. Narzędzie Netdom.exe znajduje się w narzędziach obsługi systemu Windows dla systemu Windows Server 2003 i jest zintegrowane z nowszymi wersjami systemu operacyjnego.

Narzędzie Netdom.exe resetuje hasło konta na komputerze lokalnie (nazywanym wpisem tajnym lokalnym). Zapisuje tę zmianę w obiekcie konta komputera komputera na kontrolerze domeny systemu Windows, który znajduje się w tej samej domenie. Jednocześnie zapisanie nowego hasła w obu miejscach gwarantuje synchronizację co najmniej dwóch komputerów zaangażowanych w operację. A uruchomienie replikacji usługi Active Directory gwarantuje, że inne kontrolery domeny otrzymają zmianę.

Poniższa procedura opisuje sposób resetowania hasła konta komputera za pomocą polecenia netdom. Ta procedura jest najczęściej używana na kontrolerach domeny, ale dotyczy również dowolnego konta komputera z systemem Windows.

Narzędzie należy uruchomić lokalnie z komputera z systemem Windows, którego hasło chcesz zmienić. Ponadto musisz mieć uprawnienia administracyjne lokalnie i na obiekcie konta komputera w usłudze Active Directory, aby uruchomić Netdom.exe.

Resetowanie hasła konta komputera przy użyciu Netdom.exe

1. Zainstaluj narzędzia obsługi systemu Windows Server 2003 na kontrolerze domeny, którego hasło chcesz zresetować. Te narzędzia znajdują się w folderze Support\Tools na dysku CD-ROM systemu Windows Server 2003. Aby zainstalować te narzędzia, kliknij prawym przyciskiem myszy plik Suptools.msi w folderze Support\Tools , a następnie wybierz polecenie Zainstaluj.

   Uwaga 16.

   Ten krok nie jest konieczny w systemie Windows Server 2008, Windows Server 2008 R2 lub nowszej wersji, ponieważ narzędzie Netdom.exe jest uwzględnione w tych wersjach systemu Windows.

2. Jeśli chcesz zresetować hasło dla kontrolera domeny systemu Windows, musisz zatrzymać usługę Centrum dystrybucji kluczy Kerberos i ustawić jego typ uruchamiania na Ręczne.

   Uwaga 16.

   • Po ponownym uruchomieniu i sprawdzeniu, czy hasło zostało pomyślnie zresetowane, możesz ponownie uruchomić usługę Centrum dystrybucji kluczy Kerberos (KDC) i ustawić jego typ uruchamiania z powrotem na Automatyczny. Wymusza to na kontrolerze domeny, który ma nieprawidłowe hasło konta komputera, aby skontaktować się z innym kontrolerem domeny dla biletu protokołu Kerberos.
   • Może być konieczne wyłączenie usługi Centrum dystrybucji kluczy Kerberos na wszystkich kontrolerach domeny z wyjątkiem jednej. Jeśli to możliwe, nie wyłączaj kontrolera domeny z wykazem globalnym, chyba że występują problemy.

3. Usuń pamięć podręczną biletów Protokołu Kerberos na kontrolerze domeny, w którym występują błędy. Można to zrobić, uruchamiając ponownie komputer lub używając narzędzi KLIST, Kerbtest lub KerbTray. KLIST jest zawarty w systemie Windows Server 2008 i nowszych wersjach, KLIST jest dostępny jako bezpłatny plik do pobrania w narzędziach Zestawu zasobów systemu Windows Server 2003.

4. W wierszu polecenia wpisz następujące polecenie:

   netdom resetpwd /s:<server> /ud:<domain\User> /pd:*
   

   Opis tego polecenia to:

   • /s:<server> to nazwa kontrolera domeny, który ma być używany do ustawiania hasła konta komputera. Jest to serwer, na którym działa centrum dystrybucji kluczy.

   • /ud:<domain\User> to konto użytkownika, które nawiązuje połączenie z domeną określoną w parametrze /s . Musi mieć format domeny\użytkownik. Jeśli ten parametr zostanie pominięty, zostanie użyte bieżące konto użytkownika.

   • /pd:* określa hasło konta użytkownika określonego w parametrze /ud . Użyj gwiazdki (*) , aby wyświetlić monit o podanie hasła. Na przykład komputer lokalnego kontrolera domeny to Server1, a równorzędny kontroler domeny systemu Windows to Server2. Jeśli uruchomisz Netdom.exe na serwerze Server1 z następującymi parametrami, hasło zostanie zmienione lokalnie i zostanie zapisane jednocześnie na serwerze Server2. Replikacja propaguje zmianę na innych kontrolerach domeny:

     netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*  
     

5. Uruchom ponownie serwer, którego hasło zostało zmienione. W tym przykładzie jest to Serwer1.