使用以下过程重置域的 krbtgt 密码。 以下过程适用于可写入 DC,但不适用于只读域控制器(RODC)。
Important
如果计划在林恢复期间恢复 RODC,请不要删除 RODC 的 krbtgt 帐户。 The krbtgt account for an RODC is listed in the format krbtgt_number.
如果在 DC 上使用自定义密码筛选器(例如 passfilt.dll),则在尝试重置 krbtgt 密码时可能会收到错误消息。 For more information, including a workaround, see Microsoft Knowledge Base article 2549833.
重置 krbtgt 密码
- Select Start, point to Control Panel, point to Administrative Tools, and then select Active Directory Users and Computers.
- Select View, and then select Advanced Features.
- In the console tree, double-click the domain container, and then select Users.
- In the details pane, right-click the krbtgt user account, and then select Reset Password.
- In New password, type a new password, retype the password in Confirm password, and then select OK. 你指定的密码无关紧要,因为系统会自动生成一个强密码,与您指定的密码无关。
Important
应执行此操作两次。 必须在密码重置之间等待 10 小时。 10 小时是 用户票证的默认最长生存期 , 服务票证策略设置的最大生存期 ,因此,在最长生存期发生更改的情况下,重置之间的最小等待期应大于配置的值。
Note
krbtgt 帐户的密码历史记录值为 2,这意味着它包括两个最新的密码。 通过两次重置密码,可以有效地从历史记录中清除任何旧密码,确保不会有其他 DC 使用旧密码与此 DC 进行复制或同步。