Freigeben über

Verwenden von Netdom.exe zum Zurücksetzen von Computerkonto-Kennwörtern eines Windows Server-Domänencontrollers

  • Artikel

In diesem schrittweisen Artikel wird beschrieben, wie Sie Netdom.exe zum Zurücksetzen von Computerkonto-Kennwörtern eines Domänencontrollers in Windows Server verwenden.

Ursprüngliche KB-Nummer: 325850

Übersicht

Auf jedem Windows-basierten Computer wird ein Kennwortverlauf für Computerkonten verwaltet, der die aktuellen und vorherigen Kennwörter enthält, die für das Konto verwendet werden. Wenn zwei Computer versuchen, sich miteinander zu authentifizieren und eine Änderung am aktuellen Kennwort noch nicht empfangen wird, basiert Windows auf dem vorherigen Kennwort. Wenn die Abfolge von Kennwortänderungen zwei Änderungen überschreitet, können die beteiligten Computer möglicherweise nicht kommunizieren, und Sie erhalten möglicherweise Fehlermeldungen. Sie erhalten z. B. Fehlermeldungen zu "Zugriff verweigert ", wenn die Active Directory-Replikation auftritt.

Dieses Verhalten gilt auch für die Replikation zwischen Domänencontrollern derselben Domäne. Wenn sich die Domänencontroller, die nicht replizieren, in zwei verschiedenen Domänen befinden, sehen Sie sich die Vertrauensstellung genauer an.

Sie können das Kennwort für das Computerkonto nicht mithilfe des Active Directory-Benutzer und -Computer-Snap-Ins ändern. Sie können das Kennwort jedoch mithilfe des tools Netdom.exe zurücksetzen. Das Netdom.exe-Tool ist in den Windows-Supporttools für Windows Server 2003 enthalten und in spätere Betriebssystemversionen integriert.

Das tool Netdom.exe setzt das Kontokennwort auf dem Computer lokal zurück (auch bekannt als lokaler geheimer Schlüssel). Sie schreibt diese Änderung in das Computerkontoobjekt des Computers auf einem Windows-Domänencontroller, der sich in derselben Domäne befindet. Durch gleichzeitiges Schreiben des neuen Kennworts an beide Stellen wird sichergestellt, dass mindestens die beiden am Vorgang beteiligten Computer synchronisiert werden. Und das Starten der Active Directory-Replikation stellt sicher, dass andere Domänencontroller die Änderung erhalten.

Im folgenden Verfahren wird beschrieben, wie Sie den Netdom-Befehl verwenden, um ein Computerkontokennwort zurückzusetzen. Dieses Verfahren wird am häufigsten auf Domänencontrollern verwendet, gilt aber auch für jedes Windows-Computerkonto.

Sie müssen das Tool lokal auf dem Windows-basierten Computer ausführen, dessen Kennwort Sie ändern möchten. Darüber hinaus müssen Sie über lokale Administratorberechtigungen und auf dem Objekt des Computerkontos in Active Directory verfügen, um Netdom.exe auszuführen.

Verwenden von Netdom.exe zum Zurücksetzen eines Computerkontokennworts

  1. Installieren Sie die Windows Server 2003-Supporttools auf dem Domänencontroller, dessen Kennwort Sie zurücksetzen möchten. Diese Tools befinden sich im Support\Tools Ordner auf der Windows Server 2003 CD-ROM. Um diese Tools zu installieren, klicken Sie mit der rechten Maustaste auf die Suptools.msi Datei im Support\Tools Ordner, und wählen Sie dann "Installieren" aus.

    Notiz

    Dieser Schritt ist in Windows Server 2008, Windows Server 2008 R2 oder einer höheren Version nicht erforderlich, da das Netdom.exe Tool in diesen Windows-Editionen enthalten ist.

  2. Wenn Sie das Kennwort für einen Windows-Domänencontroller zurücksetzen möchten, müssen Sie den Kerberos Key Distribution Center-Dienst beenden und den Starttyp auf "Manuell" festlegen.

    Notiz

    • Nachdem Sie neu gestartet und überprüft haben, ob das Kennwort erfolgreich zurückgesetzt wurde, können Sie den Kerberos Key Distribution Center (KDC)-Dienst neu starten und den Starttyp auf "Automatisch" zurücksetzen. Dadurch wird der Domänencontroller erzwungen, der über das falsche Kennwort für das Computerkonto verfügt, um einen anderen Domänencontroller für ein Kerberos-Ticket zu kontaktieren.
    • Möglicherweise müssen Sie den Kerberos-Schlüsselverteilungscenter-Dienst auf allen Domänencontrollern außer einem deaktivieren. Wenn dies möglich ist, deaktivieren Sie nicht den Domänencontroller, der über den globalen Katalog verfügt, es sei denn, es gibt Probleme.

  3. Entfernen Sie den Kerberos-Ticketcache auf dem Domänencontroller, auf dem die Fehler angezeigt werden. Sie können dies tun, indem Sie den Computer neu starten oder die Tools KLIST, Kerbtest oder KerbTray verwenden. KLIST ist in Windows Server 2008 und höheren Versionen enthalten, KLIST ist als kostenloser Download in den Windows Server 2003 Resource Kit Tools verfügbar.

  4. Geben Sie an einer Eingabeaufforderung folgenden Befehl ein:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    Eine Beschreibung dieses Befehls lautet:

    • /s:<server> ist der Name des Domänencontrollers, der zum Festlegen des Kennworts für das Computerkonto verwendet werden soll. Es ist der Server, auf dem der KDC ausgeführt wird.

    • /ud:<domain\User> ist das Benutzerkonto, mit dem die Verbindung mit der Domäne hergestellt wird, die /s Sie im Parameter angegeben haben. Er muss sich im Domänenformat\Benutzer befinden. Wenn dieser Parameter nicht angegeben wird, wird das aktuelle Benutzerkonto verwendet.

    • /pd:* Gibt das Kennwort des Benutzerkontos an, das im /ud Parameter angegeben ist. Verwenden Sie ein Sternchen (*), um zur Eingabe des Kennworts aufgefordert zu werden. Der lokale Domänencontrollercomputer ist z. B. Server1, und der Windows-Peer-Domänencontroller ist Server2. Wenn Sie Netdom.exe auf Server1 mit den folgenden Parametern ausführen, wird das Kennwort lokal geändert und gleichzeitig auf Server2 geschrieben. Und die Replikation verteilt die Änderung an andere Domänencontroller:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. Starten Sie den Server neu, dessen Kennwort geändert wurde. In diesem Beispiel ist es Server1.