Usar Netdom.exe para restablecer las contraseñas de la cuenta del equipo de un controlador de dominio de Windows Server
En este artículo paso a paso se describe cómo usar Netdom.exe para restablecer las contraseñas de una cuenta de equipo de un controlador de dominio en Windows Server.
Número de KB original: 325850
Resumen
Cada equipo basado en Windows mantiene un historial de contraseñas de cuenta de máquina que contiene las contraseñas actuales y anteriores que se usan para la cuenta. Cuando dos equipos intentan autenticarse entre sí y aún no se recibe un cambio en la contraseña actual, Windows se basa en la contraseña anterior. Si la secuencia de cambios de contraseña supera dos cambios, es posible que los equipos implicados no puedan comunicarse y puede recibir mensajes de error. Por ejemplo, recibirá mensajes de error de Acceso denegado cuando se produce la replicación de Active Directory.
Este comportamiento también se aplica a la replicación entre controladores de dominio del mismo dominio. Si los controladores de dominio que no se replican residen en dos dominios diferentes, examine más detenidamente la relación de confianza.
No se puede cambiar la contraseña de la cuenta del equipo mediante el complemento Usuarios y equipos de Active Directory. Pero puede restablecer la contraseña mediante la herramienta Netdom.exe. La herramienta Netdom.exe se incluye en las Herramientas de soporte técnico de Windows para Windows Server 2003 y se integra en versiones posteriores del sistema operativo.
La herramienta Netdom.exe restablece la contraseña de cuenta en el equipo localmente (conocido como secreto local). Escribe este cambio en el objeto de cuenta de equipo del equipo en un controlador de dominio de Windows que se encuentra en el mismo dominio. Escribir simultáneamente la nueva contraseña en ambos lugares garantiza que se sincronicen al menos los dos equipos implicados en la operación. E iniciar la replicación de Active Directory garantiza que otros controladores de dominio reciban el cambio.
En el procedimiento siguiente se describe cómo usar el comando netdom para restablecer una contraseña de cuenta de equipo. Este procedimiento se usa con más frecuencia en controladores de dominio, pero también se aplica a cualquier cuenta de máquina Windows.
Debe ejecutar la herramienta localmente desde el equipo basado en Windows cuya contraseña desea cambiar. Además, debe tener permisos administrativos localmente y en el objeto de la cuenta de equipo de Active Directory para ejecutar Netdom.exe.
Uso de Netdom.exe para restablecer una contraseña de cuenta de equipo
Instale las Herramientas de soporte técnico de Windows Server 2003 en el controlador de dominio cuya contraseña desea restablecer. Estas herramientas se encuentran en la
Support\Tools
carpeta del CD-ROM de Windows Server 2003. Para instalar estas herramientas, haga clic con el botón derecho en el archivo Suptools.msi de laSupport\Tools
carpeta y seleccione Instalar.Nota:
Este paso no es necesario en Windows Server 2008, Windows Server 2008 R2 o una versión posterior porque la herramienta Netdom.exe se incluye en estas ediciones de Windows.
Si quiere restablecer la contraseña de un controlador de dominio de Windows, debe detener el servicio centro de distribución de claves Kerberos y establecer su tipo de inicio en Manual.
Nota:
- Después de reiniciar y comprobar que la contraseña se ha restablecido correctamente, puede reiniciar el servicio Centro de distribución de claves Kerberos (KDC) y volver a establecer su tipo de inicio en Automático. Esto obliga al controlador de dominio que tiene la contraseña de cuenta de equipo incorrecta para ponerse en contacto con otro controlador de dominio para un vale kerberos.
- Es posible que tenga que deshabilitar el servicio centro de distribución de claves Kerberos en todos los controladores de dominio excepto uno. Si es posible, no deshabilite el controlador de dominio que tiene el catálogo global, a menos que esté experimentando problemas.
Quite la caché de vales kerberos en el controlador de dominio donde recibirá los errores. Puede hacerlo reiniciando el equipo o usando las herramientas KLIST, Kerbtest o KerbTray. KLIST se incluye en Windows Server 2008 y versiones posteriores, KLIST está disponible como descarga gratuita en las herramientas del kit de recursos de Windows Server 2003.
En un símbolo del sistema, escriba el siguiente comando:
netdom resetpwd /s:<server> /ud:<domain\User> /pd:*
Una descripción de este comando es:
/s:<server>
es el nombre del controlador de dominio que se va a usar para establecer la contraseña de la cuenta de equipo. Es el servidor donde se ejecuta el KDC./ud:<domain\User>
es la cuenta de usuario que realiza la conexión con el dominio especificado en el/s
parámetro . Debe estar en formato dominio\Usuario. Si se omite este parámetro, se usa la cuenta de usuario actual./pd:*
especifica la contraseña de la cuenta de usuario especificada en el/ud
parámetro . Use un asterisco (*) para solicitar la contraseña. Por ejemplo, el equipo del controlador de dominio local es Server1 y el controlador de dominio de Windows del mismo nivel es Server2. Si ejecuta Netdom.exe en Server1 con los parámetros siguientes, la contraseña se cambia localmente y se escribe simultáneamente en Server2. Y la replicación propaga el cambio a otros controladores de dominio:netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
Reinicie el servidor cuya contraseña se cambió. En este ejemplo, es Server1.