Compartilhar via

Usar Netdom.exe para redefinir senhas de conta de computador de um controlador de domínio do Windows Server

  • Artigo

Este artigo passo a passo descreve como usar o Netdom.exe para redefinir senhas de conta de computador de um controlador de domínio no Windows Server.

Número original do KB: 325850

Resumo

Cada computador baseado no Windows mantém um histórico de senhas de conta de computador que contém as senhas atuais e anteriores usadas para a conta. Quando dois computadores tentam se autenticar entre si e uma alteração na senha atual ainda não foi recebida, o Windows depende da senha anterior. Se a seqüência de alterações de senha exceder duas alterações, os computadores envolvidos podem não conseguir se comunicar e você pode receber mensagens de erro. Por exemplo, você recebe mensagens de erro de Acesso Negado quando ocorre a replicação do Active Directory.

Esse comportamento também se aplica à replicação entre controladores de domínio do mesmo domínio. Se os controladores de domínio que não estão replicando residirem em dois domínios diferentes, examine a relação de confiança mais de perto.

Você não pode alterar a senha da conta do computador usando o snap-in Usuários e Computadores do Active Directory. Mas você pode redefinir a senha usando a ferramenta Netdom.exe. A ferramenta Netdom.exe está incluída nas Ferramentas de Suporte do Windows para Windows Server 2003 e é integrada a versões posteriores do sistema operacional.

A ferramenta Netdom.exe redefine a senha da conta no computador localmente (conhecida como segredo local). Ele grava essa alteração no objeto de conta de computador do computador em um controlador de domínio do Windows que está no mesmo domínio. Gravar simultaneamente a nova senha em ambos os locais garante que pelo menos os dois computadores envolvidos na operação sejam sincronizados. E iniciar a replicação do Active Directory garante que outros controladores de domínio recebam a alteração.

O procedimento a seguir descreve como usar o comando netdom para redefinir uma senha de conta de computador. Esse procedimento é usado com mais frequência em controladores de domínio, mas também se aplica a qualquer conta de computador Windows.

Você deve executar a ferramenta localmente no computador baseado no Windows cuja senha você deseja alterar. Além disso, você deve ter permissões administrativas localmente e no objeto da conta do computador no Active Directory para executar Netdom.exe.

Usar Netdom.exe para redefinir a senha de uma conta de computador

  1. Instale as Ferramentas de Suporte do Windows Server 2003 no controlador de domínio cuja senha você deseja redefinir. Essas ferramentas estão localizadas na Support\Tools pasta do CD-ROM do Windows Server 2003. Para instalar essas ferramentas, clique com o botão direito do mouse no arquivo Suptools.msi na Support\Tools pasta e selecione Instalar.

    Observação

    Essa etapa não é necessária no Windows Server 2008, Windows Server 2008 R2 ou em uma versão posterior porque a ferramenta Netdom.exe está incluída nessas edições do Windows.

  2. Se você quiser redefinir a senha de um controlador de domínio do Windows, deverá interromper o serviço Centro de Distribuição de Chaves Kerberos e definir seu tipo de inicialização como Manual.

    Observação

    • Depois de reiniciar e verificar se a senha foi redefinida com êxito, você pode reiniciar o serviço KDC (Centro de Distribuição de Chaves) Kerberos e definir seu tipo de inicialização de volta como Automático. Isso força o controlador de domínio que tem a senha incorreta da conta do computador a entrar em contato com outro controlador de domínio para obter um tíquete Kerberos.
    • Talvez seja necessário desabilitar o serviço Kerberos Key Distribution Center em todos os controladores de domínio, exceto um. Se puder, não desabilite o controlador de domínio que tem o catálogo global, a menos que ele esteja com problemas.

  3. Remova o cache de tíquetes Kerberos no controlador de domínio em que você recebe os erros. Você pode fazer isso reiniciando o computador ou usando as ferramentas KLIST, Kerbtest ou KerbTray. O KLIST está incluído no Windows Server 2008 e versões posteriores, o KLIST está disponível para download gratuito nas Ferramentas do Windows Server 2003 Resource Kit.

  4. Em um prompt de comando, digite o comando a seguir:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    Uma descrição desse comando é:

    • /s:<server> é o nome do controlador de domínio a ser usado para definir a senha da conta do computador. É o servidor onde o KDC está sendo executado.

    • /ud:<domain\User> é a conta de usuário que faz a conexão com o domínio especificado no /s parâmetro. Ele deve estar no formato domínio\Usuário. Se esse parâmetro for omitido, a conta de usuário atual será usada.

    • /pd:* Especifica a senha da conta de usuário especificada no /ud parâmetro. Use um asterisco (*) para ser solicitado a fornecer a senha. Por exemplo, o computador do controlador de domínio local é Server1 e o controlador de domínio par do Windows é Server2. Se você executar Netdom.exe no Server1 com os parâmetros a seguir, a senha será alterada localmente e gravada simultaneamente no Server2. E a replicação propaga a alteração para outros controladores de domínio:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. Reinicie o servidor cuja senha foi alterada. Neste exemplo, é Server1.