使用Netdom.exe重置 Windows Server 域控制器的计算机帐户密码
本分步文章介绍如何使用Netdom.exe在 Windows Server 中重置域控制器的计算机帐户密码。
原始 KB 数: 325850
总结
每个基于 Windows 的计算机都维护一个计算机帐户密码历史记录,其中包含用于帐户的当前和以前的密码。 当两台计算机尝试相互进行身份验证并且尚未收到对当前密码的更改时,Windows 依赖于以前的密码。 如果密码更改序列超过两项更改,则所涉及的计算机可能无法通信,并且可能会收到错误消息。 例如,发生 Active Directory 复制时, 会收到“拒绝 访问”错误消息。
此行为也适用于同一域的域控制器之间的复制。 如果不复制的域控制器驻留在两个不同的域中,请更密切地查看信任关系。
无法使用Active Directory 用户和计算机管理单元更改计算机帐户密码。 但可以使用Netdom.exe工具重置密码。 Netdom.exe工具包含在 Windows Server 2003 的 Windows 支持工具中,并集成到更高版本的操作系统版本中。
Netdom.exe工具在本地重置计算机上的帐户密码(称为 本地机密)。 它将此更改写入同一域中的 Windows 域控制器上的计算机帐户对象。 同时将新密码写入两个位置可确保至少同步操作所涉及的两台计算机。 启动 Active Directory 复制可确保其他域控制器接收更改。
以下过程介绍如何使用 netdom 命令重置计算机帐户密码。 此过程最常用于域控制器,但也适用于任何 Windows 计算机帐户。
必须从要更改其密码的基于 Windows 的计算机本地运行该工具。 此外,必须在本地和 Active Directory 中的计算机帐户对象上拥有管理权限才能运行Netdom.exe。
使用Netdom.exe重置计算机帐户密码
在要重置其密码的域控制器上安装 Windows Server 2003 支持工具。 这些工具位于
Support\ToolsWindows Server 2003 CD-ROM 上的文件夹中。 若要安装这些工具,请右键单击文件夹中的Suptools.msi文件Support\Tools,然后选择“ 安装”。注意
Windows Server 2008、Windows Server 2008 R2 或更高版本中不需要此步骤,因为这些 Windows 版本中包括Netdom.exe工具。
如果要重置 Windows 域控制器的密码,则必须停止 Kerberos 密钥分发中心服务并将其启动类型设置为 “手动”。
注意
- 重启并验证密码是否已成功重置后,可以重启 Kerberos 密钥分发中心 (KDC) 服务,并将其启动类型重新设置为“自动”。 这会强制具有不正确计算机帐户密码的域控制器联系另一个域控制器以获取 Kerberos 票证。
- 你可能必须在除一个域控制器之外的所有域控制器上禁用 Kerberos 密钥分发中心服务。 如果可以,请不要禁用具有全局目录的域控制器,除非它遇到问题。
在收到错误的域控制器上删除 Kerberos 票证缓存。 可以通过重启计算机或使用 KLIST、Kerbtest 或 KerbTray 工具执行此操作。 KLIST 包含在 Windows Server 2008 及更高版本中,KLIST 作为 Windows Server 2003 资源工具包工具的免费下载提供。
在命令提示符下,键入以下命令:
netdom resetpwd /s:<server> /ud:<domain\User> /pd:*此命令的说明为:
/s:<server>是用于设置计算机帐户密码的域控制器的名称。 它是运行 KDC 的服务器。/ud:<domain\User>是与参数中指定的/s域建立连接的用户帐户。 它必须采用域\用户格式。 如果省略此参数,则使用当前用户帐户。/pd:*指定参数中指定的/ud用户帐户的密码。 使用星号 • 提示输入密码。 例如,本地域控制器计算机为 Server1,对等 Windows 域控制器为 Server2。 如果使用以下参数在 Server1 上运行Netdom.exe,则会在本地更改密码,并在 Server2 上同时写入。 复制会将更改传播到其他域控制器:netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
重新启动其密码已更改的服务器。 在此示例中,它是 Server1。