Verwenden von Netdom.exe zum Zurücksetzen von Computerkontokennwörtern eines Windows Server-Domänencontrollers

  • Artikel

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie Netdom.exe verwenden, um Computerkontokennwörter eines Domänencontrollers in Windows Server zurückzusetzen.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 325850

Zusammenfassung

Jeder Windows-basierte Computer verwaltet einen Kennwortverlauf für das Computerkonto, der die aktuellen und vorherigen Kennwörter enthält, die für das Konto verwendet werden. Wenn zwei Computer versuchen, sich untereinander zu authentifizieren, und eine Änderung des aktuellen Kennworts noch nicht empfangen wird, stützt sich Windows auf das vorherige Kennwort. Wenn die Reihenfolge der Kennwortänderungen zwei Änderungen überschreitet, können die beteiligten Computer möglicherweise nicht kommunizieren, und Sie erhalten möglicherweise Fehlermeldungen. Beispielsweise erhalten Sie Fehlermeldungen vom Typ "Zugriff verweigert ", wenn die Active Directory-Replikation erfolgt.

Dieses Verhalten gilt auch für die Replikation zwischen Domänencontrollern derselben Domäne. Wenn sich die Domänencontroller, die nicht repliziert werden, in zwei verschiedenen Domänen befinden, sehen Sie sich die Vertrauensstellung genauer an.

Sie können das Kennwort des Computerkontos nicht mithilfe des Active Directory-Benutzer und -Computer-Snap-Ins ändern. Sie können das Kennwort jedoch mithilfe des tools Netdom.exe zurücksetzen. Das Netdom.exe-Tool ist in den Windows-Supporttools für Windows Server 2003, in Windows Server 2008 R2 und in Windows Server 2008 enthalten.

Das Netdom.exe-Tool setzt das Kontokennwort auf dem Computer lokal zurück (als lokales Geheimnis bezeichnet). Diese Änderung wird in das Computerkontoobjekt des Computers auf einem Windows-Domänencontroller geschrieben, der sich in derselben Domäne befindet. Durch das gleichzeitige Schreiben des neuen Kennworts an beide Stellen wird sichergestellt, dass mindestens die beiden am Vorgang beteiligten Computer synchronisiert werden. Durch starten der Active Directory-Replikation wird sichergestellt, dass andere Domänencontroller die Änderung erhalten.

Im folgenden Verfahren wird beschrieben, wie Sie den Befehl netdom verwenden, um ein Computerkontokennwort zurückzusetzen. Dieses Verfahren wird am häufigsten auf Domänencontrollern verwendet, gilt aber auch für jedes Windows-Computerkonto.

Sie müssen das Tool lokal auf dem Windows-basierten Computer ausführen, dessen Kennwort Sie ändern möchten. Darüber hinaus müssen Sie lokal und für das Objekt des Computerkontos in Active Directory über Administratorberechtigungen verfügen, um Netdom.exe ausführen zu können.

Verwenden von Netdom.exe zum Zurücksetzen eines Computerkontokennworts

  1. Installieren Sie die Windows Server 2003-Supporttools auf dem Domänencontroller, dessen Kennwort Sie zurücksetzen möchten. Diese Tools befinden sich im Support\Tools Ordner auf der Windows Server 2003-CD-ROM. Klicken Sie zum Installieren dieser Tools mit der rechten Maustaste auf die datei Suptools.msi im Support\Tools Ordner, und wählen Sie dann Installieren aus.

    Hinweis

    Dieser Schritt ist in Windows Server 2008, Windows Server 2008 R2 oder einer höheren Version nicht erforderlich, da das Netdom.exe-Tool in diesen Windows-Editionen enthalten ist.

  2. Wenn Sie das Kennwort für einen Windows-Domänencontroller zurücksetzen möchten, müssen Sie den Kerberos-Schlüsselverteilungscenter-Dienst beenden und dessen Starttyp auf Manuell festlegen.

    Hinweis

    • Nachdem Sie neu gestartet und überprüft haben, ob das Kennwort erfolgreich zurückgesetzt wurde, können Sie den Kerberos-KDC-Dienst (Key Distribution Center) neu starten und den Starttyp wieder auf Automatisch festlegen. Dadurch wird der Domänencontroller mit dem falschen Computerkontokennwort gezwungen, einen anderen Domänencontroller für ein Kerberos-Ticket zu kontaktieren.
    • Möglicherweise müssen Sie den Kerberos-Schlüsselverteilungscenter-Dienst auf allen Domänencontrollern außer einem deaktivieren. Wenn möglich, deaktivieren Sie den Domänencontroller mit dem globalen Katalog nicht, es sei denn, es treten Probleme auf.

  3. Entfernen Sie den Kerberos-Ticketcache auf dem Domänencontroller, auf dem die Fehler angezeigt werden. Sie können dazu den Computer neu starten oder die Tools KLIST, Kerbtest oder KerbTray verwenden. KLIST ist in Windows Server 2008 und Windows Server 2008 R2 enthalten. Für Windows Server 2003 steht KLIST als kostenloser Download in den Windows Server 2003 Resource Kit-Tools zur Verfügung.

  4. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    Eine Beschreibung dieses Befehls lautet:

    • /s:<server> ist der Name des Domänencontrollers, der zum Festlegen des Kennworts für das Computerkonto verwendet werden soll. Dies ist der Server, auf dem das KDC ausgeführt wird.

    • /ud:<domain\User> ist das Benutzerkonto, das die Verbindung mit der Domäne herstellt, die /s Sie im Parameter angegeben haben. Sie muss im Format domäne\Benutzer vorliegen. Wenn dieser Parameter nicht angegeben wird, wird das aktuelle Benutzerkonto verwendet.

    • /pd:* gibt das Kennwort des Benutzerkontos an, das /ud im -Parameter angegeben ist. Verwenden Sie ein Sternchen (*) , um zur Eingabe des Kennworts aufgefordert zu werden. Der lokale Domänencontrollercomputer ist z. B. Server1 und der Windows-Peerdomänencontroller Server2. Wenn Sie Netdom.exe auf Server1 mit den folgenden Parametern ausführen, wird das Kennwort lokal geändert und gleichzeitig auf Server2 geschrieben. Die Replikation gibt die Änderung an andere Domänencontroller weiter:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. Starten Sie den Server neu, dessen Kennwort geändert wurde. In diesem Beispiel ist dies Server1.