Usar Netdom.exe para restablecer las contraseñas de cuenta de equipo de un controlador de dominio de Windows Server

  • Artículo

En este artículo paso a paso se describe cómo usar Netdom.exe para restablecer las contraseñas de cuenta de equipo de un controlador de dominio en Windows Server.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 325850

Resumen

Cada equipo basado en Windows mantiene un historial de contraseñas de cuenta de equipo que contiene las contraseñas actuales y anteriores que se usan para la cuenta. Cuando dos equipos intentan autenticarse entre sí y aún no se recibe un cambio en la contraseña actual, Windows se basa en la contraseña anterior. Si la secuencia de cambios de contraseña supera dos cambios, es posible que los equipos implicados no puedan comunicarse y que reciba mensajes de error. Por ejemplo, recibe mensajes de error de acceso denegado cuando se produce la replicación de Active Directory.

Este comportamiento también se aplica a la replicación entre controladores de dominio del mismo dominio. Si los controladores de dominio que no se replican residen en dos dominios diferentes, examine más detenidamente la relación de confianza.

No se puede cambiar la contraseña de la cuenta de equipo mediante el complemento de Usuarios y equipos de Active Directory. Pero puede restablecer la contraseña mediante la herramienta de Netdom.exe. La herramienta Netdom.exe se incluye en las Herramientas de soporte técnico de Windows para Windows Server 2003, en Windows Server 2008 R2 y en Windows Server 2008.

La herramienta Netdom.exe restablece la contraseña de la cuenta en el equipo localmente (conocido como secreto local). Escribe este cambio en el objeto de cuenta de equipo del equipo en un controlador de dominio de Windows que se encuentra en el mismo dominio. La escritura simultánea de la nueva contraseña en ambos lugares garantiza que se sincronicen al menos los dos equipos implicados en la operación. E iniciar la replicación de Active Directory garantiza que otros controladores de dominio reciban el cambio.

En el procedimiento siguiente se describe cómo usar el comando netdom para restablecer la contraseña de una cuenta de equipo. Este procedimiento se usa con más frecuencia en controladores de dominio, pero también se aplica a cualquier cuenta de equipo Windows.

Debe ejecutar la herramienta localmente desde el equipo basado en Windows cuya contraseña desea cambiar. Además, debe tener permisos administrativos localmente y en el objeto de la cuenta de equipo en Active Directory para ejecutar Netdom.exe.

Uso de Netdom.exe para restablecer la contraseña de una cuenta de equipo

  1. Instale las Herramientas de soporte técnico de Windows Server 2003 en el controlador de dominio cuya contraseña desea restablecer. Estas herramientas se encuentran en la Support\Tools carpeta del CD-ROM de Windows Server 2003. Para instalar estas herramientas, haga clic con el botón derecho en el archivo Suptools.msi de la Support\Tools carpeta y, a continuación, seleccione Instalar.

    Nota:

    Este paso no es necesario en Windows Server 2008, Windows Server 2008 R2 o una versión posterior porque la herramienta Netdom.exe se incluye en estas ediciones de Windows.

  2. Si desea restablecer la contraseña de un controlador de dominio de Windows, debe detener el servicio Centro de distribución de claves Kerberos y establecer su tipo de inicio en Manual.

    Nota:

    • Después de reiniciar y comprobar que la contraseña se ha restablecido correctamente, puede reiniciar el servicio Centro de distribución de claves Kerberos (KDC) y volver a establecer su tipo de inicio en Automático. Esto obliga al controlador de dominio que tiene la contraseña incorrecta de la cuenta de equipo a ponerse en contacto con otro controlador de dominio para obtener un vale de Kerberos.
    • Es posible que tenga que deshabilitar el servicio Centro de distribución de claves Kerberos en todos los controladores de dominio excepto uno. Si puede, no deshabilite el controlador de dominio que tiene el catálogo global, a menos que tenga problemas.

  3. Quite la caché de vales de Kerberos en el controlador de dominio donde recibe los errores. Para ello, reinicie el equipo o use las herramientas KLIST, Kerbtest o KerbTray. KLIST se incluye en Windows Server 2008 y en Windows Server 2008 R2. Para Windows Server 2003, KLIST está disponible como descarga gratuita en herramientas del kit de recursos de Windows Server 2003.

  4. En un símbolo del sistema, escriba el siguiente comando:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    Una descripción de este comando es:

    • /s:<server> es el nombre del controlador de dominio que se va a usar para establecer la contraseña de la cuenta de equipo. Es el servidor donde se ejecuta el KDC.

    • /ud:<domain\User> es la cuenta de usuario que establece la conexión con el dominio especificado en el /s parámetro . Debe estar en formato dominio\Usuario. Si se omite este parámetro, se usa la cuenta de usuario actual.

    • /pd:* especifica la contraseña de la cuenta de usuario especificada en el /ud parámetro . Use un asterisco (*) para que se le pida la contraseña. Por ejemplo, el equipo del controlador de dominio local es Server1 y el controlador de dominio de Windows del mismo nivel es Server2. Si ejecuta Netdom.exe en Server1 con los parámetros siguientes, la contraseña se cambia localmente y se escribe simultáneamente en Server2. Y la replicación propaga el cambio a otros controladores de dominio:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. Reinicie el servidor cuya contraseña se ha cambiado. En este ejemplo, es Server1.