Utiliser Netdom.exe pour réinitialiser les mots de passe de compte d’ordinateur d’un contrôleur de domaine Windows Server

  • Article

Cet article pas à pas explique comment utiliser Netdom.exe pour réinitialiser les mots de passe de compte d’ordinateur d’un contrôleur de domaine dans Windows Server.

Produits concernés : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 325850

Résumé

Chaque ordinateur Windows gère un historique des mots de passe de compte d’ordinateur qui contient les mots de passe actuels et précédents utilisés pour le compte. Lorsque deux ordinateurs tentent de s’authentifier l’un avec l’autre et qu’une modification du mot de passe actuel n’est pas encore reçue, Windows s’appuie sur le mot de passe précédent. Si la séquence de modifications de mot de passe dépasse deux modifications, les ordinateurs impliqués peuvent ne pas être en mesure de communiquer et vous pouvez recevoir des messages d’erreur. Par exemple, vous recevez des messages d’erreur Accès refusé lorsque la réplication Active Directory se produit.

Ce comportement s’applique également à la réplication entre les contrôleurs de domaine du même domaine. Si les contrôleurs de domaine qui ne sont pas répliqués résident dans deux domaines différents, examinez de plus près la relation d’approbation.

Vous ne pouvez pas modifier le mot de passe du compte d’ordinateur à l’aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Toutefois, vous pouvez réinitialiser le mot de passe à l’aide de l’outil Netdom.exe. L’outil Netdom.exe est inclus dans les Outils de support Windows pour Windows Server 2003, Windows Server 2008 R2 et Windows Server 2008.

L’outil Netdom.exe réinitialise le mot de passe du compte sur l’ordinateur localement (appelé secret local). Il écrit cette modification dans l’objet de compte d’ordinateur de l’ordinateur sur un contrôleur de domaine Windows qui se trouve dans le même domaine. L’écriture simultanée du nouveau mot de passe aux deux emplacements garantit qu’au moins les deux ordinateurs impliqués dans l’opération sont synchronisés. Et le démarrage de la réplication Active Directory garantit que les autres contrôleurs de domaine reçoivent la modification.

La procédure suivante décrit comment utiliser la commande netdom pour réinitialiser le mot de passe d’un compte d’ordinateur. Cette procédure est la plus fréquemment utilisée sur les contrôleurs de domaine, mais s’applique également à n’importe quel compte d’ordinateur Windows.

Vous devez exécuter l’outil localement à partir de l’ordinateur Windows dont vous souhaitez modifier le mot de passe. En outre, vous devez disposer d’autorisations d’administration localement et sur l’objet du compte d’ordinateur dans Active Directory pour exécuter Netdom.exe.

Utiliser Netdom.exe pour réinitialiser le mot de passe d’un compte d’ordinateur

  1. Installez les outils de support windows Server 2003 sur le contrôleur de domaine dont vous souhaitez réinitialiser le mot de passe. Ces outils se trouvent dans le Support\Tools dossier du CD-ROM Windows Server 2003. Pour installer ces outils, cliquez avec le bouton droit sur le fichier Suptools.msi dans le Support\Tools dossier, puis sélectionnez Installer.

    Remarque

    Cette étape n’est pas nécessaire dans Windows Server 2008, Windows Server 2008 R2 ou une version ultérieure, car l’outil Netdom.exe est inclus dans ces éditions de Windows.

  2. Si vous souhaitez réinitialiser le mot de passe d’un contrôleur de domaine Windows, vous devez arrêter le service Centre de distribution de clés Kerberos et définir son type de démarrage sur Manuel.

    Remarque

    • Après avoir redémarré et vérifié que le mot de passe a été correctement réinitialisé, vous pouvez redémarrer le service Centre de distribution de clés Kerberos (KDC) et définir de nouveau son type de démarrage sur Automatique. Cela force le contrôleur de domaine qui a le mot de passe de compte d’ordinateur incorrect à contacter un autre contrôleur de domaine pour un ticket Kerberos.
    • Vous devrez peut-être désactiver le service Centre de distribution de clés Kerberos sur tous les contrôleurs de domaine, sauf un. Si vous le pouvez, ne désactivez pas le contrôleur de domaine qui a le catalogue global, sauf s’il rencontre des problèmes.

  3. Supprimez le cache de ticket Kerberos sur le contrôleur de domaine où vous recevez les erreurs. Vous pouvez le faire en redémarrant l’ordinateur ou en utilisant les outils KLIST, Kerbtest ou KerbTray. KLIST est inclus dans Windows Server 2008 et Windows Server 2008 R2. Pour Windows Server 2003, KLIST est disponible en téléchargement gratuit dans les outils du Kit de ressources Windows Server 2003.

  4. À l’invite de commandes, tapez la commande suivante :

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    Une description de cette commande est la suivante :

    • /s:<server> est le nom du contrôleur de domaine à utiliser pour définir le mot de passe du compte d’ordinateur. Il s’agit du serveur sur lequel le KDC s’exécute.

    • /ud:<domain\User> est le compte d’utilisateur qui établit la connexion avec le domaine que vous avez spécifié dans le /s paramètre . Il doit être au format domaine\Utilisateur. Si ce paramètre est omis, le compte d’utilisateur actuel est utilisé.

    • /pd:* spécifie le mot de passe du compte d’utilisateur spécifié dans le /ud paramètre . Utilisez un astérisque (*) pour être invité à entrer le mot de passe. Par exemple, l’ordinateur du contrôleur de domaine local est Server1 et le contrôleur de domaine Windows homologue est Server2. Si vous exécutez Netdom.exe sur Server1 avec les paramètres suivants, le mot de passe est modifié localement et est écrit simultanément sur Server2. Et la réplication propage la modification à d’autres contrôleurs de domaine :

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. Redémarrez le serveur dont le mot de passe a été modifié. Dans cet exemple, il s’agit de Server1.