Usare Netdom.exe per reimpostare le password dell'account computer di un controller di dominio Windows Server
Questo articolo dettagliato descrive come usare Netdom.exe per reimpostare le password dell'account computer di un controller di dominio in Windows Server.
Si applica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 325850
Riepilogo
Ogni computer basato su Windows mantiene una cronologia delle password dell'account computer che contiene le password correnti e precedenti usate per l'account. Quando due computer provano a eseguire l'autenticazione tra loro e non viene ancora ricevuta una modifica alla password corrente, Windows si basa sulla password precedente. Se la sequenza di modifiche della password supera due modifiche, i computer interessati potrebbero non essere in grado di comunicare e potrebbero essere visualizzati messaggi di errore. Ad esempio, si ricevono messaggi di errore accesso negato quando si verifica la replica di Active Directory.
Questo comportamento si applica anche alla replica tra controller di dominio dello stesso dominio. Se i controller di dominio che non replicano risiedono in due domini diversi, esaminare più da vicino la relazione di trust.
Non è possibile modificare la password dell'account computer usando lo snap-in Utenti e computer di Active Directory. È tuttavia possibile reimpostare la password usando lo strumento Netdom.exe. Lo strumento Netdom.exe è incluso in Strumenti di supporto di Windows per Windows Server 2003, in Windows Server 2008 R2 e in Windows Server 2008.
Lo strumento Netdom.exe reimposta la password dell'account nel computer in locale (noto come segreto locale). Scrive questa modifica nell'oggetto account computer del computer in un controller di dominio Windows nello stesso dominio. La scrittura simultanea della nuova password in entrambe le posizioni garantisce la sincronizzazione di almeno i due computer coinvolti nell'operazione. L'avvio della replica di Active Directory garantisce che gli altri controller di dominio ricevano la modifica.
La procedura seguente descrive come usare il comando netdom per reimpostare una password dell'account computer. Questa procedura viene usata più di frequente nei controller di dominio, ma si applica anche a qualsiasi account computer Windows.
È necessario eseguire lo strumento in locale dal computer basato su Windows di cui si vuole modificare la password. Per eseguire Netdom.exe, è inoltre necessario disporre delle autorizzazioni amministrative in locale e nell'oggetto dell'account computer in Active Directory.
Usare Netdom.exe per reimpostare la password di un account computer
Installare gli strumenti di supporto di Windows Server 2003 nel controller di dominio di cui si vuole reimpostare la password. Questi strumenti si trovano nella
Support\Toolscartella del CD-ROM di Windows Server 2003. Per installare questi strumenti, fare clic con il pulsante destro del mouse sul file Suptools.msi nellaSupport\Toolscartella e quindi scegliere Installa.Nota
Questo passaggio non è necessario in Windows Server 2008, Windows Server 2008 R2 o in una versione successiva perché lo strumento Netdom.exe è incluso in queste edizioni di Windows.
Se si vuole reimpostare la password per un controller di dominio Windows, è necessario arrestare il servizio Centro distribuzione chiavi Kerberos e impostarne il tipo di avvio su Manuale.
Nota
- Dopo aver riavviato e verificato che la password sia stata reimpostata correttamente, è possibile riavviare il servizio Centro distribuzione chiavi Kerberos (KDC) e impostarne di nuovo il tipo di avvio su Automatico. In questo modo, il controller di dominio con la password dell'account computer non corretta deve contattare un altro controller di dominio per ottenere un ticket Kerberos.
- Potrebbe essere necessario disabilitare il servizio Centro distribuzione chiavi Kerberos in tutti i controller di dominio tranne uno. Se possibile, non disabilitare il controller di dominio con il catalogo globale, a meno che non si verifichino problemi.
Rimuovere la cache dei ticket Kerberos nel controller di dominio in cui vengono visualizzati gli errori. È possibile farlo riavviando il computer o usando gli strumenti KLIST, Kerbtest o KerbTray. KLIST è incluso in Windows Server 2008 e in Windows Server 2008 R2. Per Windows Server 2003, KLIST è disponibile come download gratuito negli strumenti di Resource Kit di Windows Server 2003.
Al prompt dei comandi digitare il comando seguente:
netdom resetpwd /s:<server> /ud:<domain\User> /pd:*Una descrizione di questo comando è:
/s:<server>è il nome del controller di dominio da usare per impostare la password dell'account computer. È il server in cui è in esecuzione il KDC./ud:<domain\User>è l'account utente che effettua la connessione con il dominio specificato nel/sparametro . Deve essere in formato dominio\Utente. Se questo parametro viene omesso, viene usato l'account utente corrente./pd:*specifica la password dell'account utente specificato nel/udparametro . Usare un asterisco (*) per richiedere la password. Ad esempio, il computer del controller di dominio locale è Server1 e il controller di dominio Windows peer è Server2. Se si esegue Netdom.exe in Server1 con i parametri seguenti, la password viene modificata in locale e scritta contemporaneamente in Server2. E la replica propaga la modifica ad altri controller di dominio:netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
Riavviare il server la cui password è stata modificata. In questo esempio si tratta di Server1.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per