Windows Server etki alanı denetleyicisinin makine hesabı parolalarını sıfırlamak için Netdom.exe kullanma

  • Makale

Bu adım adım makalede, Windows Server'da bir etki alanı denetleyicisinin makine hesabı parolalarını sıfırlamak için Netdom.exe nasıl kullanılacağı açıklanır.

Şunlar için geçerlidir: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Özgün KB numarası: 325850

Özet

Her Windows tabanlı bilgisayar, hesap için kullanılan geçerli ve önceki parolaları içeren bir makine hesabı parola geçmişi tutar. İki bilgisayar birbiriyle kimlik doğrulaması yapmaya çalıştığında ve geçerli parolada bir değişiklik henüz alınmadığında, Windows önceki parolayı kullanır. Parola değişiklikleri dizisi iki değişikliği aşarsa, ilgili bilgisayarlar iletişim kuramayabilir ve hata iletileri alabilirsiniz. Örneğin, Active Directory çoğaltması gerçekleştiğinde Erişim Reddedildi hata iletileri alırsınız.

Bu davranış aynı etki alanının etki alanı denetleyicileri arasındaki çoğaltma için de geçerlidir. Çoğaltılmayan etki alanı denetleyicileri iki farklı etki alanında bulunuyorsa, güven ilişkisine daha yakından bakın.

Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini kullanarak makine hesabı parolasını değiştiremezsiniz. Ancak Netdom.exe aracını kullanarak parolayı sıfırlayabilirsiniz. Netdom.exe aracı Windows Server 2003 için Windows Destek Araçları, Windows Server 2008 R2 ve Windows Server 2008'de bulunur.

Netdom.exe aracı bilgisayardaki hesap parolasını yerel olarak sıfırlar ( yerel gizli dizi olarak bilinir). Bu değişikliği, aynı etki alanındaki bir Windows etki alanı denetleyicisindeki bilgisayarın bilgisayar hesabı nesnesine yazar. Her iki yere de aynı anda yeni parola yazıldığında, işlemde yer alan en az iki bilgisayarın eşitlenmesi sağlanır. Active Directory çoğaltmasını başlatmak, diğer etki alanı denetleyicilerinin değişikliği almasını sağlar.

Aşağıdaki yordamda, makine hesabı parolasını sıfırlamak için netdom komutunun nasıl kullanılacağı açıklanmaktadır. Bu yordam en sık etki alanı denetleyicilerinde kullanılır, ancak tüm Windows makine hesapları için de geçerlidir.

Aracı, parolasını değiştirmek istediğiniz Windows tabanlı bilgisayardan yerel olarak çalıştırmanız gerekir. Ayrıca, Netdom.exe çalıştırmak için yerel olarak ve bilgisayar hesabının Active Directory'deki nesnesinde yönetici izinlerine sahip olmanız gerekir.

Makine hesabı parolasını sıfırlamak için Netdom.exe kullanma

  1. Parolasını sıfırlamak istediğiniz etki alanı denetleyicisine Windows Server 2003 Destek Araçları'nı yükleyin. Bu araçlar, Windows Server 2003 CD-ROM'unun klasöründe bulunur Support\Tools . Bu araçları yüklemek için klasördeki Suptools.msi dosyasına sağ tıklayın ve yükle'yiSupport\Tools seçin.

    Not

    bu Windows sürümlerinde Netdom.exe aracı bulunduğundan bu adım Windows Server 2008, Windows Server 2008 R2 veya sonraki bir sürümde gerekli değildir.

  2. Windows etki alanı denetleyicisinin parolasını sıfırlamak istiyorsanız, Kerberos Anahtar Dağıtım Merkezi hizmetini durdurmanız ve başlangıç türünü El ile olarak ayarlamanız gerekir.

    Not

    • Yeniden başlattıktan ve parolanın başarıyla sıfırlandığını doğruladıktan sonra, Kerberos Anahtar Dağıtım Merkezi (KDC) hizmetini yeniden başlatabilir ve başlangıç türünü Otomatik olarak ayarlayabilirsiniz. Bu, yanlış bilgisayar hesabı parolasına sahip etki alanı denetleyicisini kerberos anahtarı için başka bir etki alanı denetleyicisine başvurmaya zorlar.
    • Kerberos Anahtar Dağıtım Merkezi hizmetini tek bir etki alanı denetleyicisi dışında tüm etki alanı denetleyicilerinde devre dışı bırakmanız gerekebilir. Mümkünse, genel kataloğu olan etki alanı denetleyicisini, sorun yaşamadığı sürece devre dışı bırakmayın.

  3. Hataları aldığınız etki alanı denetleyicisinde Kerberos anahtar önbelleğini kaldırın. Bunu yapmak için bilgisayarı yeniden başlatabilir veya KLIST, Kerbtest veya KerbTray araçlarını kullanabilirsiniz. KLIST, Windows Server 2008 ve Windows Server 2008 R2'ye dahildir. Windows Server 2003 için KLIST, Windows Server 2003 Resource Kit Araçları'nda ücretsiz indirme olarak kullanılabilir.

  4. Komut isteminde aşağıdaki komutu yazın:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    Bu komutun açıklaması:

    • /s:<server> , makine hesabı parolasını ayarlamak için kullanılacak etki alanı denetleyicisinin adıdır. KDC'nin çalıştığı sunucudur.

    • /ud:<domain\User> parametresinde belirttiğiniz etki alanıyla bağlantı oluşturan kullanıcı hesabıdır /s . Etki alanı\Kullanıcı biçiminde olmalıdır. Bu parametre atlanırsa, geçerli kullanıcı hesabı kullanılır.

    • /pd:* parametresinde /ud belirtilen kullanıcı hesabının parolasını belirtir. Parolanın sorulacağı yıldız işareti (*) kullanın. Örneğin, yerel etki alanı denetleyicisi bilgisayarı Sunucu1, eş Windows etki alanı denetleyicisi ise Server2'dir. Sunucu1'de aşağıdaki parametrelerle Netdom.exe çalıştırırsanız, parola yerel olarak değiştirilir ve Sunucu2'de aynı anda yazılır. Çoğaltma da değişikliği diğer etki alanı denetleyicilerine yayılımlır:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. Parolası değiştirilen sunucuyu yeniden başlatın. Bu örnekte Sunucu1'dir.