Zurücksetzen von Computerkontokennwörtern eines Windows Server-Domänencontrollers mit Netdom.exe

Gilt für: Windows Server 2019, all versionsWindows Server Standard 2016Windows Server 2012 R2 Standard Mehr

Eine Microsoft Windows 2000-Version dieses Artikels finden Sie unter
260575.

INHALT

Zusammenfassung


Dieser Artikel beschreibt Schritt für Schritt, wie Sie mithilfe von Netdom.exe, die Kennwörter eines Computerkontos eines Domänencontrollers in Windows Server zurücksetzen können.

Jeder Microsoft Windows-basierte Computer führt eine Kennwortchronik, welche die aktuellen und früheren Kennwörter für das Computerkonto enthält. Wenn zwei Computer den Versuch unternehmen, sich gegenseitig zu authentifizieren, und wenn diese Computer noch kein geändertes Kennwort empfangen haben, vertraut Windows dem vorherigen Kennwort. Wenn die Sequenz der Kennwortänderungen zwei Änderungen überschreitet, können die betroffenen Computer möglicherweise nicht kommunizieren und Ihnen werden möglicherweise Fehlermeldungen angezeigt. Möglicherweise erhalten Sie zum Beispiel „Zugriff verweigert“-Fehlermeldungen, wenn die Active Directory-Replikation erfolgt.

Dieses Verhalten tritt auch bei der Replikation zwischen Domänencontrollern auf, die der gleichen Domäne angehören. Sie sollten sich die Vertrauensstellungen näher ansehen, wenn sich die Domänencontroller, bei denen die Replikation nicht erfolgreich ist, in zwei verschiedenen Domänen befinden.

Sie können das Kennwort für das Computerkonto nicht mithilfe des Snap-Ins "Active Directory-Benutzer und -Computer" ändern. Es besteht jedoch die Möglichkeit, das Kennwort mit dem Tool "Netdom.exe" zurückzusetzen. Das Netdom.exe-Tool ist in den Windows-Supporttools für Windows Server 2003 enthalten. Das Netdom.exe-Tool ist auch in Windows Server 2008 R2 und Windows Server 2008 enthalten.

Das Tool "Netdom.exe" setzt das Kontokennwort lokal auf dem Computer zurück (auch als "lokales Geheimnis" bekannt) und schreibt diese Änderung in das Computerkontoobjekt des Computers auf einem Windows-Domänencontroller, der sich in der gleichen Domäne befindet. Durch die gleichzeitige Eintragung des Kennworts auf beiden Computern wird sichergestellt, dass zumindest die beiden am Vorgang beteiligten Computer synchronisiert werden. Hierdurch wird außerdem die Active Directory-Replikation gestartet, damit die anderen Domänencontroller mit der Änderung aktualisiert werden.

In der folgenden Anleitung wird beschrieben, wie sie mit dem Befehl netdom das Kennwort eines Computerkontos zurücksetzen können. Dieses Verfahren wird üblicherweise auf Domänencontroller angewendet, es ist jedoch auch auf beliebige Windows-Computerkonten anwendbar.

Sie müssen das Tool lokal auf dem Windows-basierten Computer ausführen, dessen Kennwort Sie ändern möchten. Außerdem müssen Sie für den lokalen Computer sowie für das Computerkontoobjekt in Active Directory über Administratorberechtigungen verfügen, um "Netdom.exe" ausführen zu können.
 

Kennwort eines Computerkontos mit "Netdom.exe" zurücksetzen

  1. Installieren Sie die Windows Server 2003-Supporttools auf dem Domänencontroller, dessen Kennwort Sie zurücksetzen möchten. Sie finden diese Supporttools im Ordner "Support\Tools" auf der Windows Server 2003-CD-ROM. Klicken Sie zum Installieren dieser Tools mit der rechten Maustaste auf die Suptools.msi-Datei im Ordner Support\ Tools und klicken Sie anschließend auf Installieren.
    Hinweis Dieser Schritt ist in Windows Server 2008 R2 und Windows Server 2008 nicht erforderlich, da das Netdom.exe-Tool in diesen Windows-Editionen enthalten ist.
  2. Wenn Sie das Kennwort für einen Windows-Domänencontroller zurücksetzen möchten, müssen Sie den Kerberos Key Distribution Center-Dienst stoppen und seinen Startup-Typ auf Manuell setzen.

    Hinweise
    • Nachdem Sie einen Neustart durchgeführt und überprüft haben, ob das Kennwort erfolgreich zurückgesetzt wurde, können Sie den Kerberos Key Distribution Center-Dienst (KDC) neu starten und seinen Startup-Typ auf Automatisch zurücksetzen. Dadurch wird der Domänencontroller mit dem falschen Computerkontokennwort gezwungen, einen anderen Domänencontroller für ein Kerberos-Ticket zu kontaktieren.
    • Möglicherweise müssen Sie den Kerberos Key Distribution Center-Dienst auf allen Domänencontrollern außer einem deaktivieren. Deaktivieren Sie den Domänencontroller mit dem globalen Katalog nach Möglichkeit nicht, es sei denn, es treten Probleme auf.
  3. Entfernen Sie den Kerberos-Ticketcache auf dem Domänencontroller, auf dem Sie die Fehler erhalten. Dazu können Sie den Computer neu starten oder die KLIST-, Kerbtest- oder KerbTray-Tools verwenden. KLIST ist in Windows Server 2008 R2 und Windows Server 2008 enthalten. Für Windows Server 2003, KLIST ist als kostenloser Download in den Windows Server 2003 Resource Kit-Tools verfügbar. Besuchen Sie die folgende Microsoft-Website, um die Tools zu erhalten:
  4. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:
    netdom resetpwd /s:server /ud:domain\User /pd:*
    Nähere Beschreibung der vorstehenden Befehlszeile:
    • /s:Server ist der Name des Domänencontrollers, der zum Festlegen des Computerkontokennworts verwendet wird. Dies ist der Server, auf dem der KDC ausgeführt wird.
    • /ud:domain\User ist das Benutzerkonto, das die Verbindung mit der Domäne herstellt, die Sie im s-Parameter angegeben haben. Dies muss im Format Domäne\Benutzer sein. Wenn Sie diesen Parameter auslassen, wird das aktuelle Benutzerkonto verwendet.
    • /pd:* gibt das Kennwort des Benutzerkontos an, das im /ud-Parameter angegeben ist. Wenn Sie ein Sternchen (*) verwenden, werden Sie nach dem Kennwort gefragt.
    Der lokale Computer (der hier ein Domänencontroller ist) ist beispielsweise Server1 und der Name des Windows-Domänencontrollers Server2. Wenn Sie "Netdom.exe" mit den folgenden Parametern auf Server1 ausführen, wird das Kennwort lokal geändert und gleichzeitig auf Server2 geschrieben. Der Replikationsvorgang verbreitet die Änderung anschließend an andere Domänencontroller:
    netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
  5. Starten Sie den Server neu, dessen Kennwort geändert wurde. In diesem Beispiel ist dies Server1.