Netdom.exe 사용하여 Windows Server 도메인 컨트롤러의 컴퓨터 계정 암호 재설정
이 단계별 문서에서는 Netdom.exe 사용하여 Windows Server에서 도메인 컨트롤러의 컴퓨터 계정 암호를 재설정하는 방법을 설명합니다.
적용 대상: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
원본 KB 번호: 325850
요약
각 Windows 기반 컴퓨터는 계정에 사용되는 현재 및 이전 암호를 포함하는 컴퓨터 계정 암호 기록을 유지 관리합니다. 두 컴퓨터가 서로 인증을 시도하고 현재 암호에 대한 변경 내용이 아직 수신되지 않은 경우 Windows는 이전 암호를 사용합니다. 암호 변경 시퀀스가 두 가지 변경 내용을 초과하면 관련된 컴퓨터가 통신하지 못할 수 있으며 오류 메시지가 표시될 수 있습니다. 예를 들어 Active Directory 복제가 발생할 때 액세스 거부 오류 메시지가 표시됩니다.
이 동작은 동일한 도메인의 도메인 컨트롤러 간의 복제에도 적용됩니다. 복제하지 않는 도메인 컨트롤러가 서로 다른 두 도메인에 상주하는 경우 트러스트 관계를 더 자세히 살펴봅니다.
Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 컴퓨터 계정 암호를 변경할 수 없습니다. 그러나 Netdom.exe 도구를 사용하여 암호를 다시 설정할 수 있습니다. Netdom.exe 도구는 Windows Server 2003용 Windows 지원 도구, Windows Server 2008 R2 및 Windows Server 2008에 포함되어 있습니다.
Netdom.exe 도구는 컴퓨터의 계정 암호를 로컬로 재설정합니다( 로컬 암호라고 함). 동일한 도메인에 있는 Windows 도메인 컨트롤러에서 컴퓨터의 컴퓨터 계정 개체에 이 변경 내용을 씁니다. 두 위치에 새 암호를 동시에 작성하면 작업에 관련된 두 대 이상의 컴퓨터가 동기화됩니다. Active Directory 복제를 시작하면 다른 도메인 컨트롤러가 변경 사항을 받습니다.
다음 절차에서는 netdom 명령을 사용하여 컴퓨터 계정 암호를 재설정하는 방법을 설명합니다. 이 절차는 도메인 컨트롤러에서 가장 자주 사용되지만 모든 Windows 컴퓨터 계정에도 적용됩니다.
암호를 변경하려는 Windows 기반 컴퓨터에서 로컬로 도구를 실행해야 합니다. 또한 Netdom.exe 실행하려면 로컬 및 Active Directory의 컴퓨터 계정 개체에 대한 관리 권한이 있어야 합니다.
Netdom.exe 사용하여 컴퓨터 계정 암호 재설정
암호를 재설정하려는 도메인 컨트롤러에 Windows Server 2003 지원 도구를 설치합니다. 이러한 도구는 Windows Server 2003 CD-ROM의 폴더에 있습니다
Support\Tools. 이러한 도구를 설치하려면 폴더에서 Suptools.msi 파일을Support\Tools마우스 오른쪽 단추로 클릭한 다음 설치를 선택합니다.참고
이 단계는 Windows Server 2008, Windows Server 2008 R2 또는 이후 버전에서는 필요하지 않습니다. Netdom.exe 도구가 이러한 Windows 버전에 포함되어 있기 때문입니다.
Windows 도메인 컨트롤러의 암호를 다시 설정하려면 Kerberos 키 배포 센터 서비스를 중지하고 시작 유형을 수동으로 설정해야 합니다.
참고
- 암호를 다시 시작하고 암호가 성공적으로 재설정되었는지 확인한 후에는 KDC(Kerberos 키 배포 센터) 서비스를 다시 시작하고 시작 유형을 다시 자동으로 설정할 수 있습니다. 이렇게 하면 잘못된 컴퓨터 계정 암호가 있는 도메인 컨트롤러가 Kerberos 티켓에 대해 다른 도메인 컨트롤러에 연결됩니다.
- Kerberos 키 배포 센터 서비스를 제외한 모든 도메인 컨트롤러에서 사용하지 않도록 설정해야 할 수 있습니다. 가능하면 문제가 발생하지 않는 한 전역 카탈로그가 있는 도메인 컨트롤러를 사용하지 않도록 설정하지 마세요.
오류가 발생한 도메인 컨트롤러에서 Kerberos 티켓 캐시를 제거합니다. 컴퓨터를 다시 시작하거나 KLIST, Kerbtest 또는 KerbTray 도구를 사용하여 수행할 수 있습니다. KLIST는 Windows Server 2008 및 Windows Server 2008 R2에 포함되어 있습니다. Windows Server 2003의 경우 KLIST는 Windows Server 2003 리소스 키트 도구에서 무료로 다운로드할 수 있습니다.
명령 프롬프트에서 다음 명령을 입력합니다.
netdom resetpwd /s:<server> /ud:<domain\User> /pd:*이 명령에 대한 설명은 다음과 같습니다.
/s:<server>는 컴퓨터 계정 암호를 설정하는 데 사용할 도메인 컨트롤러의 이름입니다. KDC가 실행되는 서버입니다./ud:<domain\User>은 매개 변수에 지정한 도메인과의 연결을 만드는 사용자 계정입니다/s. domain\User 형식이어야 합니다. 이 매개 변수를 생략하면 현재 사용자 계정이 사용됩니다./pd:*는 매개 변수에 지정된 사용자 계정의 암호를 지정/ud합니다. 별표(*)를 사용하여 암호를 묻는 메시지를 표시합니다. 예를 들어 로컬 도메인 컨트롤러 컴퓨터는 Server1이고 피어 Windows 도메인 컨트롤러는 Server2입니다. 다음 매개 변수를 사용하여 Server1에서 Netdom.exe 실행하는 경우 암호가 로컬로 변경되고 Server2에 동시에 기록됩니다. 또한 복제는 변경 사항을 다른 도메인 컨트롤러에 전파합니다.netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
암호가 변경된 서버를 다시 시작합니다. 이 예제에서는 Server1입니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기