Netdom.exe gebruiken om wachtwoorden van computeraccounts van een Windows 2000-domeincontroller opnieuw in te stellen

Samenvatting

Op elke Windows-computer wordt een wachtwoordgeschiedenis voor de computeraccount bijgehouden met daarin de huidige en vorige wachtwoorden voor de account. Wanneer twee computers verificatie proberen uit te voeren met elkaar en een wijziging van het huidige wachtwoord nog niet is ontvangen, gaat Windows uit van het vorige wachtwoord. Wanneer het meer dan twee wachtwoordwijzigingen betreft, is het mogelijk dat de betrokken computers niet meer kunnen communiceren en dat er foutberichten worden weergegeven (bijvoorbeeld 'Toegang geweigerd'-foutberichten tijdens Active Directory-replicatie).

Dit probleem is ook van toepassing op replicatie tussen domeincontrollers binnen hetzelfde domein. Als de domeincontrollers waarbij replicatie mislukt, zich in twee verschillende domeinen bevinden, verdient het aanbeveling de vertrouwensrelatie nader te onderzoeken.

Het is niet mogelijk het wachtwoord voor de computeraccount te wijzigen met de module Active Directory: gebruikers en computers. Het is echter wel mogelijk het wachtwoord opnieuw in te stellen met het hulpprogramma Netdom.exe uit de Windows Support Tools.

Het hulpprogramma Netdom stelt de accountwachtwoord lokaal opnieuw in op de computer (dit wordt ook wel 'lokaal geheim' genoemd) en schrijft deze wijziging naar het computeraccountobject van de computer op een Windows-domeincontroller in hetzelfde domein. Door het gelijktijdig schrijven van het nieuwe wachtwoord naar beide locaties bent u ervan verzekerd dat in ieder geval de twee computers zijn gesynchroniseerd die bij de bewerking betrokken zijn. Active Directory-replicatie kan dan worden gestart, zodat andere domeincontrollers de wijziging kunnen ontvangen.

In de volgende procedure wordt beschreven hoe u de opdracht netdom gebruikt om een wachtwoord voor een computeraccount opnieuw in te stellen. De procedure wordt meestal gebruikt voor domeincontrollers, maar kan ook op elke willekeurige Windows-computeraccount worden toegepast.

Omdat Netdom niet op afstand kan worden gebruikt, moet u het hulpprogramma uitvoeren op de Windows-computer waarvan u het wachtwoord wilt wijzigen. Bovendien moet u zowel lokaal als voor het computeraccountobject in Active Directory beheerdersmachtigingen hebben om Netdom uit te voeren.

Netdom gebruiken om een wachtwoord voor een computeraccount opnieuw in te stellen

 1. Installeer de Windows Support Tools uit de map Support\Tools op de Windows-cd-rom op de domeincontroller waarvan u het wachtwoord opnieuw wilt instellen.
 2. Als u probeert het wachtwoord opnieuw in te stellen voor een Windows-domeincontroller, moet u de service Kerberos Key Distribution Center stoppen en het opstarttype ervan instellen op Handmatig voordat u verdergaat met stap 3.

  Opmerking: nadat u het systeem opnieuw hebt opgestart en hebt gecontroleerd of het wachtwoord opnieuw is ingesteld, kunt u de service Kerberos Key Distribution Center opnieuw starten en het opstarttype ervan opnieuw instellen op Automatisch. Door deze actie wordt de domeincontroller met het ongeldige wachtwoord voor de computeraccount gedwongen contact op te nemen met een andere domeincontroller voor een Kerberos-ticket.
 3. Typ de volgende opdracht bij een opdrachtprompt:
  netdom resetpwd /server:servernaam_replicatiepartner /userd:domeinnaam\beheerder-id /passwordd:*
  waarbij servernaam_replicatiepartner de volledig gekwalificeerde DNS- of NetBIOS-naam is van een domeincontroller in hetzelfde domein als de lokale computer, en domeinnaam\beheerder-id respectievelijk de NetBIOS-domeinnaam en beheerder-id (in de notatie van referenties voor SAM-accountnamen (Security Accounts Manager).

  De waarde'*' bij de parameter /PasswordD: geeft aan dat het wachtwoord moet worden getypt met verborgen tekens op het moment dat de opdracht wordt gegeven. Een voorbeeld: de lokale computer (die domeincontroller is) is Server1 en de naam van de gelijkwaardige Windows-domeincontroller is Server2. Als u Netdom uitvoert op Server1 met de volgende parameters, wordt het wachtwoord lokaal gewijzigd en tegelijkertijd naar Server2 geschreven. Via replicatie wordt de wijziging doorgegeven aan andere domeincontrollers:
  netdom resetpwd /server:server2 /userd:mijndomein\administrator /passwordd:*
 4. Start de server waarop het wachtwoord is gewijzigd, opnieuw op (in dit voorbeeld Server1).

Eigenschappen

Artikel-id: 260575 - Laatst bijgewerkt: 24 jan. 2006 - Revisie: 1

Feedback