Verwenden Netdom.exe zum Zurücksetzen von Computerkontokennwörtern eines Windows Server-Domänencontrollers

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie Netdom.exe zum Zurücksetzen von Computerkontokennwörtern eines Domänencontrollers in Windows Server verwenden.

Ursprüngliche Produktversion:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer:   325850

Zusammenfassung

Jeder Windows-basierte Computer verwaltet einen Kennwortverlauf für das Computerkonto, der die aktuellen und vorherigen Kennwörter enthält, die für das Konto verwendet werden. Wenn zwei Computer versuchen, sich gegenseitig zu authentifizieren, und eine Änderung des aktuellen Kennworts noch nicht empfangen wird, verwendet Windows das vorherige Kennwort. Wenn die Abfolge der Kennwortänderungen zwei Änderungen überschreitet, können die beteiligten Computer möglicherweise nicht kommunizieren, und Es werden Fehlermeldungen angezeigt. Beispielsweise erhalten Sie Fehlermeldungen über den Zugriff verweigert, wenn die Active Directory-Replikation erfolgt.

Dieses Verhalten gilt auch für die Replikation zwischen Domänencontrollern derselben Domäne. Wenn sich die Domänencontroller, die nicht replizieren, in zwei verschiedenen Domänen befinden, sehen Sie sich die Vertrauensstellung genauer an.

Sie können das Computerkontokennwort nicht mithilfe des Active Directory-Snap-Ins "Benutzer und Computer" ändern. Sie können das Kennwort jedoch mithilfe des Tools Netdom.exe zurücksetzen. Das Netdom.exe ist in den Windows Support Tools für Windows Server 2003, in Windows Server 2008 R2 und in Windows Server 2008 enthalten.

Das Netdom.exe setzt das Kontokennwort auf dem Computer lokal zurück (auch als lokaler geheimer Schlüssel bekannt). Sie schreibt diese Änderung in das Computerkontoobjekt des Computers auf einem Windows-Domänencontroller, der sich in derselben Domäne befinden. Durch gleichzeitiges Schreiben des neuen Kennworts an beide Stellen wird sichergestellt, dass mindestens die beiden am Vorgang beteiligten Computer synchronisiert werden. Und durch starten der Active Directory-Replikation wird sichergestellt, dass andere Domänencontroller die Änderung erhalten.

Im folgenden Verfahren wird beschrieben, wie Sie mit dem Befehl "netdom" ein Computerkontokennwort zurücksetzen. Dieses Verfahren wird am häufigsten auf Domänencontrollern verwendet, gilt jedoch auch für alle Windows-Computer-Konten.

Sie müssen das Tool lokal auf dem Windows-basierten Computer ausführen, dessen Kennwort Sie ändern möchten. Darüber hinaus müssen Sie lokal über Administratorberechtigungen und für das Objekt des Computerkontos in Active Directory verfügen, um die Netdom.exe.

Verwenden Netdom.exe zum Zurücksetzen eines Computerkontokennworts

  1. Installieren Sie die Windows Server 2003-Supporttools auf dem Domänencontroller, dessen Kennwort Sie zurücksetzen möchten. Diese Tools befinden sich im Support\Tools Ordner auf der Windows Server 2003 CD-ROM. Klicken Sie zum Installieren dieser Tools mit der rechten Maustaste auf die Suptools.msi im Ordner, und wählen Sie Support\Tools dann "Installieren" aus.

    Hinweis

    Dieser Schritt ist in Windows Server 2008, Windows Server 2008 R2 oder einer späteren Version nicht erforderlich, da das tool Netdom.exe in diesen Windows Editionen enthalten ist.

  2. Wenn Sie das Kennwort für einen Windows-Domänencontroller zurücksetzen möchten, müssen Sie den Kerberos Key Distribution Center-Dienst beenden und dessen Starttyp auf Manuell festlegen.

    Hinweis

    • Nachdem Sie einen Neustart gestartet und überprüft haben, ob das Kennwort erfolgreich zurückgesetzt wurde, können Sie den Kerberos Key Distribution Center (KDC)-Dienst neu starten und den Starttyp wieder auf "Automatisch" festlegen. Dadurch wird der Domänencontroller mit dem falschen Computerkontokennwort dazu aufgefordert, einen anderen Domänencontroller für ein Kerberos-Ticket zu kontaktieren.
    • Möglicherweise müssen Sie den Dienst für das Kerberos Key Distribution Center auf allen Domänencontrollern außer einem Domänencontroller deaktivieren. Deaktivieren Sie gegebenenfalls nicht den Domänencontroller mit dem globalen Katalog, es sei denn, es gibt Probleme.
  3. Entfernen Sie den Kerberos-Ticketcache auf dem Domänencontroller, auf dem die Fehler angezeigt werden. Dazu starten Sie den Computer neu oder verwenden die KLIST-, Kerbtest- oder KerbTray-Tools. KLIST ist in Windows Server 2008 und in Windows Server 2008 R2. Für Windows Server 2003 steht KLIST als kostenloser Download in den Windows Server 2003 Resource Kit Tools zur Verfügung.

  4. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*
    

    Eine Beschreibung dieses Befehls ist:

    • /s:<server> ist der Name des Domänencontrollers, der zum Festlegen des Computerkontokennworts verwendet werden soll. Es ist der Server, auf dem das KDC ausgeführt wird.

    • /ud:<domain\User> ist das Benutzerkonto, das die Verbindung mit der im Parameter angegebenen Domäne /s herstellen soll. Sie muss das Format "Domäne\Benutzer" haben. Wenn dieser Parameter nicht angegeben wird, wird das aktuelle Benutzerkonto verwendet.

    • /pd:* gibt das Kennwort des Benutzerkontos an, das im Parameter angegeben /ud ist. Verwenden Sie ein Sternchen (*) , um zur Eingabe des Kennworts aufgefordert zu werden. Der lokale Domänencontrollercomputer ist beispielsweise "Server1" und der Peer-Windows-Domänencontroller "Server2". Wenn Sie Netdom.exe Server1 mit den folgenden Parametern ausführen, wird das Kennwort lokal geändert und gleichzeitig auf Server2 geschrieben. Und die Replikation gibt die Änderung an andere Domänencontroller weiter:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*  
      
  5. Starten Sie den Server neu, dessen Kennwort geändert wurde. In diesem Beispiel ist dies "Server1".