Usar Netdom.exe para restablecer las contraseñas de cuentas de equipo de un controlador de dominio de Windows Server

En este artículo paso a paso se describe cómo usar Netdom.exe para restablecer las contraseñas de cuentas de equipo de un controlador de dominio en Windows Server.

Versión original del producto:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número KB original:   325850

Resumen

Cada equipo basado en Windows mantiene un historial de contraseñas de cuenta de equipo que contiene las contraseñas actuales y anteriores que se usan para la cuenta. Cuando dos equipos intentan autenticarse entre sí y aún no se recibe un cambio en la contraseña actual, Windows se basa en la contraseña anterior. Si la secuencia de cambios de contraseña supera dos cambios, es posible que los equipos implicados no puedan comunicarse y que reciba mensajes de error. Por ejemplo, recibe mensajes de error de acceso denegado cuando se produce la replicación de Active Directory.

Este comportamiento también se aplica a la replicación entre controladores de dominio del mismo dominio. Si los controladores de dominio que no se replican residen en dos dominios diferentes, mire la relación de confianza con más atención.

No puede cambiar la contraseña de la cuenta del equipo mediante el complemento Usuarios y equipos de Active Directory. Pero puedes restablecer la contraseña mediante la herramienta Netdom.exe usuario. La herramienta Netdom.exe se incluye en las herramientas de soporte técnico de Windows para Windows Server 2003, Windows Server 2008 R2 y Windows Server 2008.

La herramienta Netdom.exe restablece la contraseña de la cuenta en el equipo localmente (conocido como secreto local). Escribe este cambio en el objeto de cuenta de equipo del equipo en un controlador de dominio de Windows que está en el mismo dominio. Al escribir simultáneamente la nueva contraseña en ambos lugares, se garantiza que se sincronicen al menos los dos equipos implicados en la operación. E iniciar la replicación de Active Directory garantiza que otros controladores de dominio reciban el cambio.

El siguiente procedimiento describe cómo usar el comando netdom para restablecer la contraseña de una cuenta de equipo. Este procedimiento se usa con más frecuencia en controladores de dominio, pero también se aplica a cualquier cuenta de equipo de Windows.

Debes ejecutar la herramienta localmente desde el equipo basado en Windows cuya contraseña quieras cambiar. Además, debe tener permisos administrativos localmente y en el objeto de la cuenta de equipo en Active Directory para ejecutar Netdom.exe.

Usar Netdom.exe para restablecer la contraseña de una cuenta de equipo

  1. Instale las herramientas de soporte técnico de Windows Server 2003 en el controlador de dominio cuya contraseña desea restablecer. Estas herramientas se encuentran en la Support\Tools carpeta del CD-ROM de Windows Server 2003. Para instalar estas herramientas, haga clic con el botón Suptools.msi archivo en la carpeta y, a Support\Tools continuación, seleccione Instalar.

    Nota

    Este paso no es necesario en Windows Server 2008, Windows Server 2008 R2 o una versión posterior porque la herramienta Netdom.exe se incluye en estas ediciones de Windows.

  2. Si desea restablecer la contraseña de un controlador de dominio de Windows, debe detener el servicio del Centro de distribución de claves Kerberos y establecer su tipo de inicio en Manual.

    Nota

    • Después de reiniciar y comprobar que la contraseña se ha restablecido correctamente, puede reiniciar el servicio del Centro de distribución de claves Kerberos (KDC) y volver a establecer su tipo de inicio en Automático. Esto obliga al controlador de dominio que tiene la contraseña de la cuenta de equipo incorrecta a ponerse en contacto con otro controlador de dominio para obtener un vale Kerberos.
    • Es posible que tenga que deshabilitar el servicio del Centro de distribución de claves Kerberos en todos los controladores de dominio excepto uno. Si puede, no deshabilite el controlador de dominio que tiene el catálogo global, a menos que tenga problemas.
  3. Quite la caché de vales Kerberos en el controlador de dominio donde recibe los errores. Puede hacerlo reiniciando el equipo o usando las herramientas KLIST, Kerbtest o KerbTray. KLIST se incluye en Windows Server 2008 y en Windows Server 2008 R2. Para Windows Server 2003, KLIST está disponible como descarga gratuita en las herramientas del kit de recursos de Windows Server 2003.

  4. En un símbolo del sistema, escriba el siguiente comando:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*
    

    Una descripción de este comando es:

    • /s:<server> es el nombre del controlador de dominio que se va a usar para establecer la contraseña de la cuenta del equipo. Es el servidor donde se ejecuta KDC.

    • /ud:<domain\User> es la cuenta de usuario que establece la conexión con el dominio especificado en el /s parámetro. Debe estar en formato dominio\Usuario. Si se omite este parámetro, se usa la cuenta de usuario actual.

    • /pd:* especifica la contraseña de la cuenta de usuario especificada en el /ud parámetro. Use un asterisco (*) para que se le pida la contraseña. Por ejemplo, el equipo del controlador de dominio local es Servidor1 y el controlador de dominio de Windows del mismo nivel es Servidor2. Si ejecuta una Netdom.exe en el Servidor1 con los siguientes parámetros, la contraseña se cambia localmente y se escribe simultáneamente en el servidor 2. Y la replicación propaga el cambio a otros controladores de dominio:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*  
      
  5. Reinicie el servidor cuya contraseña se ha cambiado. En este ejemplo, es Server1.