Active Directory 林恢复 - 重置 krbtgt 密码

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 2012 R2、Windows Server 2008 和 2008 R2

使用以下过程重置域的 krbtgt 密码。 以下过程适用于可写 DC，但不适用于只读域控制器 (RODC)。

重要

如果计划在林恢复期间联机恢复 RODC，请不要删除 RODC 的 krbtgt 帐户。 RODC 的 krbtgt 帐户以 krbtgt_number 格式列出。

如果在 DC 上使用自定义密码筛选器（例如 passfilt.dll），则在尝试重置 krbtgt 密码时可能会收到错误消息。 有关详细信息（包括解决方法），请参阅 Microsoft 知识库文章 2549833。

重置 krbtgt 密码

1. 选择“开始”，依次指向“控制面板”、“管理工具”，然后选择“Active Directory 用户和计算机”。
2. 选择“查看”，然后选择“高级功能”。
3. 在控制台树中，双击域容器，然后选择“用户”。
4. 在详细信息窗格中，右键单击“krbtgt”用户帐户，然后选择“重置密码”。
5. 在“新密码”中键入新密码，在“确认密码”中重新键入密码，然后选择“确定”。 指定的密码并不重要，因为系统会自动生成一个与指定的密码无关的强密码。

重要

应执行此操作两次。 当两次重置密钥发行中心服务帐户密码时，两次重置之间需要 10 小时的等待时间。 10 小时是默认的“用户票证的最长生命周期”和“服务票证的最长生命周期”策略设置，因此，在“最长生命周期”已更改的情况下，两次重置之间的最短等待时间应大于配置值。

注意

krbtgt 帐户的密码历史记录值为 2，这意味着它包括 2 个最新的密码。 通过两次重置密码，可以有效地从历史记录中清除所有旧密码，这样另一个 DC 就无法使用旧密码复制此 DC。

后续步骤

• AD 林恢复 - 先决条件
• AD 林恢复 - 设计自定义林恢复计划
• AD 林恢复 - 还原林的步骤
• AD 林恢复 - 确定问题
• AD 林恢复 - 确定如何恢复
• AD 林恢复 - 执行初始恢复
• AD 林恢复 - 过程
• AD 林恢复 - 常见问题解答 (FAQ)
• AD 林恢复 - 恢复多域林中的单个域
• AD 林恢复 - 重新部署剩余 DC
• AD 林恢复 - 虚拟化
• AD 林恢复 - 清理