使用 Netdom.exe 重設 Windows Server 網域控制站的電腦帳戶密碼

本文逐步說明如何使用 Netdom.exe,在 Windows Server 中重設網域控制站的電腦帳戶密碼。

原始產品版本:   Windows Server 2019,Windows Server 2016,WIndows Server 2012 R2
原始 KB 編號:   325850

摘要

每個 Windows 電腦都會維護機器帳戶密碼記錄,其中包含帳戶所用的目前和舊密碼。 當兩部電腦嘗試相互驗證,且尚未收到目前密碼的變更時,Windows 會依賴先前的密碼。 如果密碼變更的順序超過兩個變更,則相關電腦可能無法通訊,而且可能會收到錯誤訊息。 例如,當發生 Active Directory 複寫時,您可能會收到「 拒絕存取 」錯誤訊息。

這種行為也適用于相同網域的網域控制站之間的複寫。 若未複製的網域控制站位於兩個不同的網域中,請進一步查看信任關係。

您無法使用 [Active Directory 使用者和電腦] 嵌入式管理單元變更機器帳戶密碼,但是您可以使用 Netdom.exe 工具來重設密碼。 Netdom.exe 工具組含在 windows Server 2003 的 Windows 支援工具、Windows Server 2008 R2 和 Windows Server 2008 中。

Netdom.exe 工具會在本機上重設帳戶密碼 (稱為 本機密碼) 並將此變更寫入位於相同網域中 Windows 網域控制站上的電腦電腦帳戶物件。 同時將新密碼寫入這兩個位置,可確保至少已同步處理作業中所包含的兩部電腦,並啟動 Active Directory 複寫,讓其他的網域控制站接收變更。

下列程式說明如何使用 netdom 命令重設機器帳戶密碼。 此程式在網域控制站上最為常用,但也適用于任何 Windows 電腦帳戶。

您必須在本機從您想要變更其密碼的 Windows 電腦上執行工具。 此外,您必須在本機及在 Active Directory 中電腦帳戶的物件上具有管理許可權,才可執行 Netdom.exe。

使用 Netdom.exe 重設機器帳戶密碼

  1. 在您要重設其密碼的網域控制站上安裝 Windows Server 2003 支援工具。 這些工具位於 Support\Tools [Windows Server 2003 CD-ROM] 的資料夾中。 若要安裝這些工具,請以滑鼠右鍵按一下資料夾中的 Suptools.msi 檔 Support\Tools ,然後按一下 [ 安裝]。

    注意

    Windows Server 2008、Windows Server 2008 R2 或更新版本中不需要此步驟,因為這些 Windows 版本中包含 Netdom.exe 工具。

  2. 若要重設 Windows 網域控制站的密碼,您必須停止 Kerberos 金鑰發佈中心服務,並將其啟動類型設為 [ 手動]。

    注意

    • 重新開機並確認已成功重設密碼之後,您可以重新開機 Kerberos 金鑰發佈中心 (KDC) 服務,並將其啟動類型改回 [自動]。 這會強制具有不正確的電腦帳戶密碼的網域控制站,以與另一個 Kerberos 票證的網域控制站聯繫。
    • 除了一個以外,您可能必須停用所有網域控制站上的 Kerberos 金鑰發佈中心服務。 如果您可以,請勿停用具有全域編目的網域控制站,除非有問題。
  3. 在您收到錯誤的網域控制站上移除 Kerberos 票證快取。 您可以重新開機電腦,或使用 KLIST、Kerbtest 或 KerbTray 工具來執行此動作。 KLIST 包含在 Windows Server 2008 和 Windows Server 2008 R2 中。 若為 Windows Server 2003,Windows Server 2003 資源套件工具提供 KLIST 的免費下載功能。

  4. 在命令提示字元處,輸入下列命令:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*
    

    此命令的描述如下:

    • /s:<server> 是用來設定機器帳戶密碼的網域控制站名稱。 這是 KDC 執行所在的伺服器。

    • /ud:<domain\User> 是使用者帳戶,用來建立與您在參數中指定之網域的連線 /s 。 這必須是網域 \ 使用者格式。 如果省略此參數,則會使用目前的使用者帳戶。

    • /pd:* 指定參數中所指定之使用者帳戶的密碼 /ud 。 使用星號 ( * ) 時,會提示您輸入密碼。 例如,本機的網域控制站電腦是 Server1,而對等 Windows 網域控制站是 Server2。 如果您在 Server1 上使用下列參數執行 Netdom.exe,密碼會在本地變更,並在 Server2 上同時寫入,而且複寫會將變更傳播到其他的網域控制站:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*  
      
  5. 重新開機已變更密碼的伺服器。 在此範例中,這是 Server1。