Supportanfrage

Zurücksetzen von Computerkontokennwörtern eines Windows Server 2003-Domänencontrollers

von | 28.Dezember 2007

Zuletzt aktualisiert am von ProSoft Redaktion

Archiv

Darstellung des archivierten Beitrags

Dieser Beitrag wurde aus der Vorgängerversion der ProSoft Knowledge Base übernommen. Er wird im Archiv zur Verfügung gestellt und dient zur Recherche älterer Programmversionen bzw. früherer Fragestellungen.

Sie haben einen Domänencontroller zum Memberserver heruntergestuft und diesen aus der Domäne entfernt.
Nach Neuinstallation des Servers haben Sie diesen wieder in die Domäne aufgenommen und erneut zum Domänencontroller heraufgestuft.

Seit dem werden in Ihrer Ereignisanzeige Fehlermeldungen eingetragen, welche im Bezug auf Kerberos Probleme hindeuten.

Ursache:

Jeder Rechner mit einem Windows Betriebssystem führt eine Kennwortchronik, in welcher die aktuellen und früheren Kennwörter für das Computerkonto eingetragen sind. Wenn nun zwei Domänencontroller den Versuch unternehmen, sich gegenseitig zu authentifizieren – diese beiden Computer jedoch bisher noch kein geändertes Kennwort empfangen haben – so vertraut Windows dem vorherigen Kennwort.

In diesem Fall können die betroffenen Computer möglicherweise nicht miteinander kommunizieren und es werden dann eventuell Fehlermeldungen angezeigt (beispielsweise Fehlermeldungen über eine Zugriffsverweigerung bei der Active Directory-Replikation).

Dieses Verhalten tritt auch bei der Replikation zwischen Domänencontrollern auf, die der gleichen Domäne angehören.


Lösung:

Da das Kennwort für ein Computerkonto nicht mithilfe des Snap-Ins “Active Directory-Benutzer und -Computer” geändert werden kann, muss hierfür das Tool “Netdom.exe” ( aus den Windows-Supporttools ) verwendet werden.

Das Tool “Netdom.exe” setzt das Kontokennwort lokal auf dem Computer zurück (auch als “lokales Geheimnis” bekannt) und schreibt diese Änderung in das Computerkontoobjekt des Computers auf einem Windows-Domänencontroller, der sich in der gleichen Domäne befindet. Durch die gleichzeitige Eintragung des Kennworts auf beiden Computern wird sichergestellt, dass zumindest die beiden am Vorgang beteiligten Computer synchronisiert werden. Hierdurch wird außerdem die Active Directory-Replikation gestartet, damit die anderen Domänencontroller mit der Änderung aktualisiert werden.

Bitte beachten Sie hierzu:

  • dieser Lösungsansatz wird üblicherweise auf Domänencontroller angewendet, es ist jedoch auch auf beliebige Windows-Computerkonten anwendbar.
  • das Tool muss lokal auf dem Computer ausgeführt werden, dessen Kennwort Sie ändern möchten.
    Außerdem müssen Sie für den lokalen Computer sowie für das Computerkontoobjekt in Active Directory über Administratorberechtigungen verfügen

Um das Computerkontokennwort zurücksetzen zu können, gehen Sie bitte wie folgt vor:

  • Installieren Sie die Windows Supporttools auf dem Domänencontroller, dessen Kennwort Sie zurücksetzen möchten.
    Sie finden diese Supporttools im Ordner “SupportTools” auf dem Windows Server Datenträger.
    Starten Sie die Installation per Doppelklick auf die Datei “Suptools.msi
  • Müssen Sie das Kennwort für einen Domänencontroller zurücksetzen, so müssen Sie zuerst den Kerberos-Schlüsselverteilungscenter-Dienst stoppen und dessen Startmodus auf Manuell einstellen.

    Hinweis:
    Nachdem Sie den Computer neu gestartet und sich vergewissert haben, dass das Kennwort erfolgreich zurückgesetzt wurde, können Sie den Kerberos-Schlüsselverteilungscenter-Dienst neu starten und als Startmodus wieder Automatisch einstellen. Hierdurch wird der Domänencontroller mit dem falschen Computerkontokennwort dazu gezwungen, bei einem anderen Domänencontroller ein Kerberos-Ticket anzufordern.

  • öffnen Sie über START / Ausführen / cmd.exe eine Eingabeaufforderung
  • geben Sie folgenden Befehl ein:

    netdom resetpwd /s:Server /ud:DomäneBenutzer /pd:*

    Wobei

    /s:Server

    steht für den Namen des Domänencontrollers, der eingesetzt wird, um das Kennwort für das Computerkonto festzulegen.

    /ud:DomäneBenutzer
    steht für das Benutzerkonto, über das die Verbindung zu der Domäne hergestellt wird, die Sie im Parameter /s angegeben haben. Dieses Benutzerkonto muss im Format DomäneBenutzer angegeben werden. Wenn Sie diesen Parameter auslassen, wird das aktuelle Benutzerkonto verwendet.

    /pd:*
    gibt das Kennwort für das Benutzerkonto an, das durch den Parameter /ud festgelegt wurde.
    Wenn Sie ein Sternchen (*) verwenden, werden Sie nach dem Kennwort gefragt.

    Beispiel:
    Der lokale Computer (der neu heraufgestufte Domänencontroller) ist beispielsweise Server1
    Der Name des aktuellen Windows Domänencontrollers ist Server2.

    netdom resetpwd /s:server2 /ud:Meine Domäneadministrator /pd:*

    Führen Sie diesen Befehl auf Server1 aus, so wird das Kennwort lokal geändert und gleichzeitig auf Server2 geschrieben.
    Der Replikationsvorgang verbreitet die Änderung anschließend an andere Domänencontroller.

  • starten Sie den Server neu, dessen Kennwort geändert wurde.
    In diesem Beispiel ist dies Server1.

Seitenaufrufe

Bitte bewerten Sie diesen Beitrag!
[Gesamt: 0 | Durchschnitt: 0]