如何使用 Netdom.exe 重置 Windows Server 域控制器的機器帳戶密碼

如何使用 Netdom.exe 重置 Windows Server 域控制器的機器帳戶密碼
參考KB:https://support.microsoft.com/zh-cn/help/325850/how-to-use-netdom-exe-to-reset-machine-account-passwords-of-a-windows

適用於： Windows Server 2019, all versionsWindows Server 2016 StandardWindows Server 2012 R2 Standard 詳細

使用 Netdom.exe 重置機器帳戶密碼
概要
本文分步描述如何使用 Netdom.exe 在 Windows Server 中重置域控制器的機器帳戶密碼。

每臺基於 Windows 的計算機均會保留一個計算機帳戶密碼歷史記錄，其中包含用於該帳戶的當前和以前的密碼。 當兩臺計算機嘗試彼此進行身份驗證時，如果未接收到當前密碼更改，則 Windows 將依賴於以前的密碼。 如果密碼序列更改次數超過兩次，則涉及的計算機可能無法通信，並且你可能會收到錯誤消息。 例如，在發生 Active Directory 複製時可能會收到“拒絕訪問”錯誤消息。

此行爲也適用於同一域的域控制器之間的複製。 如果未複製的域控制器駐留在兩個不同的域中，請更密切地查看信任關係。

不能使用 Active Directory 用戶和計算機管理單元更改計算機帳戶密碼，但可以使用 Netdom.exe 工具重置密碼。 Netdom.exe 工具包含在 Windows Server 2003 的 Windows 支持工具中。 Netdom.exe 工具也包含在 Windows Server 2008 R2 和 Windows Server 2008 中。

Netdom.exe 工具可以本地重置計算機上的帳戶密碼（稱爲“本地密碼”），並將此更改寫入位於同一域中的 Windows 域控制器上的計算機的計算機帳戶對象。 同時將新密碼寫入兩個位置，確保對操作中涉及的至少兩臺計算機進行同步，並啓動 Active Directory 複製，以便其他域控制器接收更改。

以下過程描述瞭如何使用 netdom 命令重置計算機帳戶密碼 。 此過程最常用於域控制器，但也適用於任何 Windows 計算機帳戶。

你必須從想要更改其密碼的基於 Windows 的計算機本地運行該工具。 此外，必須具有本地和對 Active Directory 中的計算機帳戶對象的管理權限才能運行 Netdom.exe。

使用 Netdom.exe 重置機器帳戶密碼
在要重置其密碼的域控制器上安裝 Windows Server 2003 支持工具。 這些工具位於 Windows Server 2003 CD-ROM 上的 Support\Tools 文件夾中。 要安裝這些工具，請右鍵單擊 Support\Tools 文件夾中的 Suptools.msi 文件，然後單擊“安裝”。
注意在 Windows Server 2008 R2 和 Windows Server 2008 中不需要執行此步驟，因爲 Netdom.exe 工具包含在這些 Windows 版本中 。
如果要重置 Windows 域控制器的密碼，則必須停止 Kerberos 密鑰分發中心服務並將其啓動類型設置爲 “手動” 。

注意
重新啓動並驗證密碼已成功重置後，可以重新啓動 Kerberos 密鑰分發中心 (KDC) 服務並將其啓動類型設置回自動 。 這使得具有錯誤計算機帳戶密碼的域控制器聯繫另一個域控制器，以獲取 Kerberos 票證。
可能必須在所有域控制器（除一個外）上禁用 Kerberos 密鑰分發中心服務。 如果可以，請不要禁用具有全局目錄的域控制器，除非遇到問題。
刪除收到錯誤的域控制器上的 Kerberos 票證緩存。 可以通過重新啓動計算機或使用 KLIST、Kerbtes 或 KerbTray 工具來實現此目的。 Windows Server 2008 R2 和 Windows Server 2008 中均包含 KLIST。 在 Windows Server 2003 中，可以在 Windows Server 2003 Resource Kit Tools 中免費下載 KLIST。 要獲取此工具，請訪問下面的 Microsoft 網站：
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
在命令提示符下，鍵入以下命令：
netdom resetpwd /s:server /ud:domain\User /pd:
此命令的說明如下：
/s:server 是域控制器的名稱，該控制器用於設置機器帳戶密碼。 這是 KDC 正在其中運行的服務器。
/ud:domain\User 是用於連接至 /s 參數中指定的域的用戶帳戶。 該格式必須爲 domain\User 格式。 如果省略此參數，則使用當前用戶帳戶。
/pd: 用於指定 /ud 參數中指定的用戶帳戶的密碼。 使用星號 () 提示輸入密碼。
例如，本地域控制器計算機是 Server1，對等 Windows 域控制器爲 Server2。 如果在 Server1 上用以下參數運行 Netdom.exe，則會本地更改密碼並同時寫入到 Server2，並且複製會將更改傳播給其他域控制器：
netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:
重新啓動已更改密碼的服務器。 在本示例中，它是 Server1。