Condividi tramite

Usare Netdom.exe per reimpostare le password dell'account del computer di un controller di dominio di Windows Server

  • Articolo

Questo articolo dettagliato descrive come usare Netdom.exe per reimpostare le password dell'account computer di un controller di dominio in Windows Server.

Numero KB originale: 325850

Riepilogo

Ogni computer basato su Windows gestisce una cronologia delle password dell'account computer che contiene le password correnti e precedenti usate per l'account. Quando due computer tentano di eseguire l'autenticazione tra loro e una modifica alla password corrente non viene ancora ricevuta, Windows si basa sulla password precedente. Se la sequenza di modifiche della password supera due modifiche, i computer coinvolti potrebbero non essere in grado di comunicare e potrebbero essere visualizzati messaggi di errore. Ad esempio, si ricevono messaggi di errore accesso negato quando si verifica la replica di Active Directory.

Questo comportamento si applica anche alla replica tra controller di dominio dello stesso dominio. Se i controller di dominio che non vengono replicati risiedono in due domini diversi, esaminare più attentamente la relazione di trust.

Non è possibile modificare la password dell'account del computer usando lo snap-in Utenti e computer di Active Directory. È tuttavia possibile reimpostare la password usando lo strumento Netdom.exe. Lo strumento Netdom.exe è incluso negli strumenti di supporto di Windows per Windows Server 2003 ed è integrato nelle versioni successive del sistema operativo.

Lo strumento Netdom.exe reimposta la password dell'account nel computer in locale (noto come segreto locale). Scrive questa modifica nell'oggetto account computer del computer in un controller di dominio Windows che si trova nello stesso dominio. La scrittura simultanea della nuova password in entrambe le posizioni garantisce che almeno i due computer coinvolti nell'operazione vengano sincronizzati. L'avvio della replica di Active Directory garantisce che altri controller di dominio ricevano la modifica.

La procedura seguente descrive come usare il comando netdom per reimpostare una password dell'account del computer. Questa procedura viene usata più di frequente nei controller di dominio, ma si applica anche a qualsiasi account computer Windows.

È necessario eseguire lo strumento in locale dal computer basato su Windows la cui password si desidera modificare. Inoltre, è necessario disporre delle autorizzazioni amministrative in locale e dell'oggetto dell'account computer in Active Directory per eseguire Netdom.exe.

Usare Netdom.exe per reimpostare una password dell'account del computer

  1. Installare gli strumenti di supporto di Windows Server 2003 nel controller di dominio la cui password si vuole reimpostare. Questi strumenti si trovano nella Support\Tools cartella del CD-ROM di Windows Server 2003. Per installare questi strumenti, fare clic con il pulsante destro del mouse sul file Suptools.msi nella Support\Tools cartella e quindi scegliere Installa.

    Note

    Questo passaggio non è necessario in Windows Server 2008, Windows Server 2008 R2 o versione successiva perché lo strumento Netdom.exe è incluso in queste edizioni di Windows.

  2. Se si vuole reimpostare la password per un controller di dominio Windows, è necessario arrestare il servizio Centro distribuzione chiavi Kerberos e impostarne il tipo di avvio su Manuale.

    Note

    • Dopo aver riavviato e verificato che la password sia stata reimpostata correttamente, è possibile riavviare il servizio Centro distribuzione chiavi Kerberos (KDC) e impostarne di nuovo il tipo di avvio su Automatico. In questo modo il controller di dominio con la password dell'account computer non corretto deve contattare un altro controller di dominio per un ticket Kerberos.
    • Potrebbe essere necessario disabilitare il servizio Centro distribuzione chiavi Kerberos in tutti i controller di dominio tranne uno. Se possibile, non disabilitare il controller di dominio con il catalogo globale, a meno che non si verifichino problemi.

  3. Rimuovere la cache dei ticket Kerberos nel controller di dominio in cui vengono visualizzati gli errori. È possibile farlo riavviando il computer o usando gli strumenti KLIST, Kerbtest o KerbTray. KLIST è incluso in Windows Server 2008 e versioni successive, KLIST è disponibile come download gratuito negli strumenti di Resource Kit di Windows Server 2003.

  4. Al prompt dei comandi digitare il comando seguente:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    Una descrizione di questo comando è:

    • /s:<server> è il nome del controller di dominio da usare per impostare la password dell'account del computer. È il server in cui è in esecuzione il KDC.

    • /ud:<domain\User> è l'account utente che stabilisce la connessione con il dominio specificato nel /s parametro . Deve essere in formato dominio\Utente. Se questo parametro viene omesso, viene usato l'account utente corrente.

    • /pd:* specifica la password dell'account utente specificato nel /ud parametro . Usare un asterisco (*) per richiedere la password. Ad esempio, il computer controller di dominio locale è Server1 e il controller di dominio Windows peer è Server2. Se si esegue Netdom.exe in Server1 con i parametri seguenti, la password viene modificata in locale e viene scritta contemporaneamente in Server2. La replica propaga la modifica ad altri controller di dominio:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. Riavviare il server la cui password è stata modificata. In questo esempio si tratta di Server1.