Active Directory 樹系復原 - 重設 krbtgt 密碼

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 2012 R2、Windows Server 2008 和 2008 R2

使用下列程式來重設網域的 krbtgt 密碼。 下列程序會套用可寫入的 DC,但不適用於唯讀網域控制站 (RODC)。

重要

如果您打算在樹系復原期間線上復原 RODC,請勿刪除 RODC 的 krbtgt 帳戶。 RODC 的 krbtgt 帳戶會以 krbtgt_number格式列出。

如果您在 DC 上使用自訂密碼篩選器 (例如 passfilt.dll) ,當您嘗試重設 krbtgt 密碼時,可能會收到錯誤。 如需詳細資訊,包括因應措施,請參閱 Microsoft 知識庫文章 2549833

重設 krbtgt 密碼

  1. 選取 [開始]、指向 [控制台]、[系統管理工具],然後選取 [Active Directory 使用者和電腦]
  2. 選取 [檢視],然後選取 [進階功能]
  3. 在主控台樹中,按兩下網域容器,然後選取 [使用者]
  4. 在詳細資料窗格中,以滑鼠右鍵按一下 krbtgt 使用者帳戶,然後選取 [重設密碼]Reset password
  5. 在 [新增密碼] 中,輸入新的密碼,在 [確認密碼] 中 重新輸入密碼,然後選取 [確定]。 您指定的密碼並不重要,因為系統會自動產生與您所指定密碼無關的強式密碼。

重要

您應該執行此作業兩次。 重設金鑰配送中心服務帳戶密碼兩次時,重設之間需要 10 小時的等候期間。 10 小時是使用者票證的預設 [最大存留期],[服務票證的最長存留期] 原則設定,因此在變更存留期上限的情況下,重設之間的最小等候期間應大於設定的值。

注意

krbtgt 帳戶的密碼歷程記錄值為 2,這表示它包含 2 個最新的密碼。 藉由重設密碼兩次,您就能有效地清除歷程記錄中的任何舊密碼,因此沒有辦法使用舊密碼來複寫其他 DC 與這個 DC。

下一步