使用以下过程重置域的 krbtgt 密码。 以下过程适用于可写入 DC,但不适用于只读域控制器(RODC)。
Important
如果计划在林恢复期间恢复 RODC,请不要删除 RODC 的 krbtgt 帐户。 RODC 的 krbtgt 帐户以 krbtgt_number 格式列出。
如果在 DC 上使用自定义密码筛选器(例如 passfilt.dll),则在尝试重置 krbtgt 密码时可能会收到错误消息。 有关详细信息(包括解决方法)请参阅Microsoft知识库文章 2549833。
重置 krbtgt 密码
- 选择“ 开始”,指向 “控制面板”,指向 “管理工具”,然后选择“ Active Directory 用户和计算机”。
- 选择 “视图”,然后选择“ 高级功能”。
- 在控制台树中,双击域容器,然后选择“ 用户”。
- 在详细信息窗格中,右键单击 krbtgt 用户帐户,然后选择“ 重置密码”。
- 在 “新建密码”中,键入新密码,在 “确认密码”中重新键入密码,然后选择“ 确定”。 你指定的密码无关紧要,因为系统会自动生成一个强密码,与您指定的密码无关。
Important
应执行此操作两次。 必须在密码重置之间等待 10 小时。 10 小时是 用户票证的默认最长生存期 , 服务票证策略设置的最大生存期 ,因此,在最长生存期发生更改的情况下,重置之间的最小等待期应大于配置的值。
Note
krbtgt 帐户的密码历史记录值为 2,这意味着它包括两个最新的密码。 通过两次重置密码,可以有效地从历史记录中清除任何旧密码,确保不会有其他 DC 使用旧密码与此 DC 进行复制或同步。