Sådan nulstilles adgangskoden til katalogtjeneste (Dsrm)

adgangskoden til katalogtjenester (Dsrm) indstilles først, når du promoverer en ny domænecontroller. Jeg har stødt på mange Active Directory-miljøer, hvor dsrm-adgangskoden til Domænecontrollerne ikke er kendt eller sikkert gemt til hentning, når det er nødvendigt.

domænecontrollere har ikke en lokal administratorkonto, der kan bruges til at logge på lokalt til enhver tid, ligesom du har på arbejdsstationer og servere. Når der er en Active Directory-fejl på domænecontrolleren, kan du muligvis ikke logge på serveren ved hjælp af dine domæneoplysninger til at reparere Active Directory.

Directory Services Restore Mode (DSRM) er en opstartsmulighed for en domænecontroller, der giver dig mulighed for at logge på serveren, selv når Active Directory er mislykket. Du bruger en konto, der ligner den lokale administratorkonto på en arbejdsstation eller server. For at logge på domænecontrolleren efter start i DSRM skal du indtaste .\ administrator som brugernavn med dsrm-adgangskoden, som vist på billederne nedenfor. Dette logger dig lokalt uden adgang til domæneressourcer.

Login skærm

logget ind med dsrm adgangskode

dsrm-adgangskoden er unik for hver domænecontroller, så du er nødt til at gennemgå dsrm-nulstillingsprocessen for hver domænecontroller i dit miljø. Dsrm-adgangskoden kan ikke nulstilles, når domænecontrolleren startes i DSRM.

jeg vil nu tage dig gennem trinene for at nulstille dsrm-adgangskoden.

NTDSUTIL

ntdsutil-kommandoen bruges til at nulstille dsrm-adgangskoden. Dette værktøj kan bruges fra kommandoprompt og fungerer også i vinduer.

trinene, der skal følges i kommandoprompt eller vinduer, er som følger:

  • ntdsutil
  • Indstil dsrm-adgangskode

du vil nu se prompten “Nulstil Dsrm-administratoradgangskode”.

Nulstil dsrm Administrator adgangskode prompt

ved denne prompt har du et valg mellem to parametre for at fuldføre dsrm Adgangskode nulstilling:

  • Nulstil adgangskode på serveren %s
  • Synkroniser fra domænekonto %s

jeg vil gennemgå trinnene med hver af disse parametre for at demonstrere forskellene mellem dem.

Nulstil adgangskode på serveren %s

et eksternt Domænecontrollernavn kan specificeres, hvilket betyder, at dette kan udfyldes fra enhver enhed, der har Active Directory Services-værktøjerne installeret. %s er en pladsholder for servernavnet. Dette kan også udføres for den lokale server, når du er logget på en domænecontroller. Her er nogle eksempler:

fjernserver: Nulstil adgangskode på server dcs001p01

lokal server: Nulstil adgangskode på server null

Indtast den nye dsrm-adgangskode, og gentag for at bekræfte den nye adgangskode, efter at du har indtastet Nulstil adgangskode på server %s.

Nulstil adgangskode på server dcs001p01

Nulstil adgangskode på server null

trinene kan også indtastes i en enkelt linje, bortset fra den adgangskode, der stadig skal indtastes ved anvisningerne.

ntdsutil “Indstil dsrm-adgangskode “”Nulstil adgangskode på server dcs001p01” “s “”s”

synkronisering fra domænekonto %s

en alternativ mulighed er at bruge parameteren synkronisering fra domænekonto %s. %s er en pladsholder for en domænebrugerkonto. I stedet for at angive dsrm-adgangskoden under processen synkroniserer du den nye dsrm-adgangskode til den lokale domænecontroller med adgangskoden til den angivne domænebrugerkonto.

dette er en engangsadgangskodesynkronisering, når du udfører nulstillingen, holdes adgangskoden ikke synkroniseret med brugerkontoen. Dsrm-adgangskoden ændres ikke, når du nulstiller brugerkontoadgangskoden. Dsrm-adgangskoden ændres kun, når du er færdig med dsrm-nulstillingsproceduren.

jeg har oprettet en konto i mit domæne kaldet svc-dc, indstillet en kompleks adgangskode (som jeg vil bruge til min dsrm-adgangskode) og også deaktiveret kontoen. Kontoen er ikke medlem af andre grupper end standard “domænebrugere”. Kontoen bruges ikke til andre opgaver, der bruges til at indstille dsrm-adgangskoden på en domænecontroller.

dette skal udfyldes lokalt på måldomænecontrolleren. Denne parameter nulstiller kun dsrm-adgangskoden på den lokale server, du kan ikke angive en anden domænecontroller. Du vil modtage en fejl, når kommandoen ikke udføres på en domænecontroller, som vist nedenfor:

synkronisering af adgangskode mislykkedes. Bekræft, at
kildekontoen er en brugerkonto i Active Directory-domænet.
kildekontoen er ikke markeret som kræver smartcard til Interaktiv logon.
kildekontoen er ikke udløbet.
adgangskoden til kildekontoen er ikke udløbet.
VIND32 fejlkode: 0h32
fejlmeddelelse: anmodningen understøttes ikke.

nulstillingskommandoen kan også indtastes med en enkelt linje:

ntdsutil “Indstil dsrm-adgangskode “”Synkroniser fra domænekonto svc-dc “” k “”k”

kørsel af kommandoen på en domænecontroller afsluttes med succes uden yderligere anmodninger. Dsrm-adgangskoden er nu indstillet til den adgangskode, der er konfigureret på domænebrugerkontoen. Næste gang kan jeg bare ændre adgangskoden til domænebrugerkontoen og køre processen med nulstilling af adgangskode igen for at opdatere dsrm-adgangskoden på domænecontrolleren.

det kan dog tage tid at logge på hver domænecontroller afhængigt af miljøets størrelse. Remoting giver mulighed for at køre kommandoer eksternt. Jeg kan bruge Invoke-kommando til at udføre dsrm Adgangskode nulstilling på en ekstern domænecontroller fra enhver enhed.

Invoke-Command-Computernavn DCS001P01-ScriptBlock { ntdsutil “Indstil dsrm-adgangskode “”synkronisering fra domænekonto svc-dc “” s “”s” }

hvis du planlægger at bruge den samme adgangskode til alle domænecontrollere, kan kommandoen let tilpasses til at ændre adgangskoden på alle domænecontrollere i domænet.

Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }

du kan også bruge en separat brugerkonto til hver domænecontroller og sikre, at dsrm-adgangskoden er forskellig på hver domænecontroller. Kommandoen fjernbetjening kan derefter indtastes på separate linjer for hver domænecontroller og brugerkontokombination. Gem scriptet til senere brug. I dette eksempel har jeg oprettet en konto for hver domænecontroller:

Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }

jeg kan nu udføre nulstillingen på alle mine domænecontrollere ved at genbruge den gemte .PS1-fil. Ved min næste ændring af dsrm-adgangskode er alt, hvad jeg skal gøre, at ændre adgangskoden til brugerkonti og køre scriptet igen for at opdatere dsrm-adgangskoden på mine domænecontrollere.

planlagt opgave

det er muligt at konfigurere planlagte opgaver på Domænecontrollerne for automatisk at nulstille dsrm-adgangskoden med parameteren sync from domain account %s.

opgaven kan udføres dagligt for at indstille dsrm-adgangskoden ved at synkronisere med en domænebrugerkonto. Dsrm-adgangskoden ændres effektivt kun, når brugerkontoadgangskoden ændres. På min næste tidsplan for ændring af dsrm-adgangskode er alt, hvad jeg skal gøre, at ændre adgangskoder til brugerkonti og lade den planlagte opgave tage sig af resten.

Brug denne metode med forsigtighed!

den planlagte opgave kører på domænecontrolleren med de relevante tilladelser uden opsyn. Hvis en uautoriseret person kan ændre adgangskoden til referencetjenestekontoen, ændrer de effektivt også dsrm-adgangskoden uden at kræve Domæneadministratorrettigheder.

servicekontiene skal sikres og revideres, hvilket tilføjer yderligere administrative omkostninger, som efter min mening opvejer fordelene ved at bruge en planlagt opgave til at administrere DRSM-adgangskodeændringer.

planlagte opgaver kan mislykkes, hvilket kan resultere i, at dsrm-adgangskoden ikke ændres som forventet. Dette kan resultere i en situation, hvor du ikke kan logge på domænecontrolleren i DSRM. De planlagte opgaver skal overvåges effektivt og kan tilføjes til den administrative indsats.



+