La contraseña del Modo de Restauración de servicios de directorio (DSRM) se establece por primera vez al promocionar un nuevo Controlador de dominio. He encontrado muchos entornos de Active Directory en los que la contraseña de DSRM para los Controladores de dominio no se conoce o se almacena de forma segura para su recuperación cuando sea necesario.
Los controladores de dominio no tienen una cuenta de administrador local que se pueda usar para iniciar sesión localmente en cualquier momento, como en las estaciones de trabajo y los servidores. Cuando se produce un error de Active Directory en el Controlador de dominio, es posible que no pueda iniciar sesión en el servidor con sus credenciales de dominio para reparar Active Directory.
El Modo de restauración de servicios de directorio (DSRM) es una opción de arranque para un Controlador de dominio que le permite iniciar sesión en el servidor incluso cuando Active Directory ha fallado. Utilizará una cuenta similar a la cuenta de administrador local en una estación de trabajo o servidor. Para iniciar sesión en el Controlador de dominio después de iniciar sesión en DSRM, ingrese .\ administrator como nombre de usuario con la contraseña de DSRM, como se muestra en las imágenes de abajo. Esto lo registra localmente sin acceso a ningún recurso de dominio.
La contraseña de DSRM es única para cada Controlador de Dominio, por lo que debe pasar por el proceso de restablecimiento de contraseña de DSRM para cada Controlador de Dominio en su entorno. La contraseña de DSRM no se puede restablecer cuando el Controlador de dominio se inicia en DSRM.
Ahora le explicaré los pasos para restablecer la contraseña de DSRM.
NTDSUTIL
El comando NTDSUTIL se utiliza para restablecer la contraseña de DSRM. Esta utilidad se puede usar desde el símbolo del sistema y también funciona en Windows PowerShell.
Los pasos a seguir en el símbolo del sistema o Windows PowerShell son los siguientes:
- ntdsutil
- establecer contraseña de DSRM
Ahora verá el mensaje «Restablecer contraseña de administrador de DSRM».
En esta solicitud, puede elegir entre dos parámetros para completar el restablecimiento de contraseña de DSRM:
- Restablecer contraseña en el servidor %s
- Sincronizar desde la cuenta de dominio %s
Pasaré por los pasos con cada uno de estos parámetros para demostrar las diferencias entre ellos.
Restablecer contraseña en el servidor % s
Se puede especificar un nombre de Controlador de dominio remoto, lo que significa que se puede completar desde cualquier dispositivo que tenga instaladas las herramientas de servicios de Active Directory. %s es un marcador de posición para el nombre del servidor. Esto también se puede completar para el servidor local cuando se inicia sesión en un Controlador de dominio. Estos son algunos ejemplos:
Servidor remoto: restablecer contraseña en el servidor dcs001p01
Servidor local: restablecer contraseña en el servidor null
Ingrese la nueva contraseña de DSRM y repita para confirmar la nueva contraseña después de haber ingresado restablecer contraseña en el servidor %s. Ingrese q dos veces para salir de la utilidad NTDSUTIL.
Los pasos también se pueden ingresar en una sola línea, a excepción de la contraseña que aún debe ingresarse en las indicaciones.
ntdsutil «establecer contraseña dsrm» «restablecer contraseña en el servidor dcs001p01» «q «»q»
Sincronizar desde cuenta de dominio %s
Una opción alternativa es utilizar el parámetro sincronizar desde cuenta de dominio %s. %s es un marcador de posición para una cuenta de usuario de dominio. En lugar de especificar la contraseña de DSRM durante el proceso, sincronice la nueva contraseña de DSRM del Controlador de dominio local con la contraseña de la cuenta de usuario de dominio especificada.
Esta es una sincronización de contraseña de un solo uso al ejecutar el restablecimiento, la contraseña no se mantiene sincronizada con la cuenta de usuario. La contraseña de DSRM no cambiará cuando restablezca la contraseña de la cuenta de usuario. La contraseña de DSRM solo cambiará cuando complete el procedimiento de restablecimiento de contraseña de DSRM.
He creado una cuenta en mi dominio llamada svc-dc, he establecido una contraseña compleja (que quiero usar para mi contraseña de DSRM) y también he desactivado la cuenta. La cuenta no es miembro de ningún grupo distinto de los «Usuarios de dominio»predeterminados. La cuenta no se utilizará para ninguna otra tarea que se utilice para establecer la contraseña de DSRM en un Controlador de dominio.
Esto debe completarse localmente en el Controlador de dominio de destino. Este parámetro solo restablecerá la contraseña de DSRM en el servidor local, no puede especificar otro Controlador de dominio. Recibirá un error cuando el comando no se ejecute en un Controlador de dominio, como se muestra a continuación:
El comando de restablecimiento también se puede introducir con una sola línea:
ntdsutil «set dsrm password «»Sync from domain account svc-dc «» q «»q»
La ejecución del comando en un Controlador de dominio se completa correctamente sin más solicitudes. La contraseña de DSRM ahora se establece en la contraseña configurada en la cuenta de usuario del dominio. La próxima vez, solo puedo cambiar la contraseña de la cuenta de usuario del dominio y ejecutar el proceso de restablecimiento de contraseña de nuevo para actualizar la contraseña de DSRM en el Controlador de dominio.
Iniciar sesión en cada Controlador de dominio, sin embargo, puede llevar tiempo dependiendo del tamaño del entorno. La comunicación remota de Windows PowerShell permite ejecutar comandos de forma remota. Puedo usar Invoke-Command para ejecutar el restablecimiento de contraseña de DSRM en un Controlador de dominio remoto desde cualquier dispositivo.
Invoke-Command-ComputerName DCS001P01-ScriptBlock { ntdsutil «set dsrm password «»Sync from domain account svc-dc «» q «»q» }
Si planea usar la misma contraseña para todos los Controladores de dominio, el comando PowerShell se puede adaptar fácilmente para cambiar la contraseña de todos los Controladores de dominio del dominio.
Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }
También puede usar una cuenta de usuario separada para cada Controlador de dominio, lo que garantiza que la contraseña de DSRM sea diferente en cada Controlador de dominio. El comando PowerShell remoto se puede introducir en líneas separadas para cada combinación de Controlador de dominio y cuenta de usuario. Guarde el script para su uso posterior. En este ejemplo, he creado una cuenta para cada Controlador de dominio:
Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }
Ahora puedo realizar el restablecimiento en todos mis Controladores de dominio reutilizando el archivo .PS1 guardado en ISE de PowerShell. En mi próximo cambio de contraseña de DSRM, todo lo que necesito hacer es cambiar la contraseña de las cuentas de usuario y ejecutar el script de nuevo para actualizar la contraseña de DSRM en mis Controladores de dominio.
Tarea programada
Es posible configurar tareas programadas en los Controladores de dominio para restablecer la contraseña de DSRM automáticamente con el parámetro sincronizar desde cuenta de dominio %s.
La tarea se puede ejecutar diariamente para establecer la contraseña de DSRM sincronizándose con una cuenta de usuario de dominio. La contraseña de DSRM solo cambiará efectivamente cuando se cambie la contraseña de la cuenta de usuario. En mi próximo programa de cambio de contraseña de DSRM, todo lo que necesito hacer es cambiar las contraseñas de las cuentas de usuario y dejar que la tarea programada se encargue del resto.
Utilice este método con precaución!
La tarea programada se ejecutará en el Controlador de dominio con los permisos adecuados, sin supervisión. Si una persona no autorizada puede cambiar la contraseña de la cuenta de servicio de referencia, también está cambiando efectivamente la contraseña de DSRM, sin requerir ningún derecho de administrador de dominio.
Las cuentas de servicio deberán estar seguras y auditadas, lo que agrega gastos administrativos adicionales que, en mi opinión, superan los beneficios de usar una tarea programada para administrar los cambios de contraseña de DRSM.
Las tareas programadas pueden fallar, lo que puede provocar que la contraseña de DSRM no se cambie como se esperaba. Esto puede dar lugar a una situación en la que no pueda iniciar sesión en el Controlador de dominio en DSRM. Las tareas programadas deberán supervisarse de manera eficaz y pueden sumarse a los esfuerzos administrativos.