het DSRM-wachtwoord (Directory Services Restore Mode) wordt eerst ingesteld bij het promoten van een nieuwe domeincontroller. Ik ben veel Active Directory-omgevingen tegengekomen waar het DSRM-wachtwoord voor de domeincontrollers niet bekend is of veilig is opgeslagen voor het ophalen wanneer dat nodig is.
domeincontrollers hebben geen lokaal administratoraccount dat gebruikt kan worden om op elk moment lokaal in te loggen, zoals op werkstations en servers. Als er een Active Directory-fout optreedt op de domeincontroller, kunt u zich mogelijk niet aanmelden bij de server met uw domeinreferenties om Active Directory te repareren.
Directory Services Restore Mode (DSRM) is een opstartoptie voor een domeincontroller, waarmee u zich kunt aanmelden op de server, zelfs als Active Directory is mislukt. U gebruikt een account dat vergelijkbaar is met het lokale administratoraccount op een werkstation of server. Als u zich wilt aanmelden bij de domeincontroller na het starten in DSRM, voert u in .\ administrator als de gebruikersnaam met het DSRM wachtwoord, zoals weergegeven in de afbeeldingen hieronder. Hiermee wordt u lokaal aangemeld zonder toegang tot domeinbronnen.
het DSRM-wachtwoord is uniek voor elke domeincontroller en daarom moet u voor elke domeincontroller in uw omgeving het resetproces van het DSRM-wachtwoord doorlopen. Het DSRM-wachtwoord kan niet opnieuw worden ingesteld wanneer de domeincontroller wordt gestart in DSRM.
ik neem u nu mee door de stappen om het DSRM-wachtwoord te resetten.
NTDSUTIL
het commando NTDSUTIL wordt gebruikt om het DSRM-wachtwoord te resetten. Dit hulpprogramma kan worden gebruikt vanaf de opdrachtprompt en werkt ook in Windows PowerShell.
de te volgen stappen in de opdrachtprompt of Windows PowerShell zijn als volgt:
- ntdsutil
- set dsrm password
u ziet nu de prompt” Reset DSRM Administrator Password”.
op deze prompt hebt u de keuze tussen twee parameters om het reset van het DSRM-wachtwoord te voltooien:
- Reset wachtwoord op server %s
- Sync from domain account %s
Ik zal de stappen met elk van deze parameters doorlopen om de verschillen tussen deze parameters aan te tonen.
wachtwoord opnieuw instellen op server %s
een externe Domeincontrollernaam kan worden opgegeven, wat betekent dat dit kan worden voltooid vanaf elk apparaat dat de Active Directory Services-tools heeft geïnstalleerd. %s is een plaatshouder voor de servernaam. Dit kan ook worden voltooid voor de lokale server wanneer u bent aangemeld bij een domeincontroller. Hier zijn enkele voorbeelden:
server op afstand: wachtwoord opnieuw instellen op server dcs001p01
lokale server: wachtwoord opnieuw instellen op server null
voer het nieuwe DSRM-wachtwoord in en herhaal dit om het nieuwe wachtwoord te bevestigen nadat u het wachtwoord opnieuw instellen op server %s hebt ingevoerd. voer q tweemaal in om het NTDSUTIL-hulpprogramma te verlaten.
de stappen kunnen ook worden ingevoerd in een enkele regel, met uitzondering van het wachtwoord dat nog moet worden ingevoerd op de aanwijzingen.
ntdsutil “set dsrm password” “reset password on server dcs001p01 “”q” “q”
synchroniseren van domeinaccount %s
een alternatieve optie is om de parameter synchroniseren van domeinaccount %s te gebruiken. %s is een plaatshouder voor een domeingebruikersaccount. In plaats van tijdens het proces het DSRM-wachtwoord op te geven, synchroniseert u het nieuwe DSRM-wachtwoord van de lokale domeincontroller met het wachtwoord van het opgegeven domeingebruikersaccount.
dit is een eenmalige Wachtwoordsynchronisatie bij het uitvoeren van de reset, het wachtwoord wordt niet gesynchroniseerd met het gebruikersaccount. Het DSRM-wachtwoord verandert niet wanneer u het wachtwoord van uw gebruikersaccount opnieuw instelt. Het DSRM-wachtwoord wordt alleen gewijzigd wanneer u de procedure voor het opnieuw instellen van het DSRM-wachtwoord hebt voltooid.
ik heb een account aangemaakt in mijn domein genaamd svc-dc, een complex wachtwoord ingesteld (dat Ik wil gebruiken voor mijn DSRM-wachtwoord) en ook het account uitgeschakeld. Het account is geen lid van een andere groep dan de standaard “Domeingebruikers”. Het account wordt niet gebruikt voor andere taken die worden gebruikt om het DSRM-wachtwoord op een domeincontroller in te stellen.
dit moet lokaal worden ingevuld op de doeldomeincontroller. Deze parameter reset alleen het DSRM-wachtwoord op de lokale server, U kunt geen andere domeincontroller opgeven. U ontvangt een fout wanneer de opdracht niet wordt uitgevoerd op een domeincontroller, zoals hieronder weergegeven:
het bronaccount een gebruikersaccount is in het Active Directory-domein.
het bronaccount is niet gemarkeerd als smartcard vereist voor interactieve aanmelding.
het bronaccount is niet verlopen.
het wachtwoord van het bronaccount is niet verlopen.
WIN32 foutcode: 0x32
Foutmelding: het verzoek wordt niet ondersteund.
het reset commando kan ook worden ingevoerd met een enkele regel:
ntdsutil “set dsrm password “”Sync from domain account svc-dc “”q” “q”
het uitvoeren van de opdracht op een domeincontroller is succesvol afgerond zonder verdere aanwijzingen. Het DSRM-wachtwoord is nu ingesteld op het wachtwoord dat is geconfigureerd op het domeingebruikersaccount. De volgende keer kan ik gewoon het wachtwoord van de domeingebruikersaccount wijzigen en het wachtwoord resetproces opnieuw uitvoeren om het DSRM-wachtwoord op de domeincontroller bij te werken.
het inloggen op elke domeincontroller kan echter tijd kosten, afhankelijk van de grootte van de omgeving. Windows PowerShell Remoting biedt de mogelijkheid om opdrachten op afstand uit te voeren. Ik kan Invoke-Command gebruiken om de DSRM-wachtwoordreset uit te voeren op een externe domeincontroller vanaf elk apparaat.
Invoke-Command-ComputerName DCS001P01-ScriptBlock { ntdsutil “set dsrm password” “Sync from domain account svc-dc “”q” “q” }
Als u van plan bent om hetzelfde wachtwoord te gebruiken voor alle domeincontrollers, dan kan de PowerShell-opdracht eenvoudig worden aangepast om het wachtwoord van alle domeincontrollers in het domein te wijzigen.
Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }
u kunt ook een afzonderlijk gebruikersaccount gebruiken voor elke domeincontroller, zodat het DSRM-wachtwoord op elke domeincontroller anders is. De remote PowerShell opdracht kan vervolgens worden ingevoerd op afzonderlijke regels voor elke domeincontroller en gebruikersaccount combinatie. Sla het script op voor later gebruik. In dit voorbeeld heb ik voor elke domeincontroller een account aangemaakt:
Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }ik kan nu de reset uitvoeren op al mijn domeincontrollers door het opgeslagen .PS1-bestand opnieuw te gebruiken in PowerShell ISE. Bij mijn volgende wijziging van het DSRM-wachtwoord hoef ik alleen het wachtwoord van de gebruikersaccounts te wijzigen en het script opnieuw uit te voeren om het DSRM-wachtwoord op mijn domeincontrollers bij te werken.
geplande taak
het is mogelijk om geplande taken op de domeincontrollers te configureren om het DSRM-wachtwoord automatisch te resetten met de parameter synchronisatie van domeinaccount %s.
de taak kan dagelijks worden uitgevoerd om het DSRM-wachtwoord in te stellen door te synchroniseren met een domeingebruikersaccount. Het DSRM-wachtwoord wordt alleen gewijzigd wanneer het wachtwoord van het gebruikersaccount wordt gewijzigd. Op mijn volgende DSRM wachtwoord wijzigen schema, alles wat ik moet doen is de wachtwoorden van de gebruikersaccounts te wijzigen en laat de geplande taak zorgen voor de rest.
wees voorzichtig met deze methode!
de geplande taak wordt zonder toezicht uitgevoerd op de domeincontroller met de juiste machtigingen. Als een onbevoegde persoon het wachtwoord van het referentieserviceaccount kan wijzigen, wijzigt hij in feite ook het DSRM-wachtwoord, zonder dat hij Domeinbeheerrechten nodig heeft.
de serviceaccounts moeten worden beveiligd en gecontroleerd, wat extra administratieve overhead toevoegt die naar mijn mening zwaarder weegt dan de voordelen van het gebruik van een geplande taak om de drsm-wachtwoordwijzigingen te beheren.
geplande taken kunnen mislukken, wat ertoe kan leiden dat het DSRM-wachtwoord niet wordt gewijzigd zoals verwacht. Dit kan resulteren in een situatie waarin u zich niet kunt aanmelden bij de domeincontroller in DSRM. De geplande taken moeten effectief worden gemonitord en kunnen de administratieve inspanningen vergroten.
