Domain Controller Bilgisayar Hesabı Şifresi Nasıl Resetlenir

Domain Controller Bilgisayar Hesabı Şifresi Nasıl Resetlenir...
Bir windows tabanlı bilgisayarı etki alanına (domain) kattığınızda etki alanı veritabanında bu bilgisayar için bir hesap yaratılır. Aynı anda kimlik denetimi (authentication) güvenliğinin olması için bu hesap için bir de şifre (LSA Secret) oluşturulur. Bu şifre hem bilgisayar üzerinde hem de etki alanı veritabanında saklanır.

Güvenlik nedeni ile bu şifre, ait olduğu bilgisayar tarafından belli aralıklar ile değiştirilir. Varsayılan olarak bu süre 30 gündür. Bilgisayar, şifre geçmişinde (password history) geçerli şifreyi ve bir önceki şifreyi tutar. Bilgisayar şifreyi değiştirdiğinde, sunucu veya diğer etki alanı bilgisayarı ile kimlik denetimi yaparken sunucu bu değişikliği henüz algılamadığı için bir önceki şifreyi kullanır ve kimlik denetimi başarılı bir şekilde yapılır. İşlemler sonrasında da şifre değişikliği sunucuya aktarılır.


Eğer bilgisayar etki alanına dahil olduğu halde kimlik denetimini başarıyla yapamıyorsa bu şifre ile ilgili sorun olabilir. Sorun bu bilgisayarın 2 şifre değişikliği süresince senkronize olamamasından veya bu bilgisayar üzerine eski bir system state yedekten geri dönüş yapmış olmanızdan kaynaklanabilir. Yani sorun etki alanında saklanan şifreler ile yerel bilgisayar üzerindeki şifrelerin aynı olmamasından kaynaklanmaktadır. Böyle bir durumda aşağıdaki belirtilerden bir kaçı oluşabilir.


• Bilgisayara etki alanı kullanıcısı ile logon olamazsınız.
• Etki alanındaki bilgisayarlardan, command prompt’da Net view \\bilgisayaradi komutunu çalıştırdığınıca Access is denied mesajı alırsınız.
• Sorunlu bilgisayar bir etki alanı sunucusu (domain controller) ise (system state restore sonrası bu sorun yaşanabilir), veritabanının bir kopyasını taşıdığı için sunucuya etki alanı kullanıcısı ile oturum açabilirsiniz (logon). Fakat diğer etki alanı sunucuları (DC) ile replikasyon yapamayacaktır, kullanıcılar bu sunucu üzerinden kimlik denetimi yapamayacaklardır.


Peki ama bu sorunu ne şekilde çözülebilir?
Bu sorunu bilgisayarı domainden çıkarıp tekrar dahil ederek çözebilirsiniz. Fakat bu çözümü, sorunlu makine etki alanı sunucusu (DC) ise yapamazsınız. Etki alanı sunucusunun ayağa kaldırılmasında veya etki alanındaki bilgisayar hesabının değişmesini istemediğiniz durumlarda bilgisayar hesabını resetleyerek sorunu kolayca çözebilirsiniz.


Bilgisayar şifresini resetlemek için Netdom.exe’yi kullanacağız. Netdom.exe şifreyi yerel bilgisayar üzerinde ve etki alanı veritabanında aynı anda resetler. Dolayısıyla bundan sonra kimlik denetimde her iki tarafın bildiği bu şifre kullanılacaktır. Netdom.exe ile uzak makinenin şifresini resetleyemezsiniz, makine üzerinde çalıştırmanız gerekmektedir.


1. Şifresini resetlemek istediğiniz bilgisayar üzerine Windows Support Tools kurunuz.


2. Eğer bu makine Etki alanı sunucusu ise KDC (Key distribution center service) servisini durdurup, başlangıç tipini manuel konuma alın. 3. adım sonrasında başlatıp tekrar Automatic olarak ayarlayın.

3. Command Prompt’u çalıştırın ve aşağıdaki komutu yazın.

netdom resetpwd /server:Replication_Partner_Server_Name /userd:domainname\administrator_id /passwordd:*

Replication_Partner_Server_Name: PDC makinenin ismini girin.


* : Şifreyi gizli olarak girmenizi sağlar.


4. Bilgisayarı yeniden başlatın.