Dieses Video bietet eine kurze Erläuterung des Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) auf einem Active Directory-Domänencontroller und zeigt, wie das DSRM-Administratorkennwort festgelegt wird. Das Kennwort kann manuell eingegeben oder mit dem Kennwort eines vorhandenen Domänennutzerkontos synchronisiert werden.
Hallo, mein Name ist David. Ich bin Principal Engineer bei Dell und zeige Ihnen heute, wie Sie das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus auf einem Active Directory Domain Controller festlegen. Der Verzeichnisdienst-Wiederherstellungsmodus – manchmal auch als Reparaturmodus für Verzeichnisdienste und allgemein als DSRM abgekürzt – ist ein spezieller Modus, in dem nur Domain Controller ausgeführt werden können. Dies ähnelt dem abgesicherten Modus auf einem normalen Windows-Computer, aber in DSRM werden Active Directory-Dienste wie der ADS-Dienst nicht ausgeführt.
Aus diesem Grund gibt es nur ein Benutzerkonto, bei dem Sie sich anmelden können, wenn Sie in DSRM starten, und das ist das Administratorkonto für den Verzeichnisdienst-Wiederherstellungsmodus. Das Kennwort für dieses Konto wird festgelegt, wenn ein Domänencontroller anfänglich hochgestuft wird, und dieses Kennwort läuft nie ab oder wird automatisch aktualisiert. Da Sie das Kennwort nur benötigen, wenn Sie DSRM starten müssen, was Sie normalerweise nicht tun müssen, ist es leicht zu vergessen.
In diesem Fall befinden Sie sich möglicherweise in der unangenehmen Situation, dass Sie einen Domänencontroller auf DSRM starten müssen und sich nicht anmelden können. Wenn Sie sich nicht sicher sind, ob das DSRM-Kennwort auf einem Domänencontroller in Ihrer Umgebung korrekt ist, empfiehlt es sich, es mithilfe des Verfahrens festzulegen, das ich Ihnen gleich zeige. Denken Sie daran, dass das Ändern des Kennworts nur unter normalen Windows-Betriebssystemen möglich ist. Sie können dies nicht ändern, während Sie sich in DSRM befinden. Um das Passwort festzulegen, verwenden wir das Tool "ntdsutil" und sobald wir es öffnen, geben wir "set dsrm password" ein. Dies sieht so aus, als ob dies der Ort sein könnte, an dem Sie das Passwort tatsächlich eingeben, aber das ist es nicht.
Dies ist nur die Eingabeaufforderung "DSRM-Administratorkennwort zurücksetzen". Um das Kennwort festzulegen, geben wir "reset password on server" und dann den Namen des Domain Controllers ein. Sie werden dann tatsächlich aufgefordert, das Kennwort einzugeben. Hier geben Sie also das gewünschte Kennwort ein und geben es zur Bestätigung erneut ein, wodurch das Kennwort erfolgreich festgelegt wird. Jetzt geben wir einfach 'q' ein, drücken die Eingabetaste und geben erneut 'q' ein, um ntdsutil zu verlassen. Anstatt das Kennwort manuell festzulegen, können Sie es nun mit dem Kennwort eines vorhandenen Domainkontos synchronisieren.
Dazu gehen Sie erneut in ntdsutil und geben erneut "reset dsrm password" ein, aber in diesem Fall synchronisieren wir das Kennwort mit einem vorhandenen Domainkonto, anstatt "reset password on server" und dann den Servernamen einzugeben. Wir geben also "sync from domain account" und dann den Namen eines Domainnutzerkontos ein – in diesem Fall "delladmin" – und legen das DSRM-Kennwort auf dasselbe wie das Kennwort für dieses Konto fest. Damit wird lediglich eine einmalige Synchronisierung durchgeführt.
Dieses Kennwort wird nicht synchronisiert. Wenn das Kennwort des entsprechenden Domänenkontos geändert wird, müssen Sie denselben Befehl ausführen, um es neu zu synchronisieren. Denken Sie daran, dass jeder Domain Controller über ein eigenes DSRM-Administratorkonto verfügt. Dieses Konto und sein Kennwort werden nicht in Active Directory repliziert. Daher wirkt sich das Festlegen des DSRM-Administratorkennworts auf einem Domänencontroller nicht auf das DSRM-Administratorkonto auf anderen Domänencontrollern aus. Ich hoffe, dass dieses Video nützlich war. Mein Name ist David. Ich bin Principal Engineer bei Dell. Vielen Dank für Ihre Aufmerksamkeit.
