내용을 각각의 Windows 기반 컴퓨터는 계정에 사용되는 현재 암호와 이전 암호를 포함하는 컴퓨터 계정 암호 사용 기록을 유지 관리한다.
두 컴퓨터가 서로를 인증하려고 할 때 현재 암호에 대한 변경 내용을 아직 받지 못했다면 Windows는 이전 암호를 따른다. 암호가 연속적으로 3번 이상 변경되면 관련 컴퓨터는 서로 통신할 수 없고 오류 메시지가 나타날 수 있다.
예를 들어, Active Directory 복제가 발생할 때 "액세스가 거부되었습니다"라는 내용의 오류 메시지가 나타날 수 있다.
이 문제는 같은 도메인에 있는 도메인 컨트롤러 간의 복제에서도 나타날 수 있다.
복제 중이지 않은 도메인 컨트롤러가 다른 두 도메인에 있는 경우 트러스트 관계를 더 자세히 조사해야 한다.
Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 컴퓨터 계정 암호를 변경할 수 없지만 Netdom.exe 도구를 사용하면 암호를 다시 설정할 수 있다.
Netdom.exe 도구는 Windows 지원 도구에 포함된다.
Netdom.exe 도구는 컴퓨터의 계정 암호를 로컬로 다시 설정하고("local secret"이라고도 함) 같은 도메인에 있는 Windows 도메인 컨트롤러에 컴퓨터 계정 개체에 대한 이 변경 내용을 기록한다.
동시에 두 위치에 새 암호를 기록하면 작업에 관련된 최소 두 대의 컴퓨터가 동기화 되고 다른 도메인 컨트롤러가 변경 내용을 받을 수 있도록 Active Directory 복제가 시작된다.
다음 절차는 netdom 명령을 사용하여 컴퓨터 계정 암호를 다시 설정하는 방법을 설명한다. 이 절차는 도메인 컨트롤러에서 가장 일반적으로 사용되지만 모든 Windows 컴퓨터 계정에도 적용된다.
암호를 변경하려는 Windows 기반 컴퓨터에서 도구를 로컬로 실행해야 한다. 또한 Netdom.exe를 실행하려면 Active Directory의 컴퓨터 계정 개체에 대한 로컬 관리 권한이 있어야 한다.
Netdom.exe를 사용하여 컴퓨터 계정 암호 다시 설정.
1. 암호를 다시 설정하려는 도메인 컨트롤러에서 Windows Server 2003 지원 도구를 설치한다.
이 도구는 Windows Server 2003 CD-ROM의 Support\Tools 폴더에 있다. 이 도구를 설치하려면 Support\Tools 폴더에서 Suptools.msi 파일을 마우스 오른쪽 단추로 누른 다음 설치를 누른다.
2. Windows 도메인 컨트롤러의 암호를 다시 설정하려면 Kerberos 키 배포 센터 서비스를 중지하고 시작 유형을 수동으로 설정해야 한다.
참고: 다시 시작하여 암호가 다시 설정되었는지 확인한 후에 Kerberos 키 배포 센터 서비스를 다시 시작하여 시작 유형을 자동으로 설정할 수 있다.
이렇게 하면 잘못된 컴퓨터 계정 암호를 가진 도메인 컨트롤러가 다른 도메인 컨트롤러에 Kerberos 티켓을 문의하게 된다.
3. 명령 프롬프트에서 다음 명령을 입력한다.
netdom resetpwd /s:server /ud:domain\User /pd:*
이 명령에 대한 설명은 다음과 같다.
- /s:server는 컴퓨터 계정 암호 설정에 사용하는 도메인 컨트롤러 이름이다.
- /ud:domain\User 는 /s 매개 변수에 지정된 도메인과 연결해 주는 사용자 계정이다. 이것은 domain\User 형식으로 되어 있어야 한다. 이 매개 변수가 생략되면 현재 사용자 계정이 사용된다.
- /pd:*는 /ud 매개 변수에 지정된 사용자 계정의 암호를 지정한다. 암호를 입력하라는 메시지를 표시하려면 별표(*)를 사용하라.
예를 들어, 로컬 도메인 컨트롤러 컴퓨터는 Server1이고 피어 Windows 도메인 컨트롤러는 Server2라고 가정한다. 다음 매개 변수를 사용하여 Server1에서 Netdom.exe를 실행하는 경우 암호가 로컬로 변경되고 동시에 Server2에 기록되며 복제가 이 변경 내용을 다른 도메인 컨트롤러로 전파한다.
netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
4. 암호가 변경된 서버를 다시 시작한다.
두 컴퓨터가 서로를 인증하려고 할 때 현재 암호에 대한 변경 내용을 아직 받지 못했다면 Windows는 이전 암호를 따른다. 암호가 연속적으로 3번 이상 변경되면 관련 컴퓨터는 서로 통신할 수 없고 오류 메시지가 나타날 수 있다.
예를 들어, Active Directory 복제가 발생할 때 "액세스가 거부되었습니다"라는 내용의 오류 메시지가 나타날 수 있다.
이 문제는 같은 도메인에 있는 도메인 컨트롤러 간의 복제에서도 나타날 수 있다.
복제 중이지 않은 도메인 컨트롤러가 다른 두 도메인에 있는 경우 트러스트 관계를 더 자세히 조사해야 한다.
Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 컴퓨터 계정 암호를 변경할 수 없지만 Netdom.exe 도구를 사용하면 암호를 다시 설정할 수 있다.
Netdom.exe 도구는 Windows 지원 도구에 포함된다.
Netdom.exe 도구는 컴퓨터의 계정 암호를 로컬로 다시 설정하고("local secret"이라고도 함) 같은 도메인에 있는 Windows 도메인 컨트롤러에 컴퓨터 계정 개체에 대한 이 변경 내용을 기록한다.
동시에 두 위치에 새 암호를 기록하면 작업에 관련된 최소 두 대의 컴퓨터가 동기화 되고 다른 도메인 컨트롤러가 변경 내용을 받을 수 있도록 Active Directory 복제가 시작된다.
다음 절차는 netdom 명령을 사용하여 컴퓨터 계정 암호를 다시 설정하는 방법을 설명한다. 이 절차는 도메인 컨트롤러에서 가장 일반적으로 사용되지만 모든 Windows 컴퓨터 계정에도 적용된다.
암호를 변경하려는 Windows 기반 컴퓨터에서 도구를 로컬로 실행해야 한다. 또한 Netdom.exe를 실행하려면 Active Directory의 컴퓨터 계정 개체에 대한 로컬 관리 권한이 있어야 한다.
Netdom.exe를 사용하여 컴퓨터 계정 암호 다시 설정.
1. 암호를 다시 설정하려는 도메인 컨트롤러에서 Windows Server 2003 지원 도구를 설치한다.
이 도구는 Windows Server 2003 CD-ROM의 Support\Tools 폴더에 있다. 이 도구를 설치하려면 Support\Tools 폴더에서 Suptools.msi 파일을 마우스 오른쪽 단추로 누른 다음 설치를 누른다.
2. Windows 도메인 컨트롤러의 암호를 다시 설정하려면 Kerberos 키 배포 센터 서비스를 중지하고 시작 유형을 수동으로 설정해야 한다.
참고: 다시 시작하여 암호가 다시 설정되었는지 확인한 후에 Kerberos 키 배포 센터 서비스를 다시 시작하여 시작 유형을 자동으로 설정할 수 있다.
이렇게 하면 잘못된 컴퓨터 계정 암호를 가진 도메인 컨트롤러가 다른 도메인 컨트롤러에 Kerberos 티켓을 문의하게 된다.
3. 명령 프롬프트에서 다음 명령을 입력한다.
netdom resetpwd /s:server /ud:domain\User /pd:*
이 명령에 대한 설명은 다음과 같다.
- /s:server는 컴퓨터 계정 암호 설정에 사용하는 도메인 컨트롤러 이름이다.
- /ud:domain\User 는 /s 매개 변수에 지정된 도메인과 연결해 주는 사용자 계정이다. 이것은 domain\User 형식으로 되어 있어야 한다. 이 매개 변수가 생략되면 현재 사용자 계정이 사용된다.
- /pd:*는 /ud 매개 변수에 지정된 사용자 계정의 암호를 지정한다. 암호를 입력하라는 메시지를 표시하려면 별표(*)를 사용하라.
예를 들어, 로컬 도메인 컨트롤러 컴퓨터는 Server1이고 피어 Windows 도메인 컨트롤러는 Server2라고 가정한다. 다음 매개 변수를 사용하여 Server1에서 Netdom.exe를 실행하는 경우 암호가 로컬로 변경되고 동시에 Server2에 기록되며 복제가 이 변경 내용을 다른 도메인 컨트롤러로 전파한다.
netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
4. 암호가 변경된 서버를 다시 시작한다.