重置 krbtgt 帐户密码/密钥的脚本的 PowerShell 错误消息

tag-icon tag-icon windows-server-2008-r2 powershell kerberos
重置 krbtgt 帐户密码/密钥的脚本的 PowerShell 错误消息

我们正在尝试使用 Microsoft 提供的 PowerShell 脚本重置我们的 krbtgt 密码/密钥,该脚本可从此处获取:

https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51?ranMID=24542&ranEAID=TnL5HPStwNw&ranSiteID=TnL5HPStwNw-fBZQOeWqTO1IENsFZImkRg&epi=TnL5HPStwNw-fBZQOeWqTO1IENsFZImkRg&irgwc= 1&OCID=AID681541_aff_7593_1243925&tduid=(ir__b1osrdblekkfrnt10ckzh9lp2u2xmqfdv31my0xm00)(7593)(1243925)(TnL5HPStwNw-fBZQOeWqTO1IENsFZImkRg)()&irclickid=_b1osrdblekkfrnt10ckzh9lp2u2xmqfdv31my0xm00

但是,我们在运行它时收到以下错误消息:

“Krbtgt 重置失败。请检查以确保您具有足够的权限来重置 krbtgt 帐户。将跳过复制”

我们以管理员身份运行脚本,并以具有管理员权限的用户身份登录服务器。有人能给我们一些提示,看看潜在问题可能出在哪里吗?

答案1

重要提示——验证所有涉及的 DC 之间的复制。

同样重要的是验证它们之间的时间同步。

我向几个朋友提到了你的问题,他们建议尝试一下 脚本

答案2

发现该问题是由 DC 上处于活动状态的名为“enpasflt”的第三方密码过滤器引起的。

只需转到以下注册表项即可禁用“enpasflt”密码过滤器:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\通知包

删除那里对“enpasflt”的任何引用,然后重新启动服务器。然后脚本应该可以成功执行。

enpasflt 参考:

https://www.stigviewer.com/stig/windows_server_2008_r2_member_server/2012-07-02/finding/V-1131

相关内容