Bir windows tabanlı bilgisayarı etki alanına (domain) kattığınızda etki alanı veritabanında bu bilgisayar için bir hesap yaratılır. Aynı anda kimlik denetimi (authentication) güvenliğinin olması için bu hesap için bir de şifre (LSA Secret) oluşturulur. Bu şifre hem bilgisayar üzerinde hem de etki alanı veritabanında saklanır.

Güvenlik nedeni ile bu şifre, ait olduğu bilgisayar tarafından belli aralıklar ile değiştirilir. Varsayılan olarak bu süre 30 gündür. Bilgisayar, şifre geçmişinde (password history) geçerli şifreyi ve bir önceki şifreyi tutar. Bilgisayar şifreyi değiştirdiğinde, sunucu veya diğer etki alanı bilgisayarı ile kimlik denetimi yaparken sunucu bu değişikliği henüz algılamadığı için bir önceki şifreyi kullanır ve kimlik denetimi başarılı bir şekilde yapılır. İşlemler sonrasında da şifre değişikliği sunucuya aktarılır.

Eğer bilgisayar etki alanına dahil olduğu halde kimlik denetimini başarıyla yapamıyorsa bu şifre ile ilgili sorun olabilir. Sorun bu bilgisayarın 2 şifre değişikliği süresince senkronize olamamasından veya bu bilgisayar üzerine eski bir system state yedekten geri dönüş yapmış olmanızdan kaynaklanabilir. Yani sorun etki alanında saklanan şifreler ile yerel bilgisayar üzerindeki şifrelerin aynı olmamasından kaynaklanmaktadır. Böyle bir durumda aşağıdaki belirtilerden bir kaçı oluşabilir.

·          Bilgisayara etki alanı kullanıcısı ile logon olamazsınız.

·          Yerel yönetici ile hesabı oturum açtığınızda Event Viewer/Applications da aşağıdaki hataları görürsünüz.

The session setup from the computer DOMAINMEMBER failed to authenticate. The name of the account referenced in the security database is DOMAINMEMBER$. The following error occurred: Access is denied.

NETLOGON Event ID 3210:

Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.  

·          DC’lere logonda ise aşağıdaki hata alınır.

Event Type: Error

Event Source: Userenv

Event Category: None

Event ID: 1053

Date:  11/10/2006

Time:  8:55:40

User:  NT AUTHORITY\SYSTEM

Computer: PCMSHOWTO81

Description:

Windows cannot determine the user or computer name. (The RPC server is unavailable. ). Group Policy processing aborted.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

·          Etki alanındaki bilgisayarlardan, command prompt’da Net view \\bilgisayaradi komutunu çalıştırdığınıca Access is denied mesajı alırsınız.

·          Sorunlu bilgisayar bir etki alanı sunucusu (domain controller) ise (system state restore sonrası bu sorun yaşanabilir), veritabanının bir kopyasını taşıdığı için sunucuya etki alanı kullanıcısı ile oturum açabilirsiniz (logon). Fakat diğer etki alanı sunucuları (DC) ile replikasyon yapamayacaktır, kullanıcılar bu sunucu üzerinden kimlik denetimi yapamayacaklardır.

Peki ama bu sorunu ne şekilde çözebiliriz?

Bu sorunu bilgisayarı domainden çıkarıp tekrar dahil ederek çözebilirsiniz. Fakat bu çözümü, sorunlu makine etki alanı sunucusu (DC) ise yapamazsınız. Etki alanı sunucusunun ayağa kaldırılmasında veya etki alanındaki bilgisayar hesabının değişmesini istemediğiniz durumlarda bilgisayar hesabını resetleyerek sorunu kolayca çözebilirsiniz.

Bilgisayar şifresini resetlemek için Netdom.exe’yi kullanacağız. Netdom.exe şifreyi yerel bilgisayar üzerinde ve etki alanı veritabanında aynı anda resetler. Dolayısıyla bundan sonra kimlik denetimde her iki tarafın bildiği bu şifre kullanılacaktır. Netdom.exe ile uzak makinenin şifresini resetleyemezsiniz, makine üzerinde çalıştırmanız gerekmektedir.

1.     Şifresini resetlemek istediğiniz bilgisayar üzerine Windows Support Tools kurunuz.

2.     Eğer bu makine Etki alanı sunucusu ise KDC (Key distribution center service) servisini durdurup, başlangıç tipini manuel konuma alın. 3. adım sonrasında başlatıp tekrar Automatic olarak ayarlayın.  

3.     Command Prompt’u çalıştırın ve aşağıdaki komutu yazın.

netdom resetpwd /server:Replication_Partner_Server_Name /userd:domainname\administrator_id /passwordd:*

 Replication_Partner_Server_Name: PDC makinenin ismini girin.

* : Şifreyi gizli olarak girmenizi sağlar.

4.     Bilgisayarı yeniden başlatın.

Referanslar

How To Use Netdom.exe to Reset Machine Account Passwords of a Windows 2000 Domain Controller

http://support.microsoft.com/default.aspx/kb/260575