9
Kann DSRM-Kennwort nicht neu vergeben
Hallo zusammen,
ich versuche einer Domäne einen zweiten Domänencontroller hinzuzufügen. Dabei wird natürlich das DSRM-Kennwort abgefragt. Leider hat der ITler, der die Domäne ursprünglich aufgesetzt hat, dieses nicht dokumentiert (Schande über ihn).
Jetzt versuche ich, das Kennwort zurückzusetzen, mittels der ntdsutil.exe.
Ich führe die also auf dem DC aus, "set dsrm password" und dann "reset password on server null".
Wenn ich dann aber das neue Passwort eingebe, bekomme ich immer die Meldung
WIN32-Fehlercode: 0xa91
Fehlermeldung: Kennwort erfüllt nicht die Anforderungen der Filter-DLLs.
Ich habe verschiedene Passwörter versucht. Eins davon war z.B. "Wf0WfLLuRa3lXiKoyKk!" (ohne ""). Das sollte nun wahrhaft stark genug sein.
Ich habe die Gruppenrichtlinie zum Erzwingen der Kennwortkomplexität bereits testweise deaktiviert und ein gpupdate /Force ausgeführt, hat aber leider nicht geholfen.
Hat jemand eine Idee, was man hier machen kann?
ich versuche einer Domäne einen zweiten Domänencontroller hinzuzufügen. Dabei wird natürlich das DSRM-Kennwort abgefragt. Leider hat der ITler, der die Domäne ursprünglich aufgesetzt hat, dieses nicht dokumentiert (Schande über ihn).
Jetzt versuche ich, das Kennwort zurückzusetzen, mittels der ntdsutil.exe.
Ich führe die also auf dem DC aus, "set dsrm password" und dann "reset password on server null".
Wenn ich dann aber das neue Passwort eingebe, bekomme ich immer die Meldung
WIN32-Fehlercode: 0xa91
Fehlermeldung: Kennwort erfüllt nicht die Anforderungen der Filter-DLLs.
Ich habe verschiedene Passwörter versucht. Eins davon war z.B. "Wf0WfLLuRa3lXiKoyKk!" (ohne ""). Das sollte nun wahrhaft stark genug sein.
Ich habe die Gruppenrichtlinie zum Erzwingen der Kennwortkomplexität bereits testweise deaktiviert und ein gpupdate /Force ausgeführt, hat aber leider nicht geholfen.
Hat jemand eine Idee, was man hier machen kann?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71766079002
Url: https://administrator.de/contentid/71766079002
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Nein, das DSRM-Kennwort des anderen DCs wird nicht abgefragt. Du kannst auf dem neuen DCs ein beliebiges setzen.
Ich dachte immer das DSRM Kennwort wird pro DC festgelegt wie eine Art "lokales Notfallkonto". Schon mal ein unkompliziertes KW versucht?
Okay, gut zu wissen, dass das ein neues Kennwort sein kann.
Allerdings bekomme ich hier dieselbe Fehlermeldung.
"Das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste erfüllt nicht die Anforderungen der Kennwortfilter."
Wie komplex muss das Kennwort denn bitte sein? Am liebsten eine Integralrechnung rückwärts auf Aramäisch, oder was?
Allerdings bekomme ich hier dieselbe Fehlermeldung.
"Das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste erfüllt nicht die Anforderungen der Kennwortfilter."
Wie komplex muss das Kennwort denn bitte sein? Am liebsten eine Integralrechnung rückwärts auf Aramäisch, oder was?
Nein, neun Zeichen, 3 Zeichengruppen, wenn ich mich recht erinnere.
Okay, ich hab nochmal rumprobiert und den "Fehler" gefunden.
Mein Kennwort war zu komplex. Klingt komisch, ist aber so. Meine Kennwörter hatten alle um die 20 Zeichen. Anscheinend darf das DSRM-Kennwort nur maximal 14 Zeichen haben. Dass ein Kennwort nicht stark genug ist, hab ich schon öfter erlebt. Aber dass es ZU stark ist, das war das erste Mal.
Wie mans macht isses falsch...
Mein Kennwort war zu komplex. Klingt komisch, ist aber so. Meine Kennwörter hatten alle um die 20 Zeichen. Anscheinend darf das DSRM-Kennwort nur maximal 14 Zeichen haben. Dass ein Kennwort nicht stark genug ist, hab ich schon öfter erlebt. Aber dass es ZU stark ist, das war das erste Mal.
Wie mans macht isses falsch...
aber dass es ZU stark ist, das war das erste Mal.
Microsoft halt. Die machen solche Fehler sehr gern!https://www.borncity.com/blog/2022/10/21/installations-bug-windows-serve ...
https://www.borncity.com/blog/2019/12/09/falle-active-directory-kennwort ...
Naja, ich hatte ein "unkompliziertes" versucht. So in Richtung "DummesPasswort50!", was aber auch mehr als 14 Zeichen hatte. :D
Groß - und Kleinbuchstaben, Zahl und Sonderzeichen sind doch bei Microsoft normalerweise die Vorgab. Wobei man auch nicht jedes Sonderzeichen hernehmen darf.
Wir hatten auch einen der ein Passwort länge mit über 30 Zeichen hatte und sich gewundert hat warum es nicht den Kennwort Richtlinie entspricht. Maximal länge war irgendwas mit 20 oder so.
Wir hatten auch einen der ein Passwort länge mit über 30 Zeichen hatte und sich gewundert hat warum es nicht den Kennwort Richtlinie entspricht. Maximal länge war irgendwas mit 20 oder so.
