9
Kann DSRM-Kennwort nicht neu vergeben
Hallo zusammen,
ich versuche einer Domäne einen zweiten Domänencontroller hinzuzufügen. Dabei wird natürlich das DSRM-Kennwort abgefragt. Leider hat der ITler, der die Domäne ursprünglich aufgesetzt hat, dieses nicht dokumentiert (Schande über ihn).
Jetzt versuche ich, das Kennwort zurückzusetzen, mittels der ntdsutil.exe.
Ich führe die also auf dem DC aus, "set dsrm password" und dann "reset password on server null".
Wenn ich dann aber das neue Passwort eingebe, bekomme ich immer die Meldung
WIN32-Fehlercode: 0xa91
Fehlermeldung: Kennwort erfüllt nicht die Anforderungen der Filter-DLLs.
Ich habe verschiedene Passwörter versucht. Eins davon war z.B. "Wf0WfLLuRa3lXiKoyKk!" (ohne ""). Das sollte nun wahrhaft stark genug sein.
Ich habe die Gruppenrichtlinie zum Erzwingen der Kennwortkomplexität bereits testweise deaktiviert und ein gpupdate /Force ausgeführt, hat aber leider nicht geholfen.
Hat jemand eine Idee, was man hier machen kann?
ich versuche einer Domäne einen zweiten Domänencontroller hinzuzufügen. Dabei wird natürlich das DSRM-Kennwort abgefragt. Leider hat der ITler, der die Domäne ursprünglich aufgesetzt hat, dieses nicht dokumentiert (Schande über ihn).
Jetzt versuche ich, das Kennwort zurückzusetzen, mittels der ntdsutil.exe.
Ich führe die also auf dem DC aus, "set dsrm password" und dann "reset password on server null".
Wenn ich dann aber das neue Passwort eingebe, bekomme ich immer die Meldung
WIN32-Fehlercode: 0xa91
Fehlermeldung: Kennwort erfüllt nicht die Anforderungen der Filter-DLLs.
Ich habe verschiedene Passwörter versucht. Eins davon war z.B. "Wf0WfLLuRa3lXiKoyKk!" (ohne ""). Das sollte nun wahrhaft stark genug sein.
Ich habe die Gruppenrichtlinie zum Erzwingen der Kennwortkomplexität bereits testweise deaktiviert und ein gpupdate /Force ausgeführt, hat aber leider nicht geholfen.
Hat jemand eine Idee, was man hier machen kann?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 71766079002
Url: https://administrator.de/contentid/71766079002
Printed on: May 24, 2024 at 10:05 o'clock
9 Comments
Latest comment
Nein, das DSRM-Kennwort des anderen DCs wird nicht abgefragt. Du kannst auf dem neuen DCs ein beliebiges setzen.
Ich dachte immer das DSRM Kennwort wird pro DC festgelegt wie eine Art "lokales Notfallkonto". Schon mal ein unkompliziertes KW versucht?
Okay, gut zu wissen, dass das ein neues Kennwort sein kann.
Allerdings bekomme ich hier dieselbe Fehlermeldung.
"Das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste erfüllt nicht die Anforderungen der Kennwortfilter."
Wie komplex muss das Kennwort denn bitte sein? Am liebsten eine Integralrechnung rückwärts auf Aramäisch, oder was?
Allerdings bekomme ich hier dieselbe Fehlermeldung.
"Das Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste erfüllt nicht die Anforderungen der Kennwortfilter."
Wie komplex muss das Kennwort denn bitte sein? Am liebsten eine Integralrechnung rückwärts auf Aramäisch, oder was?
Nein, neun Zeichen, 3 Zeichengruppen, wenn ich mich recht erinnere.
Okay, ich hab nochmal rumprobiert und den "Fehler" gefunden.
Mein Kennwort war zu komplex. Klingt komisch, ist aber so. Meine Kennwörter hatten alle um die 20 Zeichen. Anscheinend darf das DSRM-Kennwort nur maximal 14 Zeichen haben. Dass ein Kennwort nicht stark genug ist, hab ich schon öfter erlebt. Aber dass es ZU stark ist, das war das erste Mal.
Wie mans macht isses falsch...
Mein Kennwort war zu komplex. Klingt komisch, ist aber so. Meine Kennwörter hatten alle um die 20 Zeichen. Anscheinend darf das DSRM-Kennwort nur maximal 14 Zeichen haben. Dass ein Kennwort nicht stark genug ist, hab ich schon öfter erlebt. Aber dass es ZU stark ist, das war das erste Mal.
Wie mans macht isses falsch...
aber dass es ZU stark ist, das war das erste Mal.
Microsoft halt. Die machen solche Fehler sehr gern!https://www.borncity.com/blog/2022/10/21/installations-bug-windows-serve ...
https://www.borncity.com/blog/2019/12/09/falle-active-directory-kennwort ...
Naja, ich hatte ein "unkompliziertes" versucht. So in Richtung "DummesPasswort50!", was aber auch mehr als 14 Zeichen hatte. :D
Groß - und Kleinbuchstaben, Zahl und Sonderzeichen sind doch bei Microsoft normalerweise die Vorgab. Wobei man auch nicht jedes Sonderzeichen hernehmen darf.
Wir hatten auch einen der ein Passwort länge mit über 30 Zeichen hatte und sich gewundert hat warum es nicht den Kennwort Richtlinie entspricht. Maximal länge war irgendwas mit 20 oder so.
Wir hatten auch einen der ein Passwort länge mit über 30 Zeichen hatte und sich gewundert hat warum es nicht den Kennwort Richtlinie entspricht. Maximal länge war irgendwas mit 20 oder so.