Membuat Kunci Akar KDS Layanan Distribusi Utama

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Artikel ini untuk profesional TI menjelaskan cara membuat kunci akar Microsoft Key Distribution Service (kdssvc.dll) pada pengontrol domain menggunakan Windows PowerShell untuk menghasilkan kata sandi Akun Layanan Terkelola grup di Windows Server 2012 atau yang lebih baru.

Pengendali Domain (DC) memerlukan kunci akar untuk mulai menghasilkan kata sandi gMSA. Pengontrol domain akan menunggu hingga 10 jam sejak waktu pembuatan untuk memungkinkan semua pengontrol domain menyambungkan replikasi AD mereka sebelum mengizinkan pembuatan gMSA. Menunggu hingga 10 jam adalah langkah keamanan untuk mencegah pembuatan kata sandi terjadi sebelum semua DC di lingkungan mampu menjawab permintaan gMSA. Mencoba menggunakan gMSA terlalu cepat mungkin gagal ketika host gMSA mencoba mengambil kata sandi, karena kunci mungkin belum direplikasi ke semua pengontrol domain. Kegagalan pengambilan kata sandi gMSA juga dapat terjadi saat menggunakan DC dengan jadwal replikasi terbatas atau jika ada masalah replikasi.

Catatan

Menghapus dan membuat ulang kunci akar dapat menyebabkan masalah di mana kunci lama terus digunakan setelah penghapusan karena penembolokan kunci. Key Distribution Service (KDC) harus dimulai ulang pada semua pengontrol domain jika kunci akar dibuat ulang.

Keanggotaan dalam grup Admin Domain atau Admin Perusahaan, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi terperinci tentang menggunakan akun dan keanggotaan grup yang sesuai, lihat Grup Default Lokal dan Domain.

Catatan

Arsitektur 64-bit diperlukan untuk menjalankan perintah Windows PowerShell yang digunakan untuk mengelola Akun Layanan Terkelola grup.

Untuk membuat kunci akar KDS menggunakan cmdlet Add-KdsRootKey

1. Pada pengontrol domain Windows Server 2012 atau yang lebih baru, jalankan Windows PowerShell dari Taskbar.

2. Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:

   Add-KdsRootKey -EffectiveImmediately

   Tip

   Parameter Waktu efektif dapat digunakan untuk memberikan waktu bagi kunci yang akan disebarkan ke semua DC sebelum digunakan. Menggunakan Add-KdsRootKey -EffectiveImmediately akan menambahkan kunci akar ke DC target yang akan segera digunakan oleh layanan KDS. Namun, pengendali domain lain tidak akan dapat menggunakan kunci akar sampai replikasi berhasil.

Kunci akar KDS disimpan di Direktori Aktif dalam kontainer CN=Master Root Keys,CN=Group Key Distribution Service,CN=Services,CN=Configuration,DC=<forest name>;. Mereka memiliki atribut msKds-DomainID yang ditautkan ke akun komputer Pengendali Domain yang membuat objek. Ketika pengendali domain ini diturunkan dan dihapus dari domain, nilainya akan merujuk ke batu nisan akun komputer. Anda dapat mengabaikan nilai rusak karena hanya digunakan untuk membantu administrator melacak objek saat baru dibuat. Anda juga dapat mengubah nilai atribut dan mengarahkannya ke objek komputer pengendali domain lain di forest Anda.

Untuk lingkungan pengujian hanya dengan satu DC, Anda dapat membuat kunci akar KDS dan mengatur waktu mulai di masa lalu untuk menghindari interval menunggu pembuatan kunci dengan menggunakan prosedur berikut. Validasi bahwa peristiwa 4004 telah dicatat di log peristiwa KDS.

Untuk membuat kunci akar KDS di lingkungan pengujian untuk efektivitas segera

1. Pada pengontrol domain Windows Server 2012 atau yang lebih baru, jalankan Windows PowerShell dari Taskbar.

2. Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:

   $a=Get-Date

   $b=$a.AddHours(-10)

   Add-KdsRootKey -EffectiveTime $b

   Atau gunakan satu perintah

   Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Lihat Juga

Mulai menggunakan Akun Layanan Terkelola Grup