Creare la chiave radice KDS dei servizi distribuzione chiavi

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

In questo argomento dedicato ai professionisti IT viene descritto come creare una chiave radice del Servizio distribuzione chiavi Microsoft (kdssvc.dll) sul controller di dominio con Windows PowerShell, per generare password dell'account del servizio gestito di gruppo in Windows Server 2012 o versioni successive.

I controller di dominio richiedono una chiave radice per avviare la generazione di password dell'account del servizio gestito di gruppo. I controller di dominio aspetteranno fino a 10 ore dal momento della creazione per permettere a tutti i controller di dominio di far convergere le repliche di Active Directory, prima di consentire la creazione di un account del servizio gestito del gruppo. L'intervallo di 10 ore è una misura di sicurezza che impedisce la generazione di password prima che tutti i controller di dominio nell'ambiente siano in grado di rispondere alle richieste di account del servizio gestito di gruppo. Il tentativo di usare un account del servizio gestito di gruppo potrebbe avere esito negativo troppo presto quando l'host del servizio gestito di gruppo tenta di recuperare la password, perché la chiave potrebbe non essere stata replicata in tutti i controller di dominio. Gli errori di recupero delle password del servizio gestito di gruppo possono verificarsi anche quando si usano controller di dominio con pianificazioni di replica limitate o se si verifica un problema di replica.

Nota

L'eliminazione e la ricreazione della chiave radice possono causare problemi in cui la chiave precedente continua a essere usata dopo l'eliminazione a causa della memorizzazione nella cache della chiave. Il servizio di distribuzione chiavi (KDC) deve essere riavviato in tutti i controller di dominio se la chiave radice viene ricreata.

Per eseguire questa procedura, è richiesta almeno l'appartenenza ai gruppi Domain Admins o Enterprise Admins oppure a un gruppo equivalente. Per altre informazioni sull'uso degli account appropriati e sull'appartenenza a gruppi, vedere Gruppi predefiniti locali e di dominio.

Nota

Per eseguire i comandi di Windows PowerShell necessari per amministrare account del servizio gestito del gruppo, è richiesta un'architettura a 64 bit.

Per creare la chiave radice del servizio distribuzione chiavi con il cmdlet Add-KdsRootKey

  1. Nel controller di dominio di Windows Server 2012 o versioni successive eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    Add-KdsRootKey -EffectiveImmediately

    Suggerimento

    È possibile usare il parametro Tempo di validità per consentire la propagazione delle chiavi a tutti i controller di dominio prima dell'uso. Il comando Add-KdsRootKey -EffectiveImmediately aggiungerà una chiave radice al controller di dominio di destinazione, che verrà usata immediatamente dal servizio distribuzione chiavi. Tuttavia, altri controller di dominio non potranno usare la chiave radice prima del completamento della replica.

Le chiavi radice del servizio distribuzione chiavi vengono archiviate in Active Directory nel contenitore CN=Master Root Keys,CN=Group Key Distribution Service,CN=Services,CN=Configuration,DC=<forest name>;. Hanno un attributo msKds-DomainID che collega all'account computer del controller di dominio che ha creato l'oggetto. Quando questo controller di dominio viene abbassato di livello e rimosso dal dominio, il valore farà riferimento alla rimozione definitiva dell'account computer. È possibile ignorare il valore interrotto perché viene usato solo per consentire all'amministratore di tenere traccia dell'oggetto quando viene appena creato. È anche possibile modificare il valore dell'attributo e puntare all'oggetto computer di un altro controller di dominio nella foresta.

Negli ambienti di test con un solo controller di dominio, è possibile creare una chiave radice del Servizio distribuzione chiavi e impostare un'ora di avvio già superata per evitare l'attesa dovuta alla generazione della chiave, applicando la procedura seguente. Convalidare la registrazione di un evento 4004 nel registro eventi del servizio distribuzione chiavi.

Per creare una chiave radice del Servizio distribuzione chiavi pronta per l'uso in un ambiente di test

  1. Nel controller di dominio di Windows Server 2012 o versioni successive eseguire Windows PowerShell dalla barra delle applicazioni.

  2. Al prompt dei comandi del modulo Active Directory per Windows PowerShell, digitare i comandi seguenti, quindi premere INVIO:

    $a=Get-Date

    $b=$a.AddHours(-10)

    Add-KdsRootKey -EffectiveTime $b

    Oppure usare un singolo comando

    Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Vedi anche

Guida introduttiva alla funzionalità Account del servizio gestito di gruppo