Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln för IT-proffs beskriver hur du skapar en Microsoft Key Distribution Service (kdssvc.dll) rotnyckel på domänkontrollanten med hjälp av Windows PowerShell för att generera lösenord för grupphanterat tjänstkonto i Windows Server 2012 eller senare.
Domänkontrollanter (DC) kräver en rotnyckel för att börja generera gMSA-lösenord. Domänkontrollanterna väntar upp till 10 timmar från det att de skapas så att alla domänkontrollanter kan synkronisera sin AD-replikering innan skapandet av en gMSA tillåts. Att vänta upp till 10 timmar är en säkerhetsåtgärd för att förhindra att lösenordsgenerering inträffar innan alla domänkontrollanter i miljön kan svara på gMSA-begäranden. Försöker man använda en gMSA innan det är redo kan det misslyckas när gMSA-servern försöker hämta lösenordet, eftersom nyckeln kanske inte har replikerats till alla domänkontroller. gMSA-lösenordshämtningsfel kan också inträffa när du använder domänkontrollanter med begränsade scheman för replikering eller om det finns ett replikeringsproblem.
Anmärkning
Om du tar bort och återskapar rotnyckeln kan det leda till problem där den gamla nyckeln fortsätter att användas efter borttagningen på grund av cachelagring av nyckeln. Nyckeldistributionstjänsten (KDC) bör startas om på alla domänkontrollanter om rotnyckeln återskapas.
Medlemskap i grupperna Domänadministratörer eller Företagsadministratörer , eller motsvarande, är det minsta som krävs för att slutföra den här proceduren. Detaljerad information om hur du använder lämpliga konton och gruppmedlemskap finns i Lokala och Domänstandardgrupper.
Anmärkning
En 64-bitars arkitektur krävs för att köra Windows PowerShell-kommandon som används för att administrera grupphanterade tjänstkonton.
Skapa KDS-rotnyckeln med hjälp av cmdleten Add-KdsRootKey
På Windows Server 2012 eller senare domänkontrollant kör du Windows PowerShell från Aktivitetsfältet.
I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:
Add-KdsRootKey -Effektiv Omedelbart
Tips/Råd
Parametern Effektiv tid kan användas för att ge tid för att nycklar ska spridas till domänkontrollanter innan de används. Om du använder Add-KdsRootKey -EffectiveImmediately läggs en rotnyckel till måldomänkontrollanten som ska användas av KDS-tjänsten omedelbart. Andra domänkontrollanter kan dock inte använda rotnyckeln förrän replikeringen har slutförts.
KDS-rotnycklar lagras i Active Directory i containern CN=Master Root Keys,CN=Group Key Distribution Service,CN=Services,CN=Configuration,DC=<forest name>;. De har ett attribut msKds-DomainID som länkar till datorkontot för domänkontrollanten som skapade objektet. När den här domänkontrollanten degraderas och tas bort från domänen refererar värdet till datorkontots gravsten. Du kan ignorera det brutna värdet eftersom det bara används för att hjälpa administratören att spåra objektet när det skapas på nytt. Du kan också ändra attributvärdet och peka det på datorobjektet för en annan domänkontrollant i skogen.
För testmiljöer med endast en domänkontrollant kan du skapa en KDS-rotnyckel och ange starttiden tidigare för att undvika intervallvänte för nyckelgenerering med hjälp av följande procedur. Kontrollera att en 4004-händelse har loggats i KDS-händelseloggen.
Så här skapar du KDS-rotnyckeln i en testmiljö för omedelbar effektivitet
På Windows Server 2012 eller senare domänkontrollant kör du Windows PowerShell från Aktivitetsfältet.
I kommandotolken för Windows PowerShell Active Directory-modulen skriver du följande kommandon och trycker sedan på RETUR:
$a=Hämta datum
$b=$a.AddHours(-10)
Add-KdsRootKey -EffectiveTime $b
Eller använd ett enda kommando
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))