Crear la clave raíz del Servicio de distribución de claves (KDS)

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este tema, destinado a los profesionales de TI, se describe cómo crear una clave raíz del Servicio de distribución de claves (kdssvc.dll) de Microsoft en el controlador de dominio usando Windows PowerShell para generar contraseñas de cuentas de servicio administradas de Windows Server 2012 o versiones posteriores.

Los controladores de dominio (DC) requieren una clave raíz para comenzar a generar contraseñas de gMSA. Antes de permitir la creación de una gMSA, todos los controladores de dominio esperarán hasta 10 horas desde el momento de la creación para que converjan sus replicaciones de AD. La espera de 10 horas es una medida de seguridad para evitar que la generación de contraseñas se produzca antes de que todos los controladores de dominio del entorno sean capaces de responder a las peticiones de gMSA. Si intenta usar una gMSA demasiado pronto, puede producirse un error cuando el host de gMSA intente recuperar la contraseña, ya que es posible que la clave no se haya replicado en todos los controladores de dominio. Los errores de recuperación de contraseña de gMSA también pueden ocurrir si se usan controladores de dominio con programaciones de replicación limitadas o si hay algún problema de replicación.

Nota:

La eliminación y la recreación de la clave raíz pueden provocar problemas en los que la clave antigua siga utilizándose después de la eliminación debido al almacenamiento en caché de la clave. Si se vuelve a crear la clave raíz, el Servicio de distribución de claves (KDC) debe reiniciarse en todos los controladores de dominio.

Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del dominio, Administradores de empresas o a otro grupo equivalente. Para obtener información detallada sobre el uso de las cuentas adecuadas y las pertenencias a grupos, vea Grupos predeterminados locales y de dominio.

Nota

Se necesita una arquitectura de 64 bits para ejecutar los comandos de Windows PowerShell que se usan para administrar cuentas de servicio administradas de grupo.

Creación de la clave raíz de KDS con el cmdlet New-KdsRootKey

  1. En el controlador de dominio de Windows Server 2012 o posterior, ejecute Windows PowerShell desde la barra de tareas.

  2. Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:

    Add-KdsRootKey -EffectiveImmediately

    Sugerencia

    El parámetro Effective time se puede usar para dar a las claves tiempo para que se propaguen a todos los controladores de dominio antes de su uso. Al usar Add-KdsRootKey –EffectiveImmediately se agregará una clave raíz al controlador de dominio de destino que el servicio KDS usará inmediatamente. Sin embargo, otros controladores de dominio no podrán usar la clave raíz hasta que la replicación se realice correctamente.

Las claves raíz de KDS se almacenan en Active Directory en el contenedor CN=Master Root Keys,CN=Group Key Distribution Service,CN=Services,CN=Configuration,DC=<forest name>;. Tienen un atributo msKds-DomainID que se vincula a la cuenta de equipo del controlador de dominio que creó el objeto. Cuando este controlador de dominio se degrada y se quita del dominio, el valor hará referencia al marcador de exclusión de la cuenta de equipo. Puede omitir el valor inservible, ya que solo se usa para ayudar al administrador a realizar el seguimiento del objeto cuando se crea. También puede cambiar el valor del atributo y que apunte al objeto de equipo de otro controlador de dominio del bosque.

Para los entornos de prueba con solo un controlador de dominio, puedes usar el procedimiento siguiente para crear una clave raíz de KDS y establecer la hora de inicio en el pasado para evitar el intervalo de espera. Comprueba que se haya registrado un evento 4004 en el registro de eventos de KDS.

Para crear la clave raíz de KDS en un entorno de pruebas para que sea efectivo de forma inmediata

  1. En el controlador de dominio de Windows Server 2012 o posterior, ejecute Windows PowerShell desde la barra de tareas.

  2. Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:

    $a=Get-Date

    $b=$a.AddHours(-10)

    Add-KdsRootKey -EffectiveTime $b

    O usa un solo comando

    Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Consulte también

Introducción a las cuentas de servicio administradas de grupo