Membuat Kunci Akar KDS Layanan Distribusi Utama
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Topik untuk profesional TI ini menjelaskan cara membuat kunci akar Microsoft Key Distribution Service (kdssvc.dll) pada pengendali domain menggunakan Windows PowerShell untuk menghasilkan kata sandi Akun Layanan Terkelola grup di Windows Server 2012 atau yang lebih baru.
Pengendali Domain (DC) memerlukan kunci akar untuk mulai menghasilkan kata sandi gMSA. Pengontrol domain akan menunggu hingga 10 jam sejak pembuatan untuk memungkinkan semua pengontrol domain bertemu dengan replikasi AD mereka sebelum mengizinkan pembuatan gMSA. 10 jam adalah langkah keamanan untuk mencegah pembuatan kata sandi terjadi sebelum semua DC di lingkungan mampu menjawab permintaan gMSA. Jika Anda mencoba menggunakan gMSA terlalu cepat, kunci mungkin belum direplikasi ke semua pengontrol domain dan oleh karena itu pengambilan kata sandi mungkin gagal ketika host gMSA mencoba mengambil kata sandi. Kegagalan pengambilan kata sandi gMSA juga dapat terjadi saat menggunakan DC dengan jadwal replikasi terbatas atau jika ada masalah replikasi.
Catatan
Menghapus dan membuat ulang kunci akar dapat menyebabkan masalah di mana kunci lama terus digunakan setelah penghapusan karena penembolokan kunci. Layanan Distribusi Utama (KDC) harus dimulai ulang pada semua pengontrol domain jika kunci akar dibuat ulang.
Keanggotaan dalam grup Admin Domain atau Admin Perusahaan , atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi mendetail tentang menggunakan akun dan keanggotaan grup yang sesuai, lihat Grup Default Lokal dan Domain.
Catatan
Arsitektur 64-bit diperlukan untuk menjalankan perintah Windows PowerShell yang digunakan untuk mengelola Akun Layanan Terkelola grup.
Untuk membuat kunci akar KDS menggunakan cmdlet Add-KdsRootKey
Pada pengontrol domain Windows Server 2012 atau yang lebih baru, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Windows PowerShell Active Directory, ketik perintah berikut, lalu tekan ENTER:
Add-KdsRootKey -EffectiveImmediately
Tip
Parameter Waktu efektif dapat digunakan untuk memberikan waktu bagi kunci untuk disebarluaskan ke semua DC sebelum digunakan. Menggunakan Add-KdsRootKey -EffectiveImmediately akan menambahkan kunci akar ke DC target yang akan segera digunakan oleh layanan KDS. Namun, pengendali domain lain tidak akan dapat menggunakan kunci akar sampai replikasi berhasil.
Kunci akar KDS disimpan di Direktori Aktif dalam kontainer "CN=Master Root Keys,CN=Group Key Distribution Service,CN=Services,CN=Configuration,DC=<forest name>". Mereka memiliki atribut msKds-DomainID yang ditautkan ke akun komputer Pengendali Domain yang membuat objek . Ketika pengendali domain ini diturunkan dan dihapus dari domain, nilai akan merujuk ke batu nisan akun komputer. Anda dapat mengabaikan nilai rusak karena hanya digunakan untuk membantu administrator melacak objek saat baru dibuat. Anda juga dapat mengubah nilai atribut dan mengarahkannya ke objek komputer pengontrol domain lain di forest Anda.
Untuk lingkungan pengujian hanya dengan satu DC, Anda dapat membuat kunci akar KDS dan mengatur waktu mulai di masa lalu untuk menghindari interval menunggu pembuatan kunci dengan menggunakan prosedur berikut. Validasi bahwa peristiwa 4004 telah dicatat di log peristiwa kds.
Untuk membuat kunci akar KDS di lingkungan pengujian untuk efektivitas segera
Pada pengontrol domain Windows Server 2012 atau yang lebih baru, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Windows PowerShell Active Directory, ketik perintah berikut, lalu tekan ENTER:
$a=Get-Date
$b=$a.AddHours(-10)
Add-KdsRootKey -EffectiveTime $b
Atau gunakan satu perintah
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))