キー配布サービス KDS ルート キーの作成Create the Key Distribution Services KDS Root Key

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

IT 担当者向けのこのトピックでは、windows PowerShell を使用してドメインコントローラーに Microsoft キー配布サービス (kdssvc.dll) のルートキーを作成し、Windows Server 2012 以降でグループの管理されたサービスアカウントのパスワードを生成する方法について説明します。This topic for the IT professional describes how to create a Microsoft Key Distribution Service (kdssvc.dll) root key on the domain controller using Windows PowerShell to generate group Managed Service Account passwords in Windows Server 2012 or later.

GMSA パスワードの生成を開始するには、ドメインコントローラー (DC) にルートキーが必要です。Domain Controllers (DC) require a root key to begin generating gMSA passwords. ドメイン コントローラーは作成時点から最大で 10 時間待機します。これにより、すべてのコントローラーは gMSA の作成を許可する前に AD レプリケーションを収束させることができます。The domain controllers will wait up to 10 hours from time of creation to allow all domain controllers to converge their AD replication before allowing the creation of a gMSA. この 10 時間というのは、環境内のすべての DC が gMSA 要求に応答できるようになる前にパスワードの生成が行われるのを防止するための安全対策です。The 10 hours is a safety measure to prevent password generation from occurring before all DCs in the environment are capable of answering gMSA requests. すぐに gMSA を使用しようとすると、キーがすべてのドメインコントローラーにレプリケートされていない可能性があるため、gMSA ホストがパスワードを取得しようとすると、パスワードの取得が失敗する可能性があります。If you try to use a gMSA too soon the key might not have been replicated to all domain controllers and therefore password retrieval might fail when the gMSA host attempts to retrieve the password. また、DC を制限付きのレプリケーション スケジュールで使用する際に、またはレプリケーションに関する問題がある場合に、gMSA パスワードを取得できない可能性があります。gMSA password retrieval failures can also occur when using DCs with limited replication schedules or if there is a replication issue.

注意

ルートキーを削除して再作成すると、キーのキャッシュによって古いキーが削除後も引き続き使用される問題が発生する可能性があります。Deleting and recreating the root key may lead to issues where the old key continues to be used after deletion due to caching of the key. ルートキーが再作成された場合、すべてのドメインコントローラーでキー配布サービス (KDC) を再起動する必要があります。The Key Distribution Service (KDC) should be restarted on all domain controllers if the root key is recreated.

この手順を完了するには、[Domain Admins] または [Enterprise Admins] グループのメンバーシップ、あるいはそれと同等のメンバーシップが最低限必要です。Membership in the Domain Admins or Enterprise Admins groups, or equivalent, is the minimum required to complete this procedure. 適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、「ローカルおよびドメインの既定のグループ」を参照してください。For detailed information about using the appropriate accounts and group memberships, see Local and Domain Default Groups.

注意

グループの管理されたサービス アカウントを管理するために使用する Windows PowerShell コマンドを実行するには、64 ビット アーキテクチャが必要です。A 64-bit architecture is required to run the Windows PowerShell commands which are used to administer group Managed Service Accounts.

Add-kdsrootkey コマンドレットを使用して KDS ルートキーを作成するにはTo create the KDS root key using the Add-KdsRootKey cmdlet

  1. Windows Server 2012 以降のドメインコントローラーで、タスクバーから Windows PowerShell を実行します。On the Windows Server 2012 or later domain controller, run the Windows PowerShell from the Taskbar.

  2. Windows PowerShell Active Directory モジュールのコマンド プロンプトで、次のコマンドを入力し、ENTER キーを押します。At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    Add-kdsrootkey-EffectiveImmediatelyAdd-KdsRootKey -EffectiveImmediately

    ヒント

    Effective 時間パラメータを使用すれば、使用前にすべての DC にキーを伝達する時刻を指定できます。The Effective time parameter can be used to give time for keys to be propagated to all DCs before use. Add-kdsrootkey-EffectiveImmediately を使用すると、KDS サービスによって直ちに使用されるターゲット DC にルートキーが追加されます。Using Add-KdsRootKey -EffectiveImmediately will add a root key to the target DC which will be used by the KDS service immediately. ただし、他のドメインコントローラーは、レプリケーションが成功するまでルートキーを使用できません。However, other domain controllers will not be able to use the root key until replication is successful.

DC が 1 つしか存在しないテスト環境では、次の手順を実行して KDS ルート キーを作成し、開始時刻を過去の時刻に設定することで、キー生成における待機を回避することができます。For test environments with only one DC, you can create a KDS root key and set the start time in the past to avoid the interval wait for key generation by using the following procedure. 4004 イベントが kds イベント ログにログ記録されていることを検証します。Validate that a 4004 event has been logged in the kds event log.

テスト環境で KDS ルート キーを作成してすぐに有効にするにはTo create the KDS root key in a test environment for immediate effectiveness

  1. Windows Server 2012 以降のドメインコントローラーで、タスクバーから Windows PowerShell を実行します。On the Windows Server 2012 or later domain controller, run the Windows PowerShell from the Taskbar.

  2. Windows PowerShell Active Directory モジュールのコマンド プロンプトで、次のコマンドを入力し、ENTER キーを押します。At the command prompt for the Windows PowerShell Active Directory module, type the following commands, and then press ENTER:

    $a=Get-Date$a=Get-Date

    $b=$a.AddHours(-10)$b=$a.AddHours(-10)

    Add-kdsrootkey-EffectiveTime $bAdd-KdsRootKey -EffectiveTime $b

    または、単一のコマンドを使用します。Or use a single command

    Add-kdsrootkey-EffectiveTime ((取得日). addhours (-10))Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

参照See Also

グループの管理されたサービスアカウントを使用したはじめにGetting Started with Group Managed Service Accounts