Créer la clé racine du service de distribution de clés (KDS, Key Distribution Service)
Cet article destiné aux professionnels de l'informatique décrit comment créer une clé racine du Service de distribution de clés Microsoft (kdssvc.dll) sur le contrôleur de domaine en utilisant Windows PowerShell pour générer des mots de passe de compte de service administré de groupe (gMSA, group Managed Service Account) dans Windows Server 2012 ou ultérieur.
Les contrôleurs de domaine ont besoin d'une clé racine pour commencer à générer des mots de passe de compte gMSA. Les contrôleurs de domaine n'autoriseront la création d'un compte gMSA que 10 heures après la création d'une clé racine pour permettre à tous les contrôleurs de domaine de converger leur réplication Active Directory. Attendre jusqu’à 10 heures est une mesure de sécurité visant à empêcher la génération de mots de passe avant que tous les contrôleurs de domaine de l’environnement ne soient en mesure de répondre aux demandes de compte gMSA. Une tentative précoce d’utilisation d’un compte gMSA peut échouer lorsque l’hôte gMSA tente de récupérer le mot de passe, car la clé n’a peut-être pas été répliquée sur tous les contrôleurs de domaine. Les échecs de récupération de mot de passe gMSA peuvent également se produire lors de l’utilisation de contrôleurs de domaine avec des planifications de réplication limitées ou en cas de problème de réplication.
Notes
La suppression et la recréation de la clé racine peuvent entraîner des problèmes où l’ancienne clé continue d’être utilisée après la suppression en raison de la mise en cache de la clé. Le service de distribution de clés (KDC) doit être redémarré sur tous les contrôleurs de domaine si la clé racine est recréée.
Vous devez appartenir au groupe Admins du domaine ou Administrateurs de l'entreprise, ou à un groupe équivalent, pour réaliser cette procédure. Pour plus d’informations sur l’utilisation des comptes et appartenances à des groupes appropriés, voir Groupes locaux et de domaine par défaut.
Notes
Une architecture 64 bits est requise pour exécuter les commandes Windows PowerShell utilisées pour administrer les comptes de service administrés de groupe.
Créer la clé racine KDS à l'aide de l'applet de commande Add-KdsRootKey
Sur le contrôleur de domaine Windows Server 2012 ou ultérieur, exécutez le Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
Add-KdsRootKey -EffectiveImmediately
Conseil
Le paramètre Heure d'effectivité peut être utilisé pour laisser le temps aux clés d'être propagées sur tous les contrôleurs de domaine avant leur utilisation. L’utilisation d’Add-KdsRootKey -EffectiveImmediately ajoutera une clé racine au contrôleur de domaine cible qui sera immédiatement utilisée par le service KDS. Toutefois, les autres contrôleurs de domaine ne pourront pas utiliser la clé racine jusqu'à ce que la réplication ait réussi.
Les clés racines KDS sont stockées dans Active Directory dans le conteneur CN=Master Root Keys,CN=Group Key Distribution Service,CN=Services,CN=Configuration,DC=<forest name>;
. Elles ont un msKds-DomainID d’attribut qui lie au compte d’ordinateur du contrôleur de domaine qui a créé l’objet. Lorsque ce contrôleur de domaine est rétrogradé et supprimé du domaine, la valeur fait référence à la désactivation du compte d’ordinateur. Vous pouvez ignorer la valeur rompue, car elle est utilisée uniquement pour aider l’administrateur à suivre l’objet lorsqu’il est fraîchement créé. Vous pouvez également modifier la valeur d’attribut et le pointer vers l’objet ordinateur d’un autre contrôleur de domaine dans votre forêt.
Dans les environnements de test à contrôleur de domaine unique, vous pouvez créer une clé racine KDS et définir l'heure de début sur une heure passée afin d'éviter l'intervalle d'attente avant la génération de clés. Utilisez pour cela procédure suivante. Vérifiez qu'un événement 4004 a été consigné dans le journal des événements KDS.
Pour créer la clé racine KDS dans un environnement de test et faire qu'elle soit immédiatement effective
Sur le contrôleur de domaine Windows Server 2012 ou ultérieur, exécutez le Windows PowerShell à partir de la barre des tâches.
À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :
$a=Get-Date
$b=$a.AddHours(-10)
Add-KdsRootKey -EffectiveTime $b
Ou utilisez une commande unique
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))