Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: START » Операционные системы Microsoft Windows и их компоненты » Microsoft Windows Server 2012 R2 » Серверная роль Active Directory Domain Services » Управляемые служебные учетные записи Managed Service Account (MSA) и Group Managed Service Account (gMSA) » Создание Key Distribution Services (KDS) Root Key
microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-key-distribution-services-kds-root-key

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Следующая версия		Предыдущая версия
microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-key-distribution-services-kds-root-key [30.10.2018 14:18] – создано Алексей Максимовmicrosoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-key-distribution-services-kds-root-key [31.10.2018 12:39] (текущий) Алексей Максимов
Строка 1: Строка 1:
 ===== Создание Key Distribution Services (KDS) Root Key ===== ===== Создание Key Distribution Services (KDS) Root Key =====
  
-{{:microsoft-windows:windows-server-2012-r2:adds:pasted:20180818-100844.png }} Для использования учётных записей Managed Service Account (MSA) и Group Managed Service Account (gMSA) ...+{{:microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-143652.png }} Для возможности использования учётных записей **Group Managed Service Account** (**gMSA**в инфраструктуре Active Directory должен быть сгенерирован ключ **Key Distribution Services** (**KDS**) **Root Key**. Некоторые подробности о KDS Root Key можно получить в документе [[https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj128430(v%3dws.11)|Create the Key Distribution Services KDS Root Key]]. 
 + 
 +\\ 
 +==== Необходимый уровень привилегий ====  
 + 
 +Создание Root Key требует полномочия уровня **Domain Administrator** (в корневом домене верхнего уровня) или **Enterprise Administrator**. Если требуется создание ключа для администратора в дочернем домене, то на время учётную запись с правами **Domain Administrator** из дочернего домена придётся добавить в группу **Enterprise Admins** в корневом домене (после изменения уровня прав не забываем перелогиниться на контроллере домена). Определиться с необходимыми полномочиями важно на самом раннем этапе, так как в случае нехватки полномочий при попытке создания Root Key мы можем получить трудную для понимания ошибку типа ''Add-KdsRootKey : The request is not supported. (Exception from HRESULT: 0x80070032)'' 
 + 
 +{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-152030.png }} 
 + 
 +\\ 
 +==== Создание KDS Root Key ==== 
 + 
 +Создадим Root Key, разрешив его использование через час после создания, чтобы дать время для репликации ключа между всеми контроллерами Active Directory. 
 + 
 +Для начала проверим в AD информацию о всех имеющихся ключах с помощью командлета **Get-KdsRootKey**. 
 + 
 +Если ключа нет, создадим его с помощью командлета **Add-KdsRootKey**. 
 + 
 +Специфика работы ключа KDS Root Key заключается в том, что, [[https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key|согласно документа]] созданный ключ можно будет использовать на всех контроллерах домена не ранее, чем __через 10 часов__ после даты, хранимой в атрибуте **msKds-UseStartTime**. Поэтому, чтобы ускорить возможность использования ключа, мы можем сдвинуть дату в прошлое, например, на 9 часов, чтобы ожидание начала действия ключа длилось только 1 час, вместо 10. Таким образом, за счёт этого периода ожидания мы дадим возможность разреплицировать созданный ключ на все контроллеры домена. 
 + 
 +<code powershell>Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-9))</code> 
 + 
 +{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-152557.png }}  
 + 
 +\\ 
 +==== Проверка KDS Root Key ==== 
 + 
 +Если ключ уже был создан ранее в домене, то мы можем проверить валидность его формата командой 
 + 
 +<code powershell>Test-KdsRootKey -KeyId (Get-KdsRootKey).KeyId</code> 
 + 
 +В случае, если ключ был создан только что, обратим внимание на дату и время, что отображаются в **EffectiveTime**. Это время должно быть на 9 часов меньше от времени, когда генерировался ключ, то есть так как мы и указали в параметре **EffectiveTime** командлета **Add-KdsRootKey** 
 + 
 +{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-152715.png }} 
 + 
 +В оснастке **Active Directory Sites and Services** включим режим отображения узла служб: "**Show Services Node**" 
 + 
 +{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-152758.png }}  
 + 
 +В служебном контейнере **Services** > **Group Key Distribution Service** > **Master Root Keys** найдём объект типа **msKds-ProvRootKey** с идентификатором, который показал нам вывод PS-командлета создания ключа. 
 + 
 +{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-152921.png }}  
 + 
 +В значениях атрибутов **msKds-CreateTime** и **msKds-UseStartTime** увидим время создания объекта и время начала возможности его использования. Атрибут **msKds-DomainID** содержит имя сервера, на котором был создан ключ. Чтобы преобразовать значения даты/времени из атрибутов типа **Large Integer**, как например в **msKds-UseStartTime**, можем воспользоваться PS-конструкцией типа: 
 + 
 +<code powershell>$StartTime = "131824874973370737" 
 +[DateTime]::FromFiletime([Int64]::Parse($StartTime))</code> 
 + 
 +{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-153022.png }}  
 + 
 +В данном примере, преобразовывая значение атрибута **msKds-UseStartTime**, мы получим то самое значение **EffectiveTime**, которое выводится командлетом **Get-KdsRootKey** 
 + 
 +\\ 
 +==== Несколько KDS Root Key ==== 
 + 
 +Процедура создания Root Key делается один раз для леса Active Directory. Если командлет **Add-KdsRootKey** выполнялся несколько раз, то может получиться так, что будет создано несколько ключей. Прямого запрета использования такой конфигурации я найти не смог, но и упоминание того, что ключ желательно иметь только мне попадалось на форумах TechNet (ссылку к сожалению не сохранил).
  
  
Строка 12: Строка 67:
 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.10.2018 17:17 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.10.2018 17:17
  
-{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account"}}+{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" gMSA "Group Managed Service Account" PowerShell "Key Distribution Services" KDS "Root Key" "Master Root Key" "Group Key Distribution Service"}}
  
 ~~DISCUSSION~~ ~~DISCUSSION~~
microsoft-windows/windows-server-2012-r2/adds/how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa/how-to-create-key-distribution-services-kds-root-key.1540909114.txt.gz · Последнее изменение: Алексей Максимов