Créer la clé racine du service de distribution de clés (KDS, Key Distribution Service)

 

S'applique à: Windows Server 2012 R2, Windows Server 2012

Cette rubrique destinée aux professionnels de l'informatique décrit comment créer une clé racine du Service de distribution de clés Microsoft (kdssvc.dll) sur le contrôleur de domaine en utilisant Windows PowerShell pour générer des mots de passe de compte de service administré de groupe (gMSA, group Managed Service Account) dans Windows Server® 2012.

Les contrôleurs de domaine Windows Server 2012 ont besoin d'une clé racine pour commencer à générer des mots de passe de compte gMSA. Les contrôleurs de domaine n'autoriseront la création d'un compte gMSA que 10 heures après la création d'une clé racine pour permettre à tous les contrôleurs de domaine de converger leur réplication Active Directory. Ces 10 heures sont une mesure de sécurité pour empêcher la génération de mots de passe avant que tous les contrôleurs de domaine de l'environnement ne soient en mesure de répondre aux demandes de compte gMSA. Si vous essayez d'utiliser un compte gMSA trop tôt, la clé risque de ne pas avoir été répliquée sur tous les contrôleurs de domaine Windows Server 2012 et la récupération de mot de passe risque par conséquent d'échouer lorsque l'hôte de compte gMSA essaie de récupérer le mot de passe. La récupération de mot de passe de compte gMSA peut également échouer si des contrôleurs de domaine avec des planifications de réplication limitées sont utilisés ou en cas de problème de réplication.

Vous devez appartenir au groupe Admins du domaine ou Administrateurs de l'entreprise, ou à un groupe équivalent, pour réaliser cette procédure. Pour plus d'informations sur l'utilisation des comptes et des appartenances aux groupes appropriés, voir Groupes locaux et de domaine par défaut.

System_CAPS_noteRemarque

Une architecture 64 bits est requise pour exécuter les commandes Windows PowerShell utilisées pour administrer les comptes de service administrés de groupe.

Pour créer la clé racine KDS à l'aide de l'applet de commande New-KdsRootKey

  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    Add-KdsRootKey –EffectiveImmediately

    System_CAPS_tipConseil

    Le paramètre Heure d'effectivité peut être utilisé pour laisser le temps aux clés d'être propagées sur tous les contrôleurs de domaine avant leur utilisation. Add-KdsRootKey –EffectiveImmediately ajoutera une clé racine au contrôleur de domaine cible qui sera immédiatement utilisée par le service KDS. Toutefois, les autres contrôleurs de domaine Windows Server 2012 ne pourront pas utiliser la clé racine jusqu'à ce que la réplication ait réussi.

Dans les environnements de test à contrôleur de domaine unique, vous pouvez créer une clé racine KDS et définir l'heure de début sur une heure passée afin d'éviter l'intervalle d'attente avant la génération de clés. Utilisez pour cela procédure suivante. Vérifiez qu'un événement 4004 a été consigné dans le journal des événements kds.

Pour créer la clé racine KDS dans un environnement de test et faire qu'elle soit immédiatement effective

  1. Sur le contrôleur de domaine Windows Server 2012, exécutez Windows PowerShell à partir de la barre des tâches.

  2. À l'invite de commandes du module Active Directory pour Windows PowerShell, tapez les commandes suivantes et appuyez sur Entrée :

    $a=Get-Date

    $b=$a.AddHours(-10)

    Add-KdsRootKey –EffectiveTime $b

    Ou utilisez une commande unique

    Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Afficher: