Sichern Sie Ihr Simple AD AD-Verzeichnis - AWS Directory Service
Setzen Sie das Passwort für das krbtgt-Konto zurück

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sichern Sie Ihr Simple AD AD-Verzeichnis

In diesem Abschnitt werden Überlegungen zur Sicherung Ihrer Simple AD AD-Umgebung beschrieben.

So setzen Sie ein Simple AD krbtgt-Kontopasswort zurück

Das krbtgt-Konto spielt beim Kerberos-Ticketaustausch eine wichtige Rolle. Das krbtgt-Konto ist ein spezielles Konto, das für die Verschlüsselung von Kerberos-Tickets (TGT) verwendet wird. Es spielt eine entscheidende Rolle für die Sicherheit des Kerberos-Authentifizierungsprotokolls. In Samba AD wird krbtgt als (deaktiviertes) Benutzerkonto dargestellt. Das Passwort für dieses Konto wird bei der Bereitstellung der Domain zufällig generiert. Der Zugriff auf dieses Geheimnis kann dazu führen, dass die gesamte Domäne nicht nachweisbar ist, da neue Kerberos-Tickets ohne Prüfung gedruckt werden können. Weitere Informationen finden Sie in der Samba-Dokumentation.

Es wird empfohlen, dieses Passwort regelmäßig alle 90 Tage zu ändern. Sie können das Passwort für das krbtgt-Konto von einer EC2 Windows Amazon-Instance aus zurücksetzen, die mit Ihrem Simple AD verbunden ist.

Anmerkung

AWS Simple AD wird von Samba-AD unterstützt. Samba-AD speichert keinen N-1-Hash für das krbtgt-Konto. Wenn das Passwort für das krbtgt-Konto zurückgesetzt wird, muss der Kerberos-Client daher bei seiner nächsten Service Ticket (ST) -Anfrage ein neues Ticket Granting Ticket (TGT) aushandeln. Um mögliche Serviceunterbrechungen zu minimieren, sollten Sie das Zurücksetzen des Kennworts für das krbtgt-Konto außerhalb der Geschäftszeiten planen. Dieser Ansatz minimiert die Auswirkungen auf den laufenden Betrieb und gewährleistet eine reibungslose Kontinuität der Authentifizierung.

Die folgenden Verfahren zeigen, wie Sie das Passwort für das krbtgt-Konto von einer EC2 Windows Amazon-Instance aus zurücksetzen können.

Voraussetzungen

  • Bevor Sie mit diesem Verfahren beginnen können, gehen Sie wie folgt vor:

    • Sie haben eine EC2 Instanz mit Ihrem Simple AD AD-Verzeichnis über eine Domain verknüpft.

    • Sie haben die Administratoranmeldedaten für das Simple AD AD-Verzeichnis. Für dieses Verfahren melden Sie sich als Simple AD AD-Verzeichnisadministrator an.

Anmerkung

Einige, AWS-Services wie Amazon WorkDocs und Amazon WorkSpaces, erstellen in Ihrem Namen eine Simple AD.

Setzen Sie das Simple AD krbtgt-Kontopasswort zurück

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der EC2 Amazon-Konsole Instances und dann die Windows Server-Instance aus. Wählen Sie dann Verbinden aus.

  3. Wählen Sie auf der Seite Mit Instance verbinden die Option RDP-Client aus.

  4. Kopieren Sie im Windows-Sicherheitsdialogfeld Ihre lokalen Administratoranmeldedaten für den Windows Servercomputer, um sich anzumelden. Der Benutzername kann die folgenden Formate haben: NetBIOS-Name\administrator oderDNS-Name\administrator. Dies corp\administrator wäre beispielsweise der Benutzername, wenn Sie das Verfahren in befolgen würdenErstellen Ihres Simple AD.

  5. Nachdem Sie sich am Windows Servercomputer angemeldet haben, öffnen Sie im Startmenü die Option WindowsVerwaltung, indem Sie den Ordner WindowsVerwaltungstools auswählen.

    Windows Server start menu showing administrative tools and system management options.

  6. Öffnen Sie im Dashboard mit den Windows Verwaltungstools die Option Active Directory-Benutzer und -Computer, indem Sie Active Directory-Benutzer und -Computer auswählen.

    Windows Administrative Tools dashboard showing various system management shortcuts.

  7. Wählen Sie im Fenster „Active Directory-Benutzer und -Computer“ die Option „Ansicht“ und dann „Erweiterte Funktionen aktivieren“ aus.

    View menu options in a software interface, with "Advanced Features" selected.

  8. Wählen Sie im Fenster „Active Directory-Benutzer und -Computer“ im linken Bereich die Option Benutzer aus.

    Active Directory Users and Computers folder structure with Users folder highlighted.

  9. Suchen Sie den Benutzer mit dem Namen krbtgt, klicken Sie mit der rechten Maustaste darauf und wählen Sie Passwort zurücksetzen.

    Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.

  10. Geben Sie im neuen Fenster das neue Passwort ein, geben Sie es erneut ein und wählen Sie dann OK, um das Passwort für das krbtgt-Konto zurückzusetzen.

    Password reset dialog with fields for new password, confirmation, and account options.

  11. Wählen Sie im Dashboard „WindowsVerwaltungstools“ die Option Active Directory-Standorte und -Dienste aus.

    Windows Administrative Tools folder showing various Active Directory management shortcuts.

  12. Erweitern Sie im Fenster Active Directory-Standorte und -Dienste die Optionen Site, Default-First-Site-Name und Server.

    Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.

  13. Klicken Sie im Fenster mit den NTDS-Einstellungen mit der rechten Maustaste auf den Server und wählen Sie Jetzt replizieren aus.

    Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.

  14. Wiederholen Sie die Schritte 13 bis 14 für Ihre anderen Server.