Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Protección del directorio de Simple AD
En esta sección, se describen las consideraciones para proteger su entorno de Simple AD.
Cómo restablecer la contraseña de la cuenta krbtgt de Simple AD
La cuenta krbtgt desempeña un papel importante en los intercambios de tickets Kerberos. La cuenta krbtgt es una cuenta especial que se utiliza para la encriptación del ticket de concesión de ticket (TGT) en Kerberos y desempeña un papel fundamental en la seguridad del protocolo de autenticación Kerberos. En Samba AD, krbtgt se representa como una cuenta de usuario (deshabilitada). La contraseña de esta cuenta se genera de manera aleatoria en el momento en que se aprovisiona el dominio. El acceso al secreto puede poner en peligro la totalidad del dominio de forma indetectable, ya que se pueden imprimir nuevos tickets de Kerberos sin necesidad de auditarlos. Para obtener más información, consulte Samba documentation
Se recomienda cambiar esta contraseña con regularidad cada 90 días. Puedes restablecer la contraseña de la cuenta krbtgt desde Amazon EC2 Windows instanced unido a tu Simple AD.
nota
AWS Simple AD funciona con Samba-AD. Samba-AD no almacena el hash N-1 de la cuenta krbtgt. Por lo tanto, cuando se restablece la contraseña de la cuenta krbtgt, el cliente de Kerberos deberá negociar un nuevo ticket de concesión de ticket (TGT) en su próxima solicitud de ticket de servicio (ST). Para minimizar posibles interrupciones en el servicio, debe programar el restablecimiento de la contraseña de la cuenta krbtgt fuera del horario laboral. Este enfoque mitiga los impactos en las operaciones en curso y garantiza una continuidad fluida en la autenticación.
Los siguientes procedimientos muestran cómo se puede restablecer la contraseña de la cuenta krbtgt desde Amazon EC2 Windows instancia.
Requisitos previos
-
Antes de comenzar con este procedimiento, debe completar los siguientes pasos previos:
-
Tienes un dominio unido a una EC2 instancia a tu directorio de Simple AD.
-
Para obtener más información sobre cómo unirse a un EC2 Windows instancia a un Simple AD, consulteVinculación de una instancia de Amazon EC2 Windows a Simple Active Directory (Simple AD).
-
-
Tiene las credenciales de administrador del directorio Simple AD. Para este procedimiento, iniciará sesión como administrador del directorio Simple AD.
-
nota
Algunos, Servicios de AWS como Amazon WorkDocs y Amazon WorkSpaces, crearán un Simple AD en tu nombre.
Restablecimiento de la contraseña de la cuenta krbtgt de Simple AD
Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/
. -
En la EC2 consola de Amazon, elige Instances y selecciona Windows Instancia de servidor. A continuación, elija Conectar.
-
En la página Conectarse a la instancia, elija Cliente RDP.
-
En el cuadro de diálogo de seguridad de Windows, copie las credenciales de administrador local para Windows Equipo servidor para iniciar sesión. El nombre de usuario puede tener los siguientes formatos:
NetBIOS-Name\administrator
oDNS-Name\administrator
. Por ejemplo,corp\administrator
sería el nombre de usuario si hubiera seguido el procedimiento indicado en Creación de Simple AD. -
Una vez que haya iniciado sesión en Windows Computadora servidor, abra Windows Herramientas administrativas desde el menú Inicio seleccionando Windows Carpeta de herramientas administrativas.
-
En la Windows Panel de herramientas administrativas, abierto Active Directory Usuarios y ordenadores mediante la opción Active Directory Usuario y ordenadores.
-
En la Active Directory En la ventana Usuarios y ordenadores, seleccione Ver y, a continuación, seleccione Activar funciones avanzadas.
-
En la Active Directory En la ventana Usuarios y ordenadores, seleccione Usuarios en el panel izquierdo.
-
Busque el usuario llamado krbtgt, haga clic con el botón derecho sobre él y seleccione Restablecer contraseña.
-
En la nueva ventana, introduzca la nueva contraseña, vuelva a escribirla y, a continuación, pulse Aceptar para restablecer la contraseña de la cuenta krbtgt.
-
En la Windows Panel de herramientas administrativas, elija Active Directory Sitios y servicios.
-
En la Active Directory En la ventana Sitios y servicios, expanda Sitio, Nombre del primer sitio predeterminado y Servidores.
-
En la ventana Configuración de NTDS, haga clic derecho sobre el servidor y seleccione Replicar ahora.
-
Repita los pasos 13 y 14 para sus otros servidores.