View a markdown version of this page

Sichern Sie Ihr Simple AD AD-Verzeichnis - AWS Directory Service
Setzen Sie das Passwort für das krbtgt-Konto zurück

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sichern Sie Ihr Simple AD AD-Verzeichnis

In diesem Abschnitt werden Überlegungen zur Sicherung Ihrer Simple AD AD-Umgebung beschrieben.

So setzen Sie ein Simple AD krbtgt-Kontopasswort zurück

Das krbtgt-Konto spielt bei den Kerberos-Ticketbörsen eine wichtige Rolle. Das krbtgt-Konto ist ein spezielles Konto, das für die Verschlüsselung von Kerberos-Tickets (TGT) verwendet wird. Es spielt eine entscheidende Rolle für die Sicherheit des Kerberos-Authentifizierungsprotokolls. In Samba AD wird krbtgt als (deaktiviertes) Benutzerkonto dargestellt. Das Passwort für dieses Konto wird bei der Bereitstellung der Domain zufällig generiert. Der Zugriff auf dieses Geheimnis kann dazu führen, dass die gesamte Domäne nicht nachweisbar ist, da neue Kerberos-Tickets ohne Prüfung gedruckt werden können. Weitere Informationen finden Sie in der Samba-Dokumentation.

Es wird empfohlen, dieses Passwort regelmäßig alle 90 Tage zu ändern. Sie können das Passwort für das krbtgt-Konto von einer Amazon EC2 Windows EC2-Instance zurücksetzen, die mit Ihrem Simple AD verbunden ist.

Anmerkung

AWS Simple AD wird von Samba-AD unterstützt. Samba-AD speichert keinen N-1-Hash für das krbtgt-Konto. Wenn das Passwort für das krbtgt-Konto zurückgesetzt wird, muss der Kerberos-Client daher bei seiner nächsten Service Ticket (ST) -Anfrage ein neues Ticket Granting Ticket (TGT) aushandeln. Um mögliche Serviceunterbrechungen zu minimieren, sollten Sie das Zurücksetzen des Kennworts für das krbtgt-Konto außerhalb der Geschäftszeiten planen. Dieser Ansatz minimiert die Auswirkungen auf den laufenden Betrieb und gewährleistet eine reibungslose Kontinuität der Authentifizierung.

Die folgenden Verfahren zeigen, wie Sie das Passwort für das krbtgt-Konto von einer Amazon EC2 Windows EC2-Instance aus zurücksetzen können.

Voraussetzungen

  • Bevor Sie mit diesem Verfahren beginnen können, gehen Sie wie folgt vor:

    • Sie haben eine EC2-Instance mit Ihrem Simple AD AD-Verzeichnis domänenverknüpft.

    • Sie haben die Administratoranmeldedaten für das Simple AD AD-Verzeichnis. Für dieses Verfahren melden Sie sich als Simple AD AD-Verzeichnisadministrator an.

Anmerkung

Einige, AWS-Services wie Amazon WorkDocs und Amazon WorkSpaces, erstellen in Ihrem Namen eine Simple AD.

Setzen Sie das Simple AD krbtgt-Kontopasswort zurück

  1. Öffnen Sie die Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der Amazon EC2 EC2-Konsole Instances und dann die Windows Server-Instance aus. Wählen Sie dann Verbinden aus.

  3. Wählen Sie auf der Seite Mit Instance verbinden die Option RDP-Client aus.

  4. Kopieren Sie im Windows-Sicherheitsdialogfeld Ihre lokalen Administratoranmeldedaten für den Windows Servercomputer, um sich anzumelden. Der Benutzername kann die folgenden Formate haben: NetBIOS-Name\administrator oderDNS-Name\administrator. Dies corp\administrator wäre beispielsweise der Benutzername, wenn Sie das Verfahren in befolgen würdenErstellen Sie Ihr Simple AD.

  5. Nachdem Sie sich am Windows Servercomputer angemeldet haben, öffnen Sie im Startmenü die Option WindowsVerwaltung, indem Sie den Ordner WindowsVerwaltungstools auswählen.

    Das Windows-Startmenü zeigt den Ordner Windows-Verwaltungstools, der um Systemtools erweitert wurde.

  6. Öffnen Sie im Dashboard mit den Windows Verwaltungstools die Option Active Directory-Benutzer und -Computer, indem Sie Active Directory-Benutzer und -Computer auswählen.

    Der Ordner Windows-Verwaltungstools mit der Verknüpfung Active Directory-Benutzer und -Computer.

  7. Wählen Sie im Fenster „Active Directory-Benutzer und -Computer“ die Option „Ansicht“ und anschließend „Erweiterte Funktionen aktivieren“ aus.

    Menü „Ansicht“ mit ausgewählter Option „Erweiterte Funktionen“.

  8. Wählen Sie im Fenster „Active Directory-Benutzer und -Computer“ im linken Bereich die Option Benutzer aus.

    Navigationsstruktur für Active Directory-Benutzer und -Computer, wobei der Ordner Benutzer hervorgehoben ist.

  9. Suchen Sie den Benutzer mit dem Namen krbtgt, klicken Sie mit der rechten Maustaste darauf und wählen Sie Passwort zurücksetzen.

    Kontextmenü mit hervorgehobener Option „Passwort zurücksetzen“.

  10. Geben Sie im neuen Fenster das neue Passwort ein, geben Sie es erneut ein und wählen Sie dann OK, um das Passwort für das krbtgt-Konto zurückzusetzen.

    Dialogfeld „Passwort zurücksetzen“ mit Passwortfeldern, Checkbox-Optionen und den Schaltflächen OK und Abbrechen.

  11. Wählen Sie im Dashboard mit den Windows Verwaltungstools die Option Active Directory-Standorte und -Dienste aus.

    Ordner mit den Verwaltungstools, in dem neben anderen Verknüpfungen auch Active Directory-Standorte und -Dienste angezeigt werden.

  12. Erweitern Sie im Fenster Active Directory-Standorte und -Dienste die Optionen Site, Default-First-Site-Name und Server.

    Die Active Directory-Konsole für Standorte und Dienste zeigt den erweiterten Serverknoten mit NTDS-Einstellungen an.

  13. Klicken Sie im Fenster mit den NTDS-Einstellungen mit der rechten Maustaste auf den Server und wählen Sie Jetzt replizieren aus.

    Kontextmenü mit der in den NTDS-Einstellungen markierten Option Jetzt replizieren für eine Verbindung.

  14. Wiederholen Sie die Schritte 13 bis 14 für Ihre anderen Server.