保护你的 Simple AD 目录 - AWS Directory Service
重置 krbtgt 账户密码

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护你的 Simple AD 目录

本节介绍保护 Simple AD 环境的注意事项。

如何重置 Simple AD krbtgt 账户密码

krbtgt 账户在 Kerberos 门票交易所中起着重要作用。krbtgt 账户是用于 Kerberos 票证授予票证 (TGT) 加密的特殊帐户,它在 Kerberos 身份验证协议的安全性中起着至关重要的作用。在 Samba AD 中,krbtgt 表示为(已禁用的)用户帐户。此帐户的密码是在配置域时随机生成的。访问此密钥可能会导致无法检测到的整个域名泄露,因为无需审核即可打印新的 Kerberos 票证。有关更多信息,请参阅 Samba 文档

建议每 90 天定期更改一次此密码。你可以从亚马逊重置 krbtgt 账户密码 EC2 Windows instanced 已加入你的 Simple AD。

注意

AWS Simple AD 由 Samba-ad 提供支持。Samba-ad 不存储 krbtgt 账户的 N-1 哈希值。因此,重置 krbtgt 账户密码后,Kerberos 客户端需要在下一次服务票证 (STTGT) 请求期间协商新的票证授予票证 ()。为了最大限度地减少可能的服务中断,您应该安排在工作时间以外重置 krbtgt 账户密码。这种方法可以减轻对持续运营的影响,并确保身份验证的顺畅连续性。

以下过程显示了如何从 Amazon 重置 krbtgt 账户密码 EC2 Windows 实例。

先决条件

  • 在开始此过程之前,请完成以下操作:

注意

有些公司, AWS 服务 比如亚马逊 WorkDocs 和亚马逊 WorkSpaces,会代表你制作一个 Simple AD。

重置 Simple AD krbtgt 账户密码

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在 Amazon EC2 控制台中,选择实例,然后选择 Windows 服务器实例。然后选择连接

  3. Connect to 实例页面中,选择RDP客户端

  4. Windows 安全对话框中,复制您的本地管理员凭据 Windows 要登录的服务器计算机。用户名可以采用以下格式:NetBIOS-Name\administratorDNS-Name\administrator。例如,如果您按照中的步骤进行操作,则corp\administrator将是用户名制作你的 Simple AD

  5. 登录后 Windows 服务器计算机,打开 Windows 从 “开始” 菜单中选择 “管理工具” Windows “管理工具” 文件夹。

    Windows Server start menu showing administrative tools and system management options.

  6. 在 Windows “管理工具” 控制面板,打开 Active Directory 通过选择 “用户和计算机” Active Directory 用户和计算机

    Windows Administrative Tools dashboard showing various system management shortcuts.

  7. Active Directory “用户和计算机” 窗口,选择 “查看”,然后选择 “启用高级功能”。

    View menu options in a software interface, with "Advanced Features" selected.

  8. Active Directory “用户和计算机” 窗口,从左侧面板中选择 “用户”。

    Active Directory Users and Computers folder structure with Users folder highlighted.

  9. 找到名为 krbtgt 的用户,右键单击它并选择 “重置密码”。

    Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.

  10. 在新窗口中,输入新密码,再次输入,然后选择确定重置 krbtgt 账户密码。

    Password reset dialog with fields for new password, confirmation, and account options.

  11. 在 Windows “管理工具” 控制面板,选择 Active Directory 网站和服务

    Windows Administrative Tools folder showing various Active Directory management shortcuts.

  12. 在 Active Directory “站点和服务” 窗口,展开 “点”、“默认第一站点名称” 和 “服务器”。

    Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.

  13. 在 NTDS “设置” 窗口中,右键单击服务器,然后选择 “立即复制”。

    Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.

  14. 对其他服务器重复步骤 13-14。