保护 Simple AD 目录 - AWS Directory Service
重置 krbtgt 账户密码

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护 Simple AD 目录

本部分介绍了保护 Simple AD 环境的注意事项。

如何重置 Simple AD krbtgt 账户密码

krbtgt 账户在 Kerberos 票证交换中起着重要的作用。krbtgt 账户是用于 Kerberos 票证授予票证(TGT)加密的特殊账户,它对于 Kerberos 身份验证协议的安全性发挥着至关重要的作用。在 Samba AD 中,krbtgt 表示为(已禁用的)用户账户。此账户的密码是在配置域时随机生成的。访问此密钥可能会导致无法检测到整个域泄露,因为无需审核即可打印新的 Kerberos 票证。有关更多信息,请参阅 Samba 文档

建议每 90 天定期更改一次此密码。您可以重置已加入 Simple AD 的 Amazon EC2 Windows 实例的 krbtgt 账户密码。

注意

AWS Simple AD 由 Samba-AD 提供支持。Samba-AD 不存储 krbtgt 账户的 N-1 哈希值。因此,重置 krbtgt 账户密码后,Kerberos 客户端需要在下一次服务票证(ST)请求期间协商新的票证授予票证(TGT)。为了最大限度地减少潜在的服务中断,您应该计划在工作时间以外进行 krbtgt 账户密码重置。这种方法可以减轻对持续运营的影响,并确保身份验证能顺利持续地进行。

以下过程显示了如何通过 Amazon EC2 实例 Windows 重置 krbtgt 账户密码。

先决条件

  • 在开始此过程之前,请完成以下操作:

    • 您已通过域将 EC2 实例加入 Simple AD 目录。

    • 您拥有 Simple AD 目录管理员凭证。您将以 Simple AD 目录管理员身份登录来执行此过程。

注意

某些 AWS 服务(例如 Amazon WorkDocs 和 Amazon WorkSpaces)会代表您创建 Simple AD。

重置 Simple AD krbtgt 账户密码

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在 Amazon EC2 控制台中,选择实例,然后选择 Windows 实例。然后选择连接

  3. 连接到实例页面中,选择 RDP 客户端

  4. Windows 安全对话框中,复制 Windows Server 计算机的本地管理员凭证以登录。用户名可以采用以下格式:NetBIOS-Name\administratorDNS-Name\administrator。例如,如果您按照创建 Simple AD 中的过程进行操作,则用户名将为 corp\administrator

  5. 登录 Windows Server 计算机后,从“开始”菜单中选择 Windows 管理工具文件夹,以打开 Windows 管理工具

    Windows Server start menu showing administrative tools and system management options.

  6. 在“Windows 管理工具”控制面板中,通过选择 Active Directory 用户和计算机,打开 Active Directory 用户和计算机

    Windows Administrative Tools dashboard showing various system management shortcuts.

  7. Active Directory 用户和计算机窗口中,选择查看,然后选择启用高级功能

    View menu options in a software interface, with "Advanced Features" selected.

  8. Active Directory 用户和计算机窗口中,从左侧面板中选择用户

    Active Directory Users and Computers folder structure with Users folder highlighted.

  9. 找到名为 krbtgt 的用户,右键单击该用户并选择重置密码

    Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.

  10. 在新窗口中,输入新密码,再次输入新密码,然后选择确定以重置 krbtgt 账户密码。

    Password reset dialog with fields for new password, confirmation, and account options.

  11. 在“Windows 管理工具”控制面板中,选择 Active Directory 站点和服务

    Windows Administrative Tools folder showing various Active Directory management shortcuts.

  12. 在“Active Directory 站点和服务”窗口中,依次展开站点默认的第一个站点名称服务器

    Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.

  13. 在“NTDS 设置”窗口中,右键单击服务器并选择立即复制

    Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.

  14. 对其他服务器重复步骤 13 至 14。