Cada controlador de domínio presente em um domínio do Active Directory é responsável por executar o serviço KDC (Kerberos Distribution Center), que gerencia todas as solicitações de tíquetes Kerberos. O Active Directory utiliza a conta KRBTGT para a emissão de tíquetes Kerberos. Cada domínio do Active Directory possui uma conta KRBTGT associada, que é utilizada para criptografar e assinar todos os tíquetes Kerberos emitidos para aquele domínio específico.
A conta KRBTGT é uma conta padrão local que atua como uma conta de serviço para o serviço Key Distribution Center (KDC).
⚠ Se seu domínio/floresta foi comprometido, você deve redefinir a senha da conta KRBTGT duas vezes.
O valor do histórico de senhas para a conta krbtgt é 2. Ao redefinir a senha duas vezes, você efetivamente limpa todas as senhas antigas do histórico, portanto, não há como outro controlador de domínio replicar com este controlador de domínio usando uma senha antiga.
Sobre esperar 10 horas
Não há necessidade de esperar 10 horas, só é necessário aguardar a replicação
Se a conta KRBTGT está comprometida alterar a senha da conta KRBTGT duas vezes em rápida sucessão (antes da conclusão da replicação do AD) invalidará todos os TGTs existentes, forçando os clientes a se autenticarem novamente, uma vez que o serviço KDC não será capaz de descriptografar os TGTs existentes. A escolha desse caminho provavelmente exigirá a reinicialização dos servidores de aplicativos (ou pelo menos a reinicialização dos serviços de aplicativos para que eles falem Kerberos corretamente novamente).
Para uma ação proativa alterar a senha da conta KRBTGT uma vez, aguardar a conclusão da replicação (e a convergência da floresta) e, em seguida, alterar a senha uma segunda vez, fornece um processo sólido para garantir que a conta KRBTGT esteja protegida e reduz riscos (Kerberos e problemas de aplicativo).
A replicação em seu domínio deve estar saudável.
Se o seu domínio possui RODC lembre-se que a conta krbtgt para um RODC está listada no formato krbtgt_numero.
Para redefinir a senha krbtgt
- Abra o o Active Directory Users and Computers.
- Clique em Exibir e, em seguida, clique em Recursos avançados.
- Na unidade organizacional “users”. clique com o botão direito do mouse na conta de usuário krbtgt e clique em Redefinir senha.
- Digite uma nova senha, redigite a senha e clique em OK.
⚠ A senha que você especifica não é significativa porque o sistema irá gerar uma senha forte automaticamente independente da senha que você especificar.
Se você preferir usar o PowerShell, o GitHub tem vários scripts para redefinir a senha KRBTGT em controladores de domínio somente leitura e graváveis (RWDCs e RODCs) de maneira controlada.
- https://gist.github.com/mubix/fd0c89ec021f70023695
- https://github.com/hpmillaard/Reset-KrbtgtPassword
- https://github.com/microsoft/New-KrbtgtKeys.ps1/blob/master/New-KrbtgtKeys.ps1
Evidencia
É importante validar se a operação ocorreu sem problemas e você pode consultar através do PowerShell
Get-ADUser krbtgt -Properties created, PasswordLastSet, Enabled, SID, Distinguishedname
Muito bom Professor, sempre mandando bem vlw.
Por segurança, essa conta deveria residir dentro do grupo “SELBEST”? ou isso pode causar uma falha nas requisição do kerberos?
Não deveria