A: het Kerberos-verificatieprotocol gebruikt sessietickets die zijn versleuteld met een symmetrische sleutel die is afgeleid van het wachtwoord van de server of service waartoe een Windows-gebruiker toegang vraagt. Om een sessieticket aan te vragen, moet de gebruiker een speciaal ticket (TGT) tonen aan de Kerberos Key Distribution Center (KDC)-service op een domeincontroller (DC). Alle Windows gebruikers krijgen een TGT van de KDC aan het begin van hun Windows login sessie nadat ze zich succesvol hebben aangemeld bij de KDC met behulp van hun wachtwoord.
de KDC versleutelt de TGT van een gebruiker met een sleutel die afgeleid is van het wachtwoord van het KRBTGT AD domain account. Het krbtgt-account en het bijbehorende wachtwoord worden gedeeld tussen de KDC-diensten van alle DCs in een domein. Het krbtgt-account wordt automatisch aangemaakt als onderdeel van het Dcpromo AD-installatieproces op de eerste DC in een domein. Het wordt weergegeven in de gebruikerscontainer van de MMC-module Active Directory-gebruikers en Computers (Microsoft Management Console) en is standaard uitgeschakeld. In tegenstelling tot andere AD-gebruikersaccounts kan het krbtgt-account niet worden gebruikt om interactief in te loggen op het domein. Omdat het een ingebouwd account is, kan krbtgt ook niet hernoemd worden.
een alleen-lezen domeincontroller (alleen-lezen domeincontroller) is een nieuw type DC dat Microsoft introduceerde in Windows Server 2008. Op een alleen-lezen domeincontroller worden alleen-lezen partities van de AD-database gehost. Het slaat niet de wachtwoord hashes van alle gebruikersaccounts in een Windows-domein; in plaats daarvan slaat een alleen-lezen domeincontroller alleen de wachtwoordhashes op van de accounts die zijn gedefinieerd in het Password Replication Policy (PRP) van de alleen-lezen domeincontroller. Deze methode betekent dat het compromis van een alleen-lezen domeincontroller veel minder risico inhoudt dan het compromis van een klassieke lees – /schrijf-DC (RWDC) die kopieën bevat van de wachtwoordhashes van alle gebruikersaccounts in een domein. Daarom kan een alleen-lezen domeincontroller worden ingezet op een manier die als minder veilig kan worden beschouwd. Organisaties zetten ze meestal in bijkantoor of in hun gedemilitariseerde zones (DMZ ‘ s).
een alleen-lezen domeincontroller fungeert als een Kerberos KDC voor een filiaal of DMZ, en als zodanig vereist het ook een krbtgt-account. Om ervoor te zorgen dat de krbtgt van een gecompromitteerde alleen-lezen domeincontroller niet kan worden gebruikt om tickets aan te vragen voor andere Alleen-lezen domeincontrollers of Rwdc ‘ s, heeft elke Alleen-lezen domeincontrollers een speciaal lokaal krbtgt-account. Dit account heeft het formaat krbtgt123, waarbij ” 123 ” een reeks willekeurige getallen is. Deze willekeurige tekenreeks identificeert de alleen-lezen domeincontroller op unieke wijze en wordt gegenereerd wanneer een alleen-lezen domeincontroller is geïnstalleerd.
de verschillende lokale krbtgt-accounts van de alleen-lezen domeincontrollers in een domein worden opgeslagen in AD en worden weergegeven in Active Directory-gebruikers en Computers onder de Gebruikerscontainer. Alle Rwdc ‘ s in het domein bewaren ook een kopie van de wachtwoordhashes van de krbtgt accounts van de RODCs in het domein. Daarom is een door een alleen-lezen domeincontroller uitgegeven TGT geldig voor het aanvragen van sessietickets tegen dezelfde alleen-lezen domeincontroller en ook tegen andere RWDC ‘ s in het domein.
als een alleen-lezen domeincontroller een sessie-ticketaanvraag ontvangt die is gebaseerd op een TGT die niet geldig is — wat betekent dat de TGT niet door de alleen-lezen domeincontroller zelf is uitgegeven — geeft het een Kerberos-fout terug waarin de clientcomputer wordt gevraagd een nieuwe TGT-aanvraag aan te vragen voor de alleen-lezen domeincontroller zelf. Als de alleen-lezen domeincontroller geen kopie heeft van de hash van het wachtwoord van de gebruiker, stuurt de alleen-lezen domeincontroller de TGT-aanvraag door naar een RWDC. In dit geval fungeert de alleen-lezen domeincontroller als een proxy, waarbij het antwoord van de RWDC rechtstreeks naar de clientcomputer wordt doorgestuurd. Tegelijkertijd activeert de alleen-lezen domeincontroller het cacheproces van de hash van het gebruikerswachtwoord, zodat de alleen-lezen domeincontroller in de toekomst een TGT voor die specifieke gebruiker kan maken. De caching slaagt als het PRP van de alleen-lezen domeincontroller toestaat dat de wachtwoordhash van het gebruikersaccount op de alleen-lezen domeincontroller wordt opgeslagen.
gerelateerd: Hoe installeer en configureer ik een alleen-lezen domeincontroller (alleen-lezen domeincontroller)?