o: protokół uwierzytelniania Kerberos wykorzystuje bilety sesji, które są szyfrowane symetrycznym kluczem pochodzącym z hasła serwera lub usługi, do której użytkownik systemu Windows żąda dostępu. Aby zamówić bilet sesyjny, użytkownik musi przedstawić specjalny bilet, zwany biletem przyznającym bilet (TGT) do usługi Kerberos Key Distribution Center (KDC) na kontrolerze domeny (DC). Wszyscy użytkownicy systemu Windows otrzymują TGT z KDC na początku sesji logowania do systemu Windows po pomyślnym uwierzytelnieniu do KDC za pomocą hasła.
KDC szyfruje TGT użytkownika kluczem, który pochodzi z hasła konta domeny reklamowej krbtgt. Konto krbtgt i jego hasło są współdzielone między usługami KDC wszystkich DCs w domenie. Konto krbtgt jest tworzone automatycznie w ramach procesu instalacji dcpromo AD na pierwszym DC w domenie. Jest on wyświetlany w kontenerze użytkownicy konsoli Microsoft Management Console (MMC)przystawki Użytkownicy i komputery usługi Active Directory i jest domyślnie wyłączony. W przeciwieństwie do innych kont użytkowników reklam, konto krbtgt nie może być używane do interaktywnego logowania się do domeny. Ponieważ jest to wbudowane konto, krbtgt również nie można zmienić nazwy.
kontroler domeny tylko do odczytu (RODC) to nowy typ DC wprowadzony przez Microsoft w systemie Windows Server 2008. RODC hostuje partycje tylko do odczytu bazy danych AD. Nie przechowuje skrótów haseł wszystkich kont użytkowników w domenie Windows; zamiast tego RODC przechowuje tylko skróty haseł kont, które są zdefiniowane w zasadach replikacji haseł (PRP) RODC. Metoda ta oznacza, że kompromis RODC stanowi znacznie mniejsze ryzyko niż kompromis klasycznego odczytu/zapisu DC (RWDC), który przechowuje kopie hashów haseł wszystkich kont użytkowników w domenie. Dlatego RODC może być rozmieszczony w sposób, który może być uważany za mniej bezpieczny. Organizacje zazwyczaj wdrażają je w oddziałach lub w swoich strefach zdemilitaryzowanych (DMZ).
RODC działa jako Kerberos KDC dla oddziału lub DMZ i jako taki wymaga również konta krbtgt. Aby upewnić się, że krbtgt skompromitowanego RODCA nie może być wykorzystany do żądania biletów do innych Rodców lub Rwdc, każdy RODC ma specjalne lokalne konto krbtgt. To konto ma format krbtgt123, gdzie ” 123 ” jest ciągiem liczb losowych. Ten losowy ciąg jednoznacznie identyfikuje RODC i jest generowany po zainstalowaniu RODC.
różne lokalne konta krbtgt RODC w domenie są przechowywane w AD i pojawiają się w Active Directory Użytkownicy i komputery w kontenerze Users. Wszystkie Rwdc w domenie przechowują również kopię hashów haseł kont krbtgt RODC w domenie. W związku z tym TGT wystawiony przez RODC jest ważny dla żądania biletów sesji przeciwko temu samemu RODC, a także przeciwko innym RWDC w domenie.
jeśli RODC otrzyma żądanie biletu sesji oparte na TGT, które nie jest poprawne-co oznacza, że TGT nie został wydany przez samego RODC-zwraca błąd Kerberos z prośbą o zażądanie nowego żądania TGT przeciwko samemu RODC. Jeśli RODC nie posiada kopii skrótu hasła użytkownika, przekazuje żądanie TGT do RWDC. W tym przypadku RODC działa jako proxy, gdzie przekazuje odpowiedź z RWDC bezpośrednio do KOMPUTERA Klienta. W tym samym czasie RODC uruchamia proces buforowania hasha hasła użytkownika, dzięki czemu RODC będzie mógł utworzyć TGT dla tego konkretnego użytkownika w przyszłości. Buforowanie powiedzie się, jeśli PRP RODC pozwala hash konta użytkownika być buforowane na RODC.
podobne: jak zainstalować i skonfigurować kontroler domeny tylko do odczytu (RODC)?