У цій статті для ІТ – фахівців описується, як створити кореневий ключ служби розповсюдження ключів (кдссвк. Контролери домену повинні мати кореневий ключ, щоб почати створювати паролі gMSA. Групові керовані облікові записи служб створюються лише через 10 годин після створення ключа, щоб всі контролери домену встигли виконати сходження своїх реплікацій Active Directory. Це зроблено для того, щоб генерація паролів не почалася раніше, ніж всі контролери домену в середовищі зможуть відповісти на запити групової керованої облікового запису служби.
Також хочемо вам порекомендувати https://indusoft.com.ua/indusoft-ukraine/digitallab/
Якщо ви спробуєте використовувати gMSA дуже швидко, можливо, ключ не був реплицирован на всі контролери домену, тому отримання пароля може завершитися помилкою, коли вузол gMSA спробує отримати пароль. Помилка отримання пароля групової керованої обліковим записом служб може виникнути також при використанні контролерів домену з обмеженим розкладом реплікації або при наявності проблем з реплікацією.
Видалення та повторне створення кореневого ключа може призвести до проблем, коли старий ключ буде продовжувати використовуватися після видалення через кешування ключа. При повторному створення кореневого ключа служба розповсюдження ключів (KDC) повинна бути перезапущена на всіх контролерах домену.
Мінімальною вимогою для виконання цієї процедури є членство в групі Адміністратори домену, Адміністратори підприємства або іншої еквівалентної групі. Додаткові відомості про використання відповідних облікових записів і членства в групах див. у розділі Локальні групи і групи домену за промовчанням.
Для надання контролерів доменів достатнього часу для отримання ключів перед їх використанням можна використовувати параметр . Використання Add – Кдсруткэй – Еффективеиммедиатели додасть кореневий ключ до цільового контролеру домену, який буде використовуватися службою KDS негайно. Однак інші контролери домену не зможуть використовувати кореневий ключ до тих пір, поки реплікація не буде успішною.
У тестових середовищах з одним контролером домену можна створити кореневий ключ KDS і встановити початкову дату в минулому, виконавши наведені нижче дії. Це дозволить уникнути періоду очікування для генерування ключа.
