אהלן אנשים,
לא מזמן היינו צריכים לשנות את הסיסמה של המשתמש שמריץ את הKerberos בDCים, למשתמש קוראים krbtgt account.
מה זה Kerberos?
זהו פרוטוקול הזדהות צד שלישי.
שני המחשבים שמנסים להזדהות אחד מול השני, מאשרים מול שרת שעליו רץ הפרוטוקול את ההזדהות (מופשט מאוד – כל המנגנון הרבה יותר מורכב).
הסיבה שהיינו צריכים לרסט בגללה את הסיסמה היא סיבה אבטחתית, במידה ומישהו מגלה את הסיסמה של המשתמש של הKerberos הוא יוכל להיזדהות ברשת ולהגיע למידע שלנו.
תהליך שינוי הסיסמה:
קודם כל נשנה את הסיסמה בדרך הרגילה, ניכנס לdsa.msc נחפש את המשתמש krbtgt ונעשה לו Reset סיסמה. זה לא ממש חשוב לאיזו סיסמה נשנה כי המערכת תשנה לו את הסיסמה בעצמה. אחרי ששינינו לו את הסיסמה נצטרך לשנות אותה שוב. מהסיבה שלמשתמש יש היסטוריית סיסמאות, בהיסטוריה שמורות 2 סיסמאות אחורה.
לפני שנשנה אותה שוב ובמידה וישנם כמה Domain Controllers ברשת, נצטרך לדעת בוודאות שהסיסמה הועברה כמו שצריך ביניהם. כדי לזרז את תהליך העברה נוכל להשתמש בפקודה repadmin /syncהכל מהDC שממנו שיניתם את הסיסמה. כדי לדעת בוודאות שכל הסיסמאות הועברו בין הDomain Controllers בצורה טובה ניכנס לכולם או שנעשה סקריפט שיעשה את זה בשבילנו ונבדוק בעזרת הפקודה:
Get-ADUser –Properties “DisplayName”,”msDSUserסיסמהExpiryTimeComputed”
שתאריך התפוגה של הסיסמה בDomain Controller שהפקודה רצה עליו דומה לתאריך תפוגת הסיסמה בDomain Controller ששינינו ממנו את הסיסמה, כך נוכל לדעת שהסיסמה השתנת גם בDC הזה.
אחרי שנבדוק בכולם נוכל לעשות את התהליך שוב.
מומלץ לרסט את הKDC service בכל הDCים.
**כשמעלים את רמת הפונקציונליות של הדומיין כל התהליך הזה קורה לבד. לכן אם הרפליקציה לא תהיה טובה בזמן העלאת הפונקציונליות כל התהליך יפול.
