none
Réinitialiser KRBTGT RRS feed

  • Question

  • Bonjour les expert Microsoft,

    On vient de récupérer un nouveau domaine. Les responsables de la sécurité nous exige de réinitialiser le mot de passe KRBTGT  pour des raisons de sécurité.

    Avant de exécuter cette tâche , je voudrais savoir l'impact et s'il y a des bonnes pratiques ou des prérequis à respecter.

    Merci d'avance pour vos retours

    je vous souhaite joyeux fêtes de fin d'année.

    samedi 24 décembre 2016 21:30

Réponses

  • Bonjour,

    Pour réinitialiser le mot de passe krbtgt,:

    • Il faut que le niveau fonctionnel du domaine soir 2008 ou plus.
    • Aucun problème e de réplication entre les contrôleur de domaine R/W
    • krbtgt garde les deux derniers mots dans l'historique , pour cela il est recommandé de changer le mot de passe deux fois , et avant de changer le mot de passe la deuxième fois , il faut attendre que le premièr changement soit répliqué sur tous les contrôleurs de domaine
    • choisir un mot de passe compliqué

    Pour information :

    le mot de passe krbtgt est répliqué uniquement sur les DC R/W, chaque RODC possède son propre compte krbtgt pour gérer les demandes hereros.

    Tous les tickets kerberos TGT déjà délivrés avant le changement de mot de passe krbtgt seront invalide, il faut que le client reçoit un autre ticket TGT pour accéder à une ressource via l'authentification kerberos.
    pour purger les tickets kerberos lancer cette commande :

    klist purge

    Voici un lien qui propose un script qui pourra vous aider :

    KRBTGT Account Password Reset Scripts now available for customers

    samedi 24 décembre 2016 23:51
    Modérateur
  • Bonjour,

    Je vous remercie pour cette réponse.

    J'ai remarqué que le compte est désactivé. faut-il l'activer avant ?

    Bonjour,

    Ce compte doit être toujours désactivé et ne peut être que désactivé.

     Ce compte est créé par défaut lors de l'installation du promier contrôleur de domaine dans le domaine.

    On ne peut pas ni modifier , ni supprimer, ni activer le compte KRBTGT.

    • Marqué comme réponse S.FABOT lundi 2 janvier 2017 15:26
    lundi 2 janvier 2017 13:46
    Modérateur

Toutes les réponses

  • Bonjour,

    Pour réinitialiser le mot de passe krbtgt,:

    • Il faut que le niveau fonctionnel du domaine soir 2008 ou plus.
    • Aucun problème e de réplication entre les contrôleur de domaine R/W
    • krbtgt garde les deux derniers mots dans l'historique , pour cela il est recommandé de changer le mot de passe deux fois , et avant de changer le mot de passe la deuxième fois , il faut attendre que le premièr changement soit répliqué sur tous les contrôleurs de domaine
    • choisir un mot de passe compliqué

    Pour information :

    le mot de passe krbtgt est répliqué uniquement sur les DC R/W, chaque RODC possède son propre compte krbtgt pour gérer les demandes hereros.

    Tous les tickets kerberos TGT déjà délivrés avant le changement de mot de passe krbtgt seront invalide, il faut que le client reçoit un autre ticket TGT pour accéder à une ressource via l'authentification kerberos.
    pour purger les tickets kerberos lancer cette commande :

    klist purge

    Voici un lien qui propose un script qui pourra vous aider :

    KRBTGT Account Password Reset Scripts now available for customers

    samedi 24 décembre 2016 23:51
    Modérateur
  • Bonjour,

    Je vous remercie pour cette réponse.

    J'ai remarqué que le compte est désactivé. faut-il l'activer avant ?

    lundi 2 janvier 2017 13:36
  • Bonjour,

    Je vous remercie pour cette réponse.

    J'ai remarqué que le compte est désactivé. faut-il l'activer avant ?

    Bonjour,

    Ce compte doit être toujours désactivé et ne peut être que désactivé.

     Ce compte est créé par défaut lors de l'installation du promier contrôleur de domaine dans le domaine.

    On ne peut pas ni modifier , ni supprimer, ni activer le compte KRBTGT.

    • Marqué comme réponse S.FABOT lundi 2 janvier 2017 15:26
    lundi 2 janvier 2017 13:46
    Modérateur
  • merci
    lundi 2 janvier 2017 15:26
  • Attention au script proposé par le lien selon la langue avec laquelle Windows a été installé.

    Par exemple ligne 52 il fait un rpcping :

        Try {$RpcPingResult = rpcping.exe -s $Hostname -u 9 -a connect} # Attempt to RPCPING the target host

    Ensuite ligne 62 il vérifie que le résultat contient completed  :

      

      If ($RpcPingResult -like "*Completed*") {Return (New-Object -TypeName PSObject -Property @{'Success'=$true; 'Message'="$Hostname - RPC connectivity successful."})}

    Sauf que sur la version française le résultat pour indiquer OK est :



    mardi 3 janvier 2017 11:31
    Modérateur
  • Bonjour Philippe

    Merci pour votre remarque.

    La version du système d'exploitation est anglaise. le problème que vous avez remonté ne concerne pas la version anglaise ?

    mardi 3 janvier 2017 12:21
  • Je ne pense pas qu'il y ai un soucis sur la version anglaise, vu que le terme testé est anglais.

    Après tu peux tester rpcping pour voir s'il répond en français...

    mardi 3 janvier 2017 12:23
    Modérateur
  • Je ne pense pas qu'il y ai un soucis sur la version anglaise, vu que le terme testé est anglais.

    Après tu peux tester rpcping pour voir s'il répond en français...

    Merci
    mardi 3 janvier 2017 12:32