在 AD 域控制器中为托管 DNS 服务器创建用户帐户,并根据需要编辑用户帐户属性。
要创建 AD 用户帐户:
-
在 Windows Server 2008 R2 中,启动服务器管理器并添加包含以下信息的用户帐户:
- 用户名 — DNS 服务器名称(例如,dns1)
- DNS 主服务器的主机名 — <dns server name>.example.com
- 密码 — 帐户的密码
- Kerberos 域 — EXAMPLE.COM。在 Address Manager 中添加 Kerberos 域时,将需要使用此域名。注意: Kerberos 域名称必须全部大写。
- 用户登录名 — 服务主体名称。在 Address Manager 中配置 Kerberos 服务主体时,需要使用相同的名称。
-
设置用户密码时,请选择以下两个选项:
- 用户无法更改密码
- 密码永不过期
-
使用管理员权限运行以下命令:
ktpass -princ DNS/<dns_server_name>.example.com@EXAMPLE.COM -mapuser <dns_server_name>@EXAMPLE.COM -ptype KRB5_NT_PRINCIPAL -crypto AES256-SHA1 - kvno 3 -pass <password> -mapOp set -out adonis.keytab
-
验证 -kvno 选项中指定的值:
- 转至启动 > 运行并运行 adsiedit.msc。
- 转至左侧面板中的 CN=Users/CN=<user name>。
- 右键单击并选择属性。将打开用户对象的属性列表。
- 找到 msDS-KeyVersionNumber。该值为 KVNO,每次用户更改密码或执行 ktpass 实用程序时,该值将递增。
- 记下 KVNO 值。定义服务主体时将需要该值。