Azure AD – Roll over Kerberos decryption key

(Dieser Beitrag wurda am 26. Oktober 2020 aktualisiert.)

Roll over Kerberos decryption key(s)…

Wer in seinem Azure AD Portal diese Meldung sieht, oder auch eine E-Mail bekommen hat, muss nicht verzweifeln, sollte aber handeln…

We recommend that you roll over Kerberos decryption key(s) for one or more of your on-premises domains. Click here to learn more.

Dazu die PowerShell als Administrator auf dem Azure AD Connect Server (AZUREADSSOACC) starten…

Falls noch nicht geschehen, PowerShell Connects auf externe Ressourcen via TLS 1.2 umstellen…

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Jetzt installieren wir das Azure AD PowerShell Modul…

Install-Module AzureAD

Es folgen einige Abfragen, da das Modul erst aus einem externen Repository geladen wird. Diese jeweils mit "Y" bestätigen…

NuGet provider is required to continue
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet
 provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\username\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet
provider by running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet
to install and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): y

Untrusted repository
You are installing the modules from an untrusted repository. If you trust this repository, change its 
InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to
install the modules from 'PSGallery'?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): y

Jetzt wechseln wir in das Installationsverzeichnis des Azure AD Sync, da das Script für den Rollover hier liegt…

cd 'C:\Program Files\Microsoft Azure Active Directory Connect\'

Jetzt importieren wir das Azure AD SSO Modul…

Import-Module .\AzureADSSO.psd1

Jetzt werden die Anmeldedaten für das Azure AD in einer Variable hinterlegt (das sollte ein globaler Admin sein!)…

New-AzureADSSOAuthenticationContext

Jetzt fragen wir alle Verzeichnisse (Domains) ab, für welche SSO aktiviert ist…

Get-AzureADSSOStatus | ConvertFrom-Json

Hier werden jetzt alle lokalen Domains gelistet, bei welchen SSO aktiviert ist…

Enable       : True
Exists       : True
Domains      : {contoso.net}
IsSuccessful : True
ErrorMessage :

Jetzt hinterlegen wir die lokalen Anmeldedaten in einer weiteren Variable. Im sich öffnenden Fenster sind die Anmeldedaten mit dem SamAccountName zu hinterlegen also contoso\lokalerdomadmin oder contoso.net\lokalerdomadmin.

$creds = Get-Credential

Jetzt stoßen wir den eigentlichen SSO Key Rollover an…

Update-AzureADSSOForest -OnPremCredentials $creds

und schieben (Wirklich nur EINMAL!) den Sync der Änderung an…

Update-AzureADSSOForest

In meinem Fall hat es etwa 30 Minuten gedauert, bis alles wieder grün war…