Azure AD – Roll over Kerberos decryption key

Roll over Kerberos decryption key(s)…

Wer in seinem Azure AD Portal diese Meldung sieht, oder auch eine E-Mail bekommen hat, muss nicht verzweifeln, sollte aber handeln…

We recommend that you roll over Kerberos decryption key(s) for one or more of your on-premises domains. Click here to learn more.

Dazu die PowerShell als Administrator, idealerweise auf dem Azure AD Connect Server (AZUREADSSOACC) starten…

Falls noch nicht geschehen, PowerShell Connects auf externe Ressourcen via TLS 1.2 umstellen, sonst gibt’s diese Fehlermeldung…

Also auf TLS 1.2 umstellen…

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

1	[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Jetzt installieren wir das Azure AD PowerShell Modul…

Install-Module AzureAD

1	Install-Module AzureAD

Es folgen einige Abfragen, da das Modul erst aus einem externen Repository geladen wird. Diese jeweils mit „Y“ bestätigen…

NuGet provider is required to continue
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet
 provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\username\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet
provider by running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet
to install and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): y

Untrusted repository
You are installing the modules from an untrusted repository. If you trust this repository, change its 
InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to
install the modules from 'PSGallery'?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): y

NuGet provider is required to continue

PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet

provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or

'C:\Users\username\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet

provider by running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet

to install and import the NuGet provider now?

[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): y

Untrusted repository

You are installing the modules from an untrusted repository. If you trust this repository, change its

InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to

install the modules from 'PSGallery'?

[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "N"): y

Jetzt wechseln wir in das Installationsverzeichnis des Azure AD Sync, da das Script für den Rollover hier liegt…

cd 'C:\Program Files\Microsoft Azure Active Directory Connect\'

1	cd 'C:\Program Files\Microsoft Azure Active Directory Connect\'

Jetzt importieren wir das Azure AD SSO Modul…

Import-Module .\AzureADSSO.psd1

1	Import-Module .\AzureADSSO.psd1

Jetzt werden die Anmeldedaten für das Azure AD in einer Variable hinterlegt (das sollte ein globaler Admin sein!)…

New-AzureADSSOAuthenticationContext

1	New-AzureADSSOAuthenticationContext

Jetzt fragen wir alle Verzeichnisse (Domains) ab, für welche SSO aktiviert ist…

Get-AzureADSSOStatus | ConvertFrom-Json

1	Get-AzureADSSOStatus \| ConvertFrom-Json

Hier werden jetzt alle lokalen Domains gelistet, bei welchen SSO aktiviert ist und die Ausgabe sollte bspw. so aussehen…

Enable : True
Exists : True
Domains : {contoso.net}
IsSuccessful : True
ErrorMessage :

Jetzt hinterlegen wir die lokalen Anmeldedaten in einer weiteren Variable. Im sich öffnenden Fenster sind die Anmeldedaten mit dem SamAccountName zu hinterlegen also contoso\lokalerdomadmin oder contoso.net\lokalerdomadmin.

$creds = Get-Credential

1	$creds = Get-Credential

Jetzt stoßen wir den eigentlichen SSO Key Rollover und den Sync der Änderung an…

Update-AzureADSSOForest -OnPremCredentials $creds

1	Update-AzureADSSOForest -OnPremCredentials $creds

In meinem Fall hat es etwa 30 Minuten gedauert, bis alles wieder grün war…

Schreibe einen KommentarAntworten abbrechen

Ähnliche Beiträge

Installation von Windows Server 2K19 auf HPE DL20 mit Intel VROC RAID Chipsatz

Migration einer MS DHCP Server Rolle

Schnellübersicht Active Directory

Export von Office 365 Mailboxen als PST

Andere Beiträge

Cookie Hinweis