Roll over Kerberos decryption key(s)…
Wer in seinem Azure AD Portal diese Meldung sieht, oder auch eine E-Mail bekommen hat, muss nicht verzweifeln, sollte aber handeln…
We recommend that you roll over Kerberos decryption key(s) for one or more of your on-premises domains. Click here to learn more.
Dazu die PowerShell als Administrator, idealerweise auf dem Azure AD Connect Server (AZUREADSSOACC) starten…
Falls noch nicht geschehen, PowerShell Connects auf externe Ressourcen via TLS 1.2 umstellen, sonst gibt’s diese Fehlermeldung…
Also auf TLS 1.2 umstellen…
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Jetzt installieren wir das Azure AD PowerShell Modul…
Install-Module AzureAD
Es folgen einige Abfragen, da das Modul erst aus einem externen Repository geladen wird. Diese jeweils mit „Y“ bestätigen…
NuGet provider is required to continue PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or 'C:\Users\username\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install and import the NuGet provider now? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): y Untrusted repository You are installing the modules from an untrusted repository. If you trust this repository, change its InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from 'PSGallery'? [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "N"): y
Jetzt wechseln wir in das Installationsverzeichnis des Azure AD Sync, da das Script für den Rollover hier liegt…
cd 'C:\Program Files\Microsoft Azure Active Directory Connect\'
Jetzt importieren wir das Azure AD SSO Modul…
Import-Module .\AzureADSSO.psd1
Jetzt werden die Anmeldedaten für das Azure AD in einer Variable hinterlegt (das sollte ein globaler Admin sein!)…
New-AzureADSSOAuthenticationContext
Jetzt fragen wir alle Verzeichnisse (Domains) ab, für welche SSO aktiviert ist…
Get-AzureADSSOStatus | ConvertFrom-Json
Hier werden jetzt alle lokalen Domains gelistet, bei welchen SSO aktiviert ist und die Ausgabe sollte bspw. so aussehen…
Enable : True
Exists : True
Domains : {contoso.net}
IsSuccessful : True
ErrorMessage :
Jetzt hinterlegen wir die lokalen Anmeldedaten in einer weiteren Variable. Im sich öffnenden Fenster sind die Anmeldedaten mit dem SamAccountName zu hinterlegen also contoso\lokalerdomadmin oder contoso.net\lokalerdomadmin.
$creds = Get-Credential
Jetzt stoßen wir den eigentlichen SSO Key Rollover und den Sync der Änderung an…
Update-AzureADSSOForest -OnPremCredentials $creds
In meinem Fall hat es etwa 30 Minuten gedauert, bis alles wieder grün war…
