Azure AD – Roll over Kerberos decryption key

Roll over Kerberos decryption key(s)…

Wer in seinem Azure AD Portal diese Meldung sieht, oder auch eine E-Mail bekommen hat, muss nicht verzweifeln, sollte aber handeln…

We recommend that you roll over Kerberos decryption key(s) for one or more of your on-premises domains. Click here to learn more.

Dazu die PowerShell als Administrator, idealerweise auf dem Azure AD Connect Server (AZUREADSSOACC) starten

Falls noch nicht geschehen, PowerShell Connects auf externe Ressourcen via TLS 1.2 umstellen, sonst gibt’s diese Fehlermeldung…

Also auf TLS 1.2 umstellen…

Jetzt installieren wir das Azure AD PowerShell Modul…

Es folgen einige Abfragen, da das Modul erst aus einem externen Repository geladen wird. Diese jeweils mit „Y“ bestätigen…

Jetzt wechseln wir in das Installationsverzeichnis des Azure AD Sync, da das Script für den Rollover hier liegt…

Jetzt importieren wir das Azure AD SSO Modul…

Jetzt werden die Anmeldedaten für das Azure AD in einer Variable hinterlegt (das sollte ein globaler Admin sein!)…

Jetzt fragen wir alle Verzeichnisse (Domains) ab, für welche SSO aktiviert ist…

Hier werden jetzt alle lokalen Domains gelistet, bei welchen SSO aktiviert ist und die Ausgabe sollte bspw. so aussehen…

Enable : True
Exists : True
Domains : {contoso.net}
IsSuccessful : True
ErrorMessage :

Jetzt hinterlegen wir die lokalen Anmeldedaten in einer weiteren Variable. Im sich öffnenden Fenster sind die Anmeldedaten mit dem SamAccountName zu hinterlegen also contoso\lokalerdomadmin oder contoso.net\lokalerdomadmin.

Jetzt stoßen wir den eigentlichen SSO Key Rollover und den Sync der Änderung an…

In meinem Fall hat es etwa 30 Minuten gedauert, bis alles wieder grün war…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.