Mehrere KDS root keys
Wer die neuen Group Managed Service Accounts in Windows Server 2012 R2 einsetzt, muss zuvor einen KDS Root Key erstellen, anhand dessen Windows die Passwörter der Service Accounts generiert. Nun kann es ja passieren, dass man den entsprechenden Befehl (siehe Group Managed Service Accounts) mehrfach ausführt. Und jetzt?
Laut Microsoft sollte man nur einen KDS Root Key pro Domain erstellen (vgl. TechNet Blog), also sollten die überflüssigen Keys gelöscht werden. Dazu öffne man die Active Directory Sites and Services und aktiviere unter View die Option Show Services Node. Nun kann man die KDS Root Keys unter Services\Group Key Distribution Service\Master Root Keys sehen und ändern.
Man lösche hier alle überflüssigen KDS Root Keys – Thema erledigt.
Before you delete a unnecessary KDS Root Keys, note the value in the Name column somewhere. After you delete them you can still test them with ‘Test-KdsRootKey -KeyId 522de701-3ea3-753c-9f90-fe0d7f205eff’ and the result will be ‘True’ for any key not deleted before the effective date.
(http://translate.google.com)
Bevor Sie eine unnötige KDS Root Keys löschen, notieren Sie den Wert in der Spalte Name irgendwo. Nachdem du sie gelöscht hast, kannst du sie immer noch mit ‘Test-KdsRootKey -KeyId 522de701-3ea3-753c-9f90-fe0d7f205eff’ testen und das Ergebnis ist ‘True’ für jeden Schlüssel, der vor dem effektiven Datum nicht gelöscht wurde.