Wer die neuen Group Managed Service Accounts in Windows Server 2012 R2 einsetzt, muss zuvor einen KDS Root Key erstellen, anhand dessen Windows die Passwörter der Service Accounts generiert. Nun kann es ja passieren, dass man den entsprechenden Befehl (siehe Group Managed Service Accounts) mehrfach ausführt. Und jetzt?

Laut Microsoft sollte man nur einen KDS Root Key pro Domain erstellen (vgl. TechNet Blog), also sollten die überflüssigen Keys gelöscht werden. Dazu öffne man die Active Directory Sites and Services und aktiviere unter View die Option Show Services Node. Nun kann man die KDS Root Keys unter Services\Group Key Distribution Service\Master Root Keys sehen und ändern.

Multiple_KDS_Root_Keys

Man lösche hier alle überflüssigen KDS Root Keys – Thema erledigt.