直到最近,我们一直在我们的环境中使用Group Managed Service Accounts(gMSAs)。 我们在生产中部署了几个应用程序,其中gMSAs是在60天前创build的,但尚未使用。 在gMSA的属性上,msDS-ManagedPasswordInterval的默认值是30天。
当install-adserviceaccount作为部署脚本的一部分运行时,pwdLastSet,msDS-ManagedPasswordId和msDS-ManagedPasswordPreviousId属性已更新,但是应用程序池始终无法启动,我们看到每次尝试启动都会出现badPasswordTime更新。 通过再次运行install-adserviceaccount修复了这个问题,这大概是从AD中获取了正确的密码。 我们用多个账户观察到这种行为,其中第一次使用的天数大于30天。 我们还没有看到这个帐户已被使用在30天内创build(超过150个帐户)的问题。
另一个variables是我们正在部署到负载平衡的环境,所以gMSA可以同时安装在多台服务器上。 不是所有的服务器都有相同的gMSA的问题。
在运行我们的脚本之外,我们还没有能够通过手动testing来重现这个问题,所以我想知道在更改密码和在更改完全同步之前从活动目录中检索密码之间是否存在争用条件。 有没有办法检查是否是这种情况?
有没有其他人遇到过这种情况?
目标服务器和域控制器(5)都运行Windows Server 2012 R2,并已完全打补丁。 域function级别也是Windows Server 2012 R2。