4zap 17 Geschrieben 19. August 2021 Melden Teilen Geschrieben 19. August 2021 Moin ich muss die Kennwortänderung für der Kbrgtr account durchführen. Die letzte Änderung ist zu lange her, wir müssen den jetzt alle 30 Tage erneuern wegen Compliance. Normalerweise sehe ich da kein Problem drin, ich ändere das Kennwort ....warte auf die Replikation und ändere dann nochmal. Was mich jetzt grad blockt ist die Tatsache das mit dem Account ja alle Token verschlüsselt werden. Die Token werden on the fly neu erstellt. Ich hab diverse service account die per oauth API aufs AD zugreifen aus anderen Systemen usw. Was nicht passieren darf das irgendwelche Accounts dann erstmal aus irgendwelchen Gründen keine valides token bekommen und es kommt zu Unterbrechungen in der Produktion. Die AD Helden im Forum hier wissen doch bestimmt welche Folgen das evtl. hat? Lauf ich Gefahr irgendeinen Account auszusperren den ich dann per quick fix wieder an der Start bringen muss oder ist es total unberechtigt das ich mir hier Sorgen mache? Danke und Gruß Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 19. August 2021 Melden Teilen Geschrieben 19. August 2021 Wenn man zu schnell wechselt hat das eine re-Authentifizierung zur Folge. Nicht jedes System bekommt das sinnvoll hin. ;) im Zweifel einmal früh und dann zum Feierabend ein zweites Mal. Wenn’s kleine Umgebungen sind einfach testen. 1 Zitieren Link zu diesem Kommentar
4zap 17 Geschrieben 19. August 2021 Autor Melden Teilen Geschrieben 19. August 2021 vor 6 Minuten schrieb NorbertFe: Wenn man zu schnell wechselt hat das eine re-Authentifizierung zur Folge. Nicht jedes System bekommt das sinnvoll hin. ;) im Zweifel einmal früh und dann zum Feierabend ein zweites Mal. Wenn’s kleine Umgebungen sind einfach testen. Super Danke, Norbert.... für den zweiten Wechsel hab ich Zeit, das kann ich am nächsten Tag machen. Ich ändere das Passwort heute abend, und dann Freitag abend nochmal. Die Umgebung ist zu groß zum Testen.... leider. Das AD zieht sich quer über den Planeten. Daher frag ich lieber mal vorher, die MS Docs sind nett, sagen aber nix über evtl. Folgen aus und meine Recherche hat kaum was ergeben, also scheints folgenlos zu sein wenn man nicht zu hekitsch die zweite Änderung nach sich zieht. Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 19. August 2021 Melden Teilen Geschrieben 19. August 2021 (bearbeitet) Moin, die AD-Replikationszeit kann man messen, dazu hab ich vor Urzeiten mal mit einem MS-Mitarbeiter einen Artikel geschrieben. Ich guck mal, ob sich dazu noch was Zugängliches findet. Edit: Ach guck, da isses. [ADRepCheckLatency: AD-Replikationslatenz messen | faq-o-matic.net]https://www.faq-o-matic.net/2009/09/30/adrepchecklatency-ad-replikationslatenz-messen/ Die Kennwort-Dopplung bei dem Account ist genau auf die Bedenken zurückzuführen, die du hast. Allzu lang solltest du zwischen den Wechseln aber nicht warten, denn wenn du wirklich jemanden im Netz hast, der mit Golden Tickets angreift, dann willst du dem ja keine Zeit geben, rechtzeitig zu reagieren. Gruß, Nils bearbeitet 19. August 2021 von NilsK 1 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.