Temos usado o Group Managed Service Accounts (gMSAs) em nosso ambiente sem problemas até recentemente. Nós implantamos vários aplicativos para produção, onde os gMSAs foram criados há cerca de 60 dias, mas ainda não tinham sido usados. Nos atributos do gMSA, o valor padrão de msDS-ManagedPasswordInterval é 30 dias.
Quando install-adserviceaccount foi executado como parte do script de implantação, os atributos pwdLastSet, msDS-ManagedPasswordId e msDS-ManagedPasswordPreviousId foram atualizados, mas o pool de aplicativos não foi iniciado e vimos a atualização badPasswordTime a cada tentativa de início. O problema foi corrigido executando install-adserviceaccount novamente, o que presumivelmente recuperou a senha correta do AD. Observamos esse comportamento com várias contas em que o número de dias em que foi usado pela primeira vez foi superior a 30 dias. Não vimos este problema em que a conta foi utilizada no prazo de 30 dias após a criação (mais de 150 contas).
Outra variável é que estamos implantando em um ambiente de carga balanceada, portanto, o gMSA pode estar instalando em vários servidores ao mesmo tempo. Nem todos os servidores tiveram o problema com o mesmo gMSA.
Não conseguimos reproduzir este problema com testes manuais fora da execução dos nossos scripts, por isso estou a pensar se existe uma condição de corrida entre a palavra-passe a ser alterada e a palavra-passe a ser recuperada do directório activo antes de a alteração estar totalmente sincronizada. Existe alguma maneira de verificar se este é o caso?
Alguém mais encontrou esse comportamento?
Os servidores de destino e os controladores de domínio (5) estão todos executando o Windows Server 2012 R2 e são totalmente corrigidos. O nível funcional do domínio também é o Windows Server 2012 R2.