Пул приложений IIS не будет запускаться с идентификатором gMSA, если он впервые используется по истечении количества дней в msDS-ManagedPasswordInterval

До недавнего времени в нашей среде без проблем использовались групповые управляемые учетные записи служб (gMSA). Мы развернули несколько приложений в производство, где gMSA были созданы около 60 дней назад, но еще не использовались. В атрибутах gMSA значение по умолчанию msDS-ManagedPasswordInterval составляет 30 дней.

Когда install-adserviceaccount запускался как часть сценария развертывания, атрибуты pwdLastSet, msDS-ManagedPasswordId и msDS-ManagedPasswordPreviousId обновлялись, но затем пул приложений продолжал не запускаться, и мы видели обновление badPasswordTime при каждой попытке запуска. Проблема была исправлена ​​повторным запуском install-adserviceaccount, который предположительно восстановил правильный пароль из AD. Мы наблюдали такое поведение с несколькими учетными записями, где число дней, когда оно было впервые использовано, превышало 30 дней. Мы не видели этой проблемы, когда учетная запись использовалась в течение 30 дней с момента создания (более 150 учетных записей).

Другая переменная заключается в том, что мы развертываем в среде с балансировкой нагрузки, поэтому gMSA может быть установлена ​​на нескольких серверах одновременно. Не у всех серверов была проблема с одним и тем же gMSA.

Мы не смогли воспроизвести эту проблему с помощью ручного тестирования вне выполнения наших сценариев, поэтому мне интересно, существует ли условие гонки между изменением пароля и извлечением пароля из активного каталога до полной синхронизации изменения. Есть ли способ проверить, так ли это?

Кто-нибудь еще сталкивался с таким поведением?

Целевые серверы и контроллеры домена (5) работают под управлением Windows Server 2012 R2 и полностью исправлены. Функциональным уровнем домена также является Windows Server 2012 R2.