Microsoft raadt aan om minimaal een keer in de 30 dagen de gegevens voor Seamless Sign On te vernieuwen. Het is geen verplichting, maar als je dat niet doet zie je bij Seamless Signon een waarschuwing staan met een linkje naar https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso-faq#how-can-i-roll-over-the-kerberos-decryption-key-of-the-azureadssoacc-computer-account
Om te updaten kun je (bijvoorbeeld op de server waar ADSync op draait) de volgende powershell regels uitvoeren:
import-module 'C:\Program Files\Microsoft Azure Active Directory Connect\AzureADSSO.psd1'
new-AzureADSSOAuthenticationContext
$Creds=Get-Credential
update-AzureADSSOForest -OnPremCredentials $creds
bij New-AzureADSSOAutheticationContext moet je aanmelden met een Global Administrator account. Bij de volgende aanmelding voer je je domain admin (in de vorm domein\gebruiker) voor het forrest in. Daarna wordt de kerberos decryption key vernieuwd.