All'interno di SharePoint Gestione credenziali account di protezione
Pav Cherny
Contenuto
Modifiche password in un ambiente di SharePoint
Risoluzione dei problemi di credenziali farm
Conclusione
Modifica spesso le credenziali di farm e account di protezione delle password sono importanti misure per mantenere protetta una farm di Office SharePoint Server (MOSS). Ancora per gli amministratori, queste attività sono noioso e ripetitive. Gli strumenti sono difficili da utilizzare, i processi sottostanti sono complessi documentazione valida è difficile trovare e non vi è un rischio di danneggiare la server farm anche quando segue tutte le procedure appropriate.
L'aggiunta alla combinazione è problematica consigli tecnici da Microsoft prodotto supporto servizi (PSS). On una parte esistono utili gli articoli della Knowledge Base (KB), ad esempio" Modifica account di servizio e password di account di servizio in SharePoint Server 2007 e in Windows SharePoint Services 3.0." E non invece, esistono calamità, ad esempio" Messaggio di errore quando si È provare A utilizzare la SharePoint guidata Prodotti e tecnologie: " eccezione: eccezione System.ArgumentException: Errore durante la crittografia o decrittografia.'"
L'articolo precedente per segnalare che è necessario creare un nuovo database di configurazione se le credenziali dell'account di un'applicazione Web non possono essere decrittografate più. Questo problema può verificarsi se utilizzare un'opzione comando critico momento sbagliato oppure se il processo di aggiornamento farm credenziali completato con esito negativo per qualsiasi motivo. In questo articolo KB ha irrimediabilmente un processo di fine di instilling timore di amministratori che modifica le credenziali di farm può danneggiare una server farm. Che possono prevedere i clienti di gestione della protezione nei propri ambienti SharePoint modificando spesso le password degli account farm e protezione se faccia in quel tipo di rischio?
I clienti non cancellare da Active Directory per reimpostare l'account utente e sono non deve essere obbligati a comparsa dai database di configurazione di SharePoint oppure solo perché una password di applicazione Web è stata interrotta. Non è necessario creare un nuovo database di configurazione. Nella maggior parte dei casi, è sufficiente utilizzare lo strumento di Stsadm.exe standard per sovrascrivere le credenziali danneggiate. E in tutti gli altri casi, puoi reimpostare la password e mantenere il database di configurazione utilizzando gli strumenti inclusi nel materiale associato, disponibile nel Download codice febbraio 2009. Reimpostazione di password in Windows SharePoint Services (WSS) 3.0 e ambienti di MOSS 2007 non richiedono l'accesso a chiavi delle credenziali precedente né un nuovo database di configurazione. Ma richiede migliori strumenti di supporto da Microsoft e migliorare la documentazione dei processi sottostanti che semplificano le modifiche delle password.
Questa è la prima colonna di una serie di due parti in cui è possibile esaminare gli strumenti per la gestione degli account di protezione di SharePoint e le procedure standard, discutere le limitazioni, evidenziare i rischi e suggerire un approccio alternativo per ottenere una migliore protezione, ridurre il sovraccarico amministrativo e pertanto ridurre costo totale di proprietà (TCO, Total Cost of OWNERSHIP) in ambienti di SharePoint. Questa prima parte è i dettagli dell'architettura e il complesso processo di eseguire le modifiche delle password.
È fondamentale per comprendere come SharePoint riguarda gli account di protezione e le password mantenere la protezione manualmente mediante gli script o utilizzando una soluzione completamente automatizzata, come quella presenterò nell'articolo mese successivo. Per mantenere lo spiegazioni realistiche ed Esercitazione orientati, ancora una volta utilizzano un ambiente di prova. Nella prima parte, un'installazione a server singolo semplice è sufficiente, come descritto in fogli di lavoro correlata. Come sempre, i fogli di lavoro e strumenti di accompagnamento sono per solo nei laboratori di test e non deve essere utilizzato in ambienti di produzione. L'utilizzo di my tools a proprio rischio.
Modifiche password in un ambiente di SharePoint
Cambiare la password di un account di protezione di SharePoint o account di configurazione della farm è un Professor molto complessi. Tra le altre cose, è necessario applicare le modifiche in Active Directory e in locale database di Gestione account di protezione (SAM), nel database di Gestione controllo servizi (SCM), nella metabase di IIS, in SQL Server e, ovviamente, nel contenuto di SharePoint e database di configurazione del server di SharePoint.
Per è inoltre necessario replicare le modifiche a tutti gli altri server della farm per applicare le modifiche in modo coerente. Potrebbe essere necessario rieseguire crittografia di tutte le password di tutti i servizi SharePoint e i pool di applicazioni per tutti i server nella farm se le modifiche interessano anche la chiave di credenziali della farm, che è la chiave di crittografia utilizzato SharePoint per proteggere la password di account di protezione nel database di configurazione. Quando si modifica la password dell'account configurazione della farm, si modifica in modo implicito chiave delle credenziali della farm. Nella figura 1 mostra il processo di una server farm con due server front-end. Frankly, è eccezionale che funziona questo processo così come è.
Figura 1 modifica la password di un account di protezione di SharePoint
Iniziano tutte le modifiche di password di protezione account Active Directory e da quel momento avanti, fino a quando non aggiornare la password interessata in SharePoint, la farm è in uno stato incoerente. La password è ora non aggiornata in IIS e in un'posizione, ma è ancora operativi SharePoint.
Questa è una buona notizia per le organizzazioni con requisiti di disponibilità elevata. Le modifiche delle password non richiedono il riavvio del sistema. Servizi di Windows e IIS possono continuare a utilizzare il token di protezione che sono ottenute tramite la registrazione nel conto interessati protezione con la vecchia password quando l'ultimo avvio di quest'ultimo. Ma non riavviare IIS o l'intero server durante la fase transizione di incoerenza password.
IIS e altri servizi non sarebbe possibile accedere con la vecchia password durante il riavvio e il pool di applicazioni interessate o il servizio potrebbe non essere in grado di portare in linea più. In questo caso, IIS scrive un messaggio di avviso nel registro eventi del server (vedere la Figura 2 ). Pertanto, non attendere troppo a lungo con l'aggiornamento della password in SharePoint dopo il cambiamento della password in Active Directory.
Nella figura 2 IIS Avvisa sulle credenziali del pool di applicazione obsolete
Per aggiornare la password di un account pool di applicazioni, occorre utilizzare Amministrazione centrale SharePoint 3.0 (_admin/FarmCredentialManagement.aspx) oppure il comando Stsadm.exe riportato di seguito:
stsadm -o updateaccountpassword -userlogin <DOMAIN\USER>
-password <PASSWORD> -noadmin
In risposta, SharePoint consente di crittografare la nuova password utilizzando chiave delle credenziali della farm e sovrascrive la vecchia password crittografata nel database di configurazione. Successivamente, SharePoint aggiorna le informazioni account nella metabase di IIS e in tutte le altre posizioni necessarie. Dopo questa operazione viene eseguita, SharePoint genera un processo timer di tipo SPContentAppPoolCredentialDeploymentJobDefinition per distribuire le nuove credenziali sui server rimanenti della farm, viene inserito nel database di configurazione.
Come illustrato nella Figura 1 , SharePoint si basa su processi timer per applicare impostazioni amministrative a livello globale in tutti i server della farm. I servizi di Timer di SharePoint nei server rimanenti all'interno della farm sollevare il processo e aggiornare di conseguenza le impostazioni di protezione locale sui server con l'aiuto del servizio di amministrazione WSS (SPAdmin) per riportare la farm in uno stato coerenza.
Questo è il processo di account del pool di applicazioni, ma sono disponibili molti altri tipi di servizi di SharePoint che utilizzano l'account di protezione, come il servizio Timer di SharePoint stesso, il servizio di ricerca Guida di WSS, eventualmente provider di servizi condivisi (SSP), servizio di ricerca di Office SharePoint Server e servizio di single Sign-On (SSO). Vi può essere anche altri servizi, le soluzioni installate nella farm, a seconda e ciascun tipo di servizio presenta requisiti di aggiornamento password diversi. L'articolo all'support.Microsoft.com/kb/934838 contiene un elenco di comandi che è necessario utilizzare per gli account di servizio in WSS 3.0 e MOSS 2007. Vedere la documentazione prodotto di eventuali soluzioni aggiuntive utilizzato per ulteriori strumenti, comandi e le procedure di aggiornamento.
Questo altamente differenziati e coordinati orizzontale di strumenti e comandi è uno dei downsides dell'architettura di protezione di SharePoint corrente. Non scala anche e possibile unità dei TCO seconda il numero di soluzioni personalizzate nella server farm che utilizzano le credenziali di protezione. Nella seconda parte di questa serie illustreranno come portare nel controllo pertanto è possibile utilizzare un'unica soluzione per eseguire tutti gli aggiornamenti necessari indipendentemente dal tipo sottostante di servizio.
Lo scenario di aggiornamento più importante riguarda le credenziali di farm. La password dell'account farm è speciale poiché influisce sulla chiave di credenziali della farm, che viene utilizzato per crittografare tutte le password della farm, come indicato in precedenza. Pertanto, dopo una modifica della password dell'account farm in Active Directory, è necessario aggiornare SharePoint utilizzando il comando:
stsadm -o updatefarmcredentials -userlogin <DOMAIN\USER>
-password <PASSWORD>
Riesegue SharePoint quindi necessario crittografia tutte le password (crittografate) esistente nel database di configurazione, è necessario aggiornare l'account del servizio Timer di SharePoint (che utilizza l'account di farm come l'identità) e devono propagare le modifiche nuovamente a tutti i server della farm by means of un processo timer di tipo SPAdminAppPoolCredentialDeploymentJobDefinition.
Molte operazioni possono passare errati durante questa fase. Il processo timer potrebbe ottenere bloccato nella coda, come illustrato nella Figura 3 o il processo di aggiornamento potrebbe negativo in modo imprevisto, ad esempio per un'interruzione di alimentazione improvviso lasciando dietro la vecchia password crittografate che SharePoint ora non Impossibile decrittografare più perché la chiave di credenziale è stata modificata.
Nella figura 3 è un processo di distribuzione delle credenziali bloccati nella coda perché il servizio Timer di SharePoint non è in esecuzione in tutti i server della farm
In un altro scenario, è può aggiornare la password di account del pool di applicazioni prima le nuove credenziali farm hanno raggiunto tutti i server della farm causa server con la chiave credenziali obsolete esito negativo perché non Impossibile decrittografare la password aggiornata nel database di configurazione ancora, come illustrato nella Figura 4 . Si tratta di uno scenario interessante e il motivo per l'opzione-opzione noadmin nel comando updateaccountpassword. Se l'account di farm viene inoltre utilizzato come un account pool di applicazioni (scelta non consigliata), è necessario aggiornare la farm credenziali in primo luogo, attendere tutti i server nella farm sono elaborati il processo timer e quindi aggiornare i pool di applicazioni.
Nella figura 4 sospeso gli aggiornamenti del pool dell'applicazione fino all'elaborazione del processo Administration Application Pool Credential Deployment
Analogamente, il comando updateaccountpassword verifica se il l'account di protezione specificata è l'account di farm e segnala si le dipendenze caso senza eseguire l'aggiornamento. Utilizzando l'-opzione noadmin è disabilitare questo controllo e applica la password modificata nel conto nella configurazione del pool dell'applicazione, ma è difficile automatizzare le procedure in uno script con un ritardo appropriato.
Risoluzione dei problemi di credenziali farm
Ora Diamo un sguardo più da vicino al comando updatefarmcredentials. Dispone un'opzione pericolosa che può causare problemi di grande, soprattutto se viene utilizzata come descritto nell'articolo" Messaggio di errore quando si È provare A utilizzare la SharePoint guidata Prodotti e tecnologie: " eccezione: eccezione System.ArgumentException: Errore durante la crittografia o decrittografia”. Sto riferimento all'opzione denominata - locale. Gli sviluppatori di SharePoint è stata introdotta questa opzione per eseguire manualmente gli aggiornamenti di credenziali farm locale. Il concetto è che è possibile eliminare un processo timer dalla coda in Amministrazione centrale (_admin/ServiceJobDefinitions.aspx) se il processo è danneggiato o non elaborato per qualsiasi altro motivo e quindi eseguire il passaggio di aggiornamento necessario direttamente utilizzando il comando:
stsadm -o updatefarmcredentials -userlogin <DOMAIN\USER>
-password <PASSWORD> -local
-Locale opzione indica il comando updatefarmcredentials per applicare il cambiamento della password solo nel computer locale. È importante riconoscere, tuttavia, che questo aggiornamento riguarda la chiave di credenziali e il servizio Timer di SharePoint, ma non i pool di applicazioni di servizio, i provider di servizi condivisi, la ricerca e così via. Si presuppone che è stato già eseguito l'updatefarmcredentials comando senza l'opzione-opzione locale di un altro server della farm e pertanto re-encrypted tutte le password nel database di configurazione. Non è necessario eseguire di nuovo questo passaggio di riesecuzione della crittografia. Ma cosa succede se è utilizzata l'opzione-opzione locale senza eseguire questo passaggio?
Utilizzando l'locale opzione - senza prima esecuzione updatefarmcredentials il comando senza questa opzione genera problemi perché-locale opzione modifica la chiave di credenziali. Le password del pool di applicazione sono crittografate con la vecchia chiave nel database di configurazione, ma questa chiave ora viene sovrascritto.
Dare un'occhiata alla Figura 5 . Non è possibile eseguire il updatefarmcredentials comandi senza l'opzione-opzione locale più poiché questo richiede la riesecuzione della crittografia di password non possono essere decrittografati. Quando il comando non riesce, è possibile trovare le voci nel registro eventi dell'applicazione che indica: "Errore re-encrypting credenziale ID 022e607e-b49e-40e4-bd3f-f56a3c69f94d con proprietario ID 431b6897-16eb-4b9a-be65-60f1f603008d durante la distribuzione delle credenziali del pool di applicazione Amministrazione, ricreare credenziali manualmente. Operazione non valida a causa allo stato corrente dell'oggetto."
Nella figura 5 Impossibile rieseguire crittografia password pool di applicazioni poiché le password non possono essere decrittografate
Se è stato solo modificato l'account di farm in una distribuzione single-server dall'account di servizio di rete a un account di dominio, si sta utilizzando reali problemi poiché è impossibile modificare nuovamente alla precedente chiave di credenziali in questo caso. Il servizio di rete non utilizzare una password e la chiave di credenziali è casuale.
Nella ricerca per visualizzare le informazioni della Guida, che possono verificarsi che" Messaggio di errore quando si È provare A utilizzare la SharePoint guidata Prodotti e tecnologie: " eccezione: eccezione System.ArgumentException: Errore durante la crittografia o decrittografia” articolo HO accennato in precedenza e senza ulteriori dati, il problema worsens perché verrà ora spiegato che è necessario creare un nuovo database di configurazione per eliminare le password non possono essere decrittografate. È un constellation unbelievable unfortunate situazioni. Non sarà possibile eseguire il updatefarmcredentials comando con l'opzione-opzione locale in primo luogo, oppure il comando deve creare una copia di backup della chiave delle credenziali precedente in modo da rieseguire è possibile crittografia le password in un secondo momento. Oppure semplicemente deve rilevare che le password non ancora re-encrypted e rieseguire le crittografia a questo punto.
Al contrario,-locale opzione consente di spostarsi avanti e Fortunatamente corrupts il database di configurazione di SharePoint senza eventuali avvisi, come illustrato nella Figura 5 . Uno strumento di supporto Microsoft per reimpostare le password non possono essere decrittografate potrebbe entrare utile. E, naturalmente, la documentazione relativa a prodotti corretto che ti avvisa informazioni relative alla critica natura di determinate operazioni della riga di comando e che consente di questo problema potrebbe essere aumentare.
La buona notizia è che il comando updateaccountpassword possibile crittografare la nuova password di account del pool di applicazioni senza decrittografare la password precedente. Pertanto, è possibile utilizzare questo comando per aggiornare tutti i pool di applicazioni che utilizzano gli account di dominio. Questo deve fare attenzione della maggior parte, se non tutte le password danneggiata. Sfortunatamente, è impossibile utilizzare questo comando per aggiornare il pool di applicazioni che utilizzano l'account di servizio di rete. Questo account non richiede una password, in modo da non applica il comando updateaccountpassword.
Aspetto interessante è che l'account di servizio di rete può essere associato a dati password del database di configurazione. Nuovo pool di applicazioni che utilizzano il servizio di rete non con nessuna password, ma se si modifica mai il pool di applicazioni per utilizzare un account di dominio e quindi ripristinare nuovamente, il servizio di rete eredita riferimento password l'account di dominio. SharePoint non impostare la password su null non valido esercitazione di codifica e i dati rubbish ora determina i problemi.
È un utile ironic si suppone di clienti per generare immediatamente i database di configurazione perché rubbish e completamente inutili dati non possono essere decrittografati. Se si fortunato, è possibile modificare la configurazione pool di applicazioni in Amministrazione centrale (_admin/FarmCredentialManagement.aspx) e specificare un account di dominio. Se si sfortunato, si verifica l'errore di crittografia/decrittografia visualizzato nella Figura 6 . Non è possibile modificare l'account in Amministrazione centrale, non è possibile utilizzare il comando updateaccountpassword è Impossibile eseguire il tecnologie configurazione guidata e SharePoint Products ed è impossibile aggiornare le credenziali farm utilizzando il comando updatefarmcredentials. Ora che si è possibile?
Nella figura 6 problemi causati da password servizio di rete indesiderata rimasti nel database di configurazione
Per risolvere il problema, è necessario uno strumento che consente di spostarsi direttamente nel database di configurazione e rimuove la posta indesiderata, quale ad esempio Reset password AppPool, illustrato nella Figura 7 e inclusa con codice sorgente nel materiale di accompagnamento. Questo strumento è molto semplice. Viene estrarre i dati del pool di applicazioni che utilizzano account con password crittografata associata direttamente all'esterno del database di configurazione e quindi viene utilizzato il modello a oggetti di SharePoint per determinare se la password del pool di applicazione può essere decrittografata.
Nella figura 7 Resetting danneggiato password per null
Se l'accesso la password tramite il modello a oggetti non riesce con un'eccezione di argomento, la password è danneggiata. Qui, lo strumento fornisce un'opportunità per sostituire matrice la password di valori di byte crittografati con un riferimento null e Salva che le modifiche nuovamente in database di configurazione. Le stringhe vuote non occorre essere decrittografato e pertanto non genera un'eccezione di argomento. Problema risolto.
Per completare il processo di ripristino, È consigliabile che è aggiornare le credenziali di farm e successivamente account dei pool applicazioni tutti mediante Stsadm.exe e Amministrazione centrale. Della server farm è nuovo in uno stato coerente e non è necessario generare immediatamente il database di configurazione.
Conclusione
Nonostante il fatto che modifica le credenziali di farm e le password di account di protezione è un processo noioso e soggetto a errori, non temere che modifica le credenziali di farm danneggerà la server farm è necessario irrimediabilmente. Il database di configurazione può essere recuperato anche se si perde la chiave di credenziali corrente. È semplicemente necessario reimpostare le password interessate e ciò è possibile tramite lo strumento Stsadm.exe standard o uno strumento di basso livello del database, come Reset password AppPool. In modo da mantenere modifica le credenziali di farm e gli account di protezione spesso, utilizzare password complesse non utilizza il servizio di rete come un account di protezione poiché immotivata la configurazione della farm e risoluzione dei problemi. Utilizzare account di dominio dedicato.
Ora che è stato indirizzato i rischi danneggiamento del database tramite le modifiche delle password, potersi concentrare l'attenzione sul problema reale nell'architettura di protezione di SharePoint: Architettura corrente non contenere le modifiche delle password molto bene. È necessario applicare Troppi comandi in un ordine più o meno specifico a seconda della farm, è necessario aggiornare i tipi di servizio. Alcuni comandi sono opzioni pericolosi, mentre alcuni non. Alcuni comandi possono danneggiare il database di configurazione, altri sono innocue. Alcuni servizi devono essere aggiornato a livello globale attraverso l'intera farm e ad altri utenti sono locali a un server specifico.
In qualsiasi caso, overhead amministrativo è elevato a causa delle complessità coinvolte e la protezione è in genere bassa per situazioni poco frequenti modifiche, password e gli script per gestire le password in testo non crittografato. La colonna successiva È spiegato come affrontare questi problemi e li elimina, e per tutti i servizi di tipi, inclusi i non ancora sviluppato, qualsiasi i requisiti di aggiornamento della password. Più modifiche di password (manuale).
Cherny Pav è un esperto IT e l'autore specializzato nelle tecnologie Microsoft per la collaborazione e comunicazione unificata. Sua pubblicazioni includono white paper, manuali del prodotto e libri con particolare attenzione su operazioni e amministrazione del sistema. Pav è presidente di Biblioso Corporation, una società specializzata in servizi di documentazione e la localizzazione gestiti.