Konfigurieren der automatischen Kennwortänderung (SharePoint Server 2010)
Gilt für: SharePoint Foundation 2010, SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2011-01-21
Mit der automatischen Kennwortänderung kann Microsoft SharePoint Server 2010 automatisch lange, kryptografisch starke Kennwörter entsprechend einem von Ihnen festgelegten Zeitplan erstellen.
Inhalt dieses Artikels
Konfigurieren verwalteter Konten
Konfigurieren der Einstellungen für die automatische Kennwortänderung
Problembehandlung für die automatische Kennwortänderung
Konfigurieren verwalteter Konten
Sie müssen verwaltete Konten bei der Farm registrieren, um die Konten für mehrere Dienste verfügbar zu machen. Sie können verwaltete Konten über die Seite Verwaltetes Konto registrieren in der Zentraladministration registrieren. Auf der Seite Verwaltetes Konto registrieren sind keine Optionen zum Erstellen eines Kontos in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) oder auf dem lokalen Computer verfügbar. Mit den Optionen kann ein vorhandenes Konto in der SharePoint Server 2010-Farm registriert werden. Führen Sie die im Folgenden beschriebenen Schritte aus, um Einstellungen für verwaltete Konten mithilfe der Zentraladministration zu konfigurieren.
So konfigurieren Sie mithilfe der Zentraladministration Einstellungen für verwaltete Konten
Stellen Sie sicher, dass das Benutzerkonto, mit dem dieser Vorgang durchgeführt wird, das Konto eines Farmadministrators ist.
Klicken Sie auf der Website für die Zentraladministration auf Sicherheit.
Klicken Sie unter Allgemeine Sicherheit auf Verwaltete Konten konfigurieren.
Klicken Sie auf der Seite Verwaltete Konten auf Verwaltetes Konto registrieren.
Geben Sie auf der Seite Verwaltetes Konto registrieren im Abschnitt Kontoregistrierung die Anmeldeinformationen für das Dienstkonto ein.
Aktivieren Sie im Abschnitt Automatische Kennwortänderung das Kontrollkästchen Automatische Kennwortänderung aktivieren, um SharePoint Server 2010 das Verwalten des Kennworts für das ausgewählte Konto zu ermöglichen. Geben Sie anschließend einen numerischen Wert ein, der die Anzahl der Tage bis zum Ablauf des Kennworts angibt, nach denen der Prozess der automatischen Kennwortänderung initiiert wird.
Aktivieren Sie im Abschnitt Automatische Kennwortänderung das Kontrollkästchen Benachrichtigung per E-Mail beginnen, und geben Sie anschließend einen numerischen Wert ein, der angibt, wie viele Tage vor dem Initiieren des Prozesses der automatischen Kennwortänderung eine E-Mail-Benachrichtigung gesendet werden soll. Sie können nun einen wöchentlichen oder einen monatlichen Zeitplan für E-Mail-Benachrichtigungen konfigurieren.
Klicken Sie auf OK.
Konfigurieren der Einstellungen für die automatische Kennwortänderung
Konfigurieren Sie Einstellungen auf der Farmebene für automatische Kennwortänderungen in der Zentraladministration auf der Seite Kennwortverwaltungseinstellungen. Farmadministratoren können die E-Mail-Adresse für Benachrichtigungen konfigurieren, an die alle Benachrichtungs-E-Mails bei Kennwortänderungen gesendet werden. Zudem können sie Überwachungs- und Zeitplanoptionen festlegen. Führen Sie die im Folgenden beschriebenen Schritte aus, um Einstellungen für die automatische Kennwortänderung mithilfe der Zentraladministration zu konfigurieren.
So konfigurieren Sie die Einstellungen für die automatische Kennwortänderung mithilfe der Zentraladministration
Stellen Sie sicher, dass das Benutzerkonto, mit dem dieser Vorgang durchgeführt wird, das Konto eines Farmadministrators ist.
Klicken Sie auf der Website der Zentraladministration auf Sicherheit.
Klicken Sie unter Allgemeine Sicherheit auf Kennwortänderungseinstellungen ändern.
Geben Sie auf der Seite Kennwortverwaltungseinstellungen im Abschnitt E-Mail-Adresse für Benachrichtigung die E-Mail-Adresse einer Person oder Gruppe ein, die über den anstehenden Ablauf oder die anstehende Änderung von Kennwörtern benachrichtigt werden soll.
Wenn für ein verwaltetes Konto keine automatische Kennwortänderung konfiguriert ist, geben Sie im Abschnitt Einstellungen für den Kontoüberwachungsprozess einen numerischen Wert ein, der angibt, wie viele Tage vor Kennwortablauf eine Benachrichtigung an die E-Mail-Adresse gesendet werden soll, die im Abschnitt E-Mail-Adresse für Benachrichtigung angegeben ist.
Geben Sie im Abschnitt Einstellungen für automatische Kennwortänderung einen numerischen Wert ein, der die Anzahl der Sekunden angibt, die die automatische Kennwortänderung (nach Benachrichtigung der Dienste über eine anstehende Kennwortänderung) verzögert werden soll, bevor die Änderung initiiert wird. Geben Sie einen numerischen Wert ein, um die Anzahl der Versuche anzugeben, nach denen der Prozess der Kennwortänderung beendet wird.
Klicken Sie auf OK.
Problembehandlung für die automatische Kennwortänderung
Befolgen Sie die folgenden Anweisungen, um die beim Konfigurieren der automatischen Kennwortänderung am häufigsten auftretenden Probleme zu vermeiden.
Nicht übereinstimmende Kennwörter
Wenn beim Prozess der automatischen Kennwortänderung ein Fehler auftritt, weil die Kennwörter für Active Directory-Domänendienste (Active Directory Domain Services, AD DS) und SharePoint Server 2010 nicht übereinstimmen, kann der Kennwortänderungsprozess eine Zugriffsverweigerung bei der Anmeldung, eine Kontosperrung oder AD DS-Lesefehler verursachen. Wenn einer dieser Fehler auftritt, vergewissern Sie sich, dass die AD DS-Kennwörter ordnungsgemäß konfiguriert sind und dass das AD DS-Konto über Lesezugriff für das Setup verfügt. Beheben Sie mithilfe von Windows PowerShell sämtliche vorliegenden Probleme mit nicht übereinstimmenden Kennwörtern, und setzen Sie anschließend den Kennwortänderungsprozess fort.
So korrigieren Sie ein Problem mit nicht übereinstimmenden Kennwörtern
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme. Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein, und drücken Sie die EINGABETASTE:
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $trueWeitere Informationen finden Sie unter Set-SPManagedAccount.
Fehler beim Bereitstellen von Dienstkonten
Wenn beim Bereitstellen oder erneuten Bereitstellen von Dienstkonten auf mindestens einem Server in der Farm ein Fehler auftritt, überprüfen Sie den Status des Timerdiensts. Wenn der Timerdienst beendet wurde, starten Sie ihn neu. Es empfiehlt sich möglicherweise, den folgenden Stsadm-Befehl auszuführen, um Verwaltungsaufträge des Timerdiensts sofort zu starten: stsadm -o execadmsvcjobs
Wenn das Problem durch einen Neustart des Timerdiensts nicht behoben wurde, reparieren Sie mit Windows PowerShell das verwaltete Konto auf jedem Server in der Farm, auf dem ein Bereitstellungsfehler aufgetreten ist.
So beheben Sie einen Dienstkonto-Bereitstellungsfehler
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme. Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:
Repair-SPManagedAccountDeploymentWeitere Informationen finden Sie unter Repair-SPManagedAccountDeployment.
Wenn der Dienstkonto-Bereitstellungsfehler durch das obige Verfahren nicht behoben werden konnte, ist dies wahrscheinlich darauf zurückzuführen, dass der Verschlüsselungsschlüssel der Farm nicht entschlüsselt werden kann. Wenn dies der Fall ist, aktualisieren Sie mit Windows PowerShell die Passphrase des lokalen Servers, sodass sie mit der Passphrase der Farm übereinstimmt.
So aktualisieren Sie die Passphrase des lokalen Servers
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme. Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:
Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $trueWeitere Informationen finden Sie unter Set-SPPassPhrase.
Anstehender Kennwortablauf
Wenn das Kennwort in Kürze abläuft, die automatische Kennwortänderung für dieses Konto jedoch nicht konfiguriert wurde, aktualisieren Sie mit Windows PowerShell das Kontokennwort auf einen neuen Wert. Dieser kann vom Administrator ausgewählt oder automatisch generiert werden. Vergewissern Sie sich nach dem Aktualisieren des Kontokennworts, dass der Timerdienst gestartet wurde und der Administratordienst auf allen Servern in der Farm aktiviert ist. Anschließend kann die Kennwortänderung an alle Server in der Farm weitergegeben werden.
So aktualisieren Sie das Kontokennwort
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme. Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Geben Sie zum Aktualisieren des Kontokennworts auf einen neuen, vom Administrator ausgewählten Wert an der Windows PowerShell-Eingabeaufforderung Folgendes ein:
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -Password <SecureString>Geben Sie zum Aktualisieren des Kontokennworts auf einen neuen, automatisch generierten Wert an der Windows PowerShell-Eingabeaufforderung Folgendes ein:
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $trueWeitere Informationen finden Sie unter Set-SPManagedAccount.
Anforderung der Änderung des Farmkontos in ein anderes Konto
Wenn Sie ein anderes Konto als Farmkonto festlegen müssen, verwenden Sie den folgenden Stsadm-Befehl: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password