Set-CsKerberosAccountPassword
Letztes Änderungsdatum des Themas: 2012-03-25
Ermittelt alle Server mit Webdiensten an einem Standort, denen ein Kerberos-Konto zugewiesen wurde, und aktualisiert anschließend die IIS-Konfigurationseinstellungen (Internet Information Services) für jeden dieser Server.
Syntax
Set-CsKerberosAccountPassword -UserAccount <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountPassword -FromComputer <Fqdn> -ToComputer <Fqdn> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
In Microsoft Office Communications Server 2007 und Microsoft Office Communications Server 2007 R2 wurde IIS unter einem Standardbenutzerkonto ausgeführt. Dies konnte potenziell Probleme mit sich bringen: Bei Ablauf des zugehörigen Kennworts gingen möglicherweise die Webdienste verloren, und dieses Problem war häufig nur schwer zu diagnostizieren. Um die durch abgelaufene Kennwörter verursachten Probleme zu vermeiden, können Sie mit Microsoft Lync Server 2010 ein Computerkonto (für einen Computer, den es eigentlich nicht gibt) erstellen, das als Authentifizierungsprinzipal für alle Computer an einem Standort fungiert, auf denen IIS ausgeführt wird. Da diese Konten das Kerberos-Authentifizierungsprotokoll verwenden, werden sie als Kerberos-Konten und der neue Authentifizierungsprozess als Kerberos-Webauthentifizierung bezeichnet. Auf diese Weise können Sie alle IIS-Server über ein einziges Konto verwalten.
Damit Sie Ihre Server unter diesem neuen Authentifizierungsprinzipal ausführen können, müssen Sie zunächst mit dem Cmdlet New-CsKerberosAccount ein Computerkonto erstellen. Dieses Konto wird dann einem oder mehreren Standorten zugewiesen. Nach der Zuweisung wird die Zuordnung zwischen dem Konto und dem Lync Server 2010-Standort durch Ausführen des Cmdlets Enable-CsTopology aktiviert. Damit wird unter anderem der erforderliche Dienstprinzipalname (Service Principal Name, SPN) in Active Directory-Domänendienste (AD DS) erstellt. Mithilfe von SPNs können Clientanwendungen einen bestimmten Dienst finden.
Nach dem Erstellen einer neuen Zuordnung bietet das Cmdlet Set-CsKerberosAccountPassword eine Möglichkeit zum Ändern des dem Konto zugewiesenen Kennworts und, ebenso wichtig, zum Aktualisieren des Kennworts auf jedem Computer, auf dem das angegebene Kerberos-Testkonto für die Kerberos-Webauthentifizierung eingesetzt wird.
Zusätzlich kann das Cmdlet auch zusammen mit den Parametern "ToComputer" und "FromComputer" verwendet werden, um diese Konfigurationsinformationen von einem Computer auf einen anderen zu kopieren.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Standardmäßig dürfen Mitglieder der folgenden Gruppen das Cmdlet Set-CsKerberosAccountPassword lokal ausführen: RTCUniversalServerAdmins. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountPassword"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
FromComputer |
Optional |
Zeichenfolge |
Vollqualifizierter Domänenname (FQDN) des Computers mit dem Kennwort des Kerberos-Kontos, das auf einen anderen Computer kopiert wird. Dieser Parameter kann nicht verwendet werden, wenn Sie den Parameter "UserAccount" verwenden. |
ToComputer |
Optional |
Zeichenfolge |
Vollqualifizierter Domänenname des Computers, auf den das Kerberos-Kontokennwort kopiert wird. Dieser Parameter kann nicht verwendet werden, wenn Sie den Parameter "UserAccount" verwenden. |
UserAccount |
Optional |
Zeichenfolge |
Kontoname für das Konto, dessen Kennwort geändert werden soll. Dieser Kontoname muss im Format "Domänenname\Benutzername" vorliegen. Beispiel: -UserAccount "litwareinc\kerberostest". Beachten Sie, dass es sich trotz des Namens "UserAccount" bei diesem Konto nicht um ein Benutzerkonto, sondern um ein Computerkonto handelt. |
Force |
Optional |
Switch-Parameter |
Unterdrückt die Anzeige von Meldungen bei nicht schwerwiegenden Fehlern, die beim Ausführen des Befehls auftreten können. |
Report |
Optional |
Zeichenfolge |
Ermöglicht es Ihnen, einen Dateipfad für die bei der Ausführung des Cmdlets erstellte Protokolldatei anzugeben. Beispiel: -Report "C:\Logs\SetKerberosPassword.html". |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Switch-Parameter |
Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf. |
Eingabetypen
Keine.
Rückgabetypen
Set-CsKerberosAccountPassword gibt keine Objekte oder Werte zurück. Stattdessen werden mit dem Cmdlet vorhandene Instanzen des Objekts "Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount" geändert.
Beispiel
-------------------------- Beispiel 1 ------------------------
Set-CsKerberosAccountPassword -UserAccount "litwareinc\kerberostest"
Der Befehl in Beispiel 1 legt das Kennwort für das Kerberos-Konto "litwareinc\kerberostest" fest.
-------------------------- Beispiel 2 --------------------------
Set-CsKerberosAccountPassword -FromComputer "atl-cs-001.litwareinc.com" -ToComputer "dublin-cs-001.litwareinc.com"
In Beispiel 2 wird das Kerberos-Kontokennwort vom Computer "atl-cs-001.litwareinc.com" auf den Computer "dublin-cs-001.litwareinc.com" kopiert.