Konfigurieren der automatischen Kennwortänderung in SharePoint Server

GILT FÜR:  ja 2013  ja 2016  ja 2019  nein SharePoint in Microsoft 365

Die automatische Kennwortänderung ermöglicht SharePoint Server, automatisch lange, kryptografisch starke Kennwörter nach einem von Ihnen festgelegten Zeitplan zu erstellen.

Konfigurieren verwalteter Konten

Sie müssen verwaltete Konten zusammen mit der Farm registrieren, um die Konten für mehrere Dienste verfügbar zu machen. Sie können ein verwaltetes Konto mithilfe der Seite "Verwaltetes Konto registrieren" in die Website für die SharePoint-Zentraladministration registrieren. Es gibt auf der Seite "Verwaltetes Konto registrieren" keine Optionen zum Erstellen eines Kontos in Active Directory-Domänendiensten oder auf dem lokalen Computer. Die Optionen können zum Registrieren eines vorhandenen Kontos in der SharePoint Server-Farm verwendet werden. Führen Sie die Schritte im folgenden Verfahren durch, um verwaltete Kontoeinstellungen mithilfe von Zentraladministration zu konfigurieren.

So konfigurieren Sie verwaltete Kontoeinstellungen mithilfe der Zentraladministration

  1. Stellen Sie sicher, dass das Benutzerkonto, das dieses Verfahren durchführt, ein Farmadministrator ist.

  2. Wählen Sie in der Zentraladministration Sicherheit aus.

  3. Klicken Sie unter Allgemeine Sicherheit auf Verwaltete Konten konfigurieren.

  4. Klicken Sie auf der Seite Verwaltete Konten auf Verwaltetes Konto registrieren.

  5. Geben Sie auf der Seite "Verwaltetes Konto registrieren" im Abschnitt Kontoregistrierung die Anmeldeinformationen für das Dienstkonto ein.

  6. Aktivieren Sie im Abschnitt Automatische Kennwortänderung das Kontrollkästchen Automatische Kennwortänderung aktivieren, um SharePoint Server zu erlauben, das Kennwort für das ausgewählte Konto zu verwalten. Geben Sie als Nächstes einen numerischen Wert ein, der angibt, wie viele Tage vor Ablauf des Kennworts der automatische Kennwortänderungsprozess ausgelöst wird.

  7. Aktivieren Sie im Abschnitt Automatische Kennwortänderung das Kontrollkästchen Start notifying by e-mail (mit E-Mail-Benachrichtigungen beginnen), und geben Sie dann einen numerischen Wert ein, der angibt, wie viele Tage vor dem automatischen Kennwortänderungsprozess eine E-Mail-Benachrichtigung gesendet wird. Sie können dann einen Plan für wöchentliche oder monatliche E-Mail-Benachrichtigungen konfigurieren.

  8. Klicken Sie auf OK.

Konfigurieren automatischer Kennwortänderungseinstellungen

Verwenden Sie die Seite "Kennwortverwaltungseinstellungen" von Zentraladministration, um für automatische Kennwortänderungen Einstellungen auf Farmebene zu konfigurieren. Zusätzlich zu Überwachungs- und Zeitplanoptionen können Farmadministratoren die E-Mail-Adresse für Benachrichtigungen konfigurieren, die zum Senden aller Benachrichtigungs-E-Mails zu Kennwortänderungen verwendet wird. Führen Sie die Schritte im folgenden Verfahren durch, um Zentraladministration zum Konfigurieren von Einstellungen für die automatische Kennwortänderung zu verwenden.

So konfigurieren Sie Einstellungen für automatische Kennwortänderung mithilfe der Zentraladministration

  1. Stellen Sie sicher, dass das Benutzerkonto, das dieses Verfahren durchführt, ein Farmadministrator ist.

  2. Klicken Sie auf der Homepage von Zentraladministration auf Sicherheit.

  3. Klicken Sie unter Allgemeine Sicherheit auf Kennwortänderungseinstellungen ändern.

  4. Geben Sie auf der Seite "Kennwortverwaltungseinstellungen" im Abschnitt Notification E-Mail Address (Adresse für E-Mail-Benachrichtigungen) die E-Mail-Adresse einer Person oder Gruppe ein, die bei einer anstehenden Kennwortänderung oder Ablaufereignissen benachrichtigt wird.

  5. Wenn die automatische Kennwortänderung für ein verwaltetes Konto nicht konfiguriert wurde, geben Sie im Abschnitt Einstellungen für den Kontoüberwachungsprozess einen numerischen Wert ein, der angibt, wie viele Tage vor Ablauf des Kennworts eine Benachrichtigung an die im Abschnitt Notification E-Mail Address konfigurierte E-Mail-Adresse gesendet wird.

  6. Geben Sie im Abschnitt Einstellungen für automatische Kennwortänderung einen numerischen Wert ein, der angibt, wie viele Sekunden mit der automatischen Kennwortänderung gewartet wird (nachdem Dienste über eine anstehende Kennwortänderung benachrichtigt wurden), bevor mit der Änderung begonnen wird. Geben Sie einen numerischen Wert ein, der angibt, wie oft eine Kennwortänderung versucht wird, bevor der Prozess angehalten wird.

  7. Klicken Sie auf OK.

Problembehandlung bei der automatischen Kennwortänderung

Verwenden Sie folgenden Hinweise, um die gängigsten Probleme zu vermeiden, die beim Konfigurieren der automatischen Kennwortänderung auftreten können.

Kennwörter stimmen nicht überein

Wenn der Prozess der automatischen Kennwortänderung fehl schlägt, weil die Kennwörter der Active Directory-Domänendienste (AD DS) und von SharePoint Server nicht übereinstimmen, kann der Kennwortänderungsprozess bei der Anmeldung zu einer Zugriffsverweigerung oder AD DS-Lesefehlern führen. Wenn einer dieser Fehler auftritt, stellen Sie sicher, dass Ihre AD DS-Kennwörter richtig konfiguriert sind, und dass das AD DS-Konto Lesezugriff für das Setup hat. Verwenden Sie Microsoft PowerShell, um mögliche Probleme mit nicht übereinstimmenden Kennwörtern zu beheben, und setzen Sie dann den Kennwortänderungsprozess fort.

So korrigieren Sie nicht übereinstimmende Kennwörter mithilfe von PowerShell

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.

    • Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

    Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.

    Hinweis

    Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  2. Starten Sie die SharePoint-Verwaltungsshell.

  3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
    

    Weitere Informationen finden Sie unter Set-SPManagedAccount.

Fehler bei der Dienstkontobereitstellung

Tritt auf einem oder mehreren Servern in der Farm bei der Bereitstellung oder der erneuten Bereitstellung des Dienstkontos ein Fehler auf, prüfen Sie den Status des Timerdienstes. Wenn der Timerdienst angehalten wurde, starten Sie ihn erneut. Erwägen Sie, den folgenden Stsadm-Befehl zu verwenden, um Timerdienst-Verwaltungsaufträge sofort zu starten: stsadm -o execadmsvcjobs

Wenn sich das Problem durch einen Neustart des Timerdienstes nicht beheben lässt, verwenden Sie PowerShell, um das verwaltete Konto auf jedem Server in der Farm zu reparieren, auf dem ein Bereitstellungsfehler aufgetreten ist.

So beheben Sie einen Fehler bei der Dienstkontobereitstellung

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.

    • Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

    Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.

    Hinweis

    Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  2. Starten Sie die SharePoint-Verwaltungsshell.

  3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    Repair-SPManagedAccountDeployment
    

Weitere Informationen finden Sie unter Repair-SPManagedAccountDeployment.

Wenn sich ein Fehler bei der Dienstkontobereitstellung durch das vorherige Verfahren nicht beheben lässt, liegt das wahrscheinlich daran, dass der Farm-Verschlüsselungsschlüssel nicht entschlüsselt werden kann. Ist dies das Problem, aktualisieren Sie mithilfe von PowerShell die Passphrase des lokalen Servers so, dass sie mit der Passphrase für die Farm übereinstimmt.

So aktualisieren Sie die Passphrase des lokalen Servers

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.

    • Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

    Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.

    Hinweis

    Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  2. Starten Sie die SharePoint-Verwaltungsshell.

  3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
    

Weitere Informationen finden Sie unter Set-SPPassPhrase.

Unmittelbarer Kennwortablauf

Wenn das Kennwort in Kürze abläuft, aber keine automatische Kennwortänderung für dieses Konto konfiguriert wurde, aktualisieren Sie das Kontokennwort mithilfe von PowerShell auf einen neuen Wert, der vom Administrator ausgewählt oder automatisch generiert werden kann. Nachdem Sie das Kontokennwort aktualisiert haben, sollten Sie sicherstellen, dass der Timerdienst auf allen Servern in der Farm gestartet wurde und der Administratordienst aktiviert wurde. Dann kann die Kennwortänderung an alle Server in der Farm weitergegeben werden.

Hinweis

Wenn ein Administrator eine Kennwortänderung für die Server in der SharePoint-Suchtopologie durchführt, tritt eine Ausfallzeit für Abfragen auf, wenn die Dienste neu gestartet werden. Die Ausfallzeit für Abfragen beträgt normalerweise zwischen 3 und 5 Minuten.

So aktualisieren Sie das Kontokennwort

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.

    • Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

    Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.

    Hinweis

    Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  2. Starten Sie die SharePoint-Verwaltungsshell.

  3. Um das Kontokennwort auf einen neuen automatisch generierten Wert zu aktualisieren, geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
    

Weitere Informationen finden Sie unter Set-SPManagedAccount.

Farmkonto muss in ein anderes Konto geändert werden

Wenn Sie das Farmkonto in ein anderes Konto ändern müssen, verwenden Sie den folgenden Stsadm-Befehl: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password