Konfigurieren der automatischen Kennwortänderung in SharePoint ServerConfigure automatic password change in SharePoint Server

gilt für: ja2013 ja2016 ja2019 NeinSharePoint OnlineAPPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

Die automatische Kennwortänderung ermöglicht SharePoint Server, automatisch lange, kryptografisch starke Kennwörter nach einem von Ihnen festgelegten Zeitplan zu erstellen.Automatic password change enables SharePoint Server to automatically generate long, encrypted passwords on a schedule that you can determine.

Konfigurieren verwalteter KontenConfigure managed accounts

Sie müssen verwaltete Konten zusammen mit der Farm registrieren, um die Konten für mehrere Dienste verfügbar zu machen. Sie können ein verwaltetes Konto mithilfe der Seite "Verwaltetes Konto registrieren" in die Website für die SharePoint-Zentraladministration registrieren. Es gibt auf der Seite "Verwaltetes Konto registrieren" keine Optionen zum Erstellen eines Kontos in Active Directory-Domänendiensten oder auf dem lokalen Computer. Die Optionen können zum Registrieren eines vorhandenen Kontos in der SharePoint Server-Farm verwendet werden. Führen Sie die Schritte im folgenden Verfahren durch, um verwaltete Kontoeinstellungen mithilfe von Zentraladministration zu konfigurieren.You have to register managed accounts together with the farm to make the accounts available to multiple services. You can register a managed account by using the Register Managed Account page in the SharePoint Central Administration website. There are no options on the Register Managed Account page to create an account in Active Directory Domain Services, or on the local computer. The options can be used to register an existing account on the SharePoint Server farm. Perform the steps in the following procedure to use Central Administration to configure managed account settings.

So konfigurieren Sie verwaltete Kontoeinstellungen mithilfe der ZentraladministrationTo configure managed account settings by using Central Administration

  1. Stellen Sie sicher, dass das Benutzerkonto, mit dem dieser Vorgang ausgeführt wird, das Konto eines Farmadministrators ist.Verify that the user account that is performing this procedure is a farm administrator.

  2. Wählen Sie in der Zentraladministration Sicherheit aus.On the Central Administration, select Security.

  3. Klicken Sie unter Allgemeine Sicherheit auf Verwaltete Konten konfigurieren.Under General Security, click Configure managed accounts.

  4. Klicken Sie auf der Seite Verwaltete Konten auf Verwaltetes Konto registrieren.On the Managed Accounts page, click Register Managed Account.

  5. Geben Sie auf der Seite "Verwaltetes Konto registrieren" im Abschnitt Kontoregistrierung die Anmeldeinformationen für das Dienstkonto ein.In the Account Registration section of the Register Managed Account page, enter the service account credentials.

  6. Aktivieren Sie im Abschnitt Automatische Kennwortänderung das Kontrollkästchen Automatische Kennwortänderung aktivieren, um SharePoint Server zu erlauben, das Kennwort für das ausgewählte Konto zu verwalten. Geben Sie als Nächstes einen numerischen Wert ein, der angibt, wie viele Tage vor Ablauf des Kennworts der automatische Kennwortänderungsprozess ausgelöst wird.In the Automatic Password Change section, select the Enable automatic password change check box to allow SharePoint Server to manage the password for the selected account. Next, enter a numeric value that indicates the number of days before password expiration that the automatic password change process will be initiated.

  7. Aktivieren Sie im Abschnitt Automatische Kennwortänderung das Kontrollkästchen Start notifying by e-mail (mit E-Mail-Benachrichtigungen beginnen), und geben Sie dann einen numerischen Wert ein, der angibt, wie viele Tage vor dem automatischen Kennwortänderungsprozess eine E-Mail-Benachrichtigung gesendet wird. Sie können dann einen Plan für wöchentliche oder monatliche E-Mail-Benachrichtigungen konfigurieren.In the Automatic Password Change section, select the Start notifying by e-mail check box, and then enter a numeric value that indicates the number of days before the initiation of the automatic password change process that an e-mail notification will be sent. You can then configure a weekly or monthly e-mail notification schedule.

  8. Klicken Sie auf OK.Click OK.

Konfigurieren automatischer KennwortänderungseinstellungenConfigure automatic password change settings

Verwenden Sie die Seite "Kennwortverwaltungseinstellungen" von Zentraladministration, um für automatische Kennwortänderungen Einstellungen auf Farmebene zu konfigurieren. Zusätzlich zu Überwachungs- und Zeitplanoptionen können Farmadministratoren die E-Mail-Adresse für Benachrichtigungen konfigurieren, die zum Senden aller Benachrichtigungs-E-Mails zu Kennwortänderungen verwendet wird. Führen Sie die Schritte im folgenden Verfahren durch, um Zentraladministration zum Konfigurieren von Einstellungen für die automatische Kennwortänderung zu verwenden.Use the Password Management Settings page of Central Administration to configure farm-level settings for automatic password changes. Farm administrators can configure the notification e-mail address that will be used to send all password change notification e-mails in addition to monitoring and scheduling options. Perform the steps in the following procedure to use Central Administration to configure automatic password change settings.

So konfigurieren Sie Einstellungen für automatische Kennwortänderung mithilfe der ZentraladministrationTo configure automatic password change settings by using Central Administration

  1. Stellen Sie sicher, dass das Benutzerkonto, das dieses Verfahren durchführt, ein Farmadministrator ist.Verify that the user account that is performing this procedure is a farm administrator.

  2. Klicken Sie auf der Homepage von Zentraladministration auf Sicherheit.On the Central Administration Home page, click Security.

  3. Klicken Sie unter Allgemeine Sicherheit auf Kennwortänderungseinstellungen ändern.Under General Security, click Configure password change settings.

  4. Geben Sie auf der Seite "Kennwortverwaltungseinstellungen" im Abschnitt Notification E-Mail Address (Adresse für E-Mail-Benachrichtigungen) die E-Mail-Adresse einer Person oder Gruppe ein, die bei einer anstehenden Kennwortänderung oder Ablaufereignissen benachrichtigt wird.In the Notification E-Mail Address section of the Password Management Settings page, enter the e-mail address of one person or group to be notified of any imminent password change or expiration events.

  5. Wenn die automatische Kennwortänderung für ein verwaltetes Konto nicht konfiguriert wurde, geben Sie im Abschnitt Einstellungen für den Kontoüberwachungsprozess einen numerischen Wert ein, der angibt, wie viele Tage vor Ablauf des Kennworts eine Benachrichtigung an die im Abschnitt Notification E-Mail Address konfigurierte E-Mail-Adresse gesendet wird.If automatic password change is not configured for a managed account, enter a numeric value in the Account Monitoring Process Settings section that indicates the number of days before password expiration that a notification will be sent to the e-mail address configured in the Notification E-Mail Address section.

  6. Geben Sie im Abschnitt Einstellungen für automatische Kennwortänderung einen numerischen Wert ein, der angibt, wie viele Sekunden mit der automatischen Kennwortänderung gewartet wird (nachdem Dienste über eine anstehende Kennwortänderung benachrichtigt wurden), bevor mit der Änderung begonnen wird. Geben Sie einen numerischen Wert ein, der angibt, wie oft eine Kennwortänderung versucht wird, bevor der Prozess angehalten wird.In the Automatic Password Change Settings section, enter a numeric value that indicates the number of seconds that automatic password change will wait (after notifying services of a pending password change) before starting the change. Enter a numeric value that indicates the number of times a password change will be tried before the process stops.

  7. Klicken Sie auf OK.Click OK.

Problembehandlung bei der automatischen KennwortänderungTroubleshooting automatic password change

Verwenden Sie folgenden Hinweise, um die gängigsten Probleme zu vermeiden, die beim Konfigurieren der automatischen Kennwortänderung auftreten können.Use the following guidance to avoid the most common issues that can occur when you configure automatic password change.

Kennwörter stimmen nicht übereinPassword mismatch

Wenn der Prozess der automatischen Kennwortänderung fehl schlägt, weil die Kennwörter der Active Directory-Domänendienste (AD DS) und von SharePoint Server nicht übereinstimmen, kann der Kennwortänderungsprozess bei der Anmeldung zu einer Zugriffsverweigerung oder AD DS-Lesefehlern führen. Wenn einer dieser Fehler auftritt, stellen Sie sicher, dass Ihre AD DS-Kennwörter richtig konfiguriert sind, und dass das AD DS-Konto Lesezugriff für das Setup hat. Verwenden Sie Microsoft PowerShell, um mögliche Probleme mit nicht übereinstimmenden Kennwörtern zu beheben, und setzen Sie dann den Kennwortänderungsprozess fort.If the automatic password change process fails because there is a password mismatch between Active Directory Domain Services (AD DS) and SharePoint Server, the password change process can result in access denial at logon, an account lockout, or AD DS read errors. If any of these issues occur, make sure that your AD DS passwords are configured correctly and that the AD DS account has read access for setup. Use Microsoft PowerShell to fix any password mismatch issues that might occur, and then resume the password change process.

So korrigieren Sie nicht übereinstimmende Kennwörter mithilfe von PowerShellTo correct for a password mismatch by using PowerShell

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:Verify that you have the following memberships:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.securityadmin fixed server role on the SQL Server instance.

    • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.db_owner fixed database role on all databases that are to be updated.

    • Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.Administrators group on the server on which you are running the PowerShell cmdlets.

    • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.Add memberships that are required beyond the minimums above.

    Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

    Hinweis

    Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. Starten Sie die SharePoint-Verwaltungsshell.Start the SharePoint Management Shell.

  3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:From the PowerShell command prompt, type the following:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
    

    Weitere Informationen finden Sie unter Set-SPManagedAccount.For more information, see Set-SPManagedAccount.

Fehler bei der DienstkontobereitstellungService account provisioning failure

Tritt auf einem oder mehreren Servern in der Farm bei der Bereitstellung oder der erneuten Bereitstellung des Dienstkontos ein Fehler auf, prüfen Sie den Status des Timerdienstes. Wenn der Timerdienst angehalten wurde, starten Sie ihn erneut. Erwägen Sie, den folgenden Stsadm-Befehl zu verwenden, um Timerdienst-Verwaltungsaufträge sofort zu starten: stsadm -o execadmsvcjobsIf service account provisioning or re-provisioning fails on one or more servers in the farm, check the status of the Timer Service. If the Timer Service has stopped, restart it. Consider using the following Stsadm command to immediately start Timer Service administration jobs: stsadm -o execadmsvcjobs

Wenn sich das Problem durch einen Neustart des Timerdienstes nicht beheben lässt, verwenden Sie PowerShell, um das verwaltete Konto auf jedem Server in der Farm zu reparieren, auf dem ein Bereitstellungsfehler aufgetreten ist.If restarting the Timer Service does not resolve the issue, use PowerShell to repair the managed account on each server in the farm that has experienced a provisioning failure.

So beheben Sie einen Fehler bei der DienstkontobereitstellungTo resolve a service account provisioning failure

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:Verify that you have the following memberships:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.securityadmin fixed server role on the SQL Server instance.

    • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.db_owner fixed database role on all databases that are to be updated.

    • Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.Administrators group on the server on which you are running the PowerShell cmdlets.

    • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.Add memberships that are required beyond the minimums above.

    Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

    Hinweis

    Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. Starten Sie die SharePoint-Verwaltungsshell.Start the SharePoint Management Shell.

  3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:From the PowerShell command prompt, type the following:

    Repair-SPManagedAccountDeployment
    

Weitere Informationen finden Sie unter Repair-SPManagedAccountDeployment.For more information, see Repair-SPManagedAccountDeployment.

Wenn sich ein Fehler bei der Dienstkontobereitstellung durch das vorherige Verfahren nicht beheben lässt, liegt das wahrscheinlich daran, dass der Farm-Verschlüsselungsschlüssel nicht entschlüsselt werden kann. Ist dies das Problem, aktualisieren Sie mithilfe von PowerShell die Passphrase des lokalen Servers so, dass sie mit der Passphrase für die Farm übereinstimmt.If the previous procedure does not resolve a service account provisioning failure, it is likely because the farm encryption key cannot be decrypted. If this is the issue, use PowerShell to update the local server pass phrase to match the pass phrase for the farm.

So aktualisieren Sie die Passphrase des lokalen ServersTo update the local server pass phrase

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:Verify that you have the following memberships:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.securityadmin fixed server role on the SQL Server instance.

    • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.db_owner fixed database role on all databases that are to be updated.

    • Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.Administrators group on the server on which you are running the PowerShell cmdlets.

    • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.Add memberships that are required beyond the minimums above.

    Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

    Hinweis

    Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. Starten Sie die SharePoint-Verwaltungsshell.Start the SharePoint Management Shell.

  3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:From the PowerShell command prompt, type the following:

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
    

Weitere Informationen finden Sie unter Set-SPPassPhrase.For more information, see Set-SPPassPhrase.

Unmittelbarer KennwortablaufImminent password expiration

Wenn das Kennwort in Kürze abläuft, aber keine automatische Kennwortänderung für dieses Konto konfiguriert wurde, aktualisieren Sie das Kontokennwort mithilfe von PowerShell auf einen neuen Wert, der vom Administrator ausgewählt oder automatisch generiert werden kann. Nachdem Sie das Kontokennwort aktualisiert haben, sollten Sie sicherstellen, dass der Timerdienst auf allen Servern in der Farm gestartet wurde und der Administratordienst aktiviert wurde. Dann kann die Kennwortänderung an alle Server in der Farm weitergegeben werden.If the password is about to expire, but automatic password change has not been configured for this account, use PowerShell to update the account password to a new value that can be chosen by the administrator or automatically generated. After you have updated the account password, make sure that the Timer Service is started and the Administrator Service is enabled on all servers in the farm. Then, the password change can be propagated to all of the servers in the farm.

Hinweis

Wenn ein Administrator eine Kennwortänderung für die Server in der SharePoint-Suchtopologie durchführt, tritt eine Ausfallzeit für Abfragen auf, wenn die Dienste neu gestartet werden. Die Ausfallzeit für Abfragen beträgt normalerweise zwischen 3 und 5 Minuten.When an administrator performs a password change for the servers in the SharePoint search topology, there is an implied query downtime when the services are restarted. The query downtime is typically in the range of 3-5 minutes.

So aktualisieren Sie das KontokennwortTo update the account password

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:Verify that you have the following memberships:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.securityadmin fixed server role on the SQL Server instance.

    • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.db_owner fixed database role on all databases that are to be updated.

    • Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.Administrators group on the server on which you are running the PowerShell cmdlets.

    • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.Add memberships that are required beyond the minimums above.

    Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

    Hinweis

    Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. Starten Sie die SharePoint-Verwaltungsshell.Start the SharePoint Management Shell.

  3. Um das Kontokennwort auf einen neuen automatisch generierten Wert zu aktualisieren, geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:To update the account password to a new automatically generated value, from the PowerShell command prompt, type the following:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
    

Weitere Informationen finden Sie unter Set-SPManagedAccount.For more information, see Set-SPManagedAccount.

Farmkonto muss in ein anderes Konto geändert werdenRequirement to change the farm account to a different account

Wenn Sie das Farmkonto in ein anderes Konto ändern müssen, verwenden Sie den folgenden Stsadm-Befehl: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password passwordIf you must change the farm account to a different account, use the following Stsadm command: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password