SharePoint Server でのパスワードの自動変更の構成Configure automatic password change in SharePoint Server

概要: SharePoint Server 2016 と SharePoint 2013 でパスワードの自動変更を構成する方法を説明します。Summary: Learn about how to configure the automatic password changes in SharePoint Server 2016 and SharePoint 2013.

SharePoint Server では、パスワードの自動変更を使用することにより、ユーザーが決定できるスケジュールに沿って、長くて暗号化されたパスワードを自動的に生成できます。Automatic password change enables SharePoint Server to automatically generate long, encrypted passwords on a schedule that you can determine.

管理アカウントを構成するConfigure managed accounts

管理アカウントをファームと共に登録し、アカウントを複数のサービスで使用できるようにする必要があります。SharePoint サーバーの全体管理 Web サイトの [管理アカウントの登録] ページを使用して管理アカウントを登録できます。[管理アカウントの登録] ページには、Active Directory ドメイン サービスまたはローカル コンピューターにアカウントを作成するオプションがありません。SharePoint Server ファームの既存のアカウントを登録するためのオプションを使用できます。以下の手順を実行し、サーバーの全体管理を使用して管理アカウントの設定を構成します。You have to register managed accounts together with the farm to make the accounts available to multiple services. You can register a managed account by using the Register Managed Account page in the SharePoint Central Administration website. There are no options on the Register Managed Account page to create an account in Active Directory Domain Services, or on the local computer. The options can be used to register an existing account on the SharePoint Server farm. Perform the steps in the following procedure to use Central Administration to configure managed account settings.

サーバーの全体管理を使用して管理アカウントの設定を構成するにはTo configure managed account settings by using Central Administration

  1. この手順を実行しているユーザー アカウントがファーム管理者であることを確認します。Verify that the user account that is performing this procedure is a farm administrator.

  2. サーバーの全体管理で [セキュリティ] を選択します。On the Central Administration, select Security.

  3. [ 一般的なセキュリティ] で、[ 管理アカウントの構成] をクリックします。Under General Security, click Configure managed accounts.

  4. [管理アカウント] ページで、[ 管理アカウントの登録] をクリックします。On the Managed Accounts page, click Register Managed Account.

  5. [管理アカウントの登録] ページの [ アカウント登録] セクションで、サービス アカウントの資格情報を入力します。In the Account Registration section of the Register Managed Account page, enter the service account credentials.

  6. [ パスワードの自動変更] セクションで [ パスワードの自動変更を有効にする] チェック ボックスを選択し、SharePoint Server が選択したアカウントのパスワードを管理できるようにします。次に、パスワードの自動変更プロセスが開始されるパスワードの有効期限が切れるまでの日数を示す数値を入力します。In the Automatic Password Change section, select the Enable automatic password change check box to allow SharePoint Server to manage the password for the selected account. Next, enter a numeric value that indicates the number of days before password expiration that the automatic password change process will be initiated.

  7. [ パスワードの自動変更] セクションで、[ パスワード変更の以下の日数前に電子メール通知を開始する] チェック ボックスを選択し、電子メール通知が送信されるパスワードの自動変更プロセスが開始されるまでの日数を示す数値を入力します。毎週または毎月の電子メール通知スケジュールを構成できます。In the Automatic Password Change section, select the Start notifying by e-mail check box, and then enter a numeric value that indicates the number of days before the initiation of the automatic password change process that an e-mail notification will be sent. You can then configure a weekly or monthly e-mail notification schedule.

  8. [ OK] をクリックします。Click OK.

パスワードの自動変更の設定を構成するConfigure automatic password change settings

サーバーの全体管理の [パスワード管理の設定] ページを使用して、パスワードの自動変更のファーム レベルの設定を構成します。ファーム管理者は、監視オプションやスケジュール オプションに加えて、すべてのパスワード変更通知の電子メールを送信するために使用する通知電子メールのアドレスを構成できます。以下の手順を実行し、サーバーの全体管理を使用してパスワードの自動変更の設定を構成します。Use the Password Management Settings page of Central Administration to configure farm-level settings for automatic password changes. Farm administrators can configure the notification e-mail address that will be used to send all password change notification e-mails in addition to monitoring and scheduling options. Perform the steps in the following procedure to use Central Administration to configure automatic password change settings.

サーバーの全体管理 を使用してパスワードの自動変更の設定を構成するにはTo configure automatic password change settings by using Central Administration

  1. この手順を実行しているユーザー アカウントがファーム管理者であることを確認します。Verify that the user account that is performing this procedure is a farm administrator.

  2. サーバーの全体管理のホーム ページで、[ セキュリティ] をクリックします。On the Central Administration Home page, click Security.

  3. [ 一般的なセキュリティ] で、[ パスワード変更設定の構成] をクリックします。Under General Security, click Configure password change settings.

  4. [パスワード管理の設定] ページの [ 通知用の電子メール アドレス] セクションで、間近に迫ったパスワード変更または有効期限のイベントを通知する一人のユーザーまたはグループの電子メール アドレスを入力します。In the Notification E-Mail Address section of the Password Management Settings page, enter the e-mail address of one person or group to be notified of any imminent password change or expiration events.

  5. 管理アカウントに対してパスワードの自動変更を構成しない場合、[ 通知用の電子メール アドレス] セクションで構成した電子メール アドレスに通知を送信するパスワードの有効期限が切れるまでの日数を示す数値を [ アカウント監視プロセスの設定] セクションに入力します。If automatic password change is not configured for a managed account, enter a numeric value in the Account Monitoring Process Settings section that indicates the number of days before password expiration that a notification will be sent to the e-mail address configured in the Notification E-Mail Address section.

  6. [ パスワードの自動変更の設定] セクションで、変更を開始するまでパスワードの自動変更が待機する (保留中のパスワード変更のサービスを通知した後) 秒数を示す数値を入力します。プロセスを停止するまでパスワードの変更を試行する回数を示す数値を入力します。In the Automatic Password Change Settings section, enter a numeric value that indicates the number of seconds that automatic password change will wait (after notifying services of a pending password change) before starting the change. Enter a numeric value that indicates the number of times a password change will be tried before the process stops.

  7. [ OK] をクリックします。Click OK.

パスワードの自動変更のトラブルシューティングTroubleshooting automatic password change

以下のガイダンスを使用して、パスワードの自動変更を構成する際に発生する可能性がある一般的な問題を回避します。Use the following guidance to avoid the most common issues that can occur when you configure automatic password change.

パスワードの不一致Password mismatch

Active Directory ドメイン サービス (AD DS) と SharePoint Server の間でパスワードの不一致が発生したためにパスワードの自動変更プロセスが失敗した場合、パスワードの変更プロセスは、ログオン時におけるアクセス拒否、アカウントのロックアウト、または AD DS 読み取りエラーが発生する可能性があります。これらの問題のいずれかが発生した場合、AD DS パスワードが正しく構成されていること、および AD DS アカウントにセットアップ用の読み取りアクセス許可が付与されていることを確認してください。Microsoft PowerShell を使用して、発生したパスワードの不一致問題を修正し、パスワードの変更プロセスを再開します。If the automatic password change process fails because there is a password mismatch between Active Directory Domain Services (AD DS) and SharePoint Server, the password change process can result in access denial at logon, an account lockout, or AD DS read errors. If any of these issues occur, make sure that your AD DS passwords are configured correctly and that the AD DS account has read access for setup. Use Microsoft PowerShell to fix any password mismatch issues that might occur, and then resume the password change process.

PowerShell を使用してパスワードの不一致を修正するにはTo correct for a password mismatch by using PowerShell

  1. 以下のメンバーシップがあることを確認します。Verify that you have the following memberships:

    • SQL Server インスタンスに対する securityadmin 固定サーバー ロール。securityadmin fixed server role on the SQL Server instance.

    • 更新するすべてのデータベースに対する db_owner 固定データベース ロール。db_owner fixed database role on all databases that are to be updated.

    • PowerShell コマンドレットを実行するサーバーでの Administrators グループ。Administrators group on the server on which you are running the PowerShell cmdlets.

    • 上に示した最小要件を満たすために必要なメンバーシップを追加します。Add memberships that are required beyond the minimums above.

      管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint Server コマンドレットを使用する権限を付与できます。An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

      注意

      アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。PowerShell アクセス許可の詳細については、「Add-SPShellAdmin」を参照してください。If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. SharePoint 管理シェル を起動します。Start the SharePoint Management Shell.

  3. PowerShell コマンド プロンプトで次のように入力します。From the PowerShell command prompt, type the following:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
    

    詳細については、「Set-SPManagedAccount」を参照してください。For more information, see Set-SPManagedAccount.

サービス アカウントのプロビジョニング エラーService account provisioning failure

ファーム内の 1 つ以上のサーバーでサービス アカウントのプロビジョニングまたは再プロビジョニングが失敗した場合、Timer Service の状態を確認します。Timer Service が停止している場合、再起動します。次の Stsadm コマンドを使用して、Timer Service の管理ジョブをすぐに開始することを検討してください。 stsadm -o execadmsvcjobsIf service account provisioning or re-provisioning fails on one or more servers in the farm, check the status of the Timer Service. If the Timer Service has stopped, restart it. Consider using the following Stsadm command to immediately start Timer Service administration jobs: stsadm -o execadmsvcjobs

Timer Service を再起動しても問題が解決しない場合、PowerShell を使用して、プロビジョニング エラーが発生しているファーム内の各サーバーの管理アカウントを修復します。If restarting the Timer Service does not resolve the issue, use PowerShell to repair the managed account on each server in the farm that has experienced a provisioning failure.

サービス アカウントのプロビジョニング エラーを解決するにはTo resolve a service account provisioning failure

  1. 以下のメンバーシップがあることを確認します。Verify that you have the following memberships:

    • SQL Server インスタンスに対する securityadmin 固定サーバー ロール。securityadmin fixed server role on the SQL Server instance.

    • 更新するすべてのデータベースに対する db_owner 固定データベース ロール。db_owner fixed database role on all databases that are to be updated.

    • PowerShell コマンドレットを実行するサーバーでの Administrators グループ。Administrators group on the server on which you are running the PowerShell cmdlets.

    • 上に示した最小要件を満たすために必要なメンバーシップを追加します。Add memberships that are required beyond the minimums above.

      管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint Server コマンドレットを使用する権限を付与できます。An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

      注意

      アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。PowerShell アクセス許可の詳細については、「Add-SPShellAdmin」を参照してください。If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. SharePoint 管理シェル を起動します。Start the SharePoint Management Shell.

  3. PowerShell コマンド プロンプトで次のように入力します。From the PowerShell command prompt, type the following:

    Repair-SPManagedAccountDeployment
    

    詳細については、「Repair-SPManagedAccountDeployment」を参照してください。For more information, see Repair-SPManagedAccountDeployment.

上記の手順を実行してもサービス アカウントのプロビジョニング エラーが解決しない場合、ファームの暗号化キーを複合化できないことが原因である可能性があります。これが問題である場合、PowerShell を使用して、ファームのパス フレーズに一致するようローカル サーバーのパス フレーズを更新します。If the previous procedure does not resolve a service account provisioning failure, it is likely because the farm encryption key cannot be decrypted. If this is the issue, use PowerShell to update the local server pass phrase to match the pass phrase for the farm.

ローカル サーバーのパス フレーズを更新するにはTo update the local server pass phrase

  1. 以下のメンバーシップがあることを確認します。Verify that you have the following memberships:

    • SQL Server インスタンスに対する securityadmin 固定サーバー ロール。securityadmin fixed server role on the SQL Server instance.

    • 更新するすべてのデータベースに対する db_owner 固定データベース ロール。db_owner fixed database role on all databases that are to be updated.

    • PowerShell コマンドレットを実行するサーバーでの Administrators グループ。Administrators group on the server on which you are running the PowerShell cmdlets.

    • 上に示した最小要件を満たすために必要なメンバーシップを追加します。Add memberships that are required beyond the minimums above.

      管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint Server コマンドレットを使用する権限を付与できます。An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

      注意

      アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。PowerShell アクセス許可の詳細については、「Add-SPShellAdmin」を参照してください。If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. SharePoint 管理シェル を起動します。Start the SharePoint Management Shell.

  3. PowerShell コマンド プロンプトで次のように入力します。From the PowerShell command prompt, type the following:

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
    

    詳細については、「Set-SPPassPhrase」を参照してください。For more information, see Set-SPPassPhrase.

間近に迫ったパスワードの有効期限Imminent password expiration

パスワードの有効期限が間近に迫っているものの、パスワードの自動変更がそのアカウントに対して設定されていない場合、PowerShell を使用して、新しい値 (管理者が選択することも、自動的に生成することもできます) にアカウント パスワードを更新します。アカウント パスワードを更新した後、Timer Service が開始していること、Administrator Service がファーム内のすべてのサーバーで有効にされていることを確認します。その後、パスワード変更をファーム内のすべてのサーバーに伝達できます。If the password is about to expire, but automatic password change has not been configured for this account, use PowerShell to update the account password to a new value that can be chosen by the administrator or automatically generated. After you have updated the account password, make sure that the Timer Service is started and the Administrator Service is enabled on all servers in the farm. Then, the password change can be propagated to all of the servers in the farm.

注意

管理者が SharePoint 検索トポロジでサーバーのパスワード変更を実行した場合は、サービスの再起動時に暗黙のクエリ ダウンタイムが発生します。クエリ ダウンタイムは、通常、3 から 5 分の間です。When an administrator performs a password change for the servers in the SharePoint search topology, there is an implied query downtime when the services are restarted. The query downtime is typically in the range of 3-5 minutes.

アカウントのパスワードを更新するにはTo update the account password

  1. 以下のメンバーシップがあることを確認します。Verify that you have the following memberships:

    • SQL Server インスタンスに対する securityadmin 固定サーバー ロール。securityadmin fixed server role on the SQL Server instance.

    • 更新するすべてのデータベースに対する db_owner 固定データベース ロール。db_owner fixed database role on all databases that are to be updated.

    • PowerShell コマンドレットを実行するサーバーでの Administrators グループ。Administrators group on the server on which you are running the PowerShell cmdlets.

    • 上に示した最小要件を満たすために必要なメンバーシップを追加します。Add memberships that are required beyond the minimums above.

      管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint Server コマンドレットを使用する権限を付与できます。An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

      注意

      アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。PowerShell アクセス許可の詳細については、「Add-SPShellAdmin」を参照してください。If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. SharePoint 管理シェル を起動します。Start the SharePoint Management Shell.

  3. アカウントのパスワードを自動的に生成された新しい値に更新するには、PowerShell コマンド プロンプトで、次を入力します。To update the account password to a new automatically generated value, from the PowerShell command prompt, type the following:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
    

    詳細については、「Set-SPManagedAccount」を参照してください。For more information, see Set-SPManagedAccount.

ファーム アカウントを別のアカウントに変更するための要件Requirement to change the farm account to a different account

別のアカウントには、ファーム アカウントを変更する必要がある場合、は、次の Stsadm コマンドを使用します。stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password passwordIf you must change the farm account to a different account, use the following Stsadm command: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password