Настройка автоматической смены паролей в SharePoint ServerConfigure automatic password change in SharePoint Server

Сводка. Узнайте, как настроить автоматическое изменение паролей в SharePoint Server 2016 и SharePoint 2013.Summary: Learn about how to configure the automatic password changes in SharePoint Server 2016 and SharePoint 2013.

Автоматическое изменение паролей позволяет SharePoint Server создавать длинные, зашифрованные пароли по расписанию.Automatic password change enables SharePoint Server to automatically generate long, encrypted passwords on a schedule that you can determine.

Настройка управляемых учетных записейConfigure managed accounts

Необходимо зарегистрировать управляемые учетные записи в ферме, чтобы они были доступны различным службам. Вы можете зарегистрировать управляемую учетную запись, используя страницу "Регистрация управляемой учетной записи" в Веб-сайт центра администрирования SharePoint. На этой странице нет параметров для создания учетной записи в доменных службах Active Directory или на локальном компьютере. Параметры на странице можно использовать для регистрации существующей учетной записи в ферме SharePoint Server. Выполните следующую процедуру, чтобы использовать Центр администрирования для настройки параметров управляемых учетных записей.You have to register managed accounts together with the farm to make the accounts available to multiple services. You can register a managed account by using the Register Managed Account page in the SharePoint Central Administration website. There are no options on the Register Managed Account page to create an account in Active Directory Domain Services, or on the local computer. The options can be used to register an existing account on the SharePoint Server farm. Perform the steps in the following procedure to use Central Administration to configure managed account settings.

Настройка параметров управляемой учетной записи с помощью центра администрированияTo configure managed account settings by using Central Administration

  1. Убедитесь, что учетная запись пользователя, используемая для выполнения этой процедуры, является учетной записью администратора фермы.Verify that the user account that is performing this procedure is a farm administrator.

  2. Откройте Центр администрирования и выберите Безопасность.On the Central Administration, select Security.

  3. В разделе Общая безопасность выберите пункт Настройка управляемых учетных записей.Under General Security, click Configure managed accounts.

  4. На странице "Управляемые учетные записи" выберите Регистрация управляемой учетной записи.On the Managed Accounts page, click Register Managed Account.

  5. В разделе Регистрация учетной записи страницы "Регистрация управляемой учетной записи" введите учетные данные учетной записи службы.In the Account Registration section of the Register Managed Account page, enter the service account credentials.

  6. В разделе Автоматическая смена пароля установите флажок Разрешить автоматическую смену пароля, чтобы разрешить SharePoint Server управлять паролем для выбранной учетной записи. Затем введите числовое значение, которое указывает количество дней до истечения действия пароля, когда будет инициирован процесс смены пароля.In the Automatic Password Change section, select the Enable automatic password change check box to allow SharePoint Server to manage the password for the selected account. Next, enter a numeric value that indicates the number of days before password expiration that the automatic password change process will be initiated.

  7. В разделе Автоматическая смена пароля установите флажок Отправить уведомление по электронной почте за и введите число, указывающее количество дней до инициации автоматической смены пароля, когда будет отправлено уведомление по электронной почте. Затем вы можете настроить расписание для еженедельной или ежемесячной отправки уведомлений по электронной почте.In the Automatic Password Change section, select the Start notifying by e-mail check box, and then enter a numeric value that indicates the number of days before the initiation of the automatic password change process that an e-mail notification will be sent. You can then configure a weekly or monthly e-mail notification schedule.

  8. Нажмите кнопку ОК.Click OK.

Настройка параметров автоматического изменения паролейConfigure automatic password change settings

Используйте страницу "Параметры управления паролями" Центр администрирования для настройки параметров автоматической смены паролей на уровне фермы. В дополнение к параметрам мониторинга и расписания, администраторы фермы могут задать адрес для отправки уведомлений по электронной почте, который будет использоваться для отправки всех сообщений о смене пароля. Выполните следующую процедуру, чтобы использовать Центр администрирования для настройки параметров автоматической смены паролей.Use the Password Management Settings page of Central Administration to configure farm-level settings for automatic password changes. Farm administrators can configure the notification e-mail address that will be used to send all password change notification e-mails in addition to monitoring and scheduling options. Perform the steps in the following procedure to use Central Administration to configure automatic password change settings.

Настройка параметров автоматической смены паролей с помощью центра администрированияTo configure automatic password change settings by using Central Administration

  1. Убедитесь, что учетная запись пользователя, используемая для выполнения этой процедуры, является учетной записью администратора фермы.Verify that the user account that is performing this procedure is a farm administrator.

  2. На домашней странице Центр администрирования нажмите Безопасность.On the Central Administration Home page, click Security.

  3. В разделе Общая безопасность выберите пункт Настройка параметров изменения паролей.Under General Security, click Configure password change settings.

  4. В разделе Адрес электронной почты для уведомлений страницы "Параметры управления паролями" введите адрес электронной почты пользователя или группы, которых следует уведомить о смене пароля или истечении срока действия пароля.In the Notification E-Mail Address section of the Password Management Settings page, enter the e-mail address of one person or group to be notified of any imminent password change or expiration events.

  5. Если автоматическая смена пароля для управляемой учетной записи не настроена, введите в разделе Настройка процесса отслеживания учетных записей число, обозначающее количество дней до истечения срока действия пароля, когда уведомление будет отправлено на адрес электронной почты, заданный в разделе Адрес электронной почты для уведомлений.If automatic password change is not configured for a managed account, enter a numeric value in the Account Monitoring Process Settings section that indicates the number of days before password expiration that a notification will be sent to the e-mail address configured in the Notification E-Mail Address section.

  6. В разделе Параметры автоматического изменения паролей введите число, указывающее время ожидания до начала изменения пароля в секундах (после уведомления служб о предстоящей смене пароля). Введите число, указывающее количество попыток смены пароля до остановки процесса.In the Automatic Password Change Settings section, enter a numeric value that indicates the number of seconds that automatic password change will wait (after notifying services of a pending password change) before starting the change. Enter a numeric value that indicates the number of times a password change will be tried before the process stops.

  7. Нажмите кнопку ОК.Click OK.

Устранение неполадок с автоматической сменой паролейTroubleshooting automatic password change

Используйте следующие рекомендации, чтобы предотвратить большинство распространенных проблем, которые могут возникнуть при настройке автоматической смены паролей.Use the following guidance to avoid the most common issues that can occur when you configure automatic password change.

Несоответствие паролейPassword mismatch

Если в процессе автоматической смены паролей возникает ошибка, так как пароли доменных служб Active Directory (AD DS) и SharePoint Server не совпадают, это может привести к отказу в доступе при входе, блокировке учетной записи или ошибкам чтения AD DS. При наличии каких-либо из этих проблем убедитесь, что пароли AD DS настроены правильно и у учетной записи AD DS есть права для чтения, необходимые для настройки. Используйте Microsoft PowerShell, чтобы устранить все проблемы несоответствия паролей, которые могут возникнуть, а затем возобновите процесс смены пароля.If the automatic password change process fails because there is a password mismatch between Active Directory Domain Services (AD DS) and SharePoint Server, the password change process can result in access denial at logon, an account lockout, or AD DS read errors. If any of these issues occur, make sure that your AD DS passwords are configured correctly and that the AD DS account has read access for setup. Use Microsoft PowerShell to fix any password mismatch issues that might occur, and then resume the password change process.

Устранение несоответствия паролей с помощью PowerShellTo correct for a password mismatch by using PowerShell

  1. Убедитесь, что вы являетесь участником следующих групп:Verify that you have the following memberships:

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.securityadmin fixed server role on the SQL Server instance.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.db_owner fixed database role on all databases that are to be updated.

    • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.Administrators group on the server on which you are running the PowerShell cmdlets.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.Add memberships that are required beyond the minimums above.

      С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

      Примечание

      Если у вас нет разрешений, запросите их у администратора установки или администратора SQL Server. Дополнительные сведения о разрешениях PowerShell см. в описании командлета Add-SPShellAdmin.If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. Запустите командную консоль SharePoint.Start the SharePoint Management Shell.

  3. В командной строке PowerShell введите следующую команду:From the PowerShell command prompt, type the following:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
    

    Дополнительные сведения см. в статье Set-SPManagedAccount.For more information, see Set-SPManagedAccount.

Ошибка подготовки учетной записи службыService account provisioning failure

Если при подготовке (или повторной подготовке) учетной записи службы на одном или нескольких серверах в ферме возникает ошибка, проверьте состояние службы таймера. Если она остановлена, перезапустите ее. Можно использовать следующую команду Stsadm, чтобы незамедлительно запустить задания администрирования службы таймера: stsadm -o execadmsvcjobsIf service account provisioning or re-provisioning fails on one or more servers in the farm, check the status of the Timer Service. If the Timer Service has stopped, restart it. Consider using the following Stsadm command to immediately start Timer Service administration jobs: stsadm -o execadmsvcjobs

Если перезапуск службы таймера не устраняет проблему, используйте PowerShell, чтобы восстановить управляемую учетную запись на каждом сервере в ферме, где возникла ошибка подготовки.If restarting the Timer Service does not resolve the issue, use PowerShell to repair the managed account on each server in the farm that has experienced a provisioning failure.

Устранение ошибки при подготовке учетной записи службыTo resolve a service account provisioning failure

  1. Убедитесь, что вы являетесь участником следующих групп:Verify that you have the following memberships:

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.securityadmin fixed server role on the SQL Server instance.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.db_owner fixed database role on all databases that are to be updated.

    • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.Administrators group on the server on which you are running the PowerShell cmdlets.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.Add memberships that are required beyond the minimums above.

      С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

      Примечание

      Если у вас нет разрешений, запросите их у администратора установки или администратора SQL Server. Дополнительные сведения о разрешениях PowerShell см. в описании командлета Add-SPShellAdmin.If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. Запустите командную консоль SharePoint.Start the SharePoint Management Shell.

  3. В командной строке PowerShell введите следующую команду:From the PowerShell command prompt, type the following:

    Repair-SPManagedAccountDeployment
    

    Дополнительные сведения см. в статье Repair-SPManagedAccountDeployment.For more information, see Repair-SPManagedAccountDeployment.

Если предыдущая процедура не устраняет ошибку подготовки учетной записи службы, скорее всего это вызвано тем, что не удается расшифровать ключ шифрования фермы. В этом случае используйте PowerShell, чтобы обновить парольную фразу локального сервера в соответствии с парольной фразой фермы.If the previous procedure does not resolve a service account provisioning failure, it is likely because the farm encryption key cannot be decrypted. If this is the issue, use PowerShell to update the local server pass phrase to match the pass phrase for the farm.

Обновление парольной фразы для локального сервераTo update the local server pass phrase

  1. Убедитесь, что вы являетесь участником следующих групп:Verify that you have the following memberships:

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.securityadmin fixed server role on the SQL Server instance.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.db_owner fixed database role on all databases that are to be updated.

    • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.Administrators group on the server on which you are running the PowerShell cmdlets.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.Add memberships that are required beyond the minimums above.

      С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

      Примечание

      Если у вас нет разрешений, запросите их у администратора установки или администратора SQL Server. Дополнительные сведения о разрешениях PowerShell см. в описании командлета Add-SPShellAdmin.If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. Запустите командную консоль SharePoint.Start the SharePoint Management Shell.

  3. В командной строке PowerShell введите следующую команду:From the PowerShell command prompt, type the following:

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
    

    Дополнительные сведения см. в статье Set-SPPassPhrase.For more information, see Set-SPPassPhrase.

Приближающееся истечение срока действия пароляImminent password expiration

Если срок действия пароля скоро истекает, а автоматическая смена пароля для этой учетной записи не настроена, используйте PowerShell, чтобы задать новый пароль для учетной записи. Пароль может выбрать администратор или он может быть создан автоматически. После обновления пароля убедитесь, что служба таймера запущена, а служба администратора включена на всех серверах фермы. После этого смену пароля можно распространить на все серверы в ферме.If the password is about to expire, but automatic password change has not been configured for this account, use PowerShell to update the account password to a new value that can be chosen by the administrator or automatically generated. After you have updated the account password, make sure that the Timer Service is started and the Administrator Service is enabled on all servers in the farm. Then, the password change can be propagated to all of the servers in the farm.

Примечание

Когда администратор меняет пароль для серверов в топологии поиска SharePoint, возникает простой обслуживания запросов, пока службы перезапускаются. Время простоя обычно составляет 3–5 мин.When an administrator performs a password change for the servers in the SharePoint search topology, there is an implied query downtime when the services are restarted. The query downtime is typically in the range of 3-5 minutes.

Обновление пароля учетной записиTo update the account password

  1. Убедитесь, что вы являетесь участником следующих групп:Verify that you have the following memberships:

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.securityadmin fixed server role on the SQL Server instance.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.db_owner fixed database role on all databases that are to be updated.

    • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.Administrators group on the server on which you are running the PowerShell cmdlets.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.Add memberships that are required beyond the minimums above.

      С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.An administrator can use the Add-SPShellAdmin cmdlet to grant permissions to use SharePoint Server cmdlets.

      Примечание

      Если у вас нет разрешений, запросите их у администратора установки или администратора SQL Server. Дополнительные сведения о разрешениях PowerShell см. в описании командлета Add-SPShellAdmin.If you do not have permissions, contact your Setup administrator or SQL Server administrator to request permissions. For additional information about PowerShell permissions, see Add-SPShellAdmin.

  2. Запустите командную консоль SharePoint.Start the SharePoint Management Shell.

  3. Чтобы установить для пароля учетной записи автоматически созданное значение, в командной строке PowerShell выполните следующую команду:To update the account password to a new automatically generated value, from the PowerShell command prompt, type the following:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
    

    Дополнительные сведения см. в статье Set-SPManagedAccount.For more information, see Set-SPManagedAccount.

Требования для изменения учетной записи фермы на другую учетную записьRequirement to change the farm account to a different account

Чтобы изменить учетную запись фермы на другую, используйте следующую команду Stsadm: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password passwordIf you must change the farm account to a different account, use the following Stsadm command: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password