Konfigurieren der automatischen Kennwortänderung in SharePoint Server

GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

Die automatische Kennwortänderung ermöglicht SharePoint Server, automatisch lange, kryptografisch starke Kennwörter nach einem von Ihnen festgelegten Zeitplan zu erstellen.

Konfigurieren verwalteter Konten

Sie müssen verwaltete Konten zusammen mit der Farm registrieren, um die Konten für mehrere Dienste verfügbar zu machen. Sie können ein verwaltetes Konto mithilfe der Seite "Verwaltetes Konto registrieren" in die Website für die SharePoint-Zentraladministration registrieren. Es gibt auf der Seite "Verwaltetes Konto registrieren" keine Optionen zum Erstellen eines Kontos in Active Directory-Domänendiensten oder auf dem lokalen Computer. Die Optionen können zum Registrieren eines vorhandenen Kontos in der SharePoint Server-Farm verwendet werden. Führen Sie die Schritte im folgenden Verfahren durch, um verwaltete Kontoeinstellungen mithilfe von Zentraladministration zu konfigurieren.

So konfigurieren Sie verwaltete Kontoeinstellungen mithilfe der Zentraladministration

1. Stellen Sie sicher, dass das Benutzerkonto, das dieses Verfahren durchführt, ein Farmadministrator ist.

2. Wählen Sie in der Zentraladministration Sicherheit aus.

3. Klicken Sie unter Allgemeine Sicherheit auf Verwaltete Konten konfigurieren.

4. Klicken Sie auf der Seite Verwaltete Konten auf Verwaltetes Konto registrieren.

5. Geben Sie auf der Seite "Verwaltetes Konto registrieren" im Abschnitt Kontoregistrierung die Anmeldeinformationen für das Dienstkonto ein.

6. Aktivieren Sie im Abschnitt Automatische Kennwortänderung das Kontrollkästchen Automatische Kennwortänderung aktivieren, um SharePoint Server zu erlauben, das Kennwort für das ausgewählte Konto zu verwalten. Geben Sie als Nächstes einen numerischen Wert ein, der angibt, wie viele Tage vor Ablauf des Kennworts der automatische Kennwortänderungsprozess ausgelöst wird.

7. Aktivieren Sie im Abschnitt Automatische Kennwortänderung das Kontrollkästchen Start notifying by e-mail (mit E-Mail-Benachrichtigungen beginnen), und geben Sie dann einen numerischen Wert ein, der angibt, wie viele Tage vor dem automatischen Kennwortänderungsprozess eine E-Mail-Benachrichtigung gesendet wird. Sie können dann einen Plan für wöchentliche oder monatliche E-Mail-Benachrichtigungen konfigurieren.

8. Klicken Sie auf OK.

Konfigurieren der Einstellungen für die automatische Kennwortänderung

Verwenden Sie die Seite "Kennwortverwaltungseinstellungen" von Zentraladministration, um für automatische Kennwortänderungen Einstellungen auf Farmebene zu konfigurieren. Zusätzlich zu Überwachungs- und Zeitplanoptionen können Farmadministratoren die E-Mail-Adresse für Benachrichtigungen konfigurieren, die zum Senden aller Benachrichtigungs-E-Mails zu Kennwortänderungen verwendet wird. Führen Sie die Schritte im folgenden Verfahren durch, um Zentraladministration zum Konfigurieren von Einstellungen für die automatische Kennwortänderung zu verwenden.

So konfigurieren Sie Einstellungen für automatische Kennwortänderung mithilfe der Zentraladministration

1. Stellen Sie sicher, dass das Benutzerkonto, das dieses Verfahren durchführt, ein Farmadministrator ist.

2. Klicken Sie auf der Homepage von Zentraladministration auf Sicherheit.

3. Klicken Sie unter Allgemeine Sicherheit auf Kennwortänderungseinstellungen ändern.

4. Geben Sie auf der Seite "Kennwortverwaltungseinstellungen" im Abschnitt Notification E-Mail Address (Adresse für E-Mail-Benachrichtigungen) die E-Mail-Adresse einer Person oder Gruppe ein, die bei einer anstehenden Kennwortänderung oder Ablaufereignissen benachrichtigt wird.

5. Wenn die automatische Kennwortänderung für ein verwaltetes Konto nicht konfiguriert ist, geben Sie im Abschnitt Kontoüberwachungsprozesseinstellungen einen numerischen Wert ein, der angibt, wie viele Tage vor dem Kennwortablauf eine Benachrichtigung an die im Abschnitt Benachrichtigungs-E-Mail-Adresse konfigurierte E-Mail-Adresse gesendet wird.

6. Geben Sie im Abschnitt Einstellungen für automatische Kennwortänderung einen numerischen Wert ein, der angibt, wie viele Sekunden mit der automatischen Kennwortänderung gewartet wird (nachdem Dienste über eine anstehende Kennwortänderung benachrichtigt wurden), bevor mit der Änderung begonnen wird. Geben Sie einen numerischen Wert ein, der angibt, wie oft eine Kennwortänderung versucht wird, bevor der Prozess angehalten wird.

7. Klicken Sie auf OK.

Problembehandlung bei der automatischen Kennwortänderung

Verwenden Sie folgenden Hinweise, um die gängigsten Probleme zu vermeiden, die beim Konfigurieren der automatischen Kennwortänderung auftreten können.

Kennwörter stimmen nicht überein

Wenn der automatische Kennwortänderungsprozess fehlschlägt, weil ein Kennwortkonflikt zwischen Active Directory Domain Services (AD DS) und SharePoint Server vorliegt, kann der Kennwortänderungsprozess zu Zugriffsverweigerungen bei der Anmeldung, einer Kontosperrung oder AD DS-Lesefehlern führen. Wenn einer dieser Fehler auftritt, stellen Sie sicher, dass Ihre AD DS-Kennwörter richtig konfiguriert sind, und dass das AD DS-Konto Lesezugriff für das Setup hat. Verwenden Sie Microsoft PowerShell, um mögliche Probleme mit nicht übereinstimmenden Kennwörtern zu beheben, und setzen Sie dann den Kennwortänderungsprozess fort.

So korrigieren Sie nicht übereinstimmende Kennwörter mithilfe von PowerShell

1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

   • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

   • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.

   • Gruppe "Administratoren" auf dem Server, auf dem Sie die PowerShell-Cmdlets ausführen.

   • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

   Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.

   Hinweis

   Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

2. Starten Sie die SharePoint-Verwaltungsshell.

3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

   Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
   

   Weitere Informationen finden Sie unter Set-SPManagedAccount.

Fehler bei der Dienstkontobereitstellung

Wenn bei der Bereitstellung oder erneuten Bereitstellung eines Dienstkontos auf einem oder mehreren Servern in der Farm ein Fehler auftritt, überprüfen Sie den Status des Zeitgeberdiensts. Wenn der Timerdienst angehalten wurde, starten Sie ihn erneut. Erwägen Sie die Verwendung des folgenden Stsadm-Befehls, um sofort Zeitgeberdienst-Verwaltungsaufträge zu starten: stsadm -o execadmsvcjobs

Wenn das Problem durch einen Neustart des Timerdiensts nicht behoben wird, verwenden Sie PowerShell, um das verwaltete Konto auf jedem Server in der Farm zu reparieren, auf dem ein Bereitstellungsfehler aufgetreten ist.

So beheben Sie einen Fehler bei der Dienstkontobereitstellung

1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

   • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

   • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.

   • Gruppe "Administratoren" auf dem Server, auf dem Sie die PowerShell-Cmdlets ausführen.

   • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

   Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.

   Hinweis

   Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

2. Starten Sie die SharePoint-Verwaltungsshell.

3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

   Repair-SPManagedAccountDeployment
   

Weitere Informationen finden Sie unter Repair-SPManagedAccountDeployment.

Wenn das vorherige Verfahren einen Fehler bei der Bereitstellung eines Dienstkontos nicht behebt, liegt dies wahrscheinlich daran, dass der Farmverschlüsselungsschlüssel nicht entschlüsselt werden kann. Ist dies das Problem, aktualisieren Sie mithilfe von PowerShell die Passphrase des lokalen Servers so, dass sie mit der Passphrase für die Farm übereinstimmt.

So aktualisieren Sie die Passphrase des lokalen Servers

1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

   • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

   • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.

   • Gruppe "Administratoren" auf dem Server, auf dem Sie die PowerShell-Cmdlets ausführen.

   • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

   Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.

   Hinweis

   Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

2. Starten Sie die SharePoint-Verwaltungsshell.

3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

   Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
   

Weitere Informationen finden Sie unter Set-SPPassPhrase.

Unmittelbarer Kennwortablauf

Wenn das Kennwort bald abläuft, aber keine automatische Kennwortänderung für dieses Konto konfiguriert wurde, verwenden Sie PowerShell, um das Kontokennwort auf einen neuen Wert zu aktualisieren, der vom Administrator ausgewählt oder automatisch generiert werden kann. Nachdem Sie das Kontokennwort aktualisiert haben, sollten Sie sicherstellen, dass der Timerdienst auf allen Servern in der Farm gestartet wurde und der Administratordienst aktiviert wurde. Dann kann die Kennwortänderung an alle Server in der Farm weitergegeben werden.

Hinweis

[!HINWEIS] Wenn ein Administrator eine Kennwortänderung für die Server in der SharePoint-Suchtopologie durchführt, tritt eine Ausfallzeit für Abfragen auf, wenn die Dienste neu gestartet werden. Die Ausfallzeit für Abfragen beträgt normalerweise zwischen 3 und 5 Minuten.

So aktualisieren Sie das Kontokennwort

1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

   • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

   • Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.

   • Gruppe "Administratoren" auf dem Server, auf dem Sie die PowerShell-Cmdlets ausführen.

   • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

   Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.

   Hinweis

   Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

2. Starten Sie die SharePoint-Verwaltungsshell.

3. Um das Kontokennwort auf einen neuen automatisch generierten Wert zu aktualisieren, geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

   Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
   

Weitere Informationen finden Sie unter Set-SPManagedAccount.

Farmkonto muss in ein anderes Konto geändert werden

Wenn Sie das Farmkonto in ein anderes Konto ändern müssen, verwenden Sie den folgenden Stsadm-Befehl: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password