Set-CsKerberosAccountPassword
Ultima modifica dell'argomento: 2012-03-25
Individua tutti i server che eseguono i servizi Web in un sito a cui è stato assegnato un account Kerberos e quindi aggiorna le impostazioni di configurazione di Internet Information Services (IIS) su ciascuno di questi server.
Sintassi
Set-CsKerberosAccountPassword -UserAccount <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountPassword -FromComputer <Fqdn> -ToComputer <Fqdn> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Descrizione dettagliata
In Microsoft Office Communications Server 2007 e Microsoft Office Communications Server 2007 R2 IIS viene eseguito con un account utente standard. Questo comportamento può causare alcuni problemi: se la password scade, esiste il rischio di perdere i servizi Web, un problema spesso difficile da diagnosticare. Per ovviare al problema della scadenza delle password, Microsoft Lync Server 2010 consente di creare un account computer (per un computer che in effetti non esiste) da utilizzare come entità di autenticazione per tutti i computer di un sito che eseguono IIS. Poiché utilizzano il protocollo di autenticazione Kerberos, questi account sono indicati come account Kerberos e il nuovo processo di autenticazione è noto come autenticazione Web Kerberos. In questo modo è possibile gestire tutti i server IIS utilizzando un unico account.
Per eseguire i server con questa nuova entità di autenticazione, è necessario innanzitutto creare un account computer utilizzando il cmdlet New-CsKerberosAccount. Questo account viene quindi assegnato a uno o più siti. Una volta effettuata l'assegnazione, l'associazione tra l'account e il sito di Lync Server 2010 viene abilitata con l'esecuzione del cmdlet Enable-CsTopology. Tra le altre cose, questo cmdlet crea il nome dell'entità servizio (SPN, Service Principal Name) obbligatorio in Servizi di dominio Active Directory. I nomi SPN offrono alle applicazioni client un mezzo per individuare un particolare servizio.
Una volta creata una nuova associazione, il cmdlet Set-CsKerberosAccountPassword consente di modificare la password assegnata all'account e, operazione altrettanto importante, di aggiornare la password in ogni computer in cui viene utilizzato l'account di test Kerberos specificato per l'autenticazione Web Kerberos.
Il cmdlet può inoltre utilizzare i parametri ToComputer e FromComputer per copiare queste informazioni di configurazione da un computer a un altro.
Utenti autorizzati a eseguire il cmdlet: per impostazione predefinita, sono autorizzati a eseguire localmente il cmdlet Set-CsKerberosAccountPassword i membri dei seguenti gruppi: RTCUniversalServerAdmins. Per restituire un elenco di tutti i ruoli RBAC (Role-Based Access Control) a cui è stato assegnato questo cmdlet, inclusi gli eventuali ruoli RBAC personalizzati creati dall'utente, dal prompt di Windows PowerShell eseguire il seguente comando:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountPassword"}
Parametri
| Parametro | Obbligatorio | Tipo | Descrizione |
|---|---|---|---|
FromComputer |
Facoltativo |
Stringa |
Nome di dominio completo (FQDN) del computer contenente la password dell'account Kerberos che verrà copiata in un altro computer. Non è possibile utilizzare questo parametro se si utilizza il parametro UserAccount. |
ToComputer |
Facoltativo |
Stringa |
Nome FQDN del computer in cui verrà copiata la password dell'account Kerberos. Non è possibile utilizzare questo parametro se si utilizza il parametro UserAccount. |
UserAccount |
Facoltativo |
Stringa |
Nome dell'account di cui deve essere cambiata la password. Per questo nome di account deve essere utilizzato il formato nome_dominio\nome_utente, ad esempio -UserAccount "litwareinc\kerberostest". Nonostante il nome UserAccount, l'account in realtà è un account computer e non un account utente. |
Force |
Facoltativo |
Parametro opzionale |
Consente di non visualizzare i messaggi relativi agli errori non irreversibili che possono verificarsi durante l'esecuzione del comando. |
Report |
Facoltativo |
Stringa |
Consente di specificare un percorso per il file di registro creato durante l'esecuzione del cmdlet. Ad esempio: -Report "C:\Logs\SetKerberosPassword.html". |
WhatIf |
Facoltativo |
Parametro opzionale |
Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente. |
Confirm |
Facoltativo |
Parametro opzionale |
Viene visualizzata una richiesta di conferma prima di eseguire il comando. |
Tipi di input
Nessuno.
Tipi restituiti
Set-CsKerberosAccountPassword non restituisce alcun oggetto o valore. Il cmdlet piuttosto modifica le istanze esistenti dell'oggetto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount.
Esempio
-------------------------- Esempio 1 ------------------------
Set-CsKerberosAccountPassword -UserAccount "litwareinc\kerberostest"
Il comando mostrato nell'esempio 1 imposta la password dell'account Kerberos litwareinc\kerberostest.
-------------------------- Esempio 2 ------------------------
Set-CsKerberosAccountPassword -FromComputer "atl-cs-001.litwareinc.com" -ToComputer "dublin-cs-001.litwareinc.com"
Nell'esempio 2 la password dell'account Kerberos viene copiata dal computer atl-cs-001.litwareinc.com nel computer dublin-cs-001.litwareinc.com.