Set-CsKerberosAccountPassword
トピックの最終更新日: 2012-03-25
Kerberos アカウントが割り当てられているサイト内で Web サービスを実行している各サーバーを探索し、それら各サーバーのインターネット情報サービス (IIS) 構成設定を更新します。
構文
Set-CsKerberosAccountPassword -UserAccount <String> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountPassword -FromComputer <Fqdn> -ToComputer <Fqdn> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
解説
Microsoft Office Communications Server 2007 および Microsoft Office Communications Server 2007 R2 では、IIS を標準ユーザー アカウントで実行していました。これには、次の問題が発生する可能性がありました。標準ユーザー アカウントのパスワードの有効期限が切れると、Web サービスが失われる可能性があり、これは多くの場合、診断が困難な問題でした。パスワードの期限切れの問題を防ぐため、Microsoft Lync Server 2010 では、IIS を実行するサイト内の全コンピューターの認証プリンシパルとして機能できる (実際には存在しないコンピューター用の) コンピューター アカウントを作成することができます。これらのアカウントは Kerberos 認証プロトコルを使用するため、アカウントは Kerberos アカウントと呼ばれ、新しい認証プロセスが Kerberos Web 認証として認識されます。これにより、単一のアカウントを使用して、すべての IIS サーバーを管理することができます。
この新しい認証プリンシパル下で複数のサーバーを実行するには、最初に New-CsKerberosAccount コマンドレットを使用してコンピューター アカウントを作成してから、このアカウントを 1 つ以上のサイトに割り当てる必要があります。この割り当てを行うと、Enable-CsTopology コマンドレットを実行して、このアカウントと Lync Server 2010 サイト間の関連付けができるようになります。特に重要なのは、これにより、必要なサービス プリンシパル名 (SPN) が Active Directory ドメイン サービス (AD DS) 内に作成されることです。SPN は、クライアント アプリケーションが特定のサービスを検出するためのものです。
新しい関連付けを行った後は、Set-CsKerberosAccountPassword コマンドレットを実行して、アカウントに割り当てられたパスワードを変更できます。また、同様に重要な点として、指定された Kerberos テスト アカウントを Kerberos Web 認証で使用するすべてのコンピューターでパスワードを更新できます。
さらに、このコマンドレットで ToComputer および From Computer パラメーターを使用して、あるコンピューターから別のコンピューターにこの構成情報をコピーすることもできます。
このコマンドレットを実行できるユーザー:既定では、次のグループのメンバーが Set-CsKerberosAccountPassword コマンドレットをローカルで実行することを承認されています。RTCUniversalServerAdmins。このコマンドレットが割り当てられているすべての役割ベースのアクセス制御 (RBAC) の役割の一覧 (自身が作成したカスタムの RBAC の役割を含む) を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountPassword"}
パラメーター
| パラメーター | 必須かどうか | 型 | 説明 |
|---|---|---|---|
FromComputer |
省略可能 |
文字列 |
別のコンピューターにコピーされる、Kerberos アカウントのパスワードが存在するコンピューターの完全修飾ドメイン名 (FQDN)。UserAccount パラメーターを使用する場合、このパラメーターを使用することはできません。 |
ToComputer |
省略可能 |
文字列 |
Kerberos アカウントのパスワードをコピーするコンピューターの FQDN です。UserAccount パラメーターを使用する場合、このパラメーターを使用することはできません。 |
UserAccount |
省略可能 |
文字列 |
パスワードを変更する必要があるアカウントのアカウント名です。このアカウント名の形式は domain_name\user_name とし、たとえば -UserAccount "litwareinc\kerberostest" のようにする必要があります。 また、UserAccount という名前ではあっても、このアカウントは実際にはコンピューター アカウントであり、ユーザー アカウントではありません。 |
Force |
省略可能 |
スイッチ パラメーター |
コマンド実行中に発生する可能性のある、致命的ではないすべてのエラー メッセージを表示しないようにします。 |
Report |
省略可能 |
文字列 |
コマンドレット実行時に作成されるログ ファイルのファイル パスを指定できるようにします。次に例を示します。-Report "C:\Logs\SetKerberosPassword.html"。 |
WhatIf |
省略可能 |
スイッチ パラメーター |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
Confirm |
省略可能 |
スイッチ パラメーター |
コマンドの実行前に確認メッセージを表示します。 |
入力の種類
なし。
戻り値の種類
Set-CsKerberosAccountPassword は、値やオブジェクトを戻しません。代わりに、Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount オブジェクトの既存のインスタンスを変更します。
例
-------------------------- 例 1 ------------------------
Set-CsKerberosAccountPassword -UserAccount "litwareinc\kerberostest"
例 1 に示すコマンドは、litwareinc\kerberostest という Kerberos アカウントのパスワードを設定します。
-------------------------- 例 2 ------------------------
Set-CsKerberosAccountPassword -FromComputer "atl-cs-001.litwareinc.com" -ToComputer "dublin-cs-001.litwareinc.com"
例 2 では、Kerberos アカウントのパスワードを、コンピューター atl-cs-001.litwareinc.com からコンピューター dublin-cs-001.litwareinc.com にコピーします。