Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Exchange Server 2013
Pode utilizar o script RollAlternateServiceAccountPassword.ps1 no Exchange Server 2013 para atualizar uma credencial de conta de serviço alternativa (credencial ASA) e distribuir a atualização para servidores de Acesso de Cliente especificados.
Observação
A Shell de Gestão do Exchange não carrega scripts automaticamente. Tem de preceder todos os scripts com .\ Por exemplo, para executar o script RollAlternateServiceAccountPassword.ps1, escreva .\RollAlternateServiceAccountPassword.ps1.
Este script é fornecido apenas em inglês.
Para obter mais informações sobre como utilizar e escrever scripts, veja Scripting with the Exchange Management Shell (Scripting com a Shell de Gestão do Exchange).
Sintaxe
RollAlternateServiceAccountPassword.ps1 -Scope <Object> -Identity <Object> -Source <Object> -
Descrição detalhada
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver que permissões precisa, veja a entrada "Segurança de Acesso do Cliente" no tópico Permissões de Acesso de Cliente.
Detalhes Técnicos do Script de Credenciais de Conta de Serviço Alternativa
Este script facilita a configuração e manutenção da credencial do ASA. Depois de criar a credencial do ASA e definir os Nomes de Princípios de Serviço adequados, pode utilizar o script para distribuir a credencial por todos os servidores de Acesso de Cliente visados.
Para utilizar o script, tem de identificar que servidores pretende direcionar e que credencial pretende utilizar como credencial do ASA.
Âmbito do Servidor
Pode optar por ter o script como destino de todos os servidores de Acesso de Cliente na floresta, todos os membros de uma matriz de servidor de Acesso de Cliente específica ou servidores específicos. Os parâmetros disponíveis são ToEntireForest, ToArraryMembers e ToSpecificServers. Se direcionar o script para servidores específicos ou para membros de uma matriz de servidor específica, o parâmetro Identidade tem de ser especificado com os servidores ou os nomes de matriz de servidor que pretende direcionar.
Origem de Credenciais
O script pode copiar a palavra-passe alternativa da conta de serviço de um servidor existente. Em alternativa, pode especificar a conta que pretende utilizar e permitir que o script gere uma nova palavra-passe para a conta. Os parâmetros disponíveis são GenerateNewPasswordFor e CopyFrom. O parâmetro GenerateNewPasswordFor requer que especifique uma cadeia de conta no seguinte formato: DOMÍNIO\Nome da Conta. Se estiver a utilizar uma conta de computador, terá de acrescentar "$" no final do nome da conta, por exemplo CONTOSO\ClientServerAcct$. O parâmetro CopyFrom utiliza o nome de um servidor de Acesso de Cliente existente como origem de credenciais.
Gerar uma Nova Palavra-passe para uma Credencial
A palavra-passe é criada pelo script. Não é necessária nenhuma entrada de utilizador. O script tentará distribuir a palavra-passe por todos os computadores de destino e, em seguida, tentará atualizar a credencial da conta do Active Directory com a palavra-passe gerada recentemente.
A palavra-passe recentemente gerada tem 73 carateres e cumprirá os requisitos padrão de palavra-passe fortes. Se os seus requisitos de palavra-passe forem diferentes, poderá ter de definir a palavra-passe manualmente e, em seguida, copiá-la para os servidores de destino.
Para impedir a interrupção do serviço, o script examina cada servidor de Acesso de Cliente e mantém a palavra-passe atual, além de adicionar a nova palavra-passe. Após a execução do script, a credencial partilhada do ASA poderá utilizar uma das duas palavras-passe: a palavra-passe atual, tal como armazenada no Active Directory ou a nova palavra-passe que ainda não foi definida no Active Directory.
Todas as palavras-passe que já não são válidas, como uma palavra-passe expirada, serão removidas dos servidores de destino. Se a palavra-passe no Active Directory não puder ser alterada, talvez porque a palavra-passe expirou, o script tentará uma reposição de palavra-passe. Isto exigirá que a conta que executa o script tenha permissões para repor as palavras-passe da conta de computador do Active Directory ou as palavras-passe da conta de utilizador, consoante a sua conta de serviço alternativa seja uma conta de computador ou uma conta de utilizador.
Se as palavras-passe não forem alteradas com êxito para todos os servidores de Acesso de Cliente de destino, atualizar a palavra-passe do Active Directory pode causar uma falha de autenticação. Se o script for executado no modo automático, não atualizará a palavra-passe do Active Directory com a nova palavra-passe, a menos que todos os servidores de Acesso de Cliente de destino tenham sido atualizados com êxito. Se o script for executado no modo assistido, ser-lhe-á perguntado se pretende atualizar a palavra-passe no Active Directory.
Criar uma Tarefa Agendada para Automatizar a Manutenção de Palavras-passe
Se quiser que o script crie uma tarefa agendada para manter a palavra-passe de forma contínua, utilize o parâmetro CreateScheduledTask . Este parâmetro requer uma cadeia para o nome da tarefa que pretende criar.
Observação
Execute o script e verifique se funciona corretamente no modo assistido antes de criar a tarefa agendada automática.
O script cria um ficheiro .cmd na pasta onde o script está localizado. Em seguida, cria uma tarefa para executar esse ficheiro .cmd a cada três semanas. Pode utilizar o Programador de Tarefas do Windows para modificar a tarefa agendada, por exemplo, para a definir para ser executada com mais ou menos frequência. Por predefinição, a tarefa será executada como o utilizador com sessão iniciada atualmente. Além disso, o script só será executado quando o utilizador tiver sessão iniciada no computador. Recomendamos que modifique a tarefa agendada para executar se o utilizador tem sessão iniciada ou não. Também pode optar por executá-la numa conta diferente, se essa conta tiver permissões do Active Directory para repor palavras-passe, bem como a função administrador do Exchange Enterprise. Ao criar uma tarefa agendada, o script será executado automaticamente no modo automática.
Tarefas Fora do Âmbito do Script
O script não gere os SPNs da credencial do ASA ou permite-lhe remover uma conta de serviço alternativa de um servidor. Para remover uma conta de serviço alternativa de um servidor, veja a secção Desativar a autenticação Kerberos em Configurar a autenticação Kerberos para servidores de Acesso de Cliente com balanceamento de carga.
Resolução de problemas do Script
Recomendamos que execute o script e verifique se funciona corretamente no modo assistido antes de criar a tarefa agendada autónoma. Para obter informações sobre a resolução de problemas, veja Resolução de problemas do Script do RollAlternateServiceAccountCredential.ps1.
Validar o Script
O resultado do script quando o executa interativamente com o sinalizador -verboso deve indicar que operações de script foram bem-sucedidas. Para confirmar que os servidores de Acesso de Cliente foram atualizados, pode verificar o carimbo de data/hora da última modificação na credencial do ASA. O exemplo seguinte gera uma lista de servidores de Acesso de Cliente e a última vez que a conta de serviço alternativa foi atualizada.
Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialstatus |Fl Name, AlternateServiceAccountConfiguration
Também pode examinar o registo de eventos no computador no qual o script é executado. As entradas do registo de eventos para o script estão no registo de Eventos da Aplicação e são da Aplicação de Gestão MSExchange de origem. A tabela seguinte lista os eventos registados e o significado dos eventos.
IDs de Eventos de Script e as respetivas explicações
| Evento | Explicação |
|---|---|
| 14001 | Início |
| 14002 | Êxito (informações) |
| 14003 | Com êxito, mas com Avisos. O script encontrou alguns problemas, mas conseguiu superá-los ou a entrada do utilizador confirmou que não eram necessárias. Se o script estiver em execução no modo interativo, leia a saída do script para obter mais detalhes de aviso. |
| 14004 | Falhou |
Se o script for executado como uma tarefa agendada, os respetivos resultados são registados na pasta Registo do servidor exchange numa subpasta denominada RollAlternateServiceAccountPassword.
Pode utilizar o registo para confirmar que a tarefa foi executada com êxito.
Parâmetros
| Parâmetro | Obrigatório | Descrição |
|---|---|---|
| ToEntireForest | Opcional | O parâmetro ToEntireForest direciona o script para todos os servidores de Acesso de Cliente na floresta. |
| ToArrayMembers | Opcional | O parâmetro ToArrayMembers direciona o script para todos os membros de uma matriz específica do servidor de Acesso de Cliente. Nota: se estiver a utilizar o parâmetro ToArrayMembers ou o parâmetro ToSpecificServers , terá de especificar os nomes dos servidores ou os nomes das matrizes do servidor com o parâmetro Identidade . |
| ToSpecificServers | Opcional | O parâmetro ToSpecificServers direciona o script para servidores específicos. Nota: se estiver a utilizar o parâmetro ToArrayMembers ou o parâmetro ToSpecificServers , terá de especificar os nomes dos servidores ou os nomes das matrizes do servidor com o parâmetro Identidade . |
| Identity | Obrigatório | O parâmetro Identidade especifica o nome da matriz do servidor de Acesso de Cliente ou os nomes dos servidores específicos que está a filtrar. |
| GenerateNewPasswordFor<String> | Opcional | O parâmetro GenerateNewPasswordFor especifica que o script deve gerar uma nova palavra-passe para o ASA. O valor da cadeia tem de ser a conta ASA no seguinte formato: DOMÍNIO\Nome da Conta. Se estiver a utilizar uma conta de computador, terá de acrescentar o caráter $ no final do nome da conta. |
| Copiar Da<Cadeia> | Opcional | O parâmetro CopyFrom especifica que a credencial é copiada de outro servidor de Acesso de Cliente. O valor da cadeia especificado é o nome do servidor de Acesso de Cliente. |
| Modo | Opcional | O comutador Modo especifica se o script é executado no modo atendido ou sem supervisão. O modo automática não pede a entrada do utilizador e escolhe automaticamente opções mais conservadoras, quando necessário. |
| Cadeia CreateScheduledTask<> | Opcional | O parâmetro CreateScheduledTask indica ao script para criar uma tarefa agendada para executar a atualização de credenciais do ASA. O valor da cadeia é o nome da tarefa agendada que será criada. Nota: este script cria um ficheiro .cmd na pasta onde o script está localizado. A tarefa agendada executará o ficheiro .cmd uma vez a cada três semanas. Pode editar a tarefa diretamente no Programador de Tarefas do Windows para alterar a frequência da tarefa. |
| WhatIf | Opcional | O comutador WhatIf indica ao comando para simular as ações que realizaria no objeto. Ao utilizar o comutador WhatIf , pode ver que alterações ocorreriam sem ter de aplicar nenhuma dessas alterações. Não tem de especificar um valor com o comutador WhatIf . |
| Confirmar | Opcional | A opção Confirm faz com que o comando pause o processamento e requer que você confirme o que o comando fará antes de o processamento continuar. Não é necessário especificar um valor com a opção Confirm. |
| Verbose | Opcional | O parâmetro Verbose indica ao script para executar o registo verboso, para que sejam escritas informações adicionais sobre as ações do script no ficheiro de registo. |
| Depurar | Opcional | O parâmetro Debug indica ao script para ser executado no modo de depuração. Este parâmetro deve ser utilizado para determinar por que motivo o script falha. |
Exemplos
Exemplo 1
Este exemplo utiliza o script para emitir a credencial para todos os servidores de Acesso de Cliente na floresta para configuração pela primeira vez.
.\RollAlternateserviceAccountPassword.ps1 -ToEntireForest -GenerateNewPasswordFor "Contoso\ComputerAccount$" -Verbose
Exemplo 2
Este exemplo gera uma nova palavra-passe para uma credencial ASA da conta de utilizador e distribui a palavra-passe por todos os membros das matrizes de servidor de Acesso de Cliente em que o nome corresponde a *caixa de correio*.
.\RollAlternateserviceAccountPassword.ps1 -ToArrayMembers _mailbox_ -GenerateNewPasswordFor "Contoso\UserAccount" -Verbose
Exemplo 3
Este exemplo agenda uma tarefa agendada de roll de palavras-passe automatizada uma vez por mês denominada "Exchange-RollAsa". Atualizará a credencial do ASA para todos os servidores de Acesso de Cliente em toda a floresta com uma nova palavra-passe gerada por script. A tarefa agendada é criada, mas o script não é executado. Quando a tarefa agendada é executada, o script é executado no modo automática.
.\RollAlternateServiceAccountPassword.ps1 -CreateScheduledTask "Exchange-RollAsa" -ToEntireForest -GenerateNewPasswordFor 'contoso\computerAccount$'
Exemplo 4
Este exemplo atualiza a credencial do ASA para todos os servidores de Acesso de Cliente na matriz do servidor de Acesso de Cliente com o nome CAS01. Obtém a credencial da conta de computador do Active Directory ServiceAc1 no domínio Contoso.
.\RollAlternateserviceAccountPassword.ps1 -ToArrayMembers "CAS01" -GenerateNewPasswordFor "CONTOSO\ServiceAc1$"
Exemplo 5
Este exemplo mostra como pode utilizar o script para distribuir o ASA para um novo computador ou para um computador que está a ser colocado novamente em serviço porque está a aumentar o tamanho da matriz do servidor ou porque está a reintroduzir membros da matriz após a manutenção.
Tem de atualizar a credencial do ASA antes de o servidor de Acesso de Cliente receber tráfego. Copie a credencial partilhada do ASA de qualquer servidor de Acesso de Cliente que já esteja configurado corretamente. Por exemplo, se o Servidor A tiver atualmente uma credencial ASA funcional e tiver acabado de adicionar o Servidor B à matriz, pode utilizar o script para copiar a credencial (incluindo a palavra-passe) do Servidor A para o Servidor B. Isto é útil se o Servidor B estiver inativo ou ainda não tiver sido um membro da matriz quando a palavra-passe foi implementada da última vez.
.\RollAlternateServiceAccountPassword.ps1 -CopyFrom ServerA -ToSpecificServers ServerB -Verbose