GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Cambiar la cuenta de un App Pool de SharePoint 2007


Hay muchas razones por las que podemos necesitar cambiar la cuenta (o quizás sólo la contraseña) de la cuenta de servicio de un App Pool de SharePoint, tarea que suele generar temores a muchos administradores de SharePoint. Si bien es cierto, que el procedimiento a seguir no es el de un simple IIS (tenemos que hacerlo de otra forma, sin tocar el IIS Manager ni la Metabase), es bastante sencillo, y si no nos olvidamos de comprobar permisos en SQL, permisos en SharePoint, pertenencia a grupos locales y de Directorio Activo, SPNs, y otras propiedades de la cuenta (ej: Account is trusted for delegation), será un simple trámite y nos funcionará todo a la primera.

Para cambiar la cuenta de servicio (o su contraseña de la misma) utilizada en un App Pool de SharePoint, deberemos utilizar la Central Admin y jamás utilizar el IIS Manager ni tocar la Metabase del IIS directamete. Esto es debido a que SharePoint almacena la configuración de sus App Pools en la Base de Datos de Configuración de la Granja, de tal modo, que cuando añadimos un nuevo Frontal Web a nuestra Granja, SharePoint será capaz de crear los App Pools y Sitios de IIS de la misma forma que lo hizo en el resto de los Frontales Web en su momento. Esta es la idea de la Granja, y la verdad, que está bien pensada (mejorable, pero está muy bien).

Obviamente, deberemos tener en consideración ciertos detalles al realizar un cambio de este tipo, como por ejemplo:

  • Revisar los SPNs de la cuenta de servicio afectada. Si vamos a cambiar sólo la password da igual, pero si vamos a configurar una cuenta de servicio diferente, deberemos eliminar los SPNs de la cuenta original, y configurar dichos SPNs sobre la nueva cuenta de servicio. Para esto podemos utilizar el comando setspn.exe.
  • Revisar la pertenencia a grupos. Esto lo haremos tanto en Directorio Activo, como para los grupos locales (en cada uno de los servidores de la Granja de SharePoint, independientemente de si son Frontales Web o no).
  • Revisar las propiedades de la cuenta en Directorio Activo. Principalmente, la opción Account is trusted for delegation.
  • Revisar los permisos en SharePoint. Revisar los permisos, especialmente si la cuenta es Farm Admin, o si tiene permisos en alguna Aplicación Web.
  • Revisar los permisos en SQL Server. Deberemos comprobar que la nueva cuenta tiene los mismos permisos sobre las mismas Bases de Datos que la cuenta original.

Por supuesto, deberemos conocer la contraseña de la cuenta antigua y de la nueva. Si no conocemos la contraseña de la cuenta antigua, deberemos al menos realizar algún tipo de Backup de nuestra Granja y de nuestros Servidores para poder garantizar la Marcha Atrás (no debería ser necesario, pero en Producción, toda precaución es poca).

Habitualmente, el riesgo principal al hacer un cambio de este tipo, no es el cambio en sí, sino la eterna duda de siempre: ¿Dónde más se estará utilizando la cuenta que voy a cambiar?

Podemos revisar los ficheros Web.Config de las Aplicaciones Web, las Tareas Programadas de Windows en todos los servidores de la Granja, los Servicios de Windows en todos los Servidores de la Granja (y más en particular los servicios de SharePoint como el Timer), y otras configuraciones de SharePoint, como la Indexación, la configuración del People Picker si tenemos relaciones de confianza unidireccionales con otros Dominios o Bosques, etc., pero nunca estaremos totalmente seguros. Por ello, suele ser recomendable mantener habilitada y con la contraseña original la cuenta que vamos a cambiar. De este modo, si existe algo en alguna parte que lo sigue utilizando, no generaremos ninguna indisponibilidad, puesto que la cuenta existe, con la misma contraseña y los mismos permisos. Posteriormente, podremos utilizar la Auditoría de Directorio Activo para comprobar si se han realizado Logones sobre esa cuenta y desde qué máquina, para de este modo, conseguir tener una mayor certeza, y sobre todo, transmitírsela a nuestro cliente/cuenta.

Y dicho todo este rollo, vamos a explicar cómo cambiar la cuenta de servicio de un App Pool de SharePoint 2007 (en versiones más reciente del producto, es la misma historia, aunque cambia el aspecto gráfico de la Central Admin).

Accederemos a la pestaña Operations de la Central Admin, y entraremos en la opción Service Accounts de la sección Security Configuration.

Accederemos a la pestaña Operations de la Central Admin, y entraremos en la opción Service Accounts de la sección Security Configuration

En la pantalla Service Accounts seleccionaremos la opción Web Application Pool, seguidamente indicaremos el App Pool que deseamos cambiar, e indicaremos el usuario y contraseña de la nueva cuenta de servicio que deseamos utilizar. Click OK para continuar.

En la pantalla Service Accounts seleccionaremos la opción Web Application Pool, seguidamente indicaremos el App Pool que deseamos cambiar, e indicaremos el usuario y contraseña

Nos aparecerá un mensaje indicando que debemos ejecutar un IISRESET /NOFORCE sobre todos y cada uno de los servidores de la Granja de SharePoint.

Nos aparecerá un mensaje indicando que debemos ejecutar un IISRESET /NOFORCE sobre todos y cada uno de los servidores de la Granja de SharePoint

Realizado esto, podremos comprobar con el IIS Manager que el App Pool ya ha quedado configurado con la nueva cuenta de servicio sobre todos los servidores de la Granja, y empezar a realizar todas las pruebas que consideremos oportunas para asegurarnos que el servicio se está prestando con total normalidad.

A modo informativo, si tenemos alguna herramienta como el SharePont Manager, podremos conectarnos a nuestra Granja de SharePoint y comprobar la información que guarda en la Base de Datos de Configuración sobre los distintos App Pools que conoce, así como otros detalles como la cuenta de servicio (uff, la contraseña está en texto plano ;-).

Comprobar los App Pool con el SharePoint Manager

No se me ocurre mucho más que decir del cambio de cuenta de los App Pool de SharePoint (si caigo en algo más, intentaré actualizar el artículo más adelante).

Poco más por hoy. Como siempre, confío que la lectura resulte de interés.

 


Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Julio de 2018 (1)
Junio de 2018 (4)
Mayo de 2018 (5)
Abril de 2018 (3)
Marzo de 2018 (2)
Febrero de 2018 (7)
Enero de 2018 (1)
Diciembre de 2017 (15)
Noviembre de 2017 (7)
Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Copyright © 2007 GuilleSQL, todos los derechos reservados.