Roger Haueter

Modern Workplace Strategist | Microsoft Most Valuable Professional

Erstes kumulatives Updates für SharePoint 2010

Microsoft hat das erste kumulative Update für SharePoint 2010 veröffentlicht. Diese waren bereits für Juni angekündet und wurden mit etwas Verspätung freigegeben.
Anders als bei MOSS 2007 und WSS 3.0 sind die kumulativen Updates nicht als Serverpaket erhältlich, sondern erscheinen in sechs individuellen Paketen.

Technet Artikel zur Installation von Softwareupdates in SharePoint 2010
http://technet.microsoft.com/en-us/library/cc263467.aspx

Update Portal für SharePoint 2010
http://technet.microsoft.com/en-us/sharepoint/ff800847.aspx

June Cumulative Update (CU) für SharePoint Server 2010
KB983497
http://support.microsoft.com/kb/983497

KB2124512 (Search Filters)
http://support.microsoft.com/kb/2124512

KB2182938 (Nur für Japanisch, Chinesisch und Koreanisch)
http://support.microsoft.com/kb/2182938

KB983319 (Search Server)
http://support.microsoft.com/kb/983319

KB2281364
http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2281364&kbln=en-us

June Cumulative Update (CU) für SharePoint Foundation 2010
KB2028568
http://support.microsoft.com/kb/2028568


Kerberos in einer SharePoint 2010 Umgebung konfigurieren

Folgendes wird benötigt, um Kerberos in einer SharePoint Umgebung aufzusetzen
- Service Class für die SPNs (HTTP für SharePoint Web Applications, MSSQLSvc für die Standard SQL Server Instanz)
- Hostnamen der Server (FQDN ohne Domainangabe)
- Full Qualified Domain Name (FQDN) für alle Web Applications und Server
- Port Nummern für die SPNs (keine Portangabe für SharePoint Web Applications, Port 1433 für SQL
- Die Domain Benutzerkonten für die SPNs (Service und Application Pool Accounts)

In Active Directory Users and Computers > Computer > Computer Name > Properties > Delegation muss Trust computer for delegation to any service (Kerberos only) aktiviert werden. Für die Benutzer muss in den Eigenschaften (Reiter Account > Account options) Account is trusted for delegation aktiviert werden.

Das muss für folgende Server und User gemacht werden:
- Alle SharePoint Server Computer Accounts
- SQL Server Computer Accounts
- SQL Server Service User Account
- Application Pool User Account

Ein SPN enthält eine Service-Klasse, Hostnamen und manchmal eine Port-Nummer. Es wird empfohlen, sowohl den Hostnamen und FQDN der Web-Anwendungen registrieren, auch wenn nur eine davon verwendet werden soll.

Zum Beispiel:
setspn.exe –A MSSQLSvc/SqlServer:1433 Domain\Account
setspn.exe –A MSSQLSvc/SqlServer.domain.local:1433 Domain\Account

SPN für einen Domänen Account registrieren:
setspn.exe –A HTTP/intranet.domain Domain\Account

Auflisten des SPN für einen Account:
setspn.exe –L DOMAIN\Account

SPN löschen:
setspn.exe –D HTTP/intranet.domain.local DOMAIN\Account

Mehr zu Service Principal Names (SPN): http://support.microsoft.com/kb/929650 oder http://technet.microsoft.com/en-us/library/ms191153.aspx oder http://technet.microsoft.com/en-us/library/ms191153.aspx


Kerberos aktivieren

Central Administration > Application Management > Authentication providers
Web Application auswählen, welche Kerberos nutzen soll
Im Ribbon Authentication Provider anklicken und Negotiate (Kerberos) markieren.
Auf den SharePoint Web Front End Servern iisreset ausführen.

Weitere Informationen zur Kerberos in SharePoint 2010: http://technet.microsoft.com/en-us/library/ee806870.aspx


Kerberos in der SharePoint Umgebung testen

Um zu prüfen, ob Kerberos aktiviert ist, wird am besten das Security Event Log auf erfolgreiche Kerberos Logon Events überprüft. Tauchen Fehler auf, sollte folgendes überprüft werden:
- Datum und Zeit auf allen Servern korrekt gesetzt
- Das Bentutzerkonto ist in der Domain nicht gesperrt
- Der Service oder die Applikation laufen unter dem richtigen Domänenkonto
- Delegation ist für Computer- und Benutzer-Konten aktiviert
- Die SPNs wurden in Active Directory korrekt gesetzt


Self-Service Site Creation aktivieren und deaktiveren

Self-Service Site Creation mit stsdam aktivieren und deaktiveren
Ihr Benutzer muss lokaler Administrator und Farm Administrator sein.
Starten Sie die Eingabeaufforderung (Command Prompt) als Administrator.
Geben Sie folgendes ein: cd %CommonProgramFiles%\Microsoft Shared\Web server extensions\14\bin

Aktivieren Sie Self-Service Site Creation mit diesem Befehl
stsadm.exe -o enablessc -url http://web-application -requiresecondarycontact

Deaktivieren Sie Self-Service Site Creation mit diesem Befehl
stsadm -o disablessc -url http://web-application

Self-Service Site Creation über die Central Administration aktivieren und deaktiveren
Central Administration > Application Management > Manage web applications
Wählen Sie die gewünschte Web Application und klicken Sie auf Self-Service Site Creation
On (aktivieren) oder Off (deaktiveren) auswählen und mit OK bestätigen.

Self-Service Site Creation mit PowerShell aktivieren und deaktivieren
Dieser Befehl kann nicht mit PowerShell ausgeführt werden.


SharePoint 2010 Search Service Application mit PowerShell einrichten

Um in SharePoint 2010 die Search Service Application (Suche) einzurichten, geben Sie in der SharePoint PowerShell Konsole folgende Befehle ein:

Application Pool erstellen
$ApplicationPool = new-spserviceapplicationpool –name "Search Service Application" –account "DOMAIN\USER"

Search Service Application erstellen
$SearchApplication = new-spenterprisesearchserviceapplication -name SearchAdmin -applicationpool $ApplicationPool

Search Service Application Proxy erstellen
$ApplicationProxy = new-spenterprisesearchserviceapplicationproxy -name SearchProxy -Uri $SearchApplication.uri.absoluteURI

Prüfen ob der Search Service Application Proxy online ist
$ApplicationProxy.status

Prüfen ob die lokale Suche Service Instanz online ist
$SearchServiceInstance = get-spenterprisesearchserviceinstance –local
$SearchServiceInstance.status

Wenn die Instanz deaktiviert ist, dann diesen Befehl ausführen
Start-SpEnterpriseSearchServiceInstance -identity $SearchServiceInstance

Search Administration Component bereitstellen
$SearchServiceInstance = get-spenterprisesearchserviceinstance –local
set-spenterprisesearchadministrationcomponent –searchapplication SearchAdmin –SearchServiceInstance $SearchServiceInstance

Crawl Topology erstellen
$CrawlTopology = $searchapplication | new-spenterprisesearchcrawltopology

Neuen Crawl Store erstellen
$CrawlStoreID = $SearchApplication.CrawlStores | select id
$CrawlStore = $SearchApplication.CrawlStores.item($CrawlStoreID.id)

Neuen Crawl Component erstellen
$Hostname = hostname
new-spenterprisesearchcrawlcomponent -crawltopology $CrawlTopology -crawldatabase $CrawlStore -searchserviceinstance $Hostname

Crawl Topology aktivieren
$CrawlTopology | set-spenterprisesearchcrawltopology -active

Neue Query Topology erstellen
$QueryTopology = $SearchApplication | new-spenterprisesearchquerytopology -partitions 1

Variable für die Query Partition erstellen
$QueryPartition = ($QueryTopology | get-spenterprisesearchindexpartition)

Neuen Query Component erstellen
new-spenterprisesearchquerycomponent -indexpartition $QueryPartition -querytopology $QueryTopology -searchserviceinstance $SearchServiceInstance

Property Store DB Variable erstellen
$PropertyStoreID = $SearchApplication.PropertyStores | Select id
$PropertyStoreDB = $SearchApplication.PropertyStores.Item($PropertyStoreID.id)

Query Partition konfigurieren, damit diese Property Store DB nutzt
$QueryPartition | set-spenterprisesearchindexpartition -PropertyDatabase $PropertyStoreDB

Query Topology aktivieren
$QueryTopology | Set-SPEnterpriseSearchQueryTopology -Active

Unter Central Administration > Service Applications > Manage Service Applications > SearchAdmin > Content Sources > Local SharePoint Sites > Crawl scheduling anpassen


Geschützte Ansicht (Protected View) in Office 2010 deaktivieren

In Microsoft Office 2010 wurde eine neue Sicherheitsfunktion eingeführt, Protected View oder geschützte Ansicht, wie sie auf Deutsch heisst. Potenziell unsichere Dokumente, die beispielsweise aus dem Internet heruntergeladen oder als E-Mail Attachment empfangen wurden, werden automatisch in dieser Protected View geöffnet. Das Dokument kann in Ruhe angeschaut aber nicht bearbeitet werden, ohne Gefahr auf einen Angriff oder einer Virus-Infektion des PCs. Wenn sich der User davon überzeugt hat, dass es sich um ein erwünschtes Dokument handelt, kann er die geschützte Ansicht ausschalten und das Dokument bearbeiten. Diese Funktion wurde in Word, Excel, PowerPoint und Outlook 2010 integriert. Erfahrene User, die sich der Gefahren bewusst sind, können dieses Feature dauerhaft deaktivieren. Alle Dokumente werden dann im normalen Modus gestartet, unabhängig davon von welcher Quelle sie stammen.

So funktioniert das Deaktivieren von Protected View:
1. Öffnen Sie eine Office 2010 Anwendung (Word, Excel, PowerPoint oder Outlook)

2. Klicken Sie auf den Datei-Reiter oben links und im nun erschienenen Menü auf "Optionen".

3. Wählen Sie im linken Menü "Sicherheitscenter"
4. Klicken Sie auf die Schaltfläche "Einstellungen für das Sicherheitscenter" auf der rechten Seite.

5. Auf der linken Seite erscheint der Menüpunkt "Geschützte Ansicht". Wählen Sie ihn an.
6. Deaktivieren Sie nun alle vier Checkboxen auf der rechten Seite.
7. Bestätigen Sie Ihre Einstellungen mit OK.

Sie müssen die Deaktivierung der Protected View in jedem unter Punkt 1 erwähnten Office-Anwendungen wiederholen, sie wird nicht automatisch in alle Programme übernommen.