Roger Haueter

Modern Workplace Strategist | Microsoft Most Valuable Professional

Kerberos in einer SharePoint 2010 Umgebung konfigurieren

Folgendes wird benötigt, um Kerberos in einer SharePoint Umgebung aufzusetzen
- Service Class für die SPNs (HTTP für SharePoint Web Applications, MSSQLSvc für die Standard SQL Server Instanz)
- Hostnamen der Server (FQDN ohne Domainangabe)
- Full Qualified Domain Name (FQDN) für alle Web Applications und Server
- Port Nummern für die SPNs (keine Portangabe für SharePoint Web Applications, Port 1433 für SQL
- Die Domain Benutzerkonten für die SPNs (Service und Application Pool Accounts)

In Active Directory Users and Computers > Computer > Computer Name > Properties > Delegation muss Trust computer for delegation to any service (Kerberos only) aktiviert werden. Für die Benutzer muss in den Eigenschaften (Reiter Account > Account options) Account is trusted for delegation aktiviert werden.

Das muss für folgende Server und User gemacht werden:
- Alle SharePoint Server Computer Accounts
- SQL Server Computer Accounts
- SQL Server Service User Account
- Application Pool User Account

Ein SPN enthält eine Service-Klasse, Hostnamen und manchmal eine Port-Nummer. Es wird empfohlen, sowohl den Hostnamen und FQDN der Web-Anwendungen registrieren, auch wenn nur eine davon verwendet werden soll.

Zum Beispiel:
setspn.exe –A MSSQLSvc/SqlServer:1433 Domain\Account
setspn.exe –A MSSQLSvc/SqlServer.domain.local:1433 Domain\Account

SPN für einen Domänen Account registrieren:
setspn.exe –A HTTP/intranet.domain Domain\Account

Auflisten des SPN für einen Account:
setspn.exe –L DOMAIN\Account

SPN löschen:
setspn.exe –D HTTP/intranet.domain.local DOMAIN\Account

Mehr zu Service Principal Names (SPN): http://support.microsoft.com/kb/929650 oder http://technet.microsoft.com/en-us/library/ms191153.aspx oder http://technet.microsoft.com/en-us/library/ms191153.aspx


Kerberos aktivieren

Central Administration > Application Management > Authentication providers
Web Application auswählen, welche Kerberos nutzen soll
Im Ribbon Authentication Provider anklicken und Negotiate (Kerberos) markieren.
Auf den SharePoint Web Front End Servern iisreset ausführen.

Weitere Informationen zur Kerberos in SharePoint 2010: http://technet.microsoft.com/en-us/library/ee806870.aspx


Kerberos in der SharePoint Umgebung testen

Um zu prüfen, ob Kerberos aktiviert ist, wird am besten das Security Event Log auf erfolgreiche Kerberos Logon Events überprüft. Tauchen Fehler auf, sollte folgendes überprüft werden:
- Datum und Zeit auf allen Servern korrekt gesetzt
- Das Bentutzerkonto ist in der Domain nicht gesperrt
- Der Service oder die Applikation laufen unter dem richtigen Domänenkonto
- Delegation ist für Computer- und Benutzer-Konten aktiviert
- Die SPNs wurden in Active Directory korrekt gesetzt


Self-Service Site Creation aktivieren und deaktiveren

Self-Service Site Creation mit stsdam aktivieren und deaktiveren
Ihr Benutzer muss lokaler Administrator und Farm Administrator sein.
Starten Sie die Eingabeaufforderung (Command Prompt) als Administrator.
Geben Sie folgendes ein: cd %CommonProgramFiles%\Microsoft Shared\Web server extensions\14\bin

Aktivieren Sie Self-Service Site Creation mit diesem Befehl
stsadm.exe -o enablessc -url http://web-application -requiresecondarycontact

Deaktivieren Sie Self-Service Site Creation mit diesem Befehl
stsadm -o disablessc -url http://web-application

Self-Service Site Creation über die Central Administration aktivieren und deaktiveren
Central Administration > Application Management > Manage web applications
Wählen Sie die gewünschte Web Application und klicken Sie auf Self-Service Site Creation
On (aktivieren) oder Off (deaktiveren) auswählen und mit OK bestätigen.

Self-Service Site Creation mit PowerShell aktivieren und deaktivieren
Dieser Befehl kann nicht mit PowerShell ausgeführt werden.


SharePoint 2010 Search Service Application mit PowerShell einrichten

Um in SharePoint 2010 die Search Service Application (Suche) einzurichten, geben Sie in der SharePoint PowerShell Konsole folgende Befehle ein:

Application Pool erstellen
$ApplicationPool = new-spserviceapplicationpool –name "Search Service Application" –account "DOMAIN\USER"

Search Service Application erstellen
$SearchApplication = new-spenterprisesearchserviceapplication -name SearchAdmin -applicationpool $ApplicationPool

Search Service Application Proxy erstellen
$ApplicationProxy = new-spenterprisesearchserviceapplicationproxy -name SearchProxy -Uri $SearchApplication.uri.absoluteURI

Prüfen ob der Search Service Application Proxy online ist
$ApplicationProxy.status

Prüfen ob die lokale Suche Service Instanz online ist
$SearchServiceInstance = get-spenterprisesearchserviceinstance –local
$SearchServiceInstance.status

Wenn die Instanz deaktiviert ist, dann diesen Befehl ausführen
Start-SpEnterpriseSearchServiceInstance -identity $SearchServiceInstance

Search Administration Component bereitstellen
$SearchServiceInstance = get-spenterprisesearchserviceinstance –local
set-spenterprisesearchadministrationcomponent –searchapplication SearchAdmin –SearchServiceInstance $SearchServiceInstance

Crawl Topology erstellen
$CrawlTopology = $searchapplication | new-spenterprisesearchcrawltopology

Neuen Crawl Store erstellen
$CrawlStoreID = $SearchApplication.CrawlStores | select id
$CrawlStore = $SearchApplication.CrawlStores.item($CrawlStoreID.id)

Neuen Crawl Component erstellen
$Hostname = hostname
new-spenterprisesearchcrawlcomponent -crawltopology $CrawlTopology -crawldatabase $CrawlStore -searchserviceinstance $Hostname

Crawl Topology aktivieren
$CrawlTopology | set-spenterprisesearchcrawltopology -active

Neue Query Topology erstellen
$QueryTopology = $SearchApplication | new-spenterprisesearchquerytopology -partitions 1

Variable für die Query Partition erstellen
$QueryPartition = ($QueryTopology | get-spenterprisesearchindexpartition)

Neuen Query Component erstellen
new-spenterprisesearchquerycomponent -indexpartition $QueryPartition -querytopology $QueryTopology -searchserviceinstance $SearchServiceInstance

Property Store DB Variable erstellen
$PropertyStoreID = $SearchApplication.PropertyStores | Select id
$PropertyStoreDB = $SearchApplication.PropertyStores.Item($PropertyStoreID.id)

Query Partition konfigurieren, damit diese Property Store DB nutzt
$QueryPartition | set-spenterprisesearchindexpartition -PropertyDatabase $PropertyStoreDB

Query Topology aktivieren
$QueryTopology | Set-SPEnterpriseSearchQueryTopology -Active

Unter Central Administration > Service Applications > Manage Service Applications > SearchAdmin > Content Sources > Local SharePoint Sites > Crawl scheduling anpassen


Geschützte Ansicht (Protected View) in Office 2010 deaktivieren

In Microsoft Office 2010 wurde eine neue Sicherheitsfunktion eingeführt, Protected View oder geschützte Ansicht, wie sie auf Deutsch heisst. Potenziell unsichere Dokumente, die beispielsweise aus dem Internet heruntergeladen oder als E-Mail Attachment empfangen wurden, werden automatisch in dieser Protected View geöffnet. Das Dokument kann in Ruhe angeschaut aber nicht bearbeitet werden, ohne Gefahr auf einen Angriff oder einer Virus-Infektion des PCs. Wenn sich der User davon überzeugt hat, dass es sich um ein erwünschtes Dokument handelt, kann er die geschützte Ansicht ausschalten und das Dokument bearbeiten. Diese Funktion wurde in Word, Excel, PowerPoint und Outlook 2010 integriert. Erfahrene User, die sich der Gefahren bewusst sind, können dieses Feature dauerhaft deaktivieren. Alle Dokumente werden dann im normalen Modus gestartet, unabhängig davon von welcher Quelle sie stammen.

So funktioniert das Deaktivieren von Protected View:
1. Öffnen Sie eine Office 2010 Anwendung (Word, Excel, PowerPoint oder Outlook)

2. Klicken Sie auf den Datei-Reiter oben links und im nun erschienenen Menü auf "Optionen".

3. Wählen Sie im linken Menü "Sicherheitscenter"
4. Klicken Sie auf die Schaltfläche "Einstellungen für das Sicherheitscenter" auf der rechten Seite.

5. Auf der linken Seite erscheint der Menüpunkt "Geschützte Ansicht". Wählen Sie ihn an.
6. Deaktivieren Sie nun alle vier Checkboxen auf der rechten Seite.
7. Bestätigen Sie Ihre Einstellungen mit OK.

Sie müssen die Deaktivierung der Protected View in jedem unter Punkt 1 erwähnten Office-Anwendungen wiederholen, sie wird nicht automatisch in alle Programme übernommen.


Ändern des User-Agent Strings von Opera / Safari

Der User-Agent String liefert Informationen über den verwendeten Browser, das Betriebssystem, und ähnliches. Die meisten Browser erlauben es nicht, diesen User-Agent String zu verändern ohne Plug-in oder Add-on. Dies kann jedoch in einigen Situationen nützlich sein. Einige Websites werden beispielsweise nur für Internet Explorer oder Firefox zur Verfügung gestellt, andere verlangen eine Anmeldung oder Bezahlung, um den Inhalt zu sehen. Dies kann umgangen werden, wenn man sich beispielsweise als Search Engine Spider oder Crawler tarnt. Wieder andere Webseiten liefern je nach Browser unterschiedliche Inhalte.
In den Webbrowsern Opera und Safari kann der User-Agent String nun bequem über das Browser-Menü geändert werden. Und so funktioniert's:

Safari

1. Klicken Sie im Menü "Bearbeiten" oder "Edit" auf "Einstellungen" resp. "Preferences". Wenn das Menü versteckt ist, drücken Sie Alt.


2. Aktivieren Sie im Reiter "Erweitert"/"Advanced" die Checkbox "Menü Entwickler in der Menüleiste anzeigen"/"Show Develop menu in menu bar"
3. Schliessen Sie die Einstellungen. In der Menüleiste wird neu der Punkt "Entwickler" resp. "Develop" aufgeführt


4. Klicken Sie auf den neuen Menüpunkt und wählen Sie "Benutzer Agent"/"User Agent". Die gängigsten Einstellungsmöglichkeiten sind hier aufgeführt. Weitere können unter "Andere"/"Other" konfiguriert werden.

Opera

1. Klicken Sie im Menü auf "Einstellungen" - "Schnelleinstellungen" - "Seitenspezifische Einstellungen" oder wenn Sie Ihren Browser Englisch eingestellt haben auf "Tools" - "Quick Preferences" - "Edit Site Preferences"
2. Wechseln Sie zum "Netzwerk" resp. "Network" Reiter


3. Wählen Sie eine der fünf Varianten aus und bestätigen Sie mit OK. Wenn Sie eine der beiden "maskieren" Optionen wählen, wird im User-Agent String der Opera nicht vollständig versteckt.

Opera, Möglichkeit 2

Sie können das Gleiche auch einstellen, indem Sie im Adressfeld "opera:config" eingeben und mit Enter bestätigen. Geben Sie im Suchfeld "Spoof UserAgent ID" ein. Geben Sie hier eine Zahl zwischen 1 und 5 ein, die Zuordnung ist gleich wie in den Schnelleinstellugen:
1: Als Opera ausgeben
2: Als Firefox ausgeben
3: Als Internetexplorer ausgeben
4: Als Firefox maskieren
5: Als Internet Explorer maskieren