SPRRPC010 – Die Gnade der späten Geburt

Eine neue Ausgabe des SharePoint Rhein-Ruhr Podcasts. Im Rahmen der SharePoint Days 2014 in Berlin haben Henning und ich geplant, eine neue Podcastepisode aufzunehmen. Gesagt getan, Termin für den Abend gemacht und los geht´s. Im Laufe des Abends konnten wir noch Karsten Pohnke als Teilnehmer gewinnen, Drei Bier bestellt und…Michael Greth nimmt uns ein Intro auf und der Recorder zeichnet nicht richtig auf…wir reden 15 Minuten und stellen fest….der Recorder zeichnet nicht richtig auf. Trotz aller Hindernisse haben wir tapfer weitergemacht und uns nach erfolgreicher Aufnahme dann zur Erhohlung in Christian Glessners Bar „The Drunken Barber“ auf ein paar Black Barber zurückgezogen. Continue reading

SharePoint UserGroup OWL

Die SharePoint UserGroup OWL trifft sich am 9.12. in Gütersloh. Hier der Hinweis für alle SharePointer aus der Region. Es lohnt sich auf jeden Fall hinzugehen, da Ingo Zimmermann und René Hézser ein wirklich interessantes Programm zusammengestellt haben.

Wann: 9.12.2014 ab 18 Uhr

Wo: An der Autobahn 200, 33333 Gütersloh
https://www.google.de/maps/dir//51.8841959,8.4429219/@51.8834721,8.4421559,17z?hl=de

Themen:

  • SharePoint Hosting – Ist die Cloud schon geeignet dafür? von Daniel Lindemann (ITaCS GmbH)
  • Das Spannungsfeld Development-Operation im Umfeld von SharePoint Hosting von Andre Tomasiewicz (arvato Systems)

Da der Raum sich auf dem Firmengelände befindet, ist eine namentliche Voranmeldung erforderlich.

Anmeldungen und Details unter XING: https://www.xing.com/events/sharepoint-usergroup-owl-dezember-2014-1467606

Vielen Dank an Karsten Pohnke für den Hinweis, den wir natürlich gerne aufnehmen und weitergeben.

Also, nix wie hin!

SPRRPC009 – Das Ende der Evolutionsstufe

Eine neue Ausgabe des SharePoint Rhein-Ruhr Podcasts mit einer Neuerung. Andrej ist nicht mehr allein, sondern Henning kommt dazu und wir zwei talken in lockerer Runde über folgende Themen:

Continue reading

SharePoint und Domänen mit einseitiger Vertrauensstellung

In komplexeren Systemumgebungen kann es schon mal vorkommen, dass es mehr als eine Active Directory Domäne gibt.

In meinem Fall gibt es neben der Produktiven Domäne acme.local noch eine Domäne für den Entwicklungsbereich dev-acme.local. Zwischen den beiden Domänen gibt es eine einseitige Vertrauensstellung, so dass man sich mit seinem Account eiben@acme.local auch an dev-acme.local anmelden kann, nicht aber mit deinem dev-acme Account an der acme Domäne. Soweit alles klar.

Was aber, wenn ich in der dev-acme.local Domäne einen SharePoint stehen habe, auf den ich auch mit den acme.local Accounts zugreifen will? Wenn in SharePoint Berechtigungen vergeben werden, dann schlägt SharePoint den Account in der Domäne nach. In diesem Fall ist der SharePoint in der dev-acme.local Domäne installiert und läuft natürlich auch mit entsprechenden Service-Accounts (wie dev-acme\spAppPool). Dieser kann aber aufgrund der Vertrauensstellung keine Accounts aus acme.local nachschlagen, da dieses nachschlagen ja unter der Identität des Application-Pools der Web-Anwendung stattfindet (und die Domäne acme.local kann aus Sicherheitsgründen nur von Authentifizierten Benutzern abgefragt werden).

Was nun?

Zum Glück kann man SharePoint zu genau diesem Zweck sagen, dass für den Zugriff auf eine bestimmte Domäne ein anderer Account verwendet werden soll. Somit kann ich also auch auf andere Domänen zugreifen.

Wie geht das also?

Zunächst brauche ich einen Account in der acme.local Domäne, mit dem ich Benutzerkonten nachschlagen kann. Dafür reicht ein normaler Benutzer, der eigentlich keine besondere Rechte benötigt (außer dass er halt auf das AD zugreifen können muss). Ich habe den mal devlookup genannt.

Bevor ich SharePoint diesen Account für die Lookups beibringen kann, muss ich noch einen Verschlüsselungsschlüssel erstellen.

STSADMstsadm.exe -o setapppassword -password MeinGeheimerSchluessel

Nun kann ich SharePoint mitteilen, dass für die Web-Application mit der URL sp2013.dev-acme.local beim Zugriff auf die Domäne acme.local das Konto acme\devlookup verwendet werden soll:

STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "domain:acme.local,acme\devlookup,MeinPasswort" -url http://sp2013.dev-acme.local

Unglaublich, dass diese Einstellung nur mit dem guten alten STSADM geht. Aber so ist es halt nun mal – auch in Zeiten von PowerShell.

Reminder & Programm: 26. Treffen der SharePoint UserGroup Düsseldorf

Hallo Liebe Mitglieder und Interessierte,

ich möchte Sie heute nochmals herzlich zum 26. Treffen der SharePoint UserGroup Düsseldorf einladen. Die UserGroup ist weiterhin auf Tournee. Dieses mal machen wir am 4. November bei CGI in Düsseldorf halt.

Vielen Dank an Holger Scholz von CGI für die Organisation des Raumes und des Caterings.

Am Dienstag erwarten uns 3 interessante Vorträge von bekannten Sprechern:

„Skybow Solution Framework, Projektlaufzeiten um bis zu 85% verkürzen“ – Philip Nussbaumer & Jörg Stappert, Skybow

„Wunsch & Wirklichkeit bei SharePoint Forms? Usability und Anpassungsmöglichkeiten“ – Karsten Pohnke, arvato Systems perdata GmbH

„SharePoint Toolbox – Der Leatherman für den erfolgreichen SharePoint Experten“ – Henning Eiben, busitec GmbH

Philip Nussbaumer und Jörg Stappert sind beide keine Unbekannten im SharePoint Geschäft und haben mit dem Skybow Solutions Framework ein ganz neues heißes Eisen im Feuer. Die schweizer Firma Up-Great AG (SharePoint ISV mit 80 Mitarbeitern) hat in zahlreichen Projekten auf Basis der Kundenanforderungen und in enger Zusammenarbeit mit diesen ein Werkzeug entwickelt, mit dem die Umsetzungszeit von SharePoint-Implementierungen um bis zu 85% verkürzt werden kann. Kern des Frameworks sind sogenannte Dossiers, also Sammlungen von Listeneinträgen und Objekten, die sich um ein bestimmtes Thema drehen. Ein Dossier kann z. B. eine Mitarbeiterakte, ein Vertrag oder eine Kunden- bzw. Interessentenakte sein. Um diese Dossiers herum sind einerseites über 200 Einzelfeatures entwickelt worden, andererseits Lösungen wie ein „CRM light“ oder eine spezielle Lösung für Vermögensverwalter entstanden. Im Rahmen eines einstündigen Vortrags möchten wir Ihnen unsere Konzepte anhand einer Live-Demo anhand der Live-Installation bei unserem Kunden Coop Mineralöl AG vorstellen. Ihr Feedback ist uns sehr wichtig, da wir planen, unser Framework in Zukunft auch über Partner zu vermarkten und hierzu möglichst viele Meinungen einholen wollen.

Karsten Pohnke ist als erfahrener Microsoft SharePoint Consultant bei der arvato Systems perdata GmbH tätig. Seine Aufgaben sind Beratung, Konzeption und Entwicklung von Business Solutions im SharePoint und .Net Umfeld bei mittleren und großen Unternehmen. Neben seiner beruflichen Tätigkeit veröffentlicht er immer wieder Tipps und Tricks im Netz. Sie erreichen ihn über seinen Blog (www.ilikesharepoint.de) oder via Twitter (@kpohnke). Bei der Entwicklung von SharePoint Lösungen für fachbezogene Prozesse stehen häufig Schnittstellen, Integration und Migrationsprozesse als große Herausforderung im Vordergrund. Doch spätestens beim produktiven Einsatz sitzen Endanwender vor der Anwendung und müssen Daten bearbeiten, pflegen und eingeben. Welche Anpassungsmöglichkeit für Formulare in SharePoint bereitstehen sowie Tipps und Beispiele zur besseren Gestaltung von Eingabemöglichkeiten (Stichwort Usability) erfahren Sie in diesem Vortrag. Happy User, happy Customer – das bringt einer SharePoint Anwendung die benötigte Akzeptanz.

Henning Eiben ist als Teamleiter der Software-Entwicklung und Geschäftsführer für die busitec GmbH tätig. Seit über 10 Jahren entwickelt er Web-basierte Anwendungen im Microsoft Technologie-Umfeld (von classic ASP mit VBScript, über ASP.Net 1.1, bis hin zu ASP.Net MVC 4 mit Azure). Seit 2007 ist er als Berater und Entwickler im SharePoint Bereich tätig. Er bloggt sowohl im Firmenblog (blog.busitec.de) als auch bei der Usergroup Rhein-Ruhr (www.sharepoint-rhein-ruhr.de). Jeder kenn den Leatherman, das Multitool für alle Gelegenheiten, der McGiver der Werkzeuge. Auch für den erfolgreichen SharePoint Experten gibt es essentielle Werkzeuge, die im Alltag bequemes und sicheres Arbeiten gewährleisten. Das ist die SharePoint Toolbox.

Über Ihre Teilnahme und interessante Vorträge, Lösungen und Diskussionen würde ich mich sehr freuen.

Hier noch einmal die Daten:
SharePoint UserGroup Düsseldorf

Termin: Dienstag, 4. November 2014, 18:00 – 20:30 Uhr

Ort: CGI (Germany) GmbH & Co. KG, Heerdter Lohweg 35, Düsseldorf 40549

Informationen zur Anfahrt:
anfahrtcgiParken können Sie…
– Hinter dem CGI-Gebäude in der Strasse „Am Albertussee“ (siehe Bild)
– Gegenüber von CGI beim TÜV (auf eigene Gefahr)
– Rechts hinter der ARAL-Tankstellen auf dem  öffentlichen  Parkplatz

Mit Öffentlichen:
Der Düsseldorfer Hauptbahnhof wird von den meisten nationalen Großstädten direkt angefahren. Ab Düsseldorf Hbf fahren die Linien U74 (Richtung Meerbusch Haus Meer) und U76 (Richtung Krefeld Rheinstraße) zur Haltestelle „Lohweg“, direkt am Heerdter Lohweg. Alternativ ab Düsseldorf Hbf mit der U75 (Richtung Düsseldorf Heerdt / Neuss) bis Haltestelle „Dominikus-Krankenhaus“.

Anmeldung: Um Anmeldung zu dieser Veranstaltung bis zum 30.10.2014 wird gebeten! Anmeldung in der Xing Gruppe oder unter:

e-mail: info@sharepoint-rhein-ruhr.de

Bitte melden Sie sich nur an, wenn Sie an dem Termin auch wirklich teilnehmen möchten.

Siehe auch:

http://www.sharepoint-rhein-ruhr.de

SharePointCommunity: http://sharepointcommunity.de/groups/duesseldorf/default.aspx
oder auf unserer Xing Seite: https://www.xing.com/net/spugddf/

Ansprechpartner:
Andrej Doms (ConVista Consulting)
Tel. 0178 888 6018

Neben den Vorträgen gibt es bei einem Snack hoffentlich reichlich Gelegenheit für Sie, mit den anwesenden Experten ins Gespräch zu kommen.

Ich freue mich, Sie alle am 4. November begrüßen zu dürfen.
Mit freundlichen Grüßen

Andrej Doms

Reminder & Programm 12. Treffen der SharePoint UserGroup Köln

Hallo Liebe Mitglieder und Interessierte,

ich möchte Sie heute herzlich zum 12. Treffen der SharePoint UserGroup Köln einladen. Die Sommerpause ist überwunden, jetzt geht es endlich mit der SPUG Köln weiter. Wir treffen uns am 21. Oktober. Ab diesem Termin finden die Treffen an neuem Ort im Rheinauhafen in Köln statt.

Unser Programm:

„Skybow Solution Framework, Projektlaufzeiten um bis zu 85% verkürzen“ – Philip Nussbaumer & Jörg Stappert, Skybow

„Automatisierte SharePoint Installation“ – Denis Buco, COMPAREX AG

„Access die Hölle, oder? Und was ist mit Access Services?“ – Andrej Doms, ConVista Consulting AG

Philip Nussbaumer und Jörg Stappert sind beide keine Unbekannten im SharePoint Geschäft und haben mit dem Skybow Solutions Framework ein ganz neues heißes Eisen im Feuer. Die schweizer Firma Up-Great AG (SharePoint ISV mit 80 Mitarbeitern) hat in zahlreichen Projekten auf Basis der Kundenanforderungen und in enger Zusammenarbeit mit diesen ein Werkzeug entwickelt, mit dem die Umsetzungszeit von SharePoint-Implementierungen um bis zu 85% verkürzt werden kann.

Denis Buco ist SharePoint Consultant bei der COMPAREX AG aus Leipzig in der Niederlassung Köln. Dort beschäftigt er sich hauptsächlich mit den Schwerpunkten SharePoint Infrastruktur, Office 365 und Prozessabbildung.

Andrej Doms leitet das SharePoint Team bei der ConVista Consulting AG in Köln und ist als Sprecher auf großen und kleinen Konferenzen in Europa unterwegs.

Über Ihre Teilnahme und interessante Vorträge, Lösungen und Diskussionen würde ich mich sehr freuen.

Hier noch einmal die Daten:

SharePoint UserGroup Köln

Termin: Dienstag, 21.10.2014 – 18.00 Uhr

Ort: ConVista Consulting AG, Im Zollhafen 15/17, 50678 Köln

Parken: Parkplätze stehen in der Tiefgarage im Rheinauhafen zur Verfügung, bitte in der Nähe des Aufgangs 3.04 parken.

Öffentliche Verkehrsmittel:
– U-Bahn Linie 16 ab Dom-Hbf bis Haltestelle Ubierring (ca. 15 Min.), Fußweg vom Ubierring bis zu ConVista ca. 10 Minuten
– U-Bahn Linie 15 ab Rudolfplatz bis Haltestelle Ubierring (ca. 11 Min.), Fußweg vom Ubierring bis zu ConVista ca. 10 Minuten
– Bus Linie 106 ab Heumarkt bis Haltestelle Rheinauhafen (ca. 7 Min), Fußweg vom Rheinauhafen bis zu ConVista ca. 2 Minuten

Anmeldung:
Um Anmeldung für diese Veranstaltung wird bis zum 17.10.2014 gebeten.
Bitte melden Sie sich zum Treffen der SharePoint UserGroup nur an, wenn Sie auch wirklich teilnehmen möchten.

Die Anmeldung kann erfolgen über:
eMail: info@sharepoint-rhein-ruhr.de oder ug-koeln@mysharepoint.de

XING: https://www.xing.com/net/prib6b3dax/spugcgn

Ansprechpartner:
Andrej Doms (ConVista Consulting)
Tel. 0178 888 6018

Neben den Vorträgen gibt es bei einem Snack hoffentlich reichlich Gelegenheit für Sie, mit den anwesenden Experten ins Gespräch zu kommen.
Ich freue mich, Sie alle am 21. Oktober begrüßen zu dürfen.

Mit freundlichen Grüßen

Andrej Doms

26. Treffen der SharePoint UserGroup Düsseldorf

Hallo Liebe Mitglieder und Interessierte,

ich möchte Sie heute herzlich zum 26. Treffen der SharePoint UserGroup Düsseldorf einladen. Die UserGroup ist weiterhin auf Tournee. Dieses mal machen wir am 4. November bei CGI in Düsseldorf halt.

Vielen Dank an Holger Scholz von CGI für die Organisation des Raumes und des Caterings.

Die Vortragsslots sind noch frei, wir freuen uns auf Eure Einreichungen unter info@sharepoint-rhein-ruhr.de
Das Programm wird bekanntgegeben, sobald wir komplett sind.

Über Ihre Teilnahme und interessante Vorträge, Lösungen und Diskussionen würde ich mich sehr freuen.

Hier noch einmal die Daten:
SharePoint UserGroup Düsseldorf

Termin: Dienstag, 4. November 2014, 18:00 – 20:30 Uhr

Ort: CGI (Germany) GmbH & Co. KG, Heerdter Lohweg 35, Düsseldorf 40549

Informationen zur Anfahrt:
anfahrtcgiParken können Sie…
– Hinter dem CGI-Gebäude in der Strasse „Am Albertussee“ (siehe Bild)
– Gegenüber von CGI beim TÜV (auf eigene Gefahr)
– Rechts hinter der ARAL-Tankstellen auf dem  öffentlichen  Parkplatz

Mit Öffentlichen:
Der Düsseldorfer Hauptbahnhof wird von den meisten nationalen Großstädten direkt angefahren. Ab Düsseldorf Hbf fahren die Linien U74 (Richtung Meerbusch Haus Meer) und U76 (Richtung Krefeld Rheinstraße) zur Haltestelle „Lohweg“, direkt am Heerdter Lohweg. Alternativ ab Düsseldorf Hbf mit der U75 (Richtung Düsseldorf Heerdt / Neuss) bis Haltestelle „Dominikus-Krankenhaus“.

Anmeldung: Um Anmeldung zu dieser Veranstaltung bis zum 30.10.2014 wird gebeten! Anmeldung in der Xing Gruppe oder unter:

e-mail: info@sharepoint-rhein-ruhr.de

Bitte melden Sie sich nur an, wenn Sie an dem Termin auch wirklich teilnehmen möchten.

Siehe auch:

http://www.sharepoint-rhein-ruhr.de

SharePointCommunity: http://sharepointcommunity.de/groups/duesseldorf/default.aspx
oder auf unserer Xing Seite: https://www.xing.com/net/spugddf/

Ansprechpartner:
Andrej Doms (ConVista Consulting)
Tel. 0178 888 6018

Neben den Vorträgen gibt es bei einem Snack hoffentlich reichlich Gelegenheit für Sie, mit den anwesenden Experten ins Gespräch zu kommen.

Ich freue mich, Sie alle am 4. November begrüßen zu dürfen.
Mit freundlichen Grüßen

Andrej Doms

12. Treffen der SharePoint UserGroup Köln

Hallo Liebe Mitglieder und Interessierte,

ich möchte Sie heute herzlich zum 12. Treffen der SharePoint UserGroup Köln einladen. Die Sommerpause ist überwunden, jetzt geht es endlich mit der SPUG Köln weiter. Wir treffen uns am 21. Oktober. Ab diesem Termin finden die Treffen an neuem Ort im Rheinauhafen in Köln statt.

Unser Vortragsprogramm ist noch nicht vollständig, wird aber zeitnah ergänzt. Natürlich suchen wir immer Sprecher, die Lust und Zeit haben, einen Vortrag zu halten. Ja, das ist der Call-for-Papers für alle!

Über Ihre Teilnahme und interessante Vorträge, Lösungen und Diskussionen würde ich mich sehr freuen.

Hier noch einmal die Daten:

SharePoint UserGroup Köln

Termin: Dienstag, 21.10.2014 – 18.00 Uhr

Ort: ConVista Consulting AG, Im Zollhafen 15/17, 50678 Köln

Parken: Parkplätze stehen in der Tiefgarage im Rheinauhafen zur Verfügung, bitte in der Nähe des Aufgangs 3.04 parken.

Öffentliche Verkehrsmittel:
– U-Bahn Linie 16 ab Dom-Hbf bis Haltestelle Ubierring (ca. 15 Min.), Fußweg vom Ubierring bis zu ConVista ca. 10 Minuten
– U-Bahn Linie 15 ab Rudolfplatz bis Haltestelle Ubierring (ca. 11 Min.), Fußweg vom Ubierring bis zu ConVista ca. 10 Minuten
– Bus Linie 106 ab Heumarkt bis Haltestelle Rheinauhafen (ca. 7 Min), Fußweg vom Rheinauhafen bis zu ConVista ca. 2 Minuten

Anmeldung:
Um Anmeldung für diese Veranstaltung wird bis zum 17.10.2014 gebeten.
Bitte melden Sie sich zum Treffen der SharePoint UserGroup nur an, wenn Sie auch wirklich teilnehmen möchten.

Die Anmeldung kann erfolgen über:
eMail: info@sharepoint-rhein-ruhr.de oder ug-koeln@mysharepoint.de

XING: https://www.xing.com/net/prib6b3dax/spugcgn

Ansprechpartner:
Andrej Doms (ConVista Consulting)
Tel. 0178 888 6018

Neben den Vorträgen gibt es bei einem Snack hoffentlich reichlich Gelegenheit für Sie, mit den anwesenden Experten ins Gespräch zu kommen.
Ich freue mich, Sie alle am 21. Oktober begrüßen zu dürfen.

Mit freundlichen Grüßen

Andrej Doms

Kerberos für SharePoint

… oder willkommen an den Toren der Unterwelt.

Irgendwann führt kein Weg mehr vorbei an Kerberos. Spätestens wenn man z.B. aus SharePoint auf Drittsysteme mit den Anmelde-Daten des aktuellen Benutzers zugreifen will, dann muss man sich dieser Aufgabe stellen.

Ich will hier nicht auf die Funktionsweise von Kerberos eingehen, und auch nicht auf die tieferen Hintergründe von SharePoint 2010 und Kerberos. Das kann man am besten in dem Handbuch für SharePoint 2010 Administratoren nachlesen und ansonsten hat Microsoft auch eine super Dokumentation für die Konfiguration von SharePoint 2010 und Kerberos geschrieben.

Hier also nur die Ergebnisse, um Kerberos und SharePoint 2010 (und 2013) zum zusammenspielen zu bewegen. Im Wesentlichen sind drei Schritte durchzuführen:

  1. Service-Principle für den/die Application-Pool Accounts einrichten
  2. Web-Anwendung in SharePoint auf Kerberos umstellen
  3. Service-Principle für den SQL-Dienst einrichten

Vielleicht die einzelnen Schritte etwas genauer.

Szenario: Ich habe in meiner SharePoint Umgebung eine Web-Application für ein Extranet mit einem entsprechenden Application SP_AP_Extranet, welcher das Konto demo-he\spAppPool_Extranet verwendet. Hier soll nun also Kerberos verwendet werden. Zudem habe ich noch einen SQL-Server (sp2010he) der mit dem Konto demo-he\spSQLService läuft.

Service-Principles für die Application Pools einrichten

Für jeden Application-Pool Account (der Web-Anwendung die mit Kerberos verwendet werden soll) muss ein Service-Principle registriert werden. Das geht mit dem setspn.exe, das seit Windows 2008 zum Standard gehört. Bei Versionen vor Windows 2008 ist das setspn.exe im Ressource-Kit vorhanden.

setspn.exe -S http/extranet demo-he\spAppPool_Extranet
setspn.exe -S http/extranet.demo-he.local demo-he\spAppPool_Extranet

Der Schalter –S ist erst ab Windows 2008 verfügbar; bei früheren Versionen muss man –A verwenden, wobei dabei nicht geprüft wird ob der Service-Principle schon verwendet wird. Somit ist –S auf jeden Fall zu bevorzugen.

Anschließend muss man dem Konto spAppPool_Extranet noch für Delegierungszwecke vertrauen. Dazu kann man im Active Directory entweder dem Konto generell für Delegierungszwecke vertrauen (Basic Delegation) oder die Dienste einschränken, für die die Delegierung verwendet werden kann (Constrained Delegation). Für einige Dienste ist die Constrained Delegation notwendig (Excel-Services, Reporting-Services, …).

delegation_2

Das geht also offenbar von Hand – oder aber auch per Skript. Am einfachsten per PowerShell.

Get-ADUser spAppPool_Extranet | Set-ADObject -add @{"msDS-AllowedToDelegateTo"="http/extranet", "http/extranet.demo-he.local"}

Abschließend sollte der IIS einmal neu gestartet werden, damit der Application-Pool auch die neuen Einstellungen aus dem Active Directory berücksichtigt.

Service-Principle für die Datenbank einrichten

Für die Datenbank funktioniert die Einrichtung im Wesentlichen identisch wie bei der Application-Pools. Also hier auch erst den Service-Principle per setspn.exe einrichten, und dann dem Account noch für Delegierungszwecke vertrauen.

setspn.exe -S mssqlsvc/sp2010he demo-he\spSQLService
setspn.exe -S mssqlsvc/sp2010he.demo-he.local demo-he\spSQLService

Get-ADUser spSQLService | Set-ADObject -add @{"msDS-AllowedToDelegateTo"="mssqlsvc/sp2010he", "mssqlsvc/sp2010he.demo-he.local"}

Anschließend auch hier den SQL-Server Dienst und ggf. auch den IIS neu starten, damit die neuen Einstellungen wirksam werden.

Wenn bei der Konfiguration ein SQL-Alias verwendet wurde (das sollte ja immer der Fall sein), dann spielt das hier keine Rolle. Beim Service-Principle wird immer der im DNS eingetragene Server-Name verwendet, nicht das SQL-Alias.

Wird im SharePoint BCS verwendet, und soll hier auch mit Hilfe von Kerberos mit der Identität der Benutzers auf die Datenbank zugegriffen werden, dann ist noch ein weiterer Schritt notwendig. Dem Application-Pool Account muss auch ein Delegation-Constrained für die Datenbank zugewiesen werden.

Get-ADUser spAppPool_Extranet | Set-ADObject -add @{"msDS-AllowedToDelegateTo"="mssqlsvc/sp2010he", "mssqlsvc/sp2010he.demo-he.local"}

Zusammenfassung

Ich habe hier die gleiche Reihenfolge gewählt, wie sie idR. in der Literatur auch zu finden ist: erst SPN für den Application-Pool setzen, dann SPN für die Datenbank setzen und dann die einzelnen Dienste konfigurieren. Das ist aber eigentlich unpraktisch. Wenn man die Schritte genauso abarbeitet, dann muss man den IIS einmal nach der Einrichtung des SPN für den Application-Pool neu starten, und dann noch einmal nachdem man den SPN für den SQL-Server eingerichtet hat. Auch muss man erst die Constrained Delegation für den Application-Pool anpassen und dann nachdem man den Service-Principle für den SQL-Server eingestellt hat noch einmal (um die Delegation für den BCS zu ermöglichen). Da sind ja Arbeitsschritte doppelt.

Besser wäre also: erst alle SPNs registrieren, dann die Constrained Delegation für alle SPNs einrichten und zum Schluss alle Dienste neu starten.

Also Skript sich das ganze dann so aus:

Import-Module ActiveDirectory

Write-Host "Registering Service Principles"
setspn.exe -S http/extranet demo-he\spAppPool_Extranet
setspn.exe -S http/extranet.demo-he.local demo-he\spAppPool_Extranet

setspn.exe -S mssqlsvc/sp2010he demo-he\spSQLService
setspn.exe -S mssqlsvc/sp2010he.demo-he.local demo-he\spSQLService

Write-Host "Validating Service Principles"
setspn.exe -L demo-he\spAppPool_Extranet
setspn.exe -L demo-he\spSQLService


Write-Host "Adding constrained delegation"
Get-ADUser spAppPool_Extranet | Set-ADObject -add @{"msDS-AllowedToDelegateTo"="http/extranet", "http/extranet.demo-he.local"}
# for BCS add constrained delegation also to the sql-service
#Get-ADUser spAppPool_Extranet | Set-ADObject add @{"msDS-AllowedToDelegateTo"="http/extranet", "http/extranet.demo-he.local", "mssqlsvc/sp2010he", "mssqlsvc/sp2010he.demo-he.local"}

Get-ADUser spSQLService | Set-ADObject -add @{"msDS-AllowedToDelegateTo"="mssqlsvc/sp2010he", "mssqlsvc/sp2010he.demo-he.local"}


Write-Host "Restarting SQL-Service"
net.exe stop MSSQLSERVER
net.exe start MSSQLSERVER

Write-Host "Restarting IIS"
iisreset.exe /noforce

Das ganze führt man also am besten direkt aus der PowerShell aus, da hier dann die PowerShell Befehle zur Verfügung stehen und die Kommandozeilen-Befehle wie setspn.exe natürlich auch.

SPRRPC008 – Jubiläumstreffen Nachlese

P1110797_edited2

Am 9.9.2014 trafen sich 62 Menschen im Vodafone Tower und haben in der Skylounge über den Dächern von Düsseldorf das 5-jährige Bestehen und das 25. Treffen gefeiert. 6 Sponsoren haben das Treffen möglich gemacht. Dazu passend habe ich einen Podcast mit O-Tönen und Infos zusammengestellt. Viel Spaß beim Hören! Continue reading