zettelkasten/OneNoteExport/Kommunikationstechnologie/Sharepoint/Infrastruktur/06_Testumgebung.md

Testumgebung

Donnerstag, 18. Oktober 2018

09:12

 

Server

 

bkksptapp001 10.96.73.70

bkksptweb001 10.96.73.71

 

10.96.73.77 - 79 Reserviert für WebAppl.

 

10.96.73.77 mysites-spt.bkk-mobiloil.de

10.96.73.77 portal-spt.bkk-mobiloil.de ist eine Erweiterung von kerbportal-spt Für ADFS4.0

10.96.73.77 search-spt.bkk-mobiloil.de

10.96.73.77 mobilnet-spt.bkk-mobiloil.de ist eine Erweiterung von kerbmobilnet-spt Für ADFS4.0

10.96.73.77 kerbportal-spt.bkk-mobiloil.de Standart über kerberos

10.96.73.77 kerbmobilnet-spt.bkk-mobiloil.de Standart über kerberos

10.96.73.77 Team-spt.bkk-mobiloil.de  für Teamsites

10.96.73.77 für Projekte und Arbeitgruppen

10.96.73.116 wizdom-spt.bkk-mobiloil.de

 

 

 

 

 

OfficeOnline Server

 

bkksptoos001 10.96.73.72

Site Collections:

 

 

https://portal-spt.bkk-mobiloil.de/sites/portal Portal

https://mobilnet-spt.bkk-mobiloil.de

 

 

 

 

https://kerbmobilnet-spt.bkk-mobiloil.de/sites/AKP App Katalog Mobilnet https://team-spt.bkk-mobiloil.de/sites/apk App Katalog Team
https://kerbportal-spt.bkk-mobiloil.de/sites/CTH

 

 

 

Versionsstatus :

 

STS = KB 4018293

WSSLOC = KB 4011687

 

Ende 12.2018:

May 2018 16.0.4690.1000 KB 4018386

 

SQL Server :

BKKSQLNODE001

BKKSQLNODE002

BKKSQLNODE003

 

Instanz :

 

SQLSharepointT\SQLSharepointT

 

 

 

 

Neue SQL Instanz (ohne CSV)

 

sqlsptsan\sqlsptsan

 

laufen auf den Knoten

BKKVSQLNODE071

BKKVSQLNOTE072

 

Testrko User hat folgende Gruppen :

und Passwort : -.mju7NHZ&.-

 

 

{width="3.4895833333333335in" height="1.75in"}

 

{width="2.96875in" height="1.4479166666666667in"}

 

{width="2.875in" height="1.4895833333333333in"}

 

{width="3.5416666666666665in" height="1.46875in"}

 

{width="2.8229166666666665in" height="1.4791666666666667in"}

 

{width="3.5833333333333335in" height="1.5in"}

 

{width="3.3645833333333335in" height="1.4479166666666667in"}

 

{width="3.4895833333333335in" height="1.5in"}

 

{width="3.7083333333333335in" height="1.15625in"}

User :

 

SPT_Admin Serviceadministration	cfg-sptAdmin
SPT_Farm	svc-sptFarm
SPT_Searchuser	svc-sptSearch
SPT_Searchcon	svc-sptSearchcon
SPT_Service	svc-sptService
SPT_Visiouser	svc-sptVisioU
SPT_PerfPointuser	svc-sptPerfPointU
SPT_Mysiteuser	svc-sptMysiteU
SPT_WebAppuser	svc-sptWebAppU
SPT_WebMobilnet	svc-sptwebmobilnet
SPT_Cachereaduser	svc-sptcacheRU
SPT_Cachesuperuser	svc-sptCacheSU
SPT_C2WTS	svc-sptC2WTS
SPT_Profilsyncuser	svc-sptProfilsyncU
SPT_Exceluser	svc-sptExcelU
SPT_SPDocKit	svc-sptSPDocKit
TSK-SPT01	tsk-spt01
TSK-SPT02	tsk-spt02
SPT_KasperskyAV	svc-sptKasperskyAV
SPT_WorkflowManager	svc-sptWorkflowM
Passphrase Workflow Farm
SPT-ServiceBus	svc-sptServiceBus
SPT-Wizdom	svc-sptWizdom
SPT-WizdomSearch	svc-sptWizdomSearch
SPT_SCOMMonitoring	svc-sptscom
Prüfer6 AD Konto für externe Dienstleister

 

 

SPT_Admin:

• wurde zur Gruppe "Remote Desktop Usern hinzugefügt, da remote installiert werden soll.

• wurde der lokalen Administratorgruppe hinzugefügt.

Noch zu erledigen :

 

1. Proxy Einstellungen überprüfen

2. Installation Language Pack

3. Installation Updates

4. ADFS Signing Zertifikat auf allen Servern installieren Wird nicht mehr benötigt

5. LDAPCP installieren Wird nicht mehr benötigt

6. SysKit Insights neue Version auf Web Server

7. Syskit SPDocKit (ohne Insights!) auf Web Server

8. Office Online Anbindung

9. Kerberos einrichten inkl Delegierung

10. ADFS Wird nicht mehr benötigt

11. Customer Login URL setzen wegen ADFS Wird nicht mehr benötigt

12. UPS einrichten

13. Warmup Script Load Balancer anbinden und Zert erneuern

14. Berechtigungen über Gruppen eingerichtet

15. Zugriff / Erstellen auf Mysite

16. Zugriff auf Serach

17. Search/Crawl einrichten

18. Test Erstellen einer Site Collection

19. CA mit Alias SPT:2016 erreichbar machen

20. Kaspersky Portal AntiVirus (waiting for go)

21. Webapplication Mobilnet anlegen

22. RootSiteCollection Mobilnet anlegen

23. Backup

24. Restore

25. Fehlerbehebung

26. Test Erstellen einer Webapplications

27. Dokumentation

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

AD Gruppen abgleich mit Sharepoint :

 

Siehe hierzu auch (ADGroup update in Sharepoint)

WindowsTokenLifetime auf 15 Minuten gesetzt

TokenTimeout auf 15 Minuten gesetzt

 

 

 

 

 

 

 

SPSecurityTokenServiceConfig :

 

$mysts = Get-SPSecurityTokenServiceConfig

$mysts.WindowsTokenLifetime = (New-TimeSpan -Minutes 2)

$mysts.LogonTokenCacheExpirationWindow

$mysts.Update()

 

Aus <https://sergeluca.wordpress.com/2013/07/06/sharepoint-2013-use-ag-groups-yes-butdont-forget-the-security-token-caching-logontokencacheexpirationwindow-and-windowstokenlifetime/>

 

 

 

{width="12.145833333333334in" height="9.677083333333334in"}

 

 

{width="12.25in" height="3.3541666666666665in"}

 

Erfasster Bildschirmausschnitt: 25.10.2018 15:14

 

 

 

 

 

 

 

 

 

 

 

 

Login Abfrage übergehen :

 

In der Default Zone eine Customer URL setzen auf /_trust/default.aspx

 

 

 

Warmupscript installiert :

 

.\SPBestWarmUp.ps1 -install

im Task Sheduler dcen User auf tsk-spt01 geändert

 

Add-SPShellAdmin -UserName bkk-mobiloil\tsk-spt01

 

 

 

 

Ausführen von :

psconfig.exe -cmd secureresources -cmd installfeatures -cmd upgrade -inplace b2b -force -wait -cmd applicationcontent -install

 

Service manuell nachinstalliert / aktiviert :

Microsoft SharePoint Foundation Sandboxed Code Service aktiviert auf BKKSPTWEB001

 

Auf allen SPT Server habe ich die JumboFrame aktiviert.mit 4088 bytes

 

Lizensierung auf Lizenzforcierung umstellen 09.11.2018

 

 

Get-SPUserLicensing

Get-SPUserLicenseMapping

Aus <https://frankeisel.de/sharepoint-lizenzen-verwalten/>

Aus <https://support.microsoft.com/en-us/help/2886404/working-with-user-licenses-in-sharepoint-2013>

 

{width="5.416666666666667in" height="2.15625in"}

 

 

 

Erfasster Bildschirmausschnitt: 12.11.2018 08:46

 

 

Neue Konfiguration mid Windows Kerberos :

 

 

{width="8.729166666666666in" height="6.0in"}

 

Erfasster Bildschirmausschnitt: 29.01.2019 14:36

 

Office Online ist für alle User Edit Lizenziert, da alle im Unternehmen eine Office Lizenz haben.

 

 

 

 

 

 

 

 

[Wichtige Notiz:]{.mark}

[Das Licensing kommt nicht mit verschachtelten Gruppen zu recht. Ist eine Gruppe in einer Gruppe berechtigt, so werden die damit verbundenen Rechte der User nicht übermittelt.]{.mark}

 

Hier werden allen Usern die Standard Lizenz zugeordnet:

 

$claimString = "c:0-.t|adfs4.0|True"

$cpm = [Microsoft.SharePoint.Administration.Claims.SPClaimProviderManager]::Local

$claim = $cpm.DecodeClaim($claimString)

$lmap = New-SPUserLicenseMapping -Claim $claim -License Standard

Add-SPUserLicenseMapping -Mapping $lmap

---

c:0-.t|adfs4|\SG-SPT-Enterprise-User

Hier wird die AD Gruppe "SG-SPT-Enterprise-User" der Enterprise Lizenz zugeordnet:

$claimString = "c:0-.t|adfs4.0|\SG-[SPT]{.mark}-Enterprise-User"

$cpm = [Microsoft.SharePoint.Administration.Claims.SPClaimProviderManager]::Local

$claim = $cpm.DecodeClaim($claimString)

$lmap = New-SPUserLicenseMapping -Claim $claim -License Enterprise

$lmap | Add-SPUserLicenseMapping

---

Hier werden allen Usern die Office Online Edit Lizenz zugeordnet:

 

$claimString = "c:0-.t|adfs4.0|True"

$cpm = [Microsoft.SharePoint.Administration.Claims.SPClaimProviderManager]::Local

$claim = $cpm.DecodeClaim($claimString)

$lmap = New-SPUserLicenseMapping -Claim $claim -License OfficeWebAppsEdit

Add-SPUserLicenseMapping -Mapping $lmap

---

Hier wird einer Gruppe von Usern die Office Online Edit Lizenz zugeordnet:

 

$claimString = "c:0-.t|adfs4.0|\SG-[SPP]{.mark}-OfficeOnlineEdit"

$cpm = [Microsoft.SharePoint.Administration.Claims.SPClaimProviderManager]::Local

$claim = $cpm.DecodeClaim($claimString)

$lmap = New-SPUserLicenseMapping -Claim $claim -License OfficeWebAppsEdit

Add-SPUserLicenseMapping -Mapping $lmap

---------------

Beispiel zum

Remove-SPUserLicenseMapping -Identity xxxxxxx-4be0-4723-xxxx-58d06173afff

Aus <https://docs.microsoft.com/en-us/powershell/module/sharepoint-server/remove-spuserlicensemapping?view=sharepoint-ps>

---------------

 

Aktivieren der Konfiguration für die Lizenzen

Enable-SPUserLicensing

 

Deaktivieren des LisenseEnforcements:

Disable-SPUserLicensing

Get-SPUserLicense

 

Get-SPUserLicenseMapping

 

Alte Konfiguration mit ADFS

 

{width="6.697916666666667in" height="7.833333333333333in"}

 

Create Mobilnet Webapplication :

 

DNS Namen Gesetz

Zertifikate erneuert mit dem neuen Namen (siehe hierzu SPT)

Den Webapplication User zu den "Managed Accounts" im SharePoint hinzufügen.

Das Scipt d:\sp\02_Scripte\Create-Webapplication.ps1 angepasst (Namen und Accounts)

Script auf dem BKKSPTWEB001 ausgeführt.

Im IIS auf dem Web die Werte ergänzt

Die Authentication Provider überprüfen !!!

 

IM Ad entsprechende Gruppen angelegt (Siehe hierzu Berechtigungen)

Berechtigungen in der CA auf die Webapplication gelegt (Gruppen und Cache User)

 

Anlegen einer Site Collection : Name RootSiteCollection URL https://mobilnet-spt.bkk-mobiloil.de/

Admins = admin-rko und admin-kbe , English Teamsite No Quota

Anlegen von Gruppen für die SiteCollection im AD (siehe hierzu Berechtigungen)

 

Anpassen der ADFS ProviderRealms

Auf dem ADFS Server neuen PartyTrust erzeugt siehe ( SPT-Mobilnet)

Auf Sharepoint den Realm hinzufügen Siehe (Realms für Mobilnet hinzufügen:)

 

Auf der Sitecollection die Gruppen berechtigt.

 

 

 

 

 

[AD Konten ausblenden im People Picker:]{.underline}

 

Hintergrund:

ADFS und NTLM sind konfiguriert, dadurch Anzeige von mind 2 Konten die eigentlich 1 sind.

 

Lösung:

$cpm = Get-SPClaimProviderManager
$ad = Get-SPClaimProvider -Identity "AD"
$ad.IsVisible = $false
$cpm.Update()

event ID 8058 in Microsoft-SharePoint Products-Shared/Operational Log

1.      To disable the daily event message if you choose not to use Password management in SharePoint.

2.      Central Administration -> Monitoring -> Review Job Definitions

3.      Scroll and find the job definition "Password Management"

4.      Double Click to Edit the Job

5.      Click Disable