16 KiB
QSUmgebung
Montag, 15. Oktober 2018
09:09
User :
| SPQ_Admin | cfg-spqAdmin | |
|---|---|---|
| SPQ_Farm | svc-spqFarm | |
| SPQ_Searchuser | svc-spqSearch | |
| SPQ_Searchcon | svc-spqSearchcon | |
| SPQ_Service | svc-spqService | |
| SPQ_Visiouser | svc-spqVisioU | |
| SPQ_PerfPointuser | svc-spqPerfPointU | |
| SPQ_Mysiteuser | svc-spqMysiteU | |
| SPQ_WebAppuser | svc-spqWebAppU | |
| SPQ_Cachereaduser | svc-spqCacheRU | |
| SPQ_Cachesuperuser | svc-spqCacheSU | |
| SPQ_C2WTS | svc-spqC2WTS | |
| SPQ_Profilsyncuser | svc-spqProfilsyncU | |
| SPQ_Exceluser | svc-spqExceluU | |
| SPQ_SPDocKit | svc-spqSPDocKit | |
| TSK-SPQ01 | tsk-spq01 | |
| TSK-SPQ02 | tsk-spq02 | |
| SPQ_KasperskyAV | svc-spqKasperskyAV | |
SecureStore Pass Pharse
|
??? | |
| SPQ-Wizdom | svc-spqWizdom | |
| SPQ_WebMobilnet | svc-spqwebmobilnet | |
| SPQ_SCOMMonitoring | svc-spqscom |
Site Collections
| https://kerbportal-spq.bkk-mobiloil.de |
|---|
| https://kerbportal-spq.bkk-mobiloil.de/sites/portal |
|---|
| https://kerbportal-spq.bkk-mobiloil.de/sites/testomate |
|---|
| https://kerbmobilnet-spq.bkk-mobiloil.de |
|---|
| https://kerbmobilnet-spq.bkk-mobiloil.de/sites/AKP AppKatalog | |
|---|---|
Content Type Hub https://kerbportal-spq.bkk-mobiloil.de/sites/CTH
|
Server:
bkkspqapp001 10.96.73.73
bkkspqapp002 10.96.73.74
bkkspqweb001 10.96.73.75
bkkspqweb002 10.96.73.76
10.96.73.86-89 Reserviert für WebAppl
LB- Einträge:
10.96.73.86 = portal-spq.bkk-mobiloil.de
10.96.73.86 = search-spq.bkk-mobiloil.de
10.96.73.86 = mysites-spq.bkk-mobiloil.de
10.96.73.86 mobilnet-spq.bkk-mobiloil.de
10.96.73.86 Team-spq.bkk-mobiloil.de für Teamsites
10.96.73.86 für Projekte und Arbeitgruppen
10.96.73.117 = wizdom-spq.bkk-mobiloil.de
Office Online Sever
bkksppoos001 10.96.73.84
bkksppoos002 10.96.73.85
PHA:
bkkspqpha001
<Passphrase>BKKHamburgQS2018!</Passphrase>
SQLInstanz : SQLSharePointQ\SQLSharePointQ
10.96.65.164
4 GB
BKKSQLNODE001 und BKKSQLNODE003
Nach Best Practice aufgesetzt. Dokumentation an SQL Team versendet.
Gruppen :
{width="10.927083333333334in" height="2.4375in"}
Erfasster Bildschirmausschnitt: 17.09.2018 10:37
SQL Berechtigungen
cfg-spqadmin der Gruppe SG_Adminsql hinzugefügt.
+ Rolle secAdmin /dbCreator
Berechtigungen cfg-spqadmin auf den SP Servern erstellt:
-
Remote Desktop Usern
-
lokale Admin
cfg-spqadmin bkk-mobiloil.de/System/Microsoft SharePoint Products Lesen Schreiben erstellen löschen
svc-spqrofilsyncu Replikationssynchronisation auf Domainebene
DNS Einträge setzten:
portal-spq
search-spq
mysite-spq
XML Datei für AutoSPInstaller konfiguriert!
AD Gruppen :
SG-SPQ-Farm-Admin Mitglieder sind Farm Administratoren auf der QS Farm
SG-SPQWeb-Portal-Full Mitglieder sind auf der Webapplication Portal Full berechtigt
SG-SPQWeb-Portal-Read Mitglieder sind auf der Webapplication Portal Lesen berechtigt
TODO:
Script auf SP Servern ausgeführt um Prerequierements zu installieren
\\bkkfiler01\sharepoint$\Konfig-spq.ps1 (automatisch soll folgendes gesetzt werden)
-
IE Proxy gesetzt
-
Windows Firewall ausgeschaltet
-
UAC ausgeschaltet
-
bkkfiler zur lok. Internetzone hinzugefügt
-
ESC ausgeschaltet
-
Remote Powershell aktiviert
-
RDP aktiviert
-
Netzwerkmonitor installiert
-
cfg-spqadmin lokaler Administratorgruppe hinzugefügt (s.o.)
SQL Aliase :
{width="3.5416666666666665in" height="1.6354166666666667in"}
{width="3.6145833333333335in" height="0.75in"}
Erfasster Bildschirmausschnitt: 27.09.2018 10:31
Noch zu erledigen :
Proxy Einstellungen überprüfen
Warmup Script auf Web Servern installieren
Installation Language Pack
Installation Updates
Office Online Anbindung
ADFS
ADFS Zertifikat auf allen Servern installieren
Customer URL setzen
LDAPCP installieren
Kaspersky Portal AntiVirus (waiting for go)
Kerberos einrichten
HTTPS CA einrichten
Berechtigungen über Gruppen eingerichtet
Syskit SPDocKit (ohne Insights!)
SysKit Insights neue Version
Search/Crawl einrichten
Dokumentation
Fehlerbehebung
Backup
Restore
Load Balancer anbinden und Zert erneuern
Test Erstellen einer Webapplications
Test Erstellen einer Site Collection
Auf allen SPQ Server habe ich die JumboFrame aktiviert.mit 9014 bytes
Create Mobilnet Webapplication :
DNS Namen gesetzt
Zertifikate erneuert mit dem neuen Namen (siehe hierzu SPT)
Den Webapplication User zu den "Managed Accounts" im SharePoint hinzufügen.
Das Scipt d:\sp\02_Scripte\Create-Webapplication.ps1 angepasst (Namen und Accounts)
Script auf dem BKKSPQAPP001 ausgeführt.
Im IIS auf dem Web die Werte ergänzt (Zert/SNI)
Die Authentication Provider der WebApp in CA überprüfen/ergänzen !!!(NTLM-Kerberos/Custom Page)
IM AD entsprechende Gruppen angelegt (Siehe hierzu Berechtigungen)
Berechtigungen in der CA auf die Webapplication gelegt (Gruppen und Cache User)
Anlegen einer Site Collection : Name RootSiteCollection URL https://mobilnet-spq.bkk-mobiloil.de/
Admins = admin-rko und admin-kbe , English Teamsite No Quota
Anlegen von Gruppen für die SiteCollection im AD (siehe hierzu Berechtigungen)
Anpassen der ADFS ProviderRealms
Auf dem ADFS Server neuen PartyTrust erzeugt siehe ( SPT-Mobilnet)
Auf Sharepoint den Realm hinzufügen Siehe (Realms für Mobilnet hinzufügen:)
Auf der Sitecollection die Gruppen berechtigt.
[Script:]{.underline}
$Name = "Mobilnet"
$AppPoolName = "mobilnet-spq.bkk-mobiloil.de"
$AppPoolAccount = "bkk-mobiloil\svc-spqwebmobilnet"
$AuthMode = "Kerberos"
$DbServer = "SQLSharePointQ\SQLSharePointQ"
$DbName = "SPQ_Mobilnet"
$Url = "https://mobilnet-spQ.bkk-mobiloil.de"
$HostHeader = "mobilnet-spq.bkk-mobiloil.de"
$a = Get-SPTrustedIdentityTokenIssuer "ADFS4"
$ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $a
New-SPWebApplication -Name $Name -ApplicationPool $AppPoolName -AuthenticationMethod $AuthMode -ApplicationPoolAccount (Get-SPManagedAccount $AppPoolAccount) -Port 443 -SecureSocketsLayer -URL $Url -AuthenticationProvider $ap -HostHeader $HostHeader -DatabaseName $DbName -DatabaseServer $DbServer
#Remove-SPWebApplication https://spq-test001.bkk-mobiloil.de -confirm -DeleteIISSite -RemoveContentDatabases
Im ADFS Management Tool - Add Relying Party Trust
Auswahl: Claims Aware - Enter data about the relying party manually - Display Name eingeben - next - enable support for the WS-Federation Passive protocol "enable" und https://xxx-spq.bkk-mobiloil.de/_trust/ eintragen - next und dort den Urn eintragen, danach bis ende "next" klicken. Überprüfen, siehe die nächsten beiden Screenshots.
{width="3.5in" height="4.46875in"}
Erfasster Bildschirmausschnitt: 14.11.2018 11:06
{width="3.4895833333333335in" height="4.458333333333333in"}
Erfasster Bildschirmausschnitt: 14.11.2018 11:27
Edit Claim Issuance Policy für den Relying Party Trust:
Add Rule - Send LDAP Attributes as Claim - Claim rule Name vergeben und Attribute store auswählen. Danach wie im Screenshot unten zu sehen ausfüllen.
{width="2.9895833333333335in" height="2.59375in"}
Erfasster Bildschirmausschnitt: 14.11.2018 11:05
Realms für Mobilnet hinzufügen:
$uri = "https://mobilnet-spq.bkk-mobiloil.de/"
$realm = "urn:spq-mobilnet:sp2016"
$ap = Get-SPTrustedIdentityTokenIssuer "adfs4"
$ap.ProviderRealms.Add($uri, $realm)
$ap.update()
Überprüfen mit:
Get-SPTrustedIdentityTokenIssuer
Powershell to set a Web Application's Trusted Identity Provider to an STS and Kerberos?
$winAp = new-SPAuthenticationProvider -UseWindowsIntegratedAuthentication
$stsAp = Get-SPTrustedIdentityTokenIssuer "YourSTS"
Set-SPWebApplication -Identity $webApp -AuthenticationProvider $stsAp, $winAp -Zone "Default"
MySite neu erstellt nach:
https://www.grobmanschwarz.de/gs/sharepoint/blog/einrichten-von-meine-websites-in-ms-sharepoint-2013
App Katalog anlegen auf Portal (App Katalog wurde auf Mobilnet wurde äquivalent angelegt)
{width="9.020833333333334in" height="8.25in"}
Erfasster Bildschirmausschnitt: 19.12.2018 14:21