Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Poznámky k přednášce o zvládání SharePoint bestie
červen 03
Poznámky k přednášce o zvládání SharePoint bestie

V pátek jsem měl v GOPASu přednášku o zvládání SharePoint bestie. Slíbil jsem poznámky uveřejnit, tak to činím teď:

  • rozjeďte si TLS připojení mezi SharePoint a SQL serverem. Detaily k nalezení zde a zde.
  • až budete dělat SQL alias pomocí CLICONFG nástroje, nezapomeňte ho udělat ten stejný ještě pro 32bitové registry. Musíte spustit ten stejný program, ale z adresáře %windir%\SysWow64\cliconfg.exe.
  • protože SharePoint 2010 doporučuje a SharePoint 2013 vyžaduje mít na SQL serveru nastaveno Max Degree of Paralelism na hodnotu 1, já zase doporučuju mít na to vyhrazenou SQL instanci. Více SQL instancí nic nestojí.
  • farm account (v mém případě to byl sp-farm) - tedy účet, pod kterým běží SharePoint Timer Service nebo centrální administrace (central administration) - udělejte klidně členem lokální skupiny Administrators, tedy pokud ho pořádně oddělíte a používáte ho opravdu jen na běh těch služeb, které to potřebují. Jinak skript na přípravu SharePoint farmy najdete zde.
  • heslo libovolného servisního účtu, ať už heslo služby, nebo heslo aplikačního fondu (app pool) z IIS, dostanete podle článku zde.
  • udělejte si instalační adresář, do kterého si dávejte postupně všechny instalačky, jazykové balíčky, aktualizace i úpravy web.config souborů, které postupně za roky děláte. Bude se vám to jednou hodit, až budete muset nějaký server přeinstalovat, nebo budete chtít další přidat.
  • nesahejte na certifikátový binding v IIS na sajtě SharePoint Web Services. Je tam ve skutečnosti přihozený certifikát, který ale není přes IIS konzoli vidět. Zobrazit si ho můžete pomocí NETSH HTTP SHOW SSLCERT.
  • na členech SharePoint usedlosti si vypněte automatickou aktualizaci trusted root certification authorities. SharePoint používá vlastní vnitřní certifikační autoritu, kterou samozřejmě aktualizace nestáhne. A zrychlíte tím některé okamžiky při startování. Jedná se o položku v Group Policy, v oblasti Administrative Templates, nazvanou Turn off Automatic Root Certificate Update.
  • pokud chcete SSO - single sign on - tedy aby vás klient neotravoval s opakovaným zadáváním hesla, vydám na to v brzku (zřejmě dnes v noci) oddělený článek. Obecně, hlavně chcete zapnout Kerberos, bez toho se neobejdete.
  • pokud zapínáte Kerberos, vřele doporučuju v DNS dělat A záznamy a nikoliv CNAME. Vyhnete se různým podivnostme při přístupu z různých verzí klientů.
  • zahřívací skript na SharePoint usedlost najdete zde.
  • změny IIS binding je ideální dělat tak, že přes centrální správu dáte Remove SharePoint from IIS web site a znovu proveďte Extend. Klidně můžete odstarnit i Default zónu a znovu ji vytvořit. To se vám nic nestane. Jen počítejte s tím, že se vám ztratí web.config. Jestli jste do něho dělali nějaké ruční úpravy, musíte je zopakovat. To je právě ta rada s tím distribučním adresářem.

Děkuji za pozornost.

Comments

There are no comments for this post.

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments