| V pátek jsem měl v GOPASu přednášku o zvládání SharePoint bestie. Slíbil jsem poznámky uveřejnit, tak to činím teď:
- rozjeďte si TLS připojení mezi SharePoint a SQL serverem. Detaily k nalezení zde a zde.
- až budete dělat SQL alias pomocí CLICONFG nástroje, nezapomeňte ho udělat ten stejný ještě pro 32bitové registry. Musíte spustit ten stejný program, ale z adresáře %windir%\SysWow64\cliconfg.exe.
- protože SharePoint 2010 doporučuje a SharePoint 2013 vyžaduje mít na SQL serveru nastaveno Max Degree of Paralelism na hodnotu 1, já zase doporučuju mít na to vyhrazenou SQL instanci. Více SQL instancí nic nestojí.
- farm account (v mém případě to byl sp-farm) - tedy účet, pod kterým běží SharePoint Timer Service nebo centrální administrace (central administration) - udělejte klidně členem lokální skupiny Administrators, tedy pokud ho pořádně oddělíte a používáte ho opravdu jen na běh těch služeb, které to potřebují. Jinak skript na přípravu SharePoint farmy najdete zde.
- heslo libovolného servisního účtu, ať už heslo služby, nebo heslo aplikačního fondu (app pool) z IIS, dostanete podle článku zde.
- udělejte si instalační adresář, do kterého si dávejte postupně všechny instalačky, jazykové balíčky, aktualizace i úpravy web.config souborů, které postupně za roky děláte. Bude se vám to jednou hodit, až budete muset nějaký server přeinstalovat, nebo budete chtít další přidat.
- nesahejte na certifikátový binding v IIS na sajtě SharePoint Web Services. Je tam ve skutečnosti přihozený certifikát, který ale není přes IIS konzoli vidět. Zobrazit si ho můžete pomocí NETSH HTTP SHOW SSLCERT.
- na členech SharePoint usedlosti si vypněte automatickou aktualizaci trusted root certification authorities. SharePoint používá vlastní vnitřní certifikační autoritu, kterou samozřejmě aktualizace nestáhne. A zrychlíte tím některé okamžiky při startování. Jedná se o položku v Group Policy, v oblasti Administrative Templates, nazvanou Turn off Automatic Root Certificate Update.
- pokud chcete SSO - single sign on - tedy aby vás klient neotravoval s opakovaným zadáváním hesla, vydám na to v brzku (zřejmě dnes v noci) oddělený článek. Obecně, hlavně chcete zapnout Kerberos, bez toho se neobejdete.
- pokud zapínáte Kerberos, vřele doporučuju v DNS dělat A záznamy a nikoliv CNAME. Vyhnete se různým podivnostme při přístupu z různých verzí klientů.
- zahřívací skript na SharePoint usedlost najdete zde.
- změny IIS binding je ideální dělat tak, že přes centrální správu dáte Remove SharePoint from IIS web site a znovu proveďte Extend. Klidně můžete odstarnit i Default zónu a znovu ji vytvořit. To se vám nic nestane. Jen počítejte s tím, že se vám ztratí web.config. Jestli jste do něho dělali nějaké ruční úpravy, musíte je zopakovat. To je právě ta rada s tím distribučním adresářem.
Děkuji za pozornost. |