PI Services

Introduction

Les bibliothèques font partie des composants les plus utilisés dans les plateformes SharePoint, ils sont utilisées pour stocker des documents, des images, des fichiers média et bien d’autres types de contenu.

Avoir le reflexe d’accéder systématiquement aux différentes bibliothèques dont le contenu nous intéresse ou qui peu affecter le déroulement de nos tâches s’avère une tâche peu commode, l’utilisateur a besoin d’être averti et à jour sans que ceci puisse réduire sa productivité et l’obliger à faire le tour de l’ensemble des entrepôts de données au sein e l’entreprise pour voir s’il y a des nouveautés ou non.

SharePoint 2010 et via son intégration aux systèmes de messagerie et particulièrement le client Outlook permet la mise en place d’un certain nombre de mécanismes qui répondent à ce type de besoin.

En effet:

• Les bibliothèques peuvent alerter les utilisateurs des changements qu’ils subissent en leurs envoyant des messages électroniques,
• L’utilisateur peut connecter une bibliothèque à son profil Outlook de telle sorte que la bibliothèque devient visible au niveau de son client lourd Outlook et il peut même télécharger les documents qui l’intéresse le plus de telle sorte que ceux ci soient accessible même en mode déconnecté
• On peut aussi configurer la bibliothèque pour les flux RSS et comme ça depuis n’importe quel lecteur de flux RSS on peut suivre les changements que celle ci subissent

Les alertes

L’alerte est un mécanisme qui se base sur la messagerie pour cela il faudra s’assurer que la plateforme SharePoint est bien configurée en ce qui concerne la messagerie sortante.

On peut configurer des alertes :

• Pour toute modification au niveau de la bibliothèque
• Si des éléments sont ajoutés
• Si des éléments sont modifiés
• Si des éléments sont supprimés

Les alertes peuvent être filtrées de telle sorte qu’elle ne concernent que les modifications apportés aux documents dont l’utilisateur est propriétaire ou c’est lui qui a modifié le document en dernier et aussi exclure les alertes engendrées lorsque c’est l’utilisateur lui même qui apporte une modification ce qui permet de réduire le nombre de message à recevoir par le créateur de l’alerte.

Connecter une bibliothèque à Outlook

SharePoint 2010 s’intègre facilement avec la suite Office et particulièrement le client Outlook, en effet on peut connecter une bibliothèque de document à notre client Outlook ce qui nous permettra d’avoir un accès directe à la bibliothèque depuis le client Outlook et même de pouvoir télécharger des documents au niveau e cache Outlook de telle sorte que ceux ci soient disponible même en mode hors connexion.

Pour connecter une bibliothèque à Outlook il suffit de cliquer sur le bouton Se connecter à Outlook au niveau du Ruban de la bibliothèque des documents.      

Autoriser le site Web à configurer Outlook ce qui permettra l’ajout d’un conteneur SharePoint Lists  (encadré en vert) au panneau de navigation Outlook, dans ce conteneur vont apparaitre l’ensemble des bibliothèques SharePoint que vous allez connecter à votre profil Outlook.

Au niveau du volet détail et dès que vous sélectionnez un dossier de votre bibliothèque vous allez voir apparaitre son contenu organisé en deux catégories , les documents téléchargés (encadré en rouge) qui sont disponibles même en hors connexion et les documents disponible au niveau du serveur (encadré en bleu)

Avec Outlook on peut même voir l’aperçu du document s’il est téléchargé (encadré en jaune)                 

Suivre une bibliothèque via les Flux RSS

La troisième possibilité qu’on peut utiliser pour suivre les modifications dans une bibliothèque de documents consiste à utiliser les flux RSS en s’abonnant à la page Flux RSS de la bibliothèque en question, cette fonctionnalité n’est disponible que si l’administrateur du sit à activer les flux RSS au niveau de la collection du site.

Pour s’abonner il suffit de cliquer sur le bouton RSS depuis le Ruban de la bibliothèque.

Avec Internet Explorer ou Outlook vous pouvez explorer la page de flux RSS de la bibliothèque.

Conclusion

Au niveau de ce billet nous avons pu explorer les différentes manières qui nous permettent d’être toujours averti par rapport à l’évolution et les modifications apportés aux documents ou aux bibliothèques de documents au sein d’une plateforme SharePoint, ceci dit on pourra aussi mettre en place d’autres mécanismes plus avancés qui se basent sur les flux de travail et qui peuvent être personnalisés en prenant en considération les métas données des documents et qui font appel à des routines personnalisées.

Symptômes

Lorsque vous utilisez l’authentification par formulaire au niveau d’une Application Web SharePoint 2010 configurée pour le mode Claims Authentication vous pouvez rencontrer des problèmes à s’authentifier à cette application.

En tapant l’URL de votre application vous arrivez à la page d’authentification et dès que vous tapez votre login et mot de passe une exception serveur se déclenche avec un message indiquant que le service securitytoken.svc n’a pas pu être activé:

Le journal d’évènements de votre serveur SharePoint quant à lui enregistre l’évènement 8306 indiquant le même message d’erreur:

Causes

• Les causes potentielles de cette erreur peuvent être liés au niveau d’approbation .NET du service au niveau de IIS.
• Ceci peut aussi survenir suite à l’application d’un patch ou l’ajout d’un composant à la plateforme SharePoint qui nécessite le lancement des outils de configuration

Solution

Pour remédier à cette erreur procéder comme suit :

1- Se connecter au Gestionnaire des Services Internet (IIS Manager )

2- Développer SharePoint Web Services

3- Sélectionner SecurityTockenServiceApplication

4- Au niveau de la fenêtre Fonctionnalités double cliquer sur .NET Trust Levels

5- Vérifier que le niveau sélectionné est bien FULL(Internal)

6- Ne pas oublier de procéder à un recyclage du pool d’application du service SecurityTokenServiceApplication

Beaucoup de programmes TCP/IP comme Ping et FTP utilisent la fonction WinSock INET_ADDR() :

unsigned long inet_addr( __in const char *cp );

pour convertir les adresses IPv4 du format chaine de caractère avec séparateur ”.” dans un format IN_ADDR qui n’est qu’une structure.

typedef struct in_addr { union { struct { u_char s_b1,s_b2,s_b3,s_b4; } S_un_b; struct { u_short s_w1,s_w2; } S_un_w; u_long S_addr; } S_un; } IN_ADDR, *PIN_ADDR, FAR *LPIN_ADDR;

Toute adresse IPv4 sera formatée dans cette structure sous le format d’un entier long non signé (u_long).

La fonction INET_ADDR accepte les chaines de caractères au format suivant :

• a.b.c.d
• a.b.c
• a.b
• a

Les différentes parties qui définissent l’adresse IP dans son format caractère avec séparateur “.” peuvent avoir des valeurs décimales , octales ou hexadécimales.

Ainsi pinger l’adresse 172.19.0.40 revient à pinger  l’adresse 0254.023.0.050 en octal et l’adresse 0xAC.0x13.0.0x28 en hexadécimal.

172.19.0.40

0254.023.0.050

0xAC.0x13.0.0x28

Lors du traitement de la chaine de caractère en entrée, la fonction INET_ADDR traitera les nombre selon les règles suivantes :

• Tout nombre commençant par  0x ou 0X sera traité comme un chiffre hexadécimal
• Tout nombre commençant par 0 sera traité comme étant un nombre octal
• Les autres cas seront traité comme des nombres décimaux.

Ainsi il faut faire attention à ne pas utiliser un Zéro à gauche au niveau d’une partie de l’adresse IP si vous voulez la pinger car la partie qui commence par zéro sera traité comme étant un nombre octal et le Ping sera dirigé vers une autre adresse qui ne correspond pas à celle que vous avez tapé.

Dans certains scénarios nous avons besoin de partager des boîtes aux lettres de service entre plusieurs utilisateurs, et dans ce cas on donne le droit à ces utilisateurs d'envoyer des messages au nom de la boîte partagée.

Afin d'assurer le bon fonctionnement de cette boîte partagée et permettre un suivi de son activité il faut s'assurer que les messages envoyés par les différents utilisateurs au nom de cette boîte soient stockés au niveau du dossier éléments envoyé de celle ci et non au niveau de celui de l'expéditeur réel du message.

Supposons qu'une BAL partagée au nom de HelpDesk existe et que j'ai le droit d'envoyer au nom de cette boîte, tous les messages que j'envoi seront stockés dans le dossier Eléments envoyés de ma boîte et non celui de la BAL partagée.

Pour remédier à ceci il suffit:

- D'installer le Hotfix Outlook 2007 du 30 Juin 2009 téléchargeable ici

- De configurer la clé de registre suivante :

Nom : HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Preferences\DelegateSentItemsStyle

Type : DWORD

Valeur : 1

Parmi les nouvelles fonctionnalités de SharePoint 2010 en association avec Office Web Apps 2010 on trouve la possibilité d’éditer et de visualiser les documents office (Word, Excel et PowerPoint) directement dans l’explorateur internet.

Ces fonctionnalités sont assurées au niveau d’une plateforme SharePoint via les services d’applications suivants :

·Word Viewing Service Application

·Excel Service Application

·PowerPoint Service Application

A la fin de la configuration de SharePoint 2010 et Office Web Apps et le démarrage des différents services il est possible de se trouver dans la possibilité d’éditer les documents Office mais pas les visualiser ou l’inverse avec des messages d’erreurs non intuitifs.

Exemple 1 :

La visualisation d’un document Word échoue à cause d’une erreur inattendue !!!     

Par contre l’édition du même document dans l’explorateur est possible

Exemple 2 :

La visualisation d’une présentation PPT est possible

Mais son édition échoue car le document est verrouillé par un autre utilisateur, sachant qu’aucun autre utilisateur n’est connecté à la plateforme !!!   

Exemple 3 :

Ni la visualisation, ni l’édition d’un document Excel sont possibles puisque on n’arrive pas à ouvrir le classeur !!!      

Heureusement le journal d'événements Application Windows est là pour nous permettre de comprendre le pourquoi

En fait les comptes des pools d'application des services applicatifs Word Viewing, Excel Service et PowerPoint Service doivent avoir le droit d'accéder aux bases de contenu des différentes applications web qui hébergent des sites avec des bibliothèques de documents Office et qu'on veut éditer ou visualiser dans l'explorateur.

Note : Ne pas oublier de configurer les comptes des pools d'application et leurs droits à chaque ajout d'une base de contenu à une application existante ou l'ajout d'une nouvelle application Web.

Le service de synchronisation des profils (User Profile Synchronization Service) de SharePoint 2010 est le service qui permet l'importation et la synchronisation des profils utilisateurs entre les services d'annuaires de l'entreprise et la base de profils SharePoint.

Ce service se base sur ForeFront Indentity Manager et requiert une attention particulière pour pouvoir le configurer et l'exploiter correctement.

En effet un certain nombre de pré-requis doivent être mis en place avant de procéder à la configuration et au démarrage de ce service:

(1) Le compte d'administration de la ferme connu aussi sous le nom de compte d'accès à la base de données ou compte de service de la ferme doit être membre du groupe local Administrateurs du serveur SharePoint qui va exécuter ce service

(2) Le compte de service dédié au service de synchronisation des profils doit avoir la permission de répliquer les changement au niveau de la partition de configuration de l'AD

1	Démarrer ADSIEdit
2	Cliquer sur Connect to.. depuis le menu contextuelle de la Racine de la console ADSIEdit
3	Sélectionner Configuration depuis la liste déroulante des noms de contexte connu puis cliquer sur Ok
4	Ouvrir la fenêtre des propriété de la configuration
5	Ajouter le compte de service dédié au service User Profile Sunchronization Service et lui attribuer le droit Replicating Directory Changes

(3) Le compte de service dédié au service de synchronisation des profils doit avoir la délégation AD de répliquer les changements

1	Depuis la console AD, cliquer avec le bouton droit sur le nom du domaine puis sur Delegate Control
2	Cliquer sur Next au niveau de la fenêtre Welcome to the Delegation of Control Wizard
3	Ajouter le compte de service puis cliquer sur Next
4	Cocher Create a custom task to delegate puis cliquer sur Next
5	cliquer sur Next
6	Cocher Replicating Directory changes  puis cliquer sur Next
7	Cliquer sur Finish

Une fois ces pré-requis réalisés procéder à la configuration et au démarrage du service de synchronisation des profils depuis la console d’administration centrale, il faudra attendre entre 5 et 10 minutes avant de voir les services ForeFront Identity Manager Service et ForeFront Identity Manager Synchronization Service démarrés ainsi que l’apparition des dossiers ILMMA et MOSS-<User Profile Service Application Name> sous le répertoire  %PROGRAMFILES%\Microsoft Office Servers\14.0\Synchronization Service\MaData, ce qui indique la résussite de la configuration et le démarrage du service de synchronisation des profils.     

Microsoft est en train d’analyser l’existence d’une vulnérabilité dans SharePoint Services et SharePoint Server qui permet l’exécution de scripts arbitraires permettant d’effectuer une élévation des privilèges au niveau des sites SharePoint.

Les versions affectées par cette vulnérabilité sont :

• Microsoft Office SharePoint Server 2007 SP1 et SP2
• Microsoft Windows SharePoint Services 3.0 SP1 et SP2

Les deux architectures x86 et x64 sont affectées.

Pour plus de détail cliquer ici

L’emplacement par défaut des bases de données SQL Server est généralement <Dossier d'installation>\MSSQL.1\MSSQL\Data

SQL Server nous permet de modifier cet emplacement par défaut sauf qu’il faut faire attention que la procédure n’est pas la même pour les bases de données utilisateurs et les bases de données système.

Changement de l’emplacement par défaut des bases utilisateur

Pour modifier l’emplacement par défaut des base de donnés utilisateurs juste après l’installation de SQL Server :

- Ouvrir SQL Server Management Studio

- Avec le bouton droit de la souri cliquer sur Serveur | Propriétés

- Sélectionner la page Paramètres de base de données

- Au niveau de la section Emplacement de la base de données par défaut saisir les nouveau emplacements des fichiers de données et des fichiers Log

Pour réaliser cette opération on peut aussi exécuter le code T-SQL suivant :

USE [master]
GO
EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'DefaultData', REG_SZ, N'E:\UserDB'
GO
EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'DefaultLog', REG_SZ, N'E:\UserLOG'
GO

Déplacement des bases de données systèmes

La base de données MASTER

1. Changer les paramètres de démarrage de SQL Server en utilisant SQL Server Configuration Manager (Gestionnaire de configuration SQL Server)

1. Changer le chemin du fichier master.mdf en précisant le nouveau chemin devant la commutateur –d
2. Changer  le chemin du fichier mastlog.ldf en précisant le nouveau chemin devant le commutateur –l
3. Arrêter  le service SQL Server en exécutant NET STOP MSSQLSERVER (pour une instance nommée utiliser  NET STOP MSSQL$<Nom de l’instance>)
4. Déplacer les fichier vers le nouvel emplacement
5. Démarrer le service SQL Server en exécutant NET START MSSQLSERVER

Les bases de données MSDB et MODEL

Cette procédure s’applique à la base de données MSDB et MODEL :

Les scripts mentionnés concernent la base de données MSDB et il suffit de les adapter pour MODEL.

• Démarrer un invite de commande (cmd)
• Exécuter NET STOP MSSQLSERVER
• Exécuter NET START MSSQLSERVER /c /m /T3608
• Exécuter l’utilitaire SQLCMD (il faut s’assurer que tous les autres services SQL sont arrêtés et qu’aucune application ne tente de se connecter au serveur )
• Au niveau de l’invite SQLCMD exécuter le script T-SQL Suivant :
  USE master
  Go
  sp_detach_db ‘msdb’
  Go

• Déplacer  les fichiers msdbdata.mdf et msdglog.ldf dans le nouvel emplacement
• Exécuter NET STOP MSSQLSERVER
• Exécuter  NET START MSSQLSERVER
• Lancer le script T-SQL suivant
  USE master
  Go
  sp_attach _db ‘msdb’ , ‘<nouvel emplacement>\msdbdata.mdf’, ‘<nouvel emplacement>\msdblog.ldf’
  Go

  La base de données TEMPDB

• Exécuter le script T-SQL suivant :

USE master

GO

ALTER DATABASE tempdb

MODIFY FILE (NAME = 'tempdev',FILENAME = '<new location>\tempdb.mdf')

GO

ALTER DATABASE tempdb

MODIFY FILE (NAME = 'templog',FILENAME = '<new location>\templog.ldf')

GO

• Exécuter NET STOP MSSQLSERVER
• Déplacer les fichiers tempdb.mdf et templog.ldf au nouvel emplacement
• Exécuter NET START MSSQLSERVER

Suite à la restauration de la base de données MSDB il se peut que le Service Broker ne s’active pas et ainsi on ne pourra plus utiliser certaines fonctionnalités comme la messagerie de base de données qui permet la notification des opérateurs en cas d’échec ou de réussite des travaux.

Pour résoudre ce problème il suffit de créer un nouveau Service Broker au niveau de la base de données MSDB et de l’activer pour cela il faut exécuter les trois lot T-SQL suivants :

ALTER DATABASE [MSDB] SET NEW_BROKER WITH ROLLBACK IMMEDIATE

Go

ALTER DATABASE [MSDB] SET NEW_BROKER

Go

ALTER DATABASE [MSDB] SET ENABLE_BROKER

Go

Parmi les nouveautés de Windows Server 2008 R2 et au niveau du composant Active Directory on trouve les comptes de services gérés (Managed Service Accounts).

Plusieurs applications SQL Server et IIS reposent sur des services qui doivent parfois être démarrés avec des comptes de domaines pour des besoins spécifiques. L’administration de ces comptes, de leurs mots de passe ainsi que des SPN peut s’avérer complexe et peut affecter la disponibilité de l’application.

L’utilisation des comptes de services gérés réduit la charge administrative quant à la gestion des mots de passe et des SPN (nom principal de service) tout en assurant la disponibilité de ces applications et réduisant les risques lié à la modification des mots de passe.

Pré-requis

Pour pouvoir utiliser les comptes de services gérés :

- Les ordinateurs hébergeant les applications à configurer doivent être équipés de Windows Server 2008 R2 ou Windows 7,

- Les domaines dont le niveau fonctionnel est Windows Server 2008 R2 supportent nativement la gestion automatique des mots de passe et des SPN,  

- Si le domaine n’est pas au niveau fonctionnel Windows Server 2008 R2 mais que le schéma Active Directory a été mis à jour au niveau Windows Server 2008 R2 les comptes de services gérés peuvent être utilisés, la gestion automatique des mots de passes de ces comptes sera possible mais pas la gestion automatique des SPN

- Pour utiliser les comptes de services gérés dans des domaines Windows Server 2008, Windows Server 2003 ou des domaines mixtes il faut tout d’abord procéder aux actions suivantes :

           1- Exécuter adprep /forestprep au niveau de la forêt AD

           2- Exécuter adprep /domainprep dans chaque domaine où on souhaite utiliser le comptes de services gérés

           3- Avoir un contrôleur de domaine Windows Server 2008 R2 ou Windows Server 2008 avec Active Directory Management Gateway Service ou Windows Server 2003 avec Active Directory Gateway Service, Active Directory Management Gateway Service permet l’utilisation des commandes PowerShell nécessaires à la gestion des comptes de services gérés

- Pour utiliser les commandes PowerShell nécessaires à l’administration des comptes de services gérés au niveau des ordinateurs clients sur lesquels les applications doivent être configurées on doit avoir installé le Framework .NETainsi que le module Active Directory pour Windows PowerShell

Installation des pré-requis sur Windows Server 2008 R2

1. Démarrer la console Server Manager

1. Sélectionner Features puis cliquer sur Add Features   

1. Sélectionner  .NET Framework 3.5.1 Features

1. Sélectionner  Active Directory module for Windows PowerShell sous Remote Server Administration Tools |  Role Administraion Tools | AD DS and AD LDS Tools

1. Cliquer sur Next

1. Cliquer sur Install

1. Redémarrer le serveur si nécessaire

Installation des pré-requis sur Windows 7

1. Télécharger Remote Server Administration Tools for WIndows 7
2. Installer la mise à jour
3. Ajouter les fonctionnalités .NET Framework 3.5.1 et le module Active Directory module for Windows PowerShell
4. Redémarrer l’ordinateur

Création et configuration d’un compte de service géré

• Ouvrir une invite PowerShell  Active Directory

• Créer le compte de services en exécutant la commande suivante :

New-AdServiceAccount <Nom Du Compte>  -AccountPassword (ConvertTo-SecureString –AsPlainText “<mot de passe>” –Force) –Enabled $true –Path “CN=Managed Service Accounts,DC=<Domain Name>,DC=COM”

• Associer le compte de service à l’ordinateur client en exécutant la commande suivante :

Add-ADComputerServiceAccount –Identity <Nom Ordinateur> –ServiceAccount <Nom du compte>

• Installer le compte de service sur l’ordinateur client (cette commande soit être exécutée sur le poste qui utilisera le compte de service géré)

Install-ADServiceAccount –Identity <Nom du compte>

• Vérifier que le compte de service à été bien affecté au compte de la machine au niveau Active Directory en explorant les propriétés de l’objet ordinateur en question avec ADSI Edit et en cherchant l’attribut msDS-HostServiceAccount   

Utilisation du compte de service

Nous allons maintenant utiliser un compte de service géré pour démarrer le services SQL Server Reporting Services au niveau d’un serveur Windows Server 2008 R2.

• Double cliquer sur le service SQL Server Reporting Services au niveau de la console Services 

• Au niveau de l’onglet Log On cocher This account et cliquer sur Browse afin de localiser le compte de service, ou taper le nom du compte au format <Nom du Domaine>\<Nom du compte>$ , laisser le mot de passe vide et cliquer sur Apply puis sur Ok     

Attention : si vous tapez le nom du compte à la main il faut ajouter un $ à la fin. 

  
• Démarrer ou redémarrer le service

• Vérifier que le service a bien démarré malgré la fait que le mot de passe n’a pas été saisi !

Pour plus de détails, vous pouvez consulter les articles suivants :

• Service Accounts Step-by-Step Guide
• Managed Service Accounts