PI Services

Introduction

Les bibliothèques font partie des composants les plus utilisés dans les plateformes SharePoint, ils sont utilisées pour stocker des documents, des images, des fichiers média et bien d’autres types de contenu.

Avoir le reflexe d’accéder systématiquement aux différentes bibliothèques dont le contenu nous intéresse ou qui peu affecter le déroulement de nos tâches s’avère une tâche peu commode, l’utilisateur a besoin d’être averti et à jour sans que ceci puisse réduire sa productivité et l’obliger à faire le tour de l’ensemble des entrepôts de données au sein e l’entreprise pour voir s’il y a des nouveautés ou non.

SharePoint 2010 et via son intégration aux systèmes de messagerie et particulièrement le client Outlook permet la mise en place d’un certain nombre de mécanismes qui répondent à ce type de besoin.

En effet:

• Les bibliothèques peuvent alerter les utilisateurs des changements qu’ils subissent en leurs envoyant des messages électroniques,
• L’utilisateur peut connecter une bibliothèque à son profil Outlook de telle sorte que la bibliothèque devient visible au niveau de son client lourd Outlook et il peut même télécharger les documents qui l’intéresse le plus de telle sorte que ceux ci soient accessible même en mode déconnecté
• On peut aussi configurer la bibliothèque pour les flux RSS et comme ça depuis n’importe quel lecteur de flux RSS on peut suivre les changements que celle ci subissent

Les alertes

L’alerte est un mécanisme qui se base sur la messagerie pour cela il faudra s’assurer que la plateforme SharePoint est bien configurée en ce qui concerne la messagerie sortante.

On peut configurer des alertes :

• Pour toute modification au niveau de la bibliothèque
• Si des éléments sont ajoutés
• Si des éléments sont modifiés
• Si des éléments sont supprimés

Les alertes peuvent être filtrées de telle sorte qu’elle ne concernent que les modifications apportés aux documents dont l’utilisateur est propriétaire ou c’est lui qui a modifié le document en dernier et aussi exclure les alertes engendrées lorsque c’est l’utilisateur lui même qui apporte une modification ce qui permet de réduire le nombre de message à recevoir par le créateur de l’alerte.

Connecter une bibliothèque à Outlook

SharePoint 2010 s’intègre facilement avec la suite Office et particulièrement le client Outlook, en effet on peut connecter une bibliothèque de document à notre client Outlook ce qui nous permettra d’avoir un accès directe à la bibliothèque depuis le client Outlook et même de pouvoir télécharger des documents au niveau e cache Outlook de telle sorte que ceux ci soient disponible même en mode hors connexion.

Pour connecter une bibliothèque à Outlook il suffit de cliquer sur le bouton Se connecter à Outlook au niveau du Ruban de la bibliothèque des documents.      

Autoriser le site Web à configurer Outlook ce qui permettra l’ajout d’un conteneur SharePoint Lists  (encadré en vert) au panneau de navigation Outlook, dans ce conteneur vont apparaitre l’ensemble des bibliothèques SharePoint que vous allez connecter à votre profil Outlook.

Au niveau du volet détail et dès que vous sélectionnez un dossier de votre bibliothèque vous allez voir apparaitre son contenu organisé en deux catégories , les documents téléchargés (encadré en rouge) qui sont disponibles même en hors connexion et les documents disponible au niveau du serveur (encadré en bleu)

Avec Outlook on peut même voir l’aperçu du document s’il est téléchargé (encadré en jaune)                 

Suivre une bibliothèque via les Flux RSS

La troisième possibilité qu’on peut utiliser pour suivre les modifications dans une bibliothèque de documents consiste à utiliser les flux RSS en s’abonnant à la page Flux RSS de la bibliothèque en question, cette fonctionnalité n’est disponible que si l’administrateur du sit à activer les flux RSS au niveau de la collection du site.

Pour s’abonner il suffit de cliquer sur le bouton RSS depuis le Ruban de la bibliothèque.

Avec Internet Explorer ou Outlook vous pouvez explorer la page de flux RSS de la bibliothèque.

Conclusion

Au niveau de ce billet nous avons pu explorer les différentes manières qui nous permettent d’être toujours averti par rapport à l’évolution et les modifications apportés aux documents ou aux bibliothèques de documents au sein d’une plateforme SharePoint, ceci dit on pourra aussi mettre en place d’autres mécanismes plus avancés qui se basent sur les flux de travail et qui peuvent être personnalisés en prenant en considération les métas données des documents et qui font appel à des routines personnalisées.

Symptômes

Lorsque vous utilisez l’authentification par formulaire au niveau d’une Application Web SharePoint 2010 configurée pour le mode Claims Authentication vous pouvez rencontrer des problèmes à s’authentifier à cette application.

En tapant l’URL de votre application vous arrivez à la page d’authentification et dès que vous tapez votre login et mot de passe une exception serveur se déclenche avec un message indiquant que le service securitytoken.svc n’a pas pu être activé:

Le journal d’évènements de votre serveur SharePoint quant à lui enregistre l’évènement 8306 indiquant le même message d’erreur:

Causes

• Les causes potentielles de cette erreur peuvent être liés au niveau d’approbation .NET du service au niveau de IIS.
• Ceci peut aussi survenir suite à l’application d’un patch ou l’ajout d’un composant à la plateforme SharePoint qui nécessite le lancement des outils de configuration

Solution

Pour remédier à cette erreur procéder comme suit :

1- Se connecter au Gestionnaire des Services Internet (IIS Manager )

2- Développer SharePoint Web Services

3- Sélectionner SecurityTockenServiceApplication

4- Au niveau de la fenêtre Fonctionnalités double cliquer sur .NET Trust Levels

5- Vérifier que le niveau sélectionné est bien FULL(Internal)

6- Ne pas oublier de procéder à un recyclage du pool d’application du service SecurityTokenServiceApplication

Parmi les nouvelles fonctionnalités de SharePoint 2010 en association avec Office Web Apps 2010 on trouve la possibilité d’éditer et de visualiser les documents office (Word, Excel et PowerPoint) directement dans l’explorateur internet.

Ces fonctionnalités sont assurées au niveau d’une plateforme SharePoint via les services d’applications suivants :

·Word Viewing Service Application

·Excel Service Application

·PowerPoint Service Application

A la fin de la configuration de SharePoint 2010 et Office Web Apps et le démarrage des différents services il est possible de se trouver dans la possibilité d’éditer les documents Office mais pas les visualiser ou l’inverse avec des messages d’erreurs non intuitifs.

Exemple 1 :

La visualisation d’un document Word échoue à cause d’une erreur inattendue !!!     

Par contre l’édition du même document dans l’explorateur est possible

Exemple 2 :

La visualisation d’une présentation PPT est possible

Mais son édition échoue car le document est verrouillé par un autre utilisateur, sachant qu’aucun autre utilisateur n’est connecté à la plateforme !!!   

Exemple 3 :

Ni la visualisation, ni l’édition d’un document Excel sont possibles puisque on n’arrive pas à ouvrir le classeur !!!      

Heureusement le journal d'événements Application Windows est là pour nous permettre de comprendre le pourquoi

En fait les comptes des pools d'application des services applicatifs Word Viewing, Excel Service et PowerPoint Service doivent avoir le droit d'accéder aux bases de contenu des différentes applications web qui hébergent des sites avec des bibliothèques de documents Office et qu'on veut éditer ou visualiser dans l'explorateur.

Note : Ne pas oublier de configurer les comptes des pools d'application et leurs droits à chaque ajout d'une base de contenu à une application existante ou l'ajout d'une nouvelle application Web.

Le service de synchronisation des profils (User Profile Synchronization Service) de SharePoint 2010 est le service qui permet l'importation et la synchronisation des profils utilisateurs entre les services d'annuaires de l'entreprise et la base de profils SharePoint.

Ce service se base sur ForeFront Indentity Manager et requiert une attention particulière pour pouvoir le configurer et l'exploiter correctement.

En effet un certain nombre de pré-requis doivent être mis en place avant de procéder à la configuration et au démarrage de ce service:

(1) Le compte d'administration de la ferme connu aussi sous le nom de compte d'accès à la base de données ou compte de service de la ferme doit être membre du groupe local Administrateurs du serveur SharePoint qui va exécuter ce service

(2) Le compte de service dédié au service de synchronisation des profils doit avoir la permission de répliquer les changement au niveau de la partition de configuration de l'AD

1	Démarrer ADSIEdit
2	Cliquer sur Connect to.. depuis le menu contextuelle de la Racine de la console ADSIEdit
3	Sélectionner Configuration depuis la liste déroulante des noms de contexte connu puis cliquer sur Ok
4	Ouvrir la fenêtre des propriété de la configuration
5	Ajouter le compte de service dédié au service User Profile Sunchronization Service et lui attribuer le droit Replicating Directory Changes

(3) Le compte de service dédié au service de synchronisation des profils doit avoir la délégation AD de répliquer les changements

1	Depuis la console AD, cliquer avec le bouton droit sur le nom du domaine puis sur Delegate Control
2	Cliquer sur Next au niveau de la fenêtre Welcome to the Delegation of Control Wizard
3	Ajouter le compte de service puis cliquer sur Next
4	Cocher Create a custom task to delegate puis cliquer sur Next
5	cliquer sur Next
6	Cocher Replicating Directory changes  puis cliquer sur Next
7	Cliquer sur Finish

Une fois ces pré-requis réalisés procéder à la configuration et au démarrage du service de synchronisation des profils depuis la console d’administration centrale, il faudra attendre entre 5 et 10 minutes avant de voir les services ForeFront Identity Manager Service et ForeFront Identity Manager Synchronization Service démarrés ainsi que l’apparition des dossiers ILMMA et MOSS-<User Profile Service Application Name> sous le répertoire  %PROGRAMFILES%\Microsoft Office Servers\14.0\Synchronization Service\MaData, ce qui indique la résussite de la configuration et le démarrage du service de synchronisation des profils.     

Microsoft est en train d’analyser l’existence d’une vulnérabilité dans SharePoint Services et SharePoint Server qui permet l’exécution de scripts arbitraires permettant d’effectuer une élévation des privilèges au niveau des sites SharePoint.

Les versions affectées par cette vulnérabilité sont :

• Microsoft Office SharePoint Server 2007 SP1 et SP2
• Microsoft Windows SharePoint Services 3.0 SP1 et SP2

Les deux architectures x86 et x64 sont affectées.

Pour plus de détail cliquer ici

Dans le cas ou le serveur qui héberge le site d’administration centrale est indisponible (Par défaut il s’agit du 1er serveur frontal de chaque ferme). Il est possible de basculer le site sur un des serveurs frontaux de la ferme MOSS

Pour basculer le site d’administration centrale sur un autre serveur frontal, suivre la procédure suivante :

Ouvrir une session sur le serveur frontal devant devenir le nouvel hôte du site d’administration centrale.

1. Lancer une invite de commande

1. Se positionner au niveau du dossier  "C:\Program Files\Fichiers communs\Microsoft Shared\web server extensions\12\BIN"

1. Lancer la commande : Psconfig -cmd adminvs -provision -port %numéro_port% –windowsauthprovider OnlyUseNtlm

1. Redémarrer les services IIS ainsi que les services SharePoint

1. Vérifier le fonctionnement du site : http://localhost:<n°port admincentrale>  (exemple :http://frontal2:2009)

L’erreur DCOM est une erreur qui apparait quasi systématiquement après l’installation et la configuration d’une plateforme MOSS 2007. Cette erreur apparait sur tous les serveurs de la ferme et à des intervalles réguliers.

Cette erreur est due au droit « LOCAL Activation » manquant sur certains objets DCOM pour les utilisateurs SharePoint et principalement les comptes utilisés pour les pools d’application qui font partie du groupe IIS_WPG.

Pour remédier à cette erreur procédez comme suit :

Ajoutez l’utilisateur “Service Réseau” (NETWORK Service)  au groupe “Utilisateurs du modèle COM distribué” (Distributed COM Users).

Accordez au groupe IIS_WPG les bons droits sur les composants IIS Admin Service et IIS WAMREG Admin Service

1 - Démarrez la console services de composants en exécutant : C:\Windows\System32\com\comexp.msc

ou

Cliquez sur Démarrer | Outils D’administration | Services de composants

2 - Réinitialisez la configuration de la sécurité des composants IIS Admin Service et IIS WAMREG Admin Service :

Cliquez sur le composant IIS Admin Service avec le bouton droit puis cliquez sur Propriétés.

Sélectionnez l’onglet Sécurité et positionnez toutes les autorisations à Par Défaut (Use Default) puis cliquez sur le bouton OK.

Important : Réalisez la même opération pour le composant IIS WAMREG Admin Service.

Cliquez sur le composant IIS Admin Service avec le bouton droit puis cliquer sur Propriétés.

Sélectionnez l’onglet Sécurité, au niveau de la section Autorisation d’exécution et d’activation ("Launch and Activation Permissions"), côchez Personnaliser ("Customize") puis cliquez sur Modifier ("Edit").

Ajoutez le groupe IIS_WPG et accordez-lui toutes les autorisations.

Au niveau de la section Autorisations d’accès ("Access Permissions"), côchez Personnaliser ("Customize") puis cliquez sur Modifier ("Edit").

Ajoutez le groupe IIS_WPG et accordez-lui toutes les autorisations.

Vérifier les droits de configuration pour le groupe Utilisateurs.

Au niveau de la section Autorisations de configuration ("Configuration Permissions") côchez Personnaliser ("Customize") puis cliquez sur Modifier ("Edit"). 

Vérifiez que le groupe Utilisateurs dispose des autorisations Lecture ("Read") et Autorisations Spéciales ("Special permissions").

Important : Réalisez la même opération pour le composant IIS WAMREG Admin Service.

A l'issue de cette procédure, l'erreur DCOM ne devrait plus ce produire !

Une vulnérabilité dans la sécurité d'Excel Services pour Microsoft Office SharePoint Server 2007 peut permettre à un code arbitraire de s'exécuter lors de l'ouverture sur le serveur d'un fichier qui a été modifié à des fins malintentionnées.

Une mise à jour de sécurité vient d’être publié le 05 mars 2010 afin de remédier à cette vulnérabilité.

La mise à jour est disponible en téléchargement en version 32 Bit et 64 Bit et elle concerne seulement les serveurs SharePoint 2007 sur les quels Excel Services est installé.

Pour de plus amples détail consulter le Bulletin de Sécurité MS10-017.

La nouvelle version de SharePoint “SharePoint 2010” qui sera disponible au cours de l’année 2010 ne sera supportée que sur une gamme de serveurs Windows bien déterminée.

Ainsi et afin de bien préparer vos déploiements il faudra prendre en considération les points suivants:

• SharePoint 2010 sera seulement disponible pour les architectures 64 Bit.
• SharePoint 2010 n’est pas supporté sur des installations Core de Windows Server 2008 ou Windows Server 2008 R2
• Pour le développement SharePoint 2010 sera supporté uniquement sur Windows Vista x64 avec SP2 et Windows 7 x64
• Les éditions de Windows supportées pour une installation de SharePoint 2010 sont :
  1. Windows Server 2008 R2 Standard, Enterprise et Datacenter
  2. Windows Server 2008 x64 Standard, Enterprise et Datacenter
  3. Windows Small Business Server 2008 x64
  4. Windows Essential Business Server 2008 x64        

Symptômes

Après avoir installer MOSS 2007 et créer des applications Web et des sites  vous n’arrivez pas à explorer vos sites avec leurs noms d’hôtes sur le serveur MOSS lui même, par contre ils sont bien accessibles depuis n’importe quel autre serveur ou poste client.

Lorsque vous tapez l’adresse de votre site on vous demande de s’authentifier 3 fois de suite et vous recevez une page vierge au niveau de l’explorateur.

Pas de messages d’erreur enregistrés à l’exception du journal de sécurité qui présente une série d’événements 4625: An Account Failed to Logon

Ce comportement se manifeste sur le serveur Web lui même et ne concerne que les sites ayant des noms d’hôte.

Cause

Depuis le service pack 1 de Windows Server 2003 une fonctionnalité de sécurité a été intégré au système d’exploitation (LoopBack Check) afin d’empêcher les attaques par réflexion sur les serveurs Web.

Cette fonctionnalité provoque un échec d’authentification pour toute demande portant un nom d’hôte qui ne ne correspond pas au nom de la machine.       

Résolution

Pour remédier à ce problème on dispose de deux méthodes:

Méthode 1 : Désactiver la fonctionnalité LoopBack Check

• Ajouter une valeur DWORD nommée DisableLoopBackCheck ayant une valeur 1 à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

•   Redémarrer le service d’administration d’IIS

Méthode 2 : Spécifier les noms d’hôtes en question

• Ajouter une valeur Multi-String nommée BackConnectionHostNames  à la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 et y tapez les noms d’hôtes de tous les sites dont l’authentification est Windows et qui présentent le problème.       

• Redémarrer le service d’administration d’IIS

Réflexion

Avant de passer à l’action il faut se poser la question si on considère ce comportement problématique ou non puisque les sites sont bien accessibles de n’importe quel serveur ou poste client et seulement inaccessibles depuis le serveur Web lui même.

Il faut bien avoir cette réflexion puisque la résolution de ce “faux” problème consiste à désactiver la fonctionnalité LoopBack Check ce qui constitue en lui même l’exposition du serveur à un risque de sécurité.

Parmi les deux méthodes de résolution la deuxième semble comme même plus adaptée étant données qu’elle nous permet de spécifier les sites pour les quels la fonctionnalité sera désactivée et qui peuvent être les sites les plus sécurisés de point de vue fonctionnalités et utilisation, ce qui nous permettra de minimiser l’exposition du serveur à ce genre de risques de sécurité.