Aus dem Alltag: Popup Fenster beim öffnen von Dateien


Problem

Wenn Sie PDF Dateien aus dem Internet Explorer öffnen wollen, erscheint eine Meldung, ob Sie die Datei bearbeiten oder schreibgeschützt öffnen wollen. Es macht hier natürlich keinen Sinn, da PDF Dateien so wie so nicht bearbeitet werden.

image

In das selbe Schema fällt die Meldung, dass einige Dateien auf dem Computer Schaden anrichten können. Sie erhalten dann die folgende Meldung:

Einige Dateien können auf dem Computer Schaden anrichten. Öffnen Sie die Datei nicht, wenn Ihnen die Dateiinformationen verdächtig vorkommen oder Sie die Herkunft als nicht vertrauenswürdig einstufen.

image

Ursache

Jedes Dokument wird standardmässig mit dem AddOn “SharePoint OpenDocuments Class” geöffnet, was diese Sicherheitswarnung bzw. die Frage nach “Bearbeiten oder Schreibgeschützt” auslöst.

image

Lösung

Um diese Meldungen zu vermeiden, muss man das jeweilige Dateiformat anweisen, NICHT durch dieses AdOn geöffnet zu werden. Dies tut man auf dem Frontend Server (bei Multi-Frontend-Server Szenarios auf jedem Frontend-Server) im 14 Hive.

Navigieren Sie auf dem Frontend-Server zum Pfad: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\TEMPLATE\XML

Öffnen Sie die Datei DOCICON.XML und fügen Sie den Dateitypen, welche Sie direkt ohne Meldung öffnen wollen, den folgenden Text hinten an: OpenControl=“”

image

Übrigens: Genau hier geben Sie den Dateiendungen auch ihre ICONS, wenn Sie PDF Dateien oder LNK bzw. URL Dateien freigeben, können Sie hier die Bilder hinterlegen.

  • Bildgrösse 16×16 px
  • Pfad, unter dem die Bilder abgelegt werden: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\TEMPLATE\IMAGES

Beachten Sie auch die weiteren Posts, die mit dem PDF Handling auf SharePoint 2010 zusammenspielen:

So long, Samuel

Aus dem Alltag: Die Explorer Ansicht verlangt ein Login


Problem

Wenn Sie auf einem Windows Vista, 7 oder 2008 und 2008 R2 Server eine SharePoint Bibliothek in der Explorer Ansicht öffnen wollen, erscheint immer das Login Fenster und fragt nach einer erneuten Authentifizierung, obwohl Sie bereits mit einem berechtigten Benutzer angemeldet sind.

image

image

Voraussetzung für die Explorer Ansicht auf einem 2008 oder 2008 R2 Server ist auch die Desktop Experience, welche als Feature eingeschaltet werden muss. Ohne diese Einstellung werden gar keine Credentials abgefragt. Es geht zwar in diesem Blogpost nicht direkt darum, doch damit keine Missverständnisse entstehen auch noch kurz die Anleitung dazu:

  1. Server Manager öffnen
  2. Auf der linken Seite Features anklicken
  3. Rechts auf Add Feature klicken
    image
  4. Feature “Desktop Experience” hinzufügen
    image

Ursache

Seit Vista bzw. Windows Server 2008 werden bei WebDav die Authentifizierungsinformationen (Credentials) nur an Hostnamen übermittelt, welche keine Punkte im Hostnamen haben. Man geht davon aus, dass innerhalb eines Netzwerkes nicht mit fully qualified domain Namen gearbeitet wird, was nicht immer der Fall ist. Wenn Sie also mit http://mywebsite arbeiten, dann erscheint das Problem nicht. Wenn Sie hingegen mit http://mywebsite.mydomain.ch arbeiten, dann erscheint das Problem.

Lösung

Es gibt nun für dieses Szenario zwei Lösungen:

A: Fügen Sie eine Registry Anpassung durch

In diesem Szenario bestimmen Sie, an welche fully qualified Domain Names WebDav die Credentials mitgeben soll. Achtung: Diese Lösung schliesst Änderungen in der Registry ein, bitte lassen Sie sich ggf. von einem Fachmann beraten, die Anpassungen machen Sie auf eigene Verantwortung. Die Anpassung muss auf jeder Maschine vorgenommen werden, auf welcher Sie über FQDN WebDav machen wollen.

  1. Klicken Sie auf start und geben Sie “regedit” ein
  2. Navigieren Sie zum Knoten HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters
  3. Klicken Sie mit der rechten Maustaste in das Feld mit den Einträgen und klicken Sie auf Neu und dann auf Multi Value
    image
  4. Geben Sie den Wert “AuthForwardServerList” ein und drücken Sie auf Enter
  5. öffnen Sie den Schlüssel mit einem Doppelklick und geben Sie in das Feld alle fully qualified Domain Names ein, auf welche Sie WebDav automatisch öffnen lassen wollen und klicken Sie auf OK
    image
  6. Restarten Sie den Server bzw. den Client auf welchem Sie den Eintrag vorgenommen haben

 

B: Benutzen Sie firmenintern nur einfache Hosteinträge

In diesem Szenario verwenden Sie für interne Aufgaben lediglich die Hostadresse, also http://mywebsite Wollen Sie zu einer fully qualified Adresse eine Hostadresse hinzufügen, so können Sie einen alternativen Zugriffspfad definieren. Tun Sie dies wie folgt:

  1. Öffnen Sie die Zentraladministration
  2. Navigieren Sie zu “Manage web applications”image
  3. Wählen Sie die Webapplikation aus, welche Sie gerne anpassen würden und klicken Sie “Extend”
    image
  4. Geben Sie die Angaben ein, welche für Ihre Webapplikation zutreffen, stellen Sie sicher, dass Sie im Feld “Hostheader” nur “mywebsite” eingeben, ohne http://, das wird später automatisch hinzugefügt. Wählen Sie Port 80 aus, wählen Sie die Authentifizierung (NTLM / Kerberos) und klicken Sie auf OK

Aus dem Alltag: 503 Service Unavailable in der Central Administration


Problem:

Nachdem ich bei einem Kunden erfolgreich SQL Server 2008 R2 und SharePoint Server 2010 installiert hatte, erhielt ich beim erstmaligen Öffnen der Central Administration (Zentraladministration) den folgenden Fehler:

Service Unavailable

——————————————————————————-

HTTP Error 503. The service is unavailable.

 

Die Kontrolle im Windows Log ergab folgende drei Einträge:

Log Name:      System
Source:        Microsoft-Windows-WAS
Date:          17.12.2010 11:40:31
Event ID:      5021
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      MyServer
Description:
The identity of application pool SharePoint Central Administration v4 is invalid. The user name or password that is specified for the identity may be incorrect, or the user may not have batch logon rights. If the identity is not corrected, the application pool will be disabled when the application pool receives its first request.  If batch logon rights are causing the problem, the identity in the IIS configuration store must be changed after rights have been granted before Windows Process Activation Service (WAS) can retry the logon. If the identity remains invalid after the first request for the application pool is processed, the application pool will be disabled. The data field contains the error number.

Log Name:      System
Source:        Microsoft-Windows-WAS
Date:          17.12.2010 11:40:31
Event ID:      5057
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      MyServer
Description:
Application pool SharePoint Central Administration v4 has been disabled. Windows Process Activation Service (WAS) did not create a worker process to serve the application pool because the application pool identity is invalid.

Log Name:      System
Source:        Microsoft-Windows-WAS
Date:          17.12.2010 11:40:31
Event ID:      5059
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      MyServer
Description:
Application pool SharePoint Central Administration v4 has been disabled. Windows Process Activation Service (WAS) encountered a failure when it started a worker process to serve the application pool.

Grund:

Wie aus den Log Einträgen ersichtlich wird, fehlt dem Application Pool Account die folgende Berechtigung “Logon as a batch job”, welche in den Security Policies definiert werden können. In unserem Fall war diese Einstellung von einer überliegenden Policy auf unser System publiziert worden. Diese Berechtigung wird benötigt, damit der Windows Process Activation Service dem entsprechenden Application Pool einen Worker Process zuordnen kann.

Lösung:

  1. Kontrollieren Sie, ob die “Logon as a batch job” Policy von einer höheren Instanz gesteuert wird.
    1. Klicken Sie auf Start –> ausführen
    2. Geben Sie “secpol.msc” ein und drücken Sie Enter
    3. Navigieren Sie zu Local Policies –> User Rights Assignment –> Log on as a batch job
      image
  2. Ist die “Logon as a batch job” Policy nicht übersteuert, kontrollieren Sie ob IIS_IUSRS berechtigt sind. Wenn nicht, vergeben Sie diese.
  3. Ist die Policy übersteuert (sie können lokal keine Änderungen vornehmen), so bearbeiten Sie die entsprechend übergeordnete Policy:
    1. Erstellen Sie eine Active Directory Gruppe, welcher Sie alle Application Pool User von SharePoint zuordnen (inkl. dem Service User für die Service Applications (SharePoint 2010) oder dem Shared Services Provider (SharePoint 2007) und dem Farm User für die Central Administration)
    2. Fügen Sie die Active Directory Gruppe der die Policy “Logon as a batch job” hinzu

So long, Samuel Zürcher

SharePoint Governance: Teil IV Prozesse


Heute geht es zum nächsten Teil unseres SharePoint Governance Rades, zu den Prozessen. Sie bilden einen wichtigen Teil im Governancemodell für SharePoint. Wann entsteht zum Beispiel eine neue Projektsite und wie?

Die Prozessorganisation von SharePoint muss sich natürlich an der Prozessorganisation Ihres Unternehmens orientieren. Wenn Ihr Unternehmen nicht prozessorientiert arbeitet, dann definieren Sie zumindest Regeln, wie und wann bestimmte Aktivitäten ausgeführt werden (müssen). Folgende Dinge sind sehr wichtig zu planen und ggf. als Prozesse aufzunehmen:

Welche Schritte sind notwendig…

  • bevor eine neue Webseite oder Webseitensammlung erstellt wird
  • um eine neue Webseite oder Webseitensammlung zu erstellen
  • nachdem eine neue Webseite oder Webseitensammlung erstellt wurde
  • um Inhalte zu archivieren
  • um eine Webseite oder Webseitensammlung zu löschen

In der Folge werde ich nun zu jedem Punkt etwas zu möglichen Inhalten erwähnen. Wie gesagt, müssen sich Prozesse in Ihre Prozesslandschaft bzw. in Ihr Unternehmen integrieren, aus diesem Grund kann ich hier nur Hinweise und meine Gedanken  weitergeben.

Welche Schritte sind notwendig bevor eine neue Webseite oder Webseitensammlung erstellt wird

In diesen Bereich gehören Aktivitäten die den Anwender befähigen herauszufinden, ob für sein Begehren überhaupt eine SharePoint Seite erstellt werden kann. Ihre Informationsarchitektur (dazu mehr in einem weiteren Blog) muss klare Strukturen beinhalten, welche beschreiben, welche Informationen wo und wie in platziert werden oder eben nicht. Findet der Anwender heraus, dass für sein Begehren keine SharePoint Plattform erstellt werden kann, muss er z.B. auch wissen, wo er sich in welcher Form hinwendet, um sein Begehren anzumelden. Es kann ja durchaus sein, dass durch veränderte Businessbedürfnisse ggf. die Informationsarchitektur angepasst werden muss.

Weiter enthält dieser Bereich Anweisungen zu Schritten oder Informationen, welche Dinge der Anwender bereitstellen bzw. abklären muss, um eine SharePoint Webseite erstellen zu können, sofern sein Begehren in der Informationsarchitektur vorgesehen ist. Dieser Teil ist wiederum sehr an Richtlinien und Strategien Ihres Unternehmens anzulehnen. Hier können Dinge wie Platzbedarf, Verwendungsdauer, Klassifikation (z.B. Confidential etc.) oder Rollenverteilung aufgelistet werden, wobei diese Liste längst nicht abschliessend ist.

Welche Schritte sind notwendig um eine neue Webseite oder Webseitensammlung zu erstellen

Wenn der Anwender vom vorherigen Schritt weiss, welche Art Webseite oder Webseitensammlung er erstellen kann und welche Informationen er dazu angeben muss, kann der eigentliche Erstellungsprozess starten. Auch hier können verschiedene Szenarien abgebildet werden. Diese gehen von einem Wordformular das ausgefüllt an die IT gesendet wird, welche dann entsprechend der Informationen die richtige Seite mit dem richtigen Template erstellt über halbautomatisierte Prozesse mit elektronischen Formularen bis hin zu eigenentwickelten Lösungen oder Drittanbieter Software sie z.B. MatchPoint welche ein vollintegriertes automatisches Provisionning von Webseiten oder Webseitensammlungen zulassen.

Nach diesem Schritt ist die entsprechende Webseite oder Webseitensammlung erstellt und kann genutzt werden. Es können hier auch Informationsflüsse abgebildet werden, wer z.B. in welchem Fall informiert wird oder wer ggf. welchen Erstellungsprozess bewilligen muss. Auch solche Szenarien können hier vertreten sein. Zusammegefasst einfach welche Schritte, Informationen, Aktionen und Genehmigungen sind von welcher Stelle notwendig, bis einen spezifischer Arbeitsraum in SharePoint erstellt ist.

Welche Schritte sind notwendig nachdem eine neue Webseite oder Webseitensammlung erstellt wurde

Hier kommen Aspekte wie z.B. Pflege von Inhalt und Berechtigungen zur Sprache. Wie geht man z.B. vor, wenn Teilnehmer hinzugefügt, bzw. entfernt werden müssen? Wie beantrage ich einen Zugang für eine externe Person? Auch muss darüber nachgedacht werden, wie mit Inhalten umzugehen ist. Wenn es sich z.B. um vertrauliche Daten handelt, wie müssen diese hochgeladen werden, wie müssen diese gelöscht werden etc.

Dieser Bereich kann in verschiedenen Szenarien sehr gering gehalten werden. Es kommt darauf an, wie genau Sie den Inhalt steuern wollen, welcher auf der Plattform gespeichert wird. Zumindest die Berechtigungsregelung sollte aber abgedeckt werden.

Welche Schritte sind notwendig um Inhalte zu archivieren

Im besten Fall wird ein Grossteil der Arbeitsräume  zu einem Bestimmten Zeitpunkt wieder gelöscht. Im Normalfall hat die Arbeit in einem solchen Arbeitsraum Ergebnisse geliefert, welche weiterverwendet werden. Man kann diese auch als Lieferobjekte bezeichnen. Diese sind zu archivieren, oder in einen anderen Arbeitsraum (z.B. DMS Bereich) zu verschieben. In diesem Abschnitt beschreiben Sie, wie dazu vorgegangen werden muss. Alle Daten, welche zur Unterstützung der Erstellung der Lieferobjekte gedient haben können gelöscht werden, und das ist meist der grösste Teil.

Welche Schritte sind notwendig um eine Webseite oder Webseitensammlung zu löschen

Zum Abschluss werden noch die Schritte beschrieben, welche dann zur Löschung des Arbeitsraumes führen. Hier muss der Anwender ggf. angeben, dass er alle relevanten Daten archiviert hat. Danach folgt eine Abfolge von Tätigkeiten und Zuständigkeiten um die Webseite oder die Webseitensammlung zu löschen. Natürlich kann auch hier ein Drittanbietersystem eingesetzt werden, welches alle Inhalte aus SharePoint herauszieht und auf billigem Speicherplatz ablegt. So gehen keine Informationen verloren und doch wird die SharePoint Infrastruktur entschlackt.

 

Soviel grob zum Bereich Prozesse in der SharePoint Governance. Wie mehrmals erwähnt muss dieser Bereich individuell auf die Ablauf- und Aufbauorganisation Ihres Unternehmens angepasst werden, es macht viel Sinn, hier einen SharePoint Profis beratend beizuziehen.

So long, Samuel Zürcher

Aus dem Alltag: Timer Job Probleme


Wenn Sie mit Timer Jobs auf SharePoint arbeiten, so kann es vorkommen, dass ein Timer Job, welcher deinstalliert wurde, trotzdem noch weiter läuft. Der SharePoint Timer Service hat den Code im Cache, und sollte nach der Deinstallation neu gestartet werden.

Nach dem Neustart des SharePoint Timer Services ist alles wieder so wie es sein sollte.

  1. Klicken Sie auf Start –> Ausführen und geben Sie services.msc ein.
  2. Suchen Sie nach Windows SharePoint Services Timer
  3. Klicken Sie auf “Restart”

image

SharePoint Governance: Teil III Rollen


Nun kommen wir zum nächsten Punkt, die Rollen. Es gibt zwei Ansätze, wie man Rollen verstehen kann.

  1. Aus IT Sicht, wo eine Rolle immer direkt mit einem definiterten Berechtigungsschema hinterlegt ist
  2. Aus Business Sicht, in welcher an verschiedenen Stellen im Unternehmen gleiche Rollen anders wahrgenommen und ausgefüllt werden

Ich nehme ein paar Beispiele:

  • In der IT ist die Rolle des Systemadministrators gegeben, er ist der, welcher auf den Servern Zugriff hat und darauf arbeitet. Die Rolle des Supporters ist die, welche Telefone entgegennimmt und die daraus entstehenden Issues an den Systemadministrator weitergibt, wenn er diese nicht selbst lösen kann. Meist nimmt der Systemadministrator nur selten die Rolle des Supporters ein und umgekehrt, es sei denn, man hat eine kleine IT Infrastruktur und jeder muss jede Rolle wahrnehmen.
  • In der Business Sicht ist die Rolle etwas Anderes. Es ist ein Aufgabenbereich, welcher in einer bestimmten Konstellation zusammengestellt ist bzw. wird. So kann z.B. sehr gut ein Abteilungsleiter der Abteilung B gleichzeitig ein Mitarbeiter in Bereich A sein. In einer anderen Abteilung ist der selbe Mitarbeiter nur Besucher und in einer dritten Abteilung vielleicht noch Stellvertreter. Dieses Szenario liesse sich beliebig ausweiten, wenn man  z.B. noch die Projektebene hinzunimmt, welche doch (möchte ich behaupten) in jedem Unternehmen vorkommt. In jedem Projekt gibt es wieder eigene Rollen, in denen Mitarbeitende wie in einer Matrixorganisation diverse Rollen einnehmen können. Ist ein Mitarbeiter in Projekt A ein Projektleiter, so kann es durchaus sein, dass er in Projekt B Mitarbeiter ist und in Projekt C gar keinen Zugriff hat.

Wir sehen also, die Business Sicht auf ein sogenanntes Rollenkonzept viel weiter reicht als lediglich ein Berechtigungsset zu definieren. Natürlich haben wir bei genauerem Hinschauen auch in den IT Rollen Überschneidungen und auch in der Business Sicht liessen sich starre Modelle realisieren. Doch wichtig ist hier, Rollen bestimmen nicht nur ein Set an Rechten und Zugriffen. Dies ist nur ein Teil davon, sondern sie bestimmen auch ggf. Aufgaben,  Kompetenzen und Verantwortlichkeiten.

Um ein Rollenkonzept zu definieren, brauchen Sie zuerst einen Überblick über das Business. Wir sind ja auf einer SharePoint Seite, also sprechen wir natürlich nur über Rollen, welche dann auch mit SharePoint in Verbindung stehen. Von der Business Sicht muss also zuerst angeschaut werden, welche Informationsarchitektur besteht. Sprich: Wo werden wir welche Inhalte auf welche Weise verwalten. Auch hier wieder ein Beispiel: Viele Firmen arbeiten mit Projekten. Ein Projekt ist eine perfekte Endität für eine SharePoint Seite oder eine SharePoint Webseitensammlung. Welche Rollen habe ich in meinem Unternehmen, welche mit diesem Projekt zu tun haben werden? Hier eine nicht abschliessende Liste einer Grundausstattung. Natürlich können wir auch die Rollen eines Projektes zu tode aufblasen, jede nur erdenkliche Rolle hinzufügen.

  • Projektleiter
  • Projektassistenz
  • Projektmitarbeiter
  • Externe Beteiligte
  • Projektcontrolling
  • Besucher

Gestützt auf die Rollen werden dann die Aufgaben und die Berechtigungen verteilt. In SharePoint sind vor Allem die Rechte relevant, da die AKV betriebsorganisatorisch geregelt werden müssen. Man kann also hingehen, und z.B. einen PL Ordner machen, auf welchen nur die Rolle PL und Projektassistenz so wie Controlling Zugriff haben.

Analog diesem Beispiel kann nun jede Umgebung (Intranet, DMS, Extranet, Projektportal etc.) mit Rollen versehen und Berechtigungsmässig strukturiert werden. So lassen sich im SharePoint Wildwuchs und Berechtigungschaos (welches auch auf den Fileservern herrscht) vermeiden. Wichtig ist, Business first. Also zuerst das Business in logische Einheiten einteilen, die Rollen und Aufgaben klären und dann die Struktur des SharePoint designen.

So long, Samuel

Aus dem Alltag: Probleme beim Starten des WSS Help Search Service


Wenn versucht wird, in einr Farm den Help Search Service zu starten kommt die Error Meldung „Start failed“ ohne grössere Fehlermeldung. Wenn man dann die Logs durchsucht findet man den Fehler: 

The call to SPSearchServiceInstance.Provision (server ‚NTS499‘) failed. Setting back to previous status ‚Disabled‘.

Nach etwas suchen habe ich die Lösung im WEB Gefunden, und ich habe mich blau geärgert. Man muss die Service Usernames und den Crawling Account mit domain\accountname eingeben, dann geht es…

So einfach und doch so mühsam.
So long, Samuel