Очередная заметка цикла об установке и базовой настройке SharePoint Server 2013 SP1 будет посвящена настройке общей службы SharePoint – Службы профилей пользователей (User Profile Service) и связанной с ней службы - Службы синхронизации профилей (User Profile Synchronization Service).
Онлайн документацию на русском языке о развертывании и настройке Службы профилей можно найти в документе Администрирование службы профилей пользователей в SharePoint Server 2013, где мы можем найти краткое определение этих двух служб:
Служба профилей пользователей — это общая служба в SharePoint Server 2013, позволяющая создавать и администрировать профили пользователей, доступ к которым можно получить с нескольких сайтов и из нескольких ферм.
Служба синхронизации профилей в SharePoint Server 2013 позволяет администраторам службы профилей пользователей синхронизировать сведения профилей пользователей и групп, которые хранятся в хранилище профилей SharePoint Server 2013, со сведениями профилей, которые хранятся в службах каталогов и бизнес-системах предприятия.
Согласно документа Создание, изменение и удаление приложений службы профилей пользователей в SharePoint Server 2013 нам необходимо убедиться в том, что выполнены предварительные требования для развертывания Службы профилей:
- Используется редакция SharePoint Server 2013 Standard или Enterprise
- Существует экземпляр Службы управляемых метаданных (Managed Metadata Service).
- Существует пул приложений и развернутое на нём семейство сайтов, которое использует шаблон узла личного сайта (My Site Host template)
В нашем случае эти условия соблюдены и мы приступаем к реализации следующего плана действий:
1. Настройка Службы профилей пользователей (User Profile Service)
1.1. Создаем управляемую учетную запись (Managed Account) для Службы профилей
1.2. Создаем новый экземпляр общей Службы профилей (User Profile Service)
1.3. Проверяем доступность веб-узла Личных сайтов
2. Настройка Службы синхронизации профилей пользователей (User Profile Synchronization Service)
2.1. Включаем поддержку доменных имен NetBIOS для Службы профилей
2.2. Настраиваем разрешения для учетной записи SharePoint Farm service account на уровне сервера SharePoint
2.3. Создаем учетную запись синхронизации и предоставляем ей разрешения на уровне домена
2.4. Запускаем Службу синхронизации профилей
2.5. Создаем и настраиваем подключение синхронизации к службе каталогов AD
2.6. Настраиваем фильтры исключений для подключения к AD
2.7. Настраиваем свойства профилей и их сопоставление с атрибутами AD
2.8. Запускаем первую синхронизацию профилей
2.9. Проверяем результат синхронизации и выполняем заключительные процедуры
1. Настройка Службы профилей пользователей (User Profile Service)
1.1. Создаем управляемую учетную запись для Службы профилей
Эта учетная запись будет использоваться для запуска пула приложений (IIS Application Pool) с которым будет ассоциировано создаваемое в дальнейшем веб-приложение SharePoint (Web Application). В SharePoint 2013 Management Shell либо в Windows PowerShell предварительно подгрузив PSSnapin SharePoint.
Add-PSSnapin Microsoft.SharePoint.PowerShell $User = "KOM\s-KOM-AD01-SP-UPSvc" $Pass = ConvertTo-SecureString "Pa$sW0Rd" -AsPlainText -Force $Cred = New-Object Management.Automation.PSCredential ($User, $Pass) New-SPManagedAccount -Credential $Cred
Результат можем проверить в Центре администрирования (ЦА) по ссылкам:
Central Administration > Security > General Security > Configure managed accounts
1.2. Создаем новый экземпляр общей Службы профилей
Для создания нового экземпляра веб-приложения Службы профилей перейдём в ЦА по ссылкам:
Central Administration > Application Management > Service Applications > Manage service applications
В ленте на вкладке Service Applications нажимаем New и в выпадающем списке выбираем пункт User Profile Service Application
В открывшейся веб-форме нам нужно будет указать целый ряд параметров, которыми будет сконфигурирована создаваемая Служба профилей.
Имя службы (Name) зададим, например User Profile Service Application
Выберем пункт создания нового пула приложений IIS (Create new application pool) и введём понятное нам имя нового пула приложений, например SharePoint User Profile Service AppPool. Имейте ввиду, что не смотря на то, какое имя мы здесь введём, в консоли IIS Manager после создания Службы профилей пул приложений будет отображаться в виде длинного идентификатора.
Затем выбираем из ниспадающего списка управляемую учетную запись, которую создали ранее специально для этого пула приложений:
Select a security account for this application pool > Configurable > KOM\s-KOM-AD01-SP-UPSvc
В секции настроек Profile Database для указания имени сервера БД (Database Server) используем созданный нами ранее SQL-Alias – KOM-AD01-SQLSP
В качестве имени БД (Database Name), в которой будут храниться профили пользователей, укажем удобное и понятное для нас имя, например SharePoint_ProfileSvc_MainDB.
Тип аутентификации оставляем предложенный по умолчанию — Windows authentication
В секции настроек Synchronization Database для указания имени сервера БД (Database Server) используем созданный нами ранее SQL-Alias – KOM-AD01-SQLSP
В качестве имени БД (Database Name), в которой будут храниться настройки и результаты работы Службы синхронизации профилей, укажем удобное и понятное для нас имя, например SharePoint_ProfileSvc_SyncDB.
Тип аутентификации оставляем предложенный по умолчанию — Windows authentication
В секции настроек Social Tagging Database для указания имени сервера БД (Database Server) используем созданный нами ранее SQL-Alias – KOM-AD01-SQLSP
В качестве имени БД (Database Name), в которой будут храниться такие данные, как социальные теги и оценки контента для пользователей, укажем удобное и понятное для нас имя, например SharePoint_ProfileSvc_SocialTaggingDB.
Тип аутентификации оставляем предложенный по умолчанию — Windows authentication
В параметре Profile Synchronization Instance из списка SharePoint серверов, на которых есть Служба синхронизации профилей, выберем имя сервера, на котором будет выполнятся запуск процесса синхронизации. В нашем случае это единственный в ферме сервер KOM-AD01-WEB03.
В параметре My Site Host URL укажем ссылку на корневой сайт семейства сайтов, которое мы развернули в прошлой заметке для узлов Личных сайтов: http://kom-ad01-sp-mys.holding.com:80/
В параметре My Site Managed Path оставим предложенное по умолчанию значение /personal, которое определяет путь виртуального каталога для создания веб-узлов Личных сайтов.
В параметре Site Naming Format из трёх предложенных вариантов формирования полного URL узла Личных сайтов для каждого отдельно взятого пользователя выберем вариант Domain and user name (will not have conflicts), как самый оптимальный, особенно в том случае, если в инфраструктуре присутствует несколько доменов.
В параметре Default Proxy Group оставляем предложенное по умолчанию значение Yes, чтобы создаваемая нами Служба профилей вошла в состав Общих служб используемых по умолчанию для всех семейств сайтов в нашей ферме SharePoint
Нажимаем Create и ждём статусного сообщения об успешном создании нового экземпляра Службы профилей
После этого в ЦА переходим в список общих служб по ссылкам:
Central Administration > Application Management > Service Applications > Manage services on server и убеждаемся в том, что служба User Profile Service запущена:
1.3. Проверяем доступность веб-узла Личных сайтов
Буквально через несколько минут после создания и запуска Службы профилей, на всех сайтах принадлежащих к семействам сайтов у которых есть привязка к группе Общих служб по умолчанию (Default Proxy Group), в верхней навигационной панели рядом с именем текущего пользователя появятся дополнительные ссылки на функции обеспечиваемые Службой профилей и Личными сайтами…
…а при нажатии имени пользователя в выпадающем меню ссылка “Мои параметры” (ссылка на страницу сведений о пользователе SharePoint) будет заменена на ссылку “Обо мне” (ссылка на страницу пользователя на корневом сайте семейства Личные сайтов), в нашем случае это ссылка
http://kom-ad01-sp-mys.holding.com/Person.aspx
Уже непосредственно с этой страницы пользователь сможет попасть на свой персональный веб-узел - Личный сайт и управлять этим сайтом. То есть, в конечном итоге, мы должны получить получим работоспособный функционал Личных сайтов, который был недоступен нам в конце заметки Часть 6 – Создание семейства сайтов для Личных сайтов (My Sites)
2. Настройка Службы синхронизации профилей пользователей (User Profile Synchronization Service)
Базовый документ, от которого мы будем отталкиваться для настройки и использования Службы синхронизации профилей - Управление синхронизацией профилей пользователей в SharePoint Server 2013.
Как уже было отмечено ранее в определении, Служба синхронизации профилей нужна нам для того, чтобы поддерживать в актуальном состоянии данные профилей пользователей используя в качестве источника данных внешние хранилища, такие как например служба каталогов Active Directory (AD). Далее мы рассмотрим процесс настройки и синхронизации Службы профилей с AD. Хотя Служба синхронизации способна поддерживать двух-сторонний обмен данными между Службой профилей SharePoint и AD (импорт из AD и экспорт в AD), нами будет рассмотрен сценарий только импорта данных из AD, как наиболее часто применяемый на практике.
2.1. Включаем поддержку доменных имен NetBIOS для Службы профилей
Если NetBIOS-имя домена, с которым мы планируем настроить синхронизацию, отличается от его полного доменного имени, то для Службы профилей пользователей нам нужно включить поддержку доменных имен NetBIOS. В нашем примере это правило применимо, так как полное имя домена "holding.com" а NetBIOS-имя - "KOM".
Так как в текущей версии SharePoint сделать это можно только с помощью PowerShell, для начала уточним DisplayName для службы профилей, просмотрев весь список общих служб.
Add-PSSnapin Microsoft.SharePoint.PowerShell Get-SPServiceApplication | ft -auto
Теперь для соответствующей Службы профилей включим поддержку доменных имен NetBIOS
Add-PSSnapin Microsoft.SharePoint.PowerShell $UPSDName = "User Profile Service Application" $ServiceApps = Get-SPServiceApplication $UserProfileServiceApp = "" foreach ($sa in $ServiceApps) {if ($sa.DisplayName -eq $UPSDName) {$UserProfileServiceApp = $sa} } $UserProfileServiceApp.NetBIOSDomainNamesEnabled = 1 $UserProfileServiceApp.Update()
2.2. Настраиваем разрешения для учетной записи SharePoint Farm service account на уровне сервера SharePoint
Согласно документа Планирование синхронизации профилей для SharePoint Server 2013 (Планирование разрешений учетных записей) перед непосредственным процессом инициализации службы синхронизации профилей, то есть перед её первым запуском нужно выполнить одно важно требование - необходимо включить учетную запись Database Access account, или как её ещё по другому называют SharePoint Farm service account, (в нашем примере s-KOM-AD01-SP-Farm) в группу локальных Администраторов на сервере SharePoint, где будет выполнятся запуск Службы синхронизации. После этого нужно перезагрузить сервер SharePoint чтобы предоставленные права начали действовать.
В дальнейшем, после окончания процесса инициализации Службы синхронизации профилей (запуска, настройки и успешной первоначальной синхронизации), учетную запись s-KOM-AD01-SP-Farm можно будет снова исключить из группы локальных Администраторов на сервере SharePoint. Однако, чтобы после этого Служба синхронизации могла продолжить успешно работать, необходимо дополнительно предоставить учетной записи s-KOM-AD01-SP-Farm право локального входа в систему на сервере SharePoint, где в дальнейшем будет периодически выполняться процесс синхронизации.Предоставить такое разрешение можно через оснастку редактора Локальной групповой политики (Control Panel > Administrative Tools > Local Security Policy)
В разделе Security Settings > Local Policies > User Rights Assignment добавим нашу учетную запись в политику Allow log on locally
2.3. Создаем учетную запись синхронизации и предоставляем ей разрешения на уровне домена
Теперь нам необходимо в нашем домене создать отдельную учетную запись пользователя, от имени которого Служба синхронизации профилей будет обращаться к источнику синхронизации, в качестве которого в нашем примере будет выбран домен Active Directory. В нашем случае это будет учетная запись s-KOM-AD01-SP-UPSync.
Чтобы понять то, какие разрешения в AD нам нужно предоставить созданной учётной записи, сначала ознакомимся с документом Планирование синхронизации профилей для SharePoint Server 2013 (Планирование разрешений учетных записей). Затем, чтобы понять то, каким образом можно настроить необходимые разрешения можно обратиться к документу Предоставление доменным службам Active Directory разрешений для синхронизации профилей в SharePoint Server 2013.
Согласно этим документам для созданной учетной записи s-KOM-AD01-SP-UPSync в домене могут быть предоставлены 4 вида разрешений:
Разрешение #1. Предоставить учетной записи в домене разрешение "Репликация изменений каталога" (Replicating Directory Changes)
Разрешение "Репликация изменений каталога" позволяет учетной записи синхронизации считывать объекты доменных служб Active Directory и обнаруживать в этих службах объекты, которые менялись в домене. Разрешение "Репликация изменений каталога" не позволяет учетной записи создавать, менять или удалять объекты доменных служб Active Directory
Чтобы выполнить этот пункт обратимся к документу Предоставление разрешения "Репликация изменений каталога" для домена. Для того, чтобы выполнить делегирование указанного права, мы создали в домене отдельную локальную группу безопасности (например SRV-ReplicatingADChanges) и включили в неё нашу учетную запись s-KOM-AD01-SP-UPSync. Далее в оснастке Active Directory - Users and Computers открываем свойства нашего домена и на закладке Безопасность добавляем разрешение "Репликация изменений каталога" (Replicating Directory Changes) с применением к текущему объекту и всем дочерним.
Разрешение #2. Включить учетную запись в доменную группу "Пред-Windows 2000 доступ" в случае, если контроллер домена работает под управлением Windows Server 2003. В нашем случае это требование неприменимо, так как домен имеет уровень Windows Server 2008 R2.
Разрешение #3. Предоставить в домене разрешение "Репликация изменений каталога" (Replicating Directory Changes) для контейнера cn=configuration в том случае, если NetBIOS-имя домена отличается от полного доменного имени.
В нашем примере это правило применимо, так как полное имя домена "holding.com" а NetBIOS-имя - "KOM". Чтобы выполнить этот пункт обратимся к документу Предоставление разрешения "Репликация изменений каталога" для контейнера cn=configuration.
Для того, чтобы выполнить делегирование указанного права, мы создали в домене отдельную глобальную группу безопасности (SRV-Replicating_AD_Changes_Config) и включили в неё нашу учетную запись s-KOM-AD01-SP-UPSync.
Откроем оснастку adsiedit.msc, подключимся к контексту именования Конфигурация для текущего домена и откроем свойства объекта CN=Configuration,DC=holding,DC=com
На закладке Безопасность добавляем разрешение "Репликация изменений каталога" (Replicating Directory Changes) с применением к текущему объекту.
Разрешение #4. Если планируется выполнять обратную синхронизацию данных, то есть экспорт из SharePoint в Active Directory, то учетной записи нужно предоставить разрешения "Создание дочерних объектов" (данный объект и все дочерние объекты) и "Запись любых свойств" (данный объект и все дочерние объекты) для на уровне доменного OU, с которым будет выполнятся синхронизация. Как это сделать описано в документе Предоставление разрешений "Создание дочерних объектов" и "Запись". Как я уже отметил ранее, в нашем примере такая синхронизация не планируется, и поэтому данная настройка разрешений произведена не будет.
2.4. Запускаем Службу синхронизации профилей
Переходим в ЦА в список служб по ссылкам Central Administration > Application Management > Service Applications > Manage services on server и вызываем запуск службы User Profile Synchronization Service
При запуске будет открыта форма User Profile Synchronization Service, где нам будет предложено ввести пароль учетной записи SharePoint Farm service account, так как именно от этой учетной записи будет выполняться Служба синхронизации профилей.
Жмём ОК и дожидаемся (время ожидания может затянутся до 10 - 15 минут) пока служба User Profile Synchronization Service изменит свой статус с Starting на Started.
В процессе инициализации при первом запуске Службы синхронизации фактически будет выполнено конфигурирование двух основных системных служб, на которых и базируется функционал синхронизации - Forefront Identity Manager Service и Forefront Identity Manager Synchronization Service.
После того как статус Службы синхронизации изменился на Started, выполняем перезапуск IIS командой (cmd с правами Администратора) IISReset
2.5. Создаем подключение синхронизации к службе каталогов AD
Подробное описание этого процесса можно найти в документе Создание подключения синхронизации к службе каталогов.
После того как IIS перезапущен, мы можем создать User Profile Synchronization Connection, то есть внести в Службу профилей информацию об источнике данных, из которого мы будем выполнять синхронизацию профилей. В нашем случае, как я уже отметил ранее, это будет домен Active Directory.
Переходим в ЦА по ссылкам:
Central Administration > Application Management > Service Applications > Manage service applications
в списке служб выбираем Службу профилей и на ленте нажимаем Manage
В разделе настроек Synchronization выбираем пункт Configure Synchronization Connection
Чтобы создать новое подключение, переходим по ссылке Create New Connection
В открывшейся форме Add new synchronization connection в параметр Connection Name вводим понятное для нас имя соединения, например ADDS Connection.
В параметре Type из возможных вариантов выбираем Active Directory.
В Connection Settings в Forest name вводим имя леса AD (в нашем случае holding.com) и указываем (при необходимости) ближайший контроллер домена - Specify a domain controller
Далее указываем имя пользователя и пароль от учетной записи, от имени которой будет выполняться подключение к источнику данных, которую мы создали в п.2.3 (KOM\s-KOM-AD01-SP-UPSync).
В параметре Port оставляем предложное по умолчанию значение 389, как порт для подключения к контроллеру домена по протоколу Lightweight Directory Access Protocol (LDAP).
После этого нажимаем кнопку Populate Containers, чтобы расположенная ниже окно заполнилось структурой контейнеров OU из AD, где мы можем отметить те OU в которых расположены доменные пользователи, информацию о которых мы хотим синхронизировать в Службу профилей.
2.6. Настраиваем фильтры исключений для подключения к AD
После того как соединение с AD создано, мы можем произвести его дополнительную настройку в плане добавления фильтрации синхронизируемых данных. В качестве опорного документа используем Определение фильтров исключений.
Выберем в списке только что созданное нами соединение и в выпадающем меню выберем пункт Edit Connection Filters
В нашем примере в качестве фильтра исключений при синхронизации будут определены все выключенные учетные записи пользователей, а также служебные учетные записи пользователей, которые в нашем окружении имеют имя с маской “s-*”
Сначала добавим фильтр исключения для выключенных учетных записей. После выбора интересующего нас атрибута userAccountControl в поле Operator выбираем Is present и ждём когда обновиться выпадающий список операторов, допустимых для данного атрибута. В обновившемся списке операторов выбираем Bit on equals и значение фильтра - 2. Обратите внимание на то, что по умолчанию новый фильтр создается с типом All apply (AND), однако в нашем случае для комбинирования нескольких фильтров нужно будет выбрать условие Any apply (OR)
Далее по аналогии создаем ещё один нужный нам фильтр исключения по значению атрибута cn с оператором Starts with и значением фильтра “s-”
При необходимости также можно настроить фильтры исключений для синхронизации групп.
Возможные варианты применения операторов сравнения в зависимости от значений атрибутов можно найти в документе Операторы и типы данных фильтра подключений в SharePoint Server 2013
2.7. Настраиваем свойства профилей и их сопоставление с атрибутами AD
При необходимости мы можем изменить состав свойств хранящихся в профилях пользователей SharePoint, опираясь на документы Добавление, изменение и удаление настраиваемых свойств в профилях пользователей SharePoint Server 2013 и Сопоставление свойств профиля пользователя.
Рассмотрим пример создания нескольких дополнительных свойств, определяющих адрес места работы пользователя. При создании новых свойств выполним сопоставление этих свойств с атрибутами в AD для их последующей синхронизации. Будем использовать значения полей Улица, Город, Область, Почтовый индекс из свойств учетной записи пользователя AD.
Переходим в раздел управления Службой профилей и вызываем настройку управления свойствами профилей по ссылкам в ЦА:
Central Administration > Application Management > Service Applications > Manage service applications > Выбираем службу User Profile Service Application. В разделе People выбираем Manage User Properties
В открывшемся списке свойств внимательно изучим все значения доступные нам в конфигурации по умолчанию. Чтобы добавить новое значение используем ссылку New Property
Добавим в Службу профилей 4 новых свойства:
| Свойство учётной записи AD | Display Name нового свойства профиля SharePoint | Имя атрибута учётной записи пользователя в AD |
| Почтовый индекс | Address postal code | postalCode |
| Область, край | Address region | st |
| Город | Address city | l |
| Улица | Address street | streetAddress |
Рассмотрим пример добавления свойства Почтовый индекс (Address postal code). Так как мы решили, что этот атрибут будет у нас синхронизироваться из AD, нам нужно знать тип значения и предельную длину атрибута в службе каталогов для сопоставляемого атрибута postalCode.
Чтобы выяснить тип значения и максимальную длину для атрибутов доменного пользователя обратимся с помощью PowerShell к схеме AD.
$Schema =[DirectoryServices.ActiveDirectory.ActiveDirectorySchema]::GetCurrentSchema() # Основные свойства класса # $Schema.FindClass("user").mandatoryproperties | Out-GridView # Дополнительные свойства класса $Schema.FindClass("user").optionalproperties | Out-GridView
В результате выполнения откроется грид-форма, в которой мы можем найти интересующий нас атрибут. Как видим, в нашем случае искомый атрибут postalCode имеет строковое значение с длиной до 40 символов.
Вернёмся к форме создания нового свойства профилей пользователей в Службе профилей SharePoint Add User Profile Propertiy.
В параметр Name зададим имя свойства, на английском языке без пробелов, например AddressPostalCode.
В параметр Display Name зададим отображаемое имя на английском языке, например Address postal code
Тип (Type) выберем – Однострочное строковое значение (String Single Value)
Длина (Lenght) укажем, как мы выяснили, – 40 символов.
Если мы хотим, чтобы создаваемое свойство профиля отображалось на других языках, например на русском, используем кнопку Edit Language под соответствующим параметром, например Display Name, и в открывшейся диалоговой веб-форме выберем из списка нужный язык и введём соответствующее ему значение на этом языке.
Далее в блоке настроек Policy Settings укажем является это свойства обязательным или опциональным.
В блоке Edit Settings укажем, что пользователи не могут самостоятельно изменять это свойство на странице редактирования свойств профиля SharePoint, так как это свойство будет реплицироваться из AD – Do not allow users to edit values for this property
В блоке Display Settings укажем где может отображаться значение данного свойства, например имеет смысл отключить его отображение на странице редактируемых свойств профиля и включить для отображения на информационной странице всех свойств профиля.
Далее в блоке Property Mapping for Synchronization мы видим, что наше свойство не имеет привязки с точки зрения синхронизации ни к какому внешнему источнику данных. Используя блок настроек Add New Mapping создадим такую привязку выбрав в качестве Source Data Connection созданное нами ранее соединение c AD – ADDS Connection
В параметре Attribute выберем атрибут учетной записи AD к которому будет выполнена привязка, в нашем случае это (согласно приведённой выше таблице) postalCode.
В параметре Direction выберем Import, так как мы планируем только импорт данных значений этого атрибута из AD в свойство профиля SharePoint, и нажмём Add
После этого в блоке Property Mapping for Synchronization должна появиться соответствующая запись:
Сохраняем новое свойство профиля и затем по аналогии добавляем ещё 3 свойства согласно ранее приведённой таблице соответствия создаваемых свойств с атрибутами в AD:
2.8. Запускаем первую синхронизацию профилей
Предварительно ознакомимся с документом Запуск синхронизации профилей
Переходим в раздел управления Службой профилей (Central Administration > Application Management > Service Applications > Manage service applications > Выбираем службу User Profile Service Application)
Справа, где отображается текущая статусная информация о службе профилей мы видим, что в данный момент в службе профилей создан только один профиль (Number of User Profiles).
Запускаем процедуру первой полной синхронизации – Start Profile Synchronization
В открывшейся форме запуска синхронизации выбираем тип полной синхронизации – Start Full Synchronization > OK
После чего наблюдаем за обновлением статусной информации на главной странице Службы профилей…
Для детального мониторинга процесса синхронизации можно воспользоваться утилитой miisclient.exe (по умолчанию расположена в каталоге C:\Program Files\Microsoft Office Servers\15.0\Synchronization Service\UIShell), которая по сути является Forefront Identity Manager Client. Эта утилита отображает в реальном времени все операции синхронизации и поможет в анализе ситуации при возможном возникновении проблем.
2.9. Проверяем результат синхронизации и выполняем заключительные процедуры
После того как процесс синхронизации завершится, на главной странице Службы профилей изменится итоговое значение количества созданных профилей.
Перейдём на страницу отображения свойств профиля пользователя в семействе Личных сайтов и убедимся в том, что добавленные нами ранее свойства профиля отображаются и имеют значения полученные в результате синхронизации из AD.
***
Теперь мы можем сказать, что первоначальная синхронизация Службы профилей прошла успешно, и руководствуясь разделом Удаление ненужных разрешений из документа Запуск службы синхронизации профилей пользователей, мы можем удалить учетную запись Database Access account, или как её ещё по другому называют SharePoint Farm service account, (в нашем примере s-KOM-AD01-SP-Farm) из группы локальных Администраторов на сервере SharePoint.
Чтобы изменение прав вступило в силу, перезагружаем сервер SharePoint и убеждаемся в том, что дальнейший автоматический запуск Службы профилей и Службы синхронизации профилей выполняется успешно и их работа приносит ожидаемый результат.
Дополнительные источники информации:
RSS - Записи
Обратная ссылка: Импорт фотографий пользователей из Active Directory в SharePoint Server 2013 | Блог IT-KB /
Добрый день.
Очень хороший цикл статей, реально помогло понять что к чему. Единственное, в этой статье для учетки UPSync для контейнера cn=configuration разрешение выставлять надо всегда, иначе не работает.
Было бы здорово еще про настройку Workflow Manager почитать, его настройка мне показалась так же не тривиальной процедурой.
Про развёртывание Workflow Manager на отдельной системе с последующей интеграцией в SP2013 я писал в заметке https://blog.it-kb.ru/2014/05/19/install-workflow-manager-1-0-cu2-on-windows-server-2012-r2-for-integration-sharepoint-server-2013-sp1
Вероятно из-за этого у меня не получается сделать соединение с Active Directory. права все выставил учетке а все равно ругань, не удалось контролер найти для указанного домена...
В силу каких причин у меня только что созданное соединение отображается только как текст? я не могу его отредактировать...
Добрый день. Отличные статьи, благодаря им много настроил. Только такой вопрос, у производителя заявлено что в ленте новостей, в списке задач будут отображаться все задачи отовсюду, однако у меня показывает только личные...ни откуда больше не черпает...подскажите где капать?
Как я понял должно настроено "Приложение службы управления работой"...
Об этой службе вроде бы ничего не сказано. но помойму она нужна для настройки доверительных отношений между шарпойнтом и эксченжем. Поправьте если я не ошибаюсь
Ну судя по документации да, но и для работы внутри шарика она тоже необходима. Вообщем проблема решилась запуском это службы от имени учетки личных сайтов.
Грамотный, подробный материал. Спасибо автору. Полагаю, что этого будет достаточно для настройки служб, ответственных за синхронизацию профилей пользователей.
При попытке первого запуска User Profile Synchronization Service от имени Farm account у меня статус службы меняется на Starting, но до Started не доходит ни через какое время. Подскажите, где и что можно посмотреть для анализа проблемы.
Можно ли как то включить опцию "Параметры отображения" пунт "показывать в разделе свойств профиля на странице профиля пользователя" в уже созданном свойстве? забыл его чекнуть при заведени... а удалить не удается. Ошибка при удалении; повторите попытку позднее. Если ошибка повторяется, обратитесь к администратору.
Сам нашел
..http://www.hezser.de/blog/2013/02/08/cannot-delete-user-profile-property-in-sharepoint-2013/
Права надо было выдать от той учетки которой настраивай шфрпойнт
Автору и всем читателям большой привет!
У меня вопрос.
В обзоре проблем и решений вдруг появилась ошибка:
"DOM\spfarm, учетная запись, используемая для службы таймера SharePoint и сайта центра администрирования, обладает широкими правами и не используется ни для каких служб ни на одном компьютере фермы серверов. Обнаружено, что следующие службы использовали эту учетную запись: Служба синхронизации профилей пользователей(Windows Service)"
Этот аккаунт как раз является SharePoint Farm service account.
В статье говорится что:
"При запуске будет открыта форма User Profile Synchronization Service, где нам будет предложено ввести пароль учетной записи SharePoint Farm service account, так как именно от этой учетной записи будет выполняться Служба синхронизации профилей."
Если поменять учетную запись в запуске синхронизации профилей то FIMSynchronizationService Больше не запустится...
Как быть? забить на это предостережение-ошибку и восстановить запуск службы синхронизации профилей от учетной записи spfarm?
Перезапустил сервер, и добавил прав на базу данных SyncDB пользователю от которого идет соединение с доменом. Так же пришлось менять учетную запись пользователя запускаемого службу распределенного кэша и в политике поменять вход как службы - добавить все необходимые для запуска сервисов службы...
нашел излюбнейший ответ микрософта на свой вопрос - https://technet.microsoft.com/ru-ru/library/gg750254(v=office.14).aspx#alert
Ошибку можно проигнорировать..