SharePoint 2010 et Kerberos… bis repetita.

Bonjour,

Tout à mon installation de SharePoint 2010 en mode d’authentification Kerberos, je me disais que les développeurs avaient probablement amélioré la gestion des applications web IIS7 par rapport à MOSS2007.

Notamment, les deux problèmes suivants, déjà évoqués ici:

• Kerberos et SharePoint: mais pourquoi ça marche pas ? :-) IIS7 mon ami, IIS7... (à compléter avec le post: Correctif Kerberos IIS7 en mode Kernel et "useAppPoolCredentials"
• Le client: "Je ne comprend pas, mes fichiers qui ont des + dans le nom ne fonctionnent pas !"

Je me disais donc: SharePoint 2010 doit maintenant prendre en charge la gestion correcte de Kerberos en Windows Authentication mode Kernel ? après tout, c’est SharePoint 2010 qui crée lui-même ses applications IIS7 ? Et bien non. Enfin oui, mais non: pour contourner le problème de l’identité de l’application pool nécessaire en mode ferme (multiples web servers négociant avec la même identité), SharePoint 2010 crée ses applications Kerberos en désactivant le mode Kernel !

La modification de ce comportement est donc la même qu’avec MOSS2007, mon premier post est donc encore applicable (liens ci-dessus).

Concernant l’activation du doubleEscaping IIS7 pour nos fichiers aux noms “tordus” (+, &, etc.) je n’ai guère plus d’espoir. Comme toujours, ayez le réflexe “configuration IIS7” en cas d’erreur brutale renvoyée par le serveur (pages non mises en forme par SharePoint, mais renvoyées directement par IIS7).

Bien à vous !

Adobe PDF iFilter sur SharePoint 2010

 

Bonjour,

Je continue mon tour d’horizon de SharePoint 2010, en essayant de reproduire sur une maquette l’ensemble des fonctionnalités de ma production actuelle (MOSS2007).

L’installation du composant iFilter PDF d’Adobe se déroule sans problème. Par contre, il faut être vigilant sur les clés de registre, comme pour MOSS2007 me direz-vous, mais encore plus:

L’installeur ne crée pas les clés Filters et Extension. Elles sont mentionnées dans la documentation Adobe accompagnant le composant.

Voici les clés de registres complètes à mettre en place suite à l’installation du composant:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0\Search\Setup\ContentIndexCommon\Filters\Extension\.pdf]
@=hex(7):7b,00,45,00,38,00,39,00,37,00,38,00,44,00,41,00,36,00,2d,00,30,00,34,\
  00,37,00,46,00,2d,00,34,00,45,00,33,00,44,00,2d,00,39,00,43,00,37,00,38,00,\
  2d,00,43,00,44,00,42,00,45,00,34,00,36,00,30,00,34,00,31,00,36,00,30,00,33,\
  00,7d,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions\14.0\Search\Setup\ContentIndexCommon\Filters\Extension\.pdf]
@=hex(7):7b,00,45,00,38,00,39,00,37,00,38,00,44,00,41,00,36,00,2d,00,30,00,34,\
  00,37,00,46,00,2d,00,34,00,45,00,33,00,44,00,2d,00,39,00,43,00,37,00,38,00,\
  2d,00,43,00,44,00,42,00,45,00,34,00,36,00,30,00,34,00,31,00,36,00,30,00,33,\
  00,7d,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0\Search\Setup\Filters\.pdf]
"Extension"="pdf"
"MimeTypes"="application/pdf"
"FileTypeBucket"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions\14.0\Search\Setup\Filters\.pdf]
"Extension"="pdf"
"MimeTypes"="application/pdf"
"FileTypeBucket"=dword:00000001

Autre point à surveiller: vous savez sans doute déjà qu’il faut ajouter le fichier d’icône PDF dans le répertoire:
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\TEMPLATE\IMAGES

Et qu’il faut éditer le fichier DOCICON.xml situé ici:
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\TEMPLATE\XML\DOCICON.XML

Ajouter la valeur suivante:

<?xml version="1.0" encoding="utf-8"?>
<DocIcons>
    <ByExtension>
        <Mapping Key="pdf" Value="LeNomDeVotreFichierIconePDF.gif"/>
    </ByExtension>
</DocIcons>

Il n’est pas toujours possible d’éditer DOCICON.XML lorsque SharePoint 2010 est en activité (contrairement à MOSS2007). J’ai désactivé “IIS Admin Service” et “World Wide Web Publishing Service” pour déverrouiller l’accès en écriture au fichier. Etonnamment après un reboot cela ne m’a pas posé de problème lors d’un essai ultérieur. Peut-être restait-il un processus en cours d’utilisation, ou qui n’avait pas correctement libéré le fichier ?

A bientôt !

Installation de SharePoint 2010: suite !

 

Mon SQL 2005 est maintenant à jour (SP3 CU3), je réexécute l’ ”Assistant de configuration des Produits SharePoint 2010”.

Nouveauté par rapport à MOSS2007: SharePoint 2010 = 10 étapes au lieu de 9. Ahem désolé je sais :-)

On y va ?

L’écran de configuration de l’instance SQL à utiliser pour la base de configuration:

 

Ah tiens ? ça, c’est nouveau:

Je répète en mode texte:
“Entrez une nouvelle phrase secrète pour la batterie de serveurs Produits SharePoint. Cette phrase est utilisée pour sécuriser les données de configuration de la batterie de serveurs, et elle est requise pour chaque serveur lié à la batterie. La phrase secrète peut être modifiée après la configuration de la batterie de serveurs.”

On verra plus tard son usage exact en pratique.

La suite ? configurer que [OUI], cette machine hébergera l’application web Administration centrale. On peut également choisir le mode Kerberos plutôt que NTLM, moyennant la configuration maintenant bien connue du SPN correspondant à l’application dans votre AD:

Nous ne sommes pas des touristes n’est-ce pas ?! direction Kerberos pour valider son fonctionnement :-)

Décidemment, même le mode “touriste” a été prévu par MS. Caramba, “encore raté” :-)

Fin de l’assistant, rien de nouveau à signaler:

Et c’est parti pour les 10 étapes. La plus longue en apparence est toujours la 3e lors d’une création de ferme: création de la base de données de configuration:

Tout s’est bien passé, voici le dernier écran:

Terminons, ce qui a pour effet d’ouvrir la page d’accueil de l’interface web d’administration:

Pour tester la beta 2, sauf problématique éventuelle de confidentialité, choisissez de participer au programme d’amélioration du produit. Merci pour eux :-)

Un dernier écran pour la route, voici la liste des sites IIS7 créés par l’assistant d’installation SharePoint 2010. A ce stade, seule l’administration centrale v4 est présente, ainsi qu’un site (stoppé d’origine) “SharePoint Web Services Root”:

La suite dans un futur article concernant la configuration cette fois !

SharePoint 2010 beta 2: installation, premier clic :-) et installation

 

Le Splash screen:

Et les pré-requis :-)

En mode texte, voici la liste des pré-requis pour SharePoint 2010 beta 2 sur la machine web/application :

• Microsoft Geneva Framework
• SQL Server 2008 Native Client
• Les différentes features Windows 2008 (les mêmes que pour MOSS2007 a priori)
• IIS 7.0 :-) avec ASP.Net v2.0 ‘registered’ et autorisé. Pour effectuer la registration, cherchez la commande aspnet_regiis.exe (mais la magie des rôles et features Windows 2008 devrait vous épargner cela !)
• Mode de compatibilité IIS6 (tiens, ça c’est plus surprenant)
• Framework .Net 3.5 SP1 ou ultérieur
• Hotfix KB971831 (FIX: A hotfix that provides a method to support the token authentication without transport security or message encryption in WCF is available for the .NET Framework 3.5 SP1)

Fort heureusement, il est prévu une ligne “Installer les logiciels requis”. Je teste:

Voici ce que propose l’assistant d’installation des pré-requis pour ma machine (Windows 2008 Standard SP2 sans aucun rôle ni feature ni correctifs additionnels autre que la sécurité):

• Windows Server 2008 Service Pack 2
• Rôle Serveur d’applications, rôle Serveur Web (IIS)
• Microsoft SQL Server 2008 Native Client
• Microsoft .NET framework 3.5 Service Pack 1
• Windows PowerShell
• Microsoft « Geneva » Framework
• Microsoft Sync Framework Runtime v1.0 (x64)
• Microsoft Chart Controls for Microsoft .NET Framework 3.5
• Microsoft Filter Pack 2.0
• Microsoft SQL Server 2008 Analysis Services ADOMD.NET

Ensuite, il restera à industrialiser les pré-requis pour une installation unattended de SharePoint 2010 !

SUITE:

J’ai procédé à l’installation des prérequis en mode interactif. L’outil télécharge directement les composants manquants, ce qui est *très* long, notamment le framework .Net 3.5 SP1 (pour rappel, ma machine est une fraîche installation W2K8 SP2 sans rôles).

Ca a mal commencé:

L’installation a échoué sur le composant Windows Powershell, et a donc ignoré les éléments suivants. Heureusement, un fichier log vient à la rescousse:

2009-11-17 19:02:01 - Début du téléchargement de Windows PowerShell
2009-11-17 19:02:01 - http://download.microsoft.com/download/D/0/E/D0E6D2C1-2593-4017-B26D-7375BC9263D5/PowerShell_Setup_amd64.msi
2009-11-17 19:05:33 - Download of "Windows PowerShell" completed successfully
2009-11-17 19:05:33 - Installation de Windows PowerShell
2009-11-17 19:05:33 - "C:\Windows\system32\msiexec.exe" /i "C:\Users\XXXXXXX\AppData\Local\Temp\2\PowEC75.tmp.msi" /quiet /norestart
2009-11-17 19:05:34 - Install process returned (0X643=1603)
2009-11-17 19:05:34 - [In HRESULT format] (0X80070643=-2147023293)
2009-11-17 19:05:34 - Last return code (0X643=1603)
2009-11-17 19:05:34 - Error: The tool was unable to install Windows PowerShell.
2009-11-17 19:05:34 - Last return code (0X643=1603)
2009-11-17 19:05:34 - Cannot retry
2009-11-17 19:05:34 - Check whether the following prerequisite is installed:
2009-11-17 19:05:34 - Windows PowerShell
2009-11-17 19:05:34 - Reading the following string value/name...
2009-11-17 19:05:34 - PowerShellVersion
2009-11-17 19:05:34 - from the following registry location...
2009-11-17 19:05:34 - SOFTWARE\Microsoft\PowerShell\1\PowerShellEngine
2009-11-17 19:05:34 - The value is...
2009-11-17 19:05:34 - 1.0

Pas très éloquent, en fait, l’installeur télécharge le paquet PowerShell v2 CTP3. Je l’ai donc fait à la main, et là l’erreur était plus simple à comprendre :-)

Après vérification, en effet, ma machine disposait déjà de PowerShell v1 installé, et la CTP apparemment ne réalise pas la désinstallation/upgrade (ce n’est qu’une CTP, c’est peut-être prévu comme cela ?).

Une fois la désinstallation effectuée, la suite se passe sans soucis, j’ai recommencé l’installation des prérequis:

Fin d’installation des pré-requis.

Toujours en mode “je clique autant que je suis bête” :-) je lance naïvement l’installation des binaires de SharePoint 2010:

Les deux problèmes sont applicables à mon cas:

• Un reboot pending suite aux installations des pré-requis
• Le correctif KB971831 (FIX: A hotfix that provides a method to support the token authentication without transport security or message encryption in WCF is available for the .NET Framework 3.5 SP1) n’a pas été installé par l’installeur de pré-requis.

Merci l’accès “Premier”, car apparemment ce hotfix n’est pas public (en tout cas la fiche KB ne permettait pas de faire une demande de download “en direct”).

OK, ceci étant effectué, la suite se déroule sans soucis, avec un écran particulièrement “user-friendly” :

“Ne vous inquiétez pas !” Très orienté end-user, on ne s’y attend pas lors de l’installation d’un SharePoint :-)

Installation en mode “je veux comprendre ce que je fais”, on évite donc le mode autonome au profit d’un installation un peu plus “step-by-step” (Batterie de serveurs) :

Petit conseil: on évite absolument d’installer les binaires et les datas sur le systemdrive :-) Vous me remercierez plus tard.

 

Comme en MOSS 2007, l’installation des binaires se termine par la proposition de lancer l’assistant de configuration SharePoint 2010.

Je m’exécute (sans commentaires, c’est au début strictement semblable à MOSS2007 à part le joli fond d’écran) :

Et là, c’est le drame de l’admin qui ne lit pas les docs (c’est voulu, je beta-teste :-) )

Ne sont supportés (mais ça vous le saviez déjà dites ? :-) ) que les versions récentes de SQL 2005 et 2008:

• SQL 2005 SP3 CU3 (9.00.4220.00)
• SQL 2008 SP1 CU1 (10.00.2714.00)

N’ayant qu’un SQL 2005 sous la main pour les tests, je vais réaliser l’upgrade.

Je vous recommande de passer à SQL 2008, sur une instance pour laquelle vous activerez le mode ‘filestream’ de SQL2008, cela vous permettra de tester le support de ce mode par SharePoint 2010 (stockage des BLOB dans le filesystem plutôt que physiquement en base SQL).
J’attend beaucoup de ce mode, dans le but de proposer un stockage physique différent selon cette règle:

• Champs BLOB (typiquement, les documents, pièces jointes…) sur un support physique haute capacité moyennes performances
• Bases SQL (MDF, LDF…) sur des supports physiques moyenne capacité haute performances.

Vous me suivez ? :-)

La suite après l’upgrade SQL. Bonnes installations à tous !

Installation du Adobe PDF iFilter v9 pour x64… attention au GUID du iFilter !

 

Si comme moi vous avez installé ce iFilter (fourni gratuitement par Adobe ici), attention à bien lire la doc :-)

J’ai lu un peu vite, mea culpa, on trouve notamment ce passage:

Verify that PDF has the correct settings in a third registry location.
a. While still in RegEdit, within the left-side tree, browse to: \\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\12.0\Search\Setup\ContentIndexCommon\Filters\Extension\.pdf
b. Verify the following values. If values are not as shown, edit them.
i. <REG_MULTI_SZ> Default = {E8978DA6-047F-4E3D-9C78-CDBE46041603}

 

Par défaut, l’installation du iFilter x64 PDF Adobe ne met pas à jour ce GUID. Le problème peut se voir rapidement dans les résultats de recherche: toute recherche sur un document PDF ne renverra que l’auteur, le titre, et la date de dernière modification. Pas de full text search !

Après la modification du GUID, toute nouvelle indexation analysera (enfin) le contenu. Ca m’apprendra à lire les notices jusqu’au bout :-)

Pour vous aider, voici le .REG à exécuter pour appliquer le GUID à la fois à la recherche OSearch (MOSS) et SPSearch (WSS) :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\12.0\Search\Setup\ContentIndexCommon\Filters\Extension\.pdf]
@=hex(7):7b,00,45,00,38,00,39,00,37,00,38,00,44,00,41,00,36,00,2d,00,30,00,34,\
  00,37,00,46,00,2d,00,34,00,45,00,33,00,44,00,2d,00,39,00,43,00,37,00,38,00,\
  2d,00,43,00,44,00,42,00,45,00,34,00,36,00,30,00,34,00,31,00,36,00,30,00,33,\
  00,7d,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions\12.0\Search\Setup\ContentIndexCommon\Filters\Extension\.pdf]
@=hex(7):7b,00,45,00,38,00,39,00,37,00,38,00,44,00,41,00,36,00,2d,00,30,00,34,\
  00,37,00,46,00,2d,00,34,00,45,00,33,00,44,00,2d,00,39,00,43,00,37,00,38,00,\
  2d,00,43,00,44,00,42,00,45,00,34,00,36,00,30,00,34,00,31,00,36,00,30,00,33,\
  00,7d,00,00,00,00,00

 

NB: en administrateurs responsables, vous assumez la responsabilité de jouer ce .reg, je vous invite à le vérifier au préalable en environnement de test.

Pensez à sauvegarder les valeurs initiales, on n’est jamais trop prudent.

Correctif pour MS Office iFilter Pack 1.0 utilisé en environnement x64

 

Si vous aussi vous rencontrez beaucoup d’erreurs lors de l’indexation de documents Visio (en particulier), en environnement x64, j’ai trouvé un correctif spécifique disponible depuis décembre 2008. Il concerne également le problème d’indexation au delà de la 3e diapositive d’un document PowerPoint 2007 (.pptx).

Pour rappel, le MS Office iFilter Pack permet d’indexer tous les documents Office, en particulier dans leur version 2007 (docx, xlsx….) mais aussi Visio, ZIP, OneNote. Or dans ce cas, en environnement x64, vous rencontrez potentiellement beaucoup d’erreurs. Consultez le journal de l’indexation, l’erreur mentionne spécifiquement des problèmes sur le iFilter utilisé.

Note: ce correctif nécessite la présence préalable du MS Office iFilter Pack 1.0. Il met à jour non seulement le iFilter Visio, mais également tous ceux de la suite Office.

Description of the 2007 Office system hotfix package (Offfiltx.msp, Visfilter.msp): December 16, 2008

D’environ 800 erreurs chez moi, le compteur est tombé à environ 250/300 dès l’indexation complète suivante.

Bon patch !

Correctif IIS7 ADSI Provider en mode compatible IIS6 (pré-requis SharePoint 2007)

 

Vous souvenez-vous de ce problème qui touchait IIS6 sur Windows Server 2003, la console IIS ne pouvait plus s’afficher ?

Ce bug a été repris… dans IIS7, lorsque le mode IIS6 compatible est activé ! Il est corrigé avec le SP2 de Windows Server 2008. Si comme moi vous n’avez pas encore passé le SP2, le correctif est dorénavant disponible, sur la même fiche KB:

FIX: You may be unable to manage IIS by using Server Manager if two threads access IIS at the same time

Cela se traduit par plusieurs erreurs dans votre application log Windows pour les sources SharePoint.

Note: pré-requis Windows 2008 SP1.

Bon patch !

Correctif Kerberos IIS7 en mode Kernel et “useAppPoolCredentials”

 

Bonjour,

Si vous avez suivi mon article "Kerberos et SharePoint" vous vous souvenez probablement de la propriété “useAppPoolCredential” permettant d’utiliser l’identité de l’application Pool IIS7 pour négocier l’authentification. Identité de domaine indispensable pour SharePoint 2007 sur Windows 2008 lorsque plusieurs noeuds web répondent aux requêtes, il fallait activer cette option pour permettre l’usage de Kerberos en mode d’authentification Kernel level.

Un correctif vient de sortir spécifiquement pour cet usage, apparemment un crash dump peut se produire (niveau Kernel…) provoqué par http.sys, voici le lien:

FIX: You receive a Stop 0x0000007e error message on a blue screen when the AppPoolCredentials attribute is set to true and you use a domain account as the application pool identity in IIS 7.0

A nécessité un reboot chez moi.
Bon patch !

SharePoint 2010 beta FR: disponible !!!

Depuis ce matin 17/11, la beta est disponible en avant-première pour les abonnés MSDN et Technet Plus.

Téléchargement effectué, je l’installe dans la journée pour mettre en pratique tous les acquis du TechEd. Stay tuned !

Live from TechEd 2009: Sessions du vendredi (2e Partie). SharePoint 2010, Introduction to Service Applications and Topology

 

Hello,

 

Voici la dernière session, tant attendue :

 

Introduction to Service Applications and Topology – Todd Klindt, Shane Young.

Ces deux présentateurs sont les plus ludiques de toutes les sessions auxquelles j’ai assisté. « An official survey stated that SharePoint Administrators are 50% cooler than SharePoint Developpers » J

 

Les services d’application :

Place à la technique pure. Comme je l’ai indiqué au fil de mes précédents comptes-rendus, tout devient ‘Service d’application’ dans SharePoint (Share-Pint -of beer-, à Berlin J).

·         Un service d’application est une instance logique d’un service, qui s’appuie sur des ressources : database, application pools…

·         Une instance de service (attention à la nuance), est une instance physique d’un service (donc un service Windows la plupart du temps).

=> Pour faire simple, un peu comme la recherche/indexation dans SharePoint, le serveur membre de la ferme offre une instance physique d’un service, qui va exécuter des services d’application qui lui correspondent. Le tout sans contrainte forte de topologie, ce qui laisse énormément de possibilités à l’imagination débordante d’un architecte SharePoint…

 

Petite note au passage : il y a dorénavant *plein* de services d’application. Donc *plein* de nouveaux usages. Donc *plein* de ressources nécessaires pour les exécuter. Les speakers ont averti d’éviter l’effet « sapin de Noël », qui consiste en la tentation de tout activer pour pouvoir tout faire : oui, mais pas en production, et pas sans étude de charge, pour en déterminer la topologie en conséquence.

 

Ces services d’application, à quoi servent-ils ? Et comment peut-on les relier ?

·         Ils sont « consommés » par les composants qui le nécessitent. En clair, un service d’application amène de nouvelles features (webparts etc.). De même, ces services d’application peuvent être consommés directement par les applications clientes, ou pour certains, par des fermes SharePoint indépendantes (beaucoup plus que dans MOSS2007). On pourrait donc imaginer des topologies beaucoup plus dispersées, composées de « ressources d’entreprises » d’une ferme centrale, consommées par des fermes disséminées (pour raison géographique, sécuritaire, fonctionnelle, etc.).

·         Ces services d’applications peuvent constituer des « groupes de services », applicables à un ou plusieurs consommateurs. Différents groupe peuvent coexister, dans le but de séparer les rôles, tout en ayant des composants en commun. Exemple : une application web à usage collaboratif disposera probablement des services d’application Office (Excel, Access, Visio, Word…), de la recherche, des metadatas. Côte à côte dans la même ferme, le portail de l’entreprise pourra lui s’appuyer sur des services d’application de type publication, et à nouveau recherche, metadatas. Vous me suivez ? J

·         Les services d’application peuvent être distribués, redondés (en HLB pour certains, à étudier). Leur ressources (database notamment) peuvent faire l’objet d’un miroir SQL puisque SharePoint est dorénavant « Mirroring aware » (à nouveau coucou, JC VanDamme J).

·         « Dé plous en plous difficil » : un même service d’application peut rendre son service à plusieurs consommateurs de façon cloisonnée. Souvenez-vous… l’indexation en 2007, qui nécessitait de créer un deuxième SSP (et tout ce qui va avec) dans le but de cloisonner de façon totalement étanche les différents contenus. Ce n’est dorénavant plus le cas, et c’est un vrai progrès.

 

Les services d’application, administration :

Les services d’applications disposent d’identités, comme en 2007. La crise me direz-vous, vu la complexité de gérer les identités, de leur attribuer des droits… et de changer leurs mots de passe… Tout ceci change avec 2010. Un peu comme la fonctionnalité « managed accounts » d’un Contrôleur de Domaine Windows 2008 « R2 », SharePoint sait gérer lui-même l’affectation des droits et des comptes… mais mieux que cela, comme W2K8 R2 il est capable de gérer leurs mots de passe, leur renouvellement automatique, ce qui durcit notablement la sécurité, l’administrateur lui-même ne connaît pas le mot de passe en cours. Excellent.

 

Admin d’un jour, admin toujours… Les services d’application peuvent faire l’objet d’autorisations d’administration au cas par cas. Je peux ainsi déléguer la gestion des metadatas (les tags notamment, pour la taxonomie, si vous avez suivi mes précédents CR). Délégation à une personne représentative, plus proche des clients finaux (typiquement, une MOA-d). Idem pour la recherche etc.

 

Les services d’application, déploiement et configuration :

De plus en plus génial donc, l’administration de *TOUS* ces services d’application peut se faire par PowerShell (V2). Finis les scripts « à la barbare » pour déployer et configurer une ferme (batchs, vbs, éditions XML en dur…), le langage devient commun. Il ne reste plus qu’à apprendre le PowerShell, ahem hem J.

 

Beaucoup plus qu’auparavant, la performance dépendra beaucoup des I/O disques des serveurs SQL. « C’est prévu », SharePoint sait mieux qu’avant gérer des bases de données (de contenu, de services d’applications, de configuration…) sur des serveurs SQL distincts. La souplesse, c’est que cela permet de donner des I/O (couteux) aux bases le nécessitant impérativement (index, stockés dorénavant en base…), et plus de stockage et des I/O moins couteux pour le contenu, par exemple.

 

A partir de là, j’ai surtout pris des photos des slides vu la densité du contenu J

 

Topologie, explications par l’exemple :

Suivent ensuite 3 exemples de topologies représentatives, pour 3 cas différents :

 

-          SCENARIO 1 : « Woodgrove », petite PME, dispose d’un équivalent de ‘small farm’ MOSS2007.

 

 

 

 

-          SCENARIO 2 : Fabrikam, société importante, a des besoins fonctionnels précis, et disperse un peu plus sa topologie (proche d’une ‘medium farm’ MOSS2007). Vous noterez l’absence de redondance.

 

 

-          SCENARIO 3 : Contoso, société internationale dont l’usage de SharePoint est clairement stratégique, dispose d’une topologie très évoluée, notamment une ferme d’entreprise offrant des services communs (taxonomie, recherche, profiling), mais aussi de fermes dédiées (1 collaborative, 1 portail, 1 dédiée à une nouvelle division qui vient de rejoindre le groupe). Ces fermes dédiées sont consommatrices des ressources de la ferme d’entreprise. Comme tout usage stratégique, ces fermes sont redondées autant que possible, ce qui donne une architecture matérielle assez lourde.

 

 

 

 

Conclusion sur la session :

Cette conférence n’était pas un « deep-dive » dans SharePoint, mais les éléments présentés laissent présager de belles réunions pour coller au mieux aux besoins de nos (chers) utilisateurs.

 

Liens utiles pour aller plus loin :

 

 

Conclusion générale sur les produits et le TechEd :

C’était ma première venue à cet évènement. J’ai bien sûr concentré tout mon temps aux technologies que j’utilise au quotidien, avec de belles ellipses vers des solutions qui méritent notre attention (Performance Point notamment qui devient lui aussi service d’application SharePoint). Le BI à la portée de Mr tout-le-monde, y compris nous-mêmes pour nos propres scorecards de gestion du parc, de sa performance et de sa disponibilité. J’ai été bluffé par les services d’applications Access et Visio, qui reviennent sur le devant de la scène, et trouveront je l’espère un large public dans l’entreprise.

 

La version beta de SharePoint 2010 (publique cette fois) doit sortir avant la fin du mois, je n’ai pas obtenu la date (ce n’est pas faute d’avoir essayé).

L’évènement était extrêmement bien organisé, de l’artillerie lourde en matière de gestion de la foule, du timing, des facilités sur place.

J’espère avoir l’occasion d’y retourner lorsque l’occasion se présentera, et accompagné ce serait mieux J L’embarquement va commencer, et la batterie s’épuise L

A+

Live from TechEd 2009: Sessions du vendredi (1e Partie). FAST Search for SharePoint 2010

 

Hello,

 

Voici les « nouvelles neuves du dedans ».

Programme limité aujourd’hui (deux sessions), d’une part la 2e session est annulée, d’autre part les contraintes de transport font que le TechEd se termine à 14h15. Je vous envoie ci-dessous le CR de la première session, la 3e sera rédigée quand je le pourrai. J’ai découvert comment insérer des images, arf arf arf J

 

·         FAST Search for SharePoint 2010 – Jeff Fried, « The Fast guy »

Jeff est surnommé ‘The Fast guy’ car il a fait partie du rachat de FAST par Microsoft il y a 18 mois, c’est un ancien de FAST.

 

[Ce texte est volontairement non synthétisé, nous aurons besoin de décider prochainement de l’implémentation de FAST et je souhaite vous faire partager cette présentation dans les moindres détails.]

 

Tout d’abord, comme je l’indiquais il y a quelques mois dans mon entreprise, FAST est une surcharge de SharePoint 2010. Il vient s’intégrer (se ‘plugger’) en tant qu’application de services, au même titre qu’un Visio Services par exemple.

 

Concrètement, cela consiste à ajouter un nouveau *moteur* de recherche à SharePoint 2010. Il sera utilisé pour tout ce qui touche à la recherche de *contenu*. Le People Search reste piloté par SharePoint, ainsi que la configuration générale et l’affichage.

 

Fonctionnellement, ce que FAST Search for SharePoint 2010 apporte pour un end-user :

-          Une recherche plus précise/rapide (FAST a été décrit, pour résumer, comme un efficace « nettoyeur de bruit »)

-          Des résultats de recherche enrichis : vignettes de preview des documents, notamment. Par exemple, un résultat de type document PowerPoint permettra de voir *dans* la page de résultats, un slider faisant défiler les miniatures du document.

-          Deux personnes différentes = deux résultats différents. C’est une grande « innovation » du produit, si l’entreprise déploie (enfin…) les MySites, chaque collaborateur dispose d’informations qui lui son propres, et en particulier son rôle dans l’organisation. Ce MySite constitue un ensemble de mots-clé de corrélation de la recherche avec la requête effectuée par l’utilisateur. Ainsi, sur un même projet un ingénieur aura-t-il en premier lieu des résultats techniques par exemple, et un commercial des tableaux de suivi de vente, pricing, etc.
=> Ce « contexte » de recherche spécifique à l’utilisateur peut aussi être imposé par l’administrateur de la recherche, plutôt qu’automatiquement par FAST. Notamment si nos populations sont sectorisées selon des critères connus (par exemple, l’appartenance à des groupes), nous pourrions enrichir la décomposition et la forcer dans FAST.

-          Fédération. Déjà disponible dans MOSS2007, la fédération dispose de nouvelles fonctionnalités avec FAST, mais je n’ai pas eu beaucoup de détails (cf. dans la partie technique ci-dessous).

-          Retenez tout de même que « l’expérience utilisateur » n’est pas fondamentalement différente (sauf à développer, voir 3^e section). SharePoint 2010, à usage intranet, dispose déjà de la quasi-totalité des fonctionnalités de FAST.

 

La diapo pour résumer la comparaison SharePoint vs. FAST vu de l’utilisateur final :

 

 

Un peu de technique maintenant :

-          Management des mots-clés disponible pour l’administrateur d’un site. Ainsi, chaque administrateur peut « orienter » les résultats des recherches effectuées par son site. Par exemple, un acronyme souvent utilisé ailleurs (RATP par exemple), peut être dans *son* site l’acronyme d’un projet particulier (« Reste Assis T’es Payé » J). Cette association permettra une meilleur acuité de la recherche, mais surtout, permet de répartir la configuration de la recherche sur ceux qui sont le plus proche du contenu, c’est doublement efficace.

-          PowerShell déjà bien fourni avec SharePoint 2010, dispose d’une centaine de commandlets supplémentaires avec FAST. Certaines fonctionnalités ne sont même paramétrables *que* par PowerShell. On adresse notamment des fonctionnalités comme la Pertinence, les Metadatas, le Word Boost, etc. Tout ce qui fait la richesse de FAST doit être paramétré selon les besoins de l’organisation.

-          La recherche supporte une grande variété de backups (snapshots…). La configuration minimale des services FAST est 1 machine + 2VM dédiées (colocalisables). A faire croître en fonction des besoins.

-          En pratique, l’indexation native de SharePoint 2010 est détournée vers le service FAST intégré à la ferme. Ce service est beaucoup plus évolué que le moteur SharePoint, il décompose les actions d’indexation et de recherche.

-          FAST dispose d’un Management Pack SCOM spécifique, qui permet de tracer finement ses performances et ses alertes.

-          La Federation peut être effectuée sur une base de données au moyen d’index, dans ce cas (fédération), on perd une partie des richesses des fonctionnalités FAST (Ranking), la source étant traitées en externe et uniquement adressée par FAST.

La conclusion de cette partie est « Good Search is not set-it and forget-it ».

 

La diapo pour résumer la comparaison SharePoint vs. FAST vu de l’IT Pro (les admins) :

 

 

Pour les Développeurs enfin : « Do more with search ».

Ce sont eux qui feront de FAST le beau moteur efficace que l’on voit dans les slides Microsoft. Sans eux, FAST n’a pas d’intérêt flagrant pour SharePoint tel que nous l’utilisons chez nous.

J’ai noté quelques points essentiels :

-          FAST offre plus de possibilités d’intervention du dév sur la recherche et l’indexation.

-          Il s’appuie sur un langage natif, le FQL (Fast Query Language), qui permet d’exprimer de puissantes requêtes personnalisées selon du contenu spécifique (distance géographique d’un résultat par exemple). Autre exemple : intervenir sur les résultats en boostant certains mots. Ces mots seraient, par exemple, des boîtes de sélection graphiques dans le panneau de recherche, permettant la constitution d’un filtre à la mode « cyber-marchand ». Chaque clic booste des mots différents dans le résultat affiché, tout simplement. Vu de l’utilisateur c’est génial.

-          FAST permet au développeur de s’insérer entre le processing de la recherche et le mapping, qui sont des étapes-clé du moteur FAST : les résultats peuvent être filtrés, complétés, réorganisés selon les besoin de l’organisation.

 

La diapo pour résumer la comparaison SharePoint vs. FAST vu du développeur :

 

 

Pour conclure, les mots de Jeff Fried sur FAST ESP vs. SharePoint 2010 Search (ce ne sont pas les mots exacts, je n’ai pas eu le temps de noter) :

-          FAST ESP is a Fast Racing Car with a pit crew (une équipe aux stands) …

-          SharePoint is a nice and Fast retail racing car…

 

Mon avis personnel dans le cas de mon entreprise, est que la « pit crew », nous ne l’avons pas. Cela nécessite des compétences techniques pointues, car la personnalisation de FAST s’appuie à la fois sur du dév et sur du paramétrage par PowerShell. Je peux faire une partie, mais dans la mesure où nous créerions un service de recherche personnalisé, toute évolution deviendrait complexe et sensible.

 

Quand à FAST : pour en faire un usage de simple moteur de recherche sans customisation, sincèrement, le jeu n’en vaut pas la chandelle dans notre organisation.

A demain pour la suite (pas de WiFi gratuit à l’aéroport).

Live from TechEd 2009: Sessions du jeudi, et soirée “mousse” :-). Business Intelligence sur SharePoint 2010, Forefront UAG 2010 pour l’accès distant à SharePoint.

 

Guten Abend,

 

Au programme du jour, d’abord les réjouissances : « soirée mousse ». Non pas celle-là, mais la version allemande : petits fours saucisses, et cocktails bières mousseuses… Journée chargée donc, et à tout points de vues comme vous allez le voir. Pas trop de jeux de mots ce soir, indigestion de bretzels sessions.

 

Comme les autres soirs, je vous laisse transférer tout ou partie aux personnes intéressées, il y a un peu plus que du SharePoint cette fois (bien que tout tourne autour de la techno).

 

Les sessions du jour :

 

·         Building Powerful Business Intelligence Solutions on the SharePoint 2010 Platform (Zlotan Dzinic)

Un sud-africain, accent terrible, énergie atomique, pour un sujet qui aurait pu endormir plus d’un spectateur de Derrick.

 

Cette session gravitait encore autour de l’écosystème « BI » de Microsoft, éclaté sur beaucoup de produits, mais dont le dénominateur est maintenant SharePoint (2010). A cet effet, PerformancePoint 2010 voit son client “disparaître”, et la fonctionnalité devient une simple application de services SharePoint (une fois de plus). Lorsqu’un client lourd est nécessaire (pour définir les règles d’accès à un cube OLAP par exemple), l’utilisateur choisit (dans SharePoint) de créer un nouveau dashboard… et magie, le client se télécharge et se lance sur le poste client, en quelques secondes. Pratique et puissant, le dashboard à portée de tous.

Un exemple très détaillé de création d’un diagramme d’états dans Visio (publié dans Visio Services sur SharePoint, of course), dont les valeurs et description sont extraits d’un datawarehouse. La mise en forme est conditionnelle avec de jolies possibilités graphiques dans l’air du temps (3D, dégradés…), et le tout mis à jour en (presque) temps réel sur SharePoint une fois publié. On peut imaginer plein de choses avec cela… même un concurrent des diagrammes d’état des services de SCOM…

Je passe les autres détails, là encore, le BI des démos MS c’est toujours cosmétique, mais ça n’est profitable que selon la pertinence des données et des traitements que l’on construit.

 

 

·         Upgrading from MOSS2007 to SharePoint 2010 (Todd Klindt / Shane Young)

Ces deux présentateurs sont parmi les meilleurs rencontrés : ultra compétents, session dynamique et ponctuée d’exemples. Ils ont pas mal parlé (avec humour) de la permanente gué-guerre entre développeurs et IT-Pros de la plateforme SharePoint J

 

SCENARIOS :

 

Tout d’abord, les différents scenarios d’upgrade 2007=>2010, en vert autorisés, en marron non supportés : Note perso: mon écran de portable n’est pas franchement Wysiwyg question couleurs :-)

-          In-place upgrade : le scenario que l’on joue dans un labo Microsoft, mais que l’on ne se hasarde jamais à faire en production… que faire en cas d’arrêt de migration ??? Apparemment, d’énormes efforts ont été faits pour stabiliser cette partie, qui permet dorénavant la reprise en cas d’erreurs, avec des journaux d’upgrade bien plus exploitables qu’auparavant.

-          Database attach upgrade : le scenario que j’ai fait à chaque fois. Plus sécurisant (retour arrière immédiat), il nécessite néanmoins de reconstruire une ferme totalement (code custom, etc.) et de perdre les index, puisque sans contenu initial… pas d’index. Mais cela reste le plus sécurisant, et potentiellement le plus rapide si on parallélise sur des fermes temporaires 2010 que l’on utilise le temps de la migration. En parlant de paralléliser, 2010 supporte dorénavant des attachements de bases en parallèle sur une même ferme, ce qui peut (selon le hardware, notamment SQL) accélérer beaucoup les choses.

-          Side by side upgrade : au sens « migration 2007 vers 2010 inter-fermes ». Partiellement remplacé par un système intelligent d’alternate access mapping pris en charge inter-versions par SharePoint 2010, j’en parlerai juste après.

-          Gradual upgrade : au sens « une ferme 2007 dans laquelle on insère des hôtes 2010 ». Trop de problèmes, abandonné.

 

Scenarios alternatifs ou mixtes proposés par les speakers :

-          In-place+Database Attach. L’idée est de ne pas faire l’opération « en une seule opération » (risqué en cas d’échec persistant, et long en cas de grands contenus, et sans maîtrise de l’ordre d’upgrade des contenus). En clair : on monte une nouvelle ferme 2010. On détache *toutes* les bases de contenu de la ferme 2007. On fait un inplace-upgrade de la ferme 2007 (quasiment à vide donc), tout en parallèle on attache les bases sur la ferme 2010 d’à côté (on gagne du temps), on continue, et lorsque l’inplace 2007=>2010 est terminé, on peut en parallèle attacher les bases déjà upgradées à côté, et des bases pas encore upgradées. On gagne sur tous les tableaux, car l’inplace aura notamment permis de conserver toute la customisation. Personnellement, je reste assez méfiant sur l’in-place, mieux vaut bloquer tout le monde en lecture seule 1 journée, que de prendre le risque de se prendre 2 jours (perte d’accès totale) durant l’opération.

-          Side-by-side with AAM : Alternate Access Mapping. Nouveauté 2010, l’AAM est supporté inter-versions. Scenario : on monte une ferme 2010, on crée la web application, et on bascule le DNS. Tout en ayant pris soin de déclarer l’AAM à 2010, et en ayant renommé la web application sur le 2007 (websitesOLD par exemple), cela permet de migrer progressivement sans bloquer tout le monde. En effet, 2010 répondra lui-même s’il dispose de la siteCollection (et donc de sa base de données associée), sinon il renvoie le client vers l’ancienne ferme 2007. L’url affichée sera alors l’url renommée, ce qui est supporté mais /pourrait/ poser des petits soucis d’accès dans certains cas pour des applications embarquant des chemins ‘en dur’. A tester, car c’est souple.

 

Les speakers ont monté un site pour l’occasion : http://www.sharepointupgrade.com je ne l’ai pas encore visité en détails.

 

A noter également :

-          l’arrivée en force de commandlets PowerShell V2 avec SharePoint 2010, et notamment 2 commandes pour l’upgrade, la première pour tester « l’upgradabilité » d’une base 2007, la seconde pour monter la base 2007 en 2010 (commande équivalente à stsadm –o addcontentdb, sauf que cette dernière n’upgrade pas automatiquement les sites templates en look ‘n feel 2010, laissant l’initiative aux utilisateurs finaux).

-          La commande apparue en MOSS2007 SP2 ‘preupgradecheck’, qui a été mise à jour lors de l’update cumulative d’octobre 2009 (update que j’étudie de près car il corrige beaucoup de choses depuis notre version d’avril).

 

DIFFICULTES POSSIBLES

Souvenez-vous, il y a 2 ans, le passage de 2003 à 2007… les choses sont sensiblement les mêmes, dans le sens où tout ce qui est natif 2007 passera sans problème en 2010, par contre tout développement custom /peut/ poser problème :

-          Côté code, la plupart des namespaces déplacés (SharePoint.dll => search.dll) font l’objet d’alias pour ne pas briser les codes existants

-          Les siteTemplates custom *ne sont pas migrés*. Attention, on entend pas site template custom des site templates additionnels (déployés sur les WFE et par ajout d’ID dans les XML). Ils devront être portés en 2010. Ceci dit, notre magicien du code de l’époque avait réussi en moins d’une journée. Attention aux nouveaux site templates déployés depuis.

-          Les siteTemplates générés par les utilisateurs, et stockés dans les galleries, ne poseront pas de problème technique en principe, sauf que la galerie ne sera pas migrée. En clair, il faut créer un site vierge basé sur le template, réaliser la migration 2010, puis recréer le template en 2010 depuis le site vierge. Pas très pratique.

-          Les ressources locales, notamment de la hive 12 \xxx ne sont pas migrées, mais le répertoire peut être rapatrié sans soucis vers MOSS2010 pour ne pas briser les références statiques. Oui, 2010 a son propre répertoire, le 14\xxxx, magique non ? J

-          Les pages « unghosted », c'est-à-dire toutes les pages n’héritant plus des site definitions par défaut (par exemple suite à des customisations SharePoint Designer), poseront problème. Ces pages doivent être identifiées pour être rétablies avec « revert to site definition », ce qui casse la mise en page custom, mais ne cause pas de perte de données. Délicat, mais en même temps il s’agit d’un assainissement car ces pages posent des problèmes de performance (stockées en SQL en bloc).

 

ET SI ON NE DISAIT RIEN A NOS UTILISATEURS ? (pas de crise cardiaque chers clients, j’explique J)

C’est presque possible : si côté IT nous arrivons à prendre en charge toute la migration de la customisation (possible car en principe nos utilisateurs n’ont pas pu en réaliser, SharePoint designer étant bloqué en prod), souvenez-vous de mes précédents CR, la migration vers 2010 permet de conserver *totalement* le look ‘n feel de 2007. Je l’ai constaté de mes yeux lors de la démo, même les menus d’administration sont *strictement* identiques. Ce look ‘n feel peut être, je le rappelle, testé sans risque (mode ‘aperçu’) et peut faire l’objet d’un retour arrière, ou d’un abandon définitif de la version 2007. Il peut également, grâce à PowerShell, être piloté en masse, par exemple à l’issue de plusieurs mois « de grâce » laissés aux utilisateurs.

 

C’était la session la plus intéressante de la journée pour mon centre d’intérêt.

 

 

·         Keeping your CIO happy : MOSS2007 SLA Scorecarding with Operations Manager 2007 and SQL Server 2008 (Gordon Mc Kenna / Sean Roberts)

Par les mêmes speakers qu’hier sur le même sujet (non rapporté ici), mais avec des outils et méthodes différentes. En pratique, les données sont toujours issues de SCOM (R2) à la source, et publiées dans MOSS à la cible. Mais le traitement s’effectue par Report Builder 3.0 (sortant avec SQL 2008 R2), et amène d’innombrables nouvelles possibilités.

L’objectif de la démo était de construire un pupitre de supervision des SLA, dont les valeurs seraient extraites de SCOM, raffinées par Reporting Services au moyen de rapports produits par Report Builder. Rapports ensuite déposés dans MOSS.

L’exemple était assez agréable, les compteurs de type « jauge » envahissent les écrans dans toutes les démos, c’est moderne et attrayant. Egalement des fonds de carte « Bing », sur lesquels on peut apposer les objets à superviser. Certes chez nous on ne couvre pas forcément la France, mais l’affichage avec le fond de carte pourrait trouver une utilité en analyse inter-sites par exemple (qualité du réseau IT…). Exemple réalisé avec le composant gratuit de type « Solution Accelerator » proposé sur le TechNet section SCOM.

Je ne détaille pas plus, ces outils n’apportent des résultats intéressants qu’en fonction de ce que l’on en fait, il faut que je travaille sur ce sujet dans mon entreprise !

 

 

·         Office & SharePoint 2010 « demo fiesta » (Reed Shaffner / Paul Andrew)

Les « show-mens » d’Office et de SharePoint à l’américaine. Démo très ludique, illustrant par l’usage tous les apports des composants clients et serveur, leur relation dorénavant permanente. J’essaie de faire bref sur cette partie :

-          Powerpoint dispose d’un mode « Powerpoint Live Broadcast », qui permet de « pousser » un diaporama sur le site Live, et d’envoyer l’URL à toute personne possédant un navigateur, sans nécessité de posséder le client Office ou même de navigateur/OS Microsoft. Pas sécurisé (a priori), mais pratique pour jouer une démonstration à distance sans lancer d’usine à gaz de type Live Meeting (désolé messieurs en charge de MOCS J)

-          Groove est remplacé par SharePoint Workspaces. Je crois en avoir brièvement parlé précédemment. Il permet d’embarquer tout un pan d’un site SharePoint dont l’utilisateur est contributeur régulier, un peu à la mode des dossiers « hors connexion » d’Outlook tels que nous les connaissons. Sans s’exonérer de la technologie ‘Cobalt’ dont je vous ai fait l’apologie hier soir, à savoir que les conflits de synchronisation seront évalués non pas au niveau « document », mais au niveau « section » du document (diapositive, paragraphe, cellule, etc.). Excellent. Accessoirement, WebDAV disparaît… ce client sera donc, je trouve, un parfait remplaçant car il propose une navigation hiérarchique en mode client lourd avec des fonctions d’exploration et du glisser-déposer (les risques de WebDAV en moins J).

-          SharePoint encore : j’ai oublié de vous préciser, dans le « look ‘n feel » général, l’apparition des « rubans » contextuels *partout*. Et à l’usage c’est extrêmement bien pensé, en allégeant fortement toutes les pages de configuration du produit (pour les admins) ou les pages d’édition des documents (pour les clients en mode édition client léger).

-          Une piqûre de rappel sur le panneau « backstage » des applications Office : elles permettent de :

o   Sauvegarder vers les emplacements SharePoint fréquemment utilisés (plus besoin d’aller les chercher avec IE…)

o   Définir des ‘tags’, pour alimenter la taxonomie de l’entreprise (et donc la pertinence des recherches, de la classification, etc.)

o   Indiquer les contributeurs du document, pour lesquels toutes les fonctions de communication sont immédiatement accessibles (MOC aware)

o   « Notes de l’éditeur », par exemple « ne touchez pas au paragraphe 1 », ce qui centralise le statut du document (bien mieux que le complexe mode de révision pour un usage quotidien).

-          Access : c’est énorme, j’ai vu une démo bout-en-bout. L’application « Access Services » de SharePoint permet réellement d’éradiquer les bases des clients dispersées sur les PC. En effet, la base Access peut être stockée sur SharePoint, et tous ses contrôles deviennent accessible de façon centralisée, et peuvent même être modifiés, le tout sans le client lourd. Quand aux données, elles sont aussi centralisées, ce qui amène un gain certain de sécurisation (perte de données, contrôle d’accès, concurrence…) des ces données BI. Ce service, ainsi qu’Excel Services, devient donc un véritable concurrent des SQL « légers » que nous avons mis en place pour les SI Bleus, le côté « agréable » en plus, car utilisables par Mr tout le monde.

Bon désolé je n’ai pas réussi à faire court J

 

 

·         Microsoft Forefront Unified Access Gateway (2010): More Secure Access for SharePoint and other CRM applications

Le produit m’avait été présenté en interne il y a quelque temps, dans sa précédente version. Je n’ai pas vu beaucoup de différence du point de vue de sa fonction principale de publication sécurisée, mais la technique du produit n’était pas l’objet de la présentation (à part ‘Direct Access’ dont je parlerai un peu plus bas).

J’ai pris pas mal de notes, mais je vais résumer par le fait que MS est tout à fait confiant dans la publication d’un SharePoint interne au travers d’une passerelle UAG. L’application web d’accueil UAG est customisable (et ce n’est pas un mal car elle est assez dépouillée par défaut), et permet un accès graphique à toutes les applications publiées, en fonction des droits de l’utilisateur, le tout en SSO. Point important : l’authentification se réalise sur UAG, ce qui fait la force de cette architecture, et seuls les clients dûment authentifiés arrivent donc à « toucher » le serveur interne (MOSS, intranet, whatever).

 

-          Politique de sécurité plus forte à distance qu’en local ? pas de problème, support des solutions tierces dites « fortes » (tokens…), un éditeur tiers propose également l’envoi d’un PIN code aléatoire par SMS pour réaliser la double-authentification (en l’occurrence, ce que je possède –mon mobile- et ce que je sais –mon login/pwd-).

-          Accès par des effectifs non inscrits dans l’annuaire de l’entreprise ? pas de problème, support mixte des identités provenant de plusieurs sources (AD, ADAM, LDAP en général… et même pourquoi pas un vilain fichier Excel). La question reste par contre entière du côté de l’application interne : il faudra prévoir un mode d’authentification pour ces comptes non AD, et ce mode aura pour inconvénient d’empêcher les situations de double-hop où Kerberos est nécessaire. Mais pour un usage collaboratif simple ce n’est pas gênant. Reste aussi la capacité de SharePoint à réaliser à son tour du SSO, qui peut je pense répondre à ces problématiques.

-          Contrôle du niveau de sécurisation du poste : validité du poste à une politique de sécurité. Mais cela exige de connaître au moins vaguement les postes, je ne suis pas certain que cela puisse être appliqué à des postes non managés par la société. On se limitera donc je pense à des règles globales de type « avoir un antivirus ». Ce qui ne signifie pas « avoir un antivirus efficace »…

 

Et DirectAccess dans tout ça ? C’est un nouveau mode d’accès, tunnel d’accès transparent, dédié aux collaborateurs de la société. Il permet de travailler en réelle situation d’extranet transparent, comme le VPN, mais les contraintes réseau en moins. Et oui, le VPN exige finalement bien des contraintes pour fonctionner (ports ouverts, NAT/PAT, etc), Direct Access fonctionne au niveau applicatif (« VPN » o/SSL). Microsoft prévoit même d’imposer prochainement à ses employés une « journée extranet », où les serveurs d’applications seront injoignables depuis le LAN, forçant tout le monde à travailler en mode « extranet ». Le but est de prouver la transparence de la technique, et le fait que « l’expérience utilisateur » reste la même sur les applications publiées. Voilà, je ne m’étendrais pas plus sur le sujet, j’en conclus personnellement que je suis moins réticent à ouvrir un SharePoint au vu des techniques exposées. Reste à résoudre le cas des « non-collaborateurs », de leur annuaire, du management de cet annuaire, et de l’authentification forte (collaborateurs et non collaborateurs). De légers détails donc J…

 

 

 

·         Microsoft SQL Server Automation, including PowerShell support

Le Jérôme Bonaldi du TechEd. Malheureusement moyennement intéressant (pas de nouveautés), et une partie PowerShell dont nous avons été prévenus au début de la session que c’était une erreur dans le descriptif, et que PowerShell serait abordé en mode stratosphérique. Ce fut le cas, mais à distance lunaire J.

Techniques présentées :

-          Database Mail : pour alerter l’administrateur d’un certain nombre d’évènements. Cela ne justifiait pas d’y passer 30mn :-(

-          Resources Governor : une nouveauté de SQL2008, beaucoup plus technique cette fois. L’idée est d’attribuer des ressources différentes en fonction des transactions effectuées sur SQL. Un critère typique : les logins X, Y et Z se voient affecter des ressources limitées pour ne pas affecter le fonctionnement global du service. La « reconnaissance » des transaction se fait au moyen d’une fonction de classification, qui doit être écrite par le DBA (des modèles existent). Le principe est bon, tout l’art repose sur les bons critères de la fonction…

-          Maintenance Plans : quand SQL Manager a bien voulu ne plus faire de crash debug .Net, nous avons eu une énième redite des maintenance plans, en version 2008 rien de nouveau sous le soleil (enfin plutôt sous la pluie, ici).

-          PowerShell : quelques exemples pas bien frais, dont je veux bien croire qu’ils fonctionnent puisque l’interpréteur a pris sont temps pour jouer 2 misérables lignes.

 

J’ai quand même eu un peu de peine pour le speaker, la salle était initialement remplie au 1/3, et s’est vidée tout au long de la session de 2/3. Amis des fractions, bonsoir… Machine de démo mal préparée, et scenario de démo apparemment pas rejoué en situation réelle, ça ne pardonne pas vu la qualité de la plupart des autres présentations.

 

NB/ j’ai failli ne pas pouvoir envoyer ce soir, l’accès WiFi de 4 jours, en Allemagne, ça dure 3,5 jours. Helmut a du cliquer sur le mauvais bouton J

A demain pour la dernière journée (ouf).

Tschüss !!!