Oversikt over behovsbetinget vurdering for å komme i gang med SharePoint Server

Forutsetninger

Slik forbereder du deg på den behovsbetingede vurderingen for SharePoint Server Verktøy-maskinen brukes til å koble til hver av serverne i miljøet og henter informasjon fra dem, kommuniserer via Remote Procedure Call (RPC), Server Message Block (SMB), Lightweight Directory Access Protocol (LDAP) og Distributed Component Object Model (DCOM). Når dataene samles inn og det operative intervjuet er fullført, analyserer verktøyet for frakoblet vurdering dataene lokalt.

En sjekkliste over nødvendige handlinger følger. Hvert element kobler til eventuell ekstra programvare som kreves for verktøymaskinen, og detaljerte trinn som er inkludert senere i dette dokumentet.

Maskinkrav og kontorettigheter

Maskinvare og programvare

Serverklasse eller high-end arbeidsstasjonsdatamaskin utstyrt med følgende:

• Minimum enkel 2Ghz-prosessor – anbefalt dualcore/multicore 2Ghz eller raskere prosessorer.

• Minimum 4 GB RAM – anbefalt 12 GB RAM.

• Minimum 5 GB ledig lagringsplass.

• High End Workstation: Windows 11, Windows 10

• : Windows 2022, Windows 2019, Windows 2016

  • Kan være 32-biters eller 64-biters operativsystem.

• Minst en skjermoppløsning på 1024 x 768 (raskere foretrukket).

• Microsoft Office (Word, Excel og PowerPoint) for oppretting av rapporter.

• Må være medlem av samme domene som SharePoint-farmen som analyseres.

• Microsoft® .NET Framework 4.8 – Last ned

  OBS! Hvis SharePoint har en nyere versjon av .NET installert enn 4.6.2 enn versjonen som er installert på Verktøy-maskinen, må den være lik eller nyere enn installert på Mål-SharePoint Server.

• Windows PowerShell 5.0 eller nyere

  • PowerShell 5.0 er en del av Windows Management Framework 3.0. Finn ut mer.
  • Systemkrav for Windows PowerShell
  • Kjøringspolicyen for PowerShell bør angis til ekstern på både verktøymaskinen og serverne
  • Policyinnstillingene for kjøring kan bekreftes ved hjelp av «get-executionpolicy –list» i et PowerShell-kommandovindu

• Nettverksdokumenter eller omadresserte Dokumenter-mapper støttes ikke. Lokal «Dokumenter»-mappe på datainnsamlingsmaskinen kreves.

• Administrasjonsverktøy for IIS (IIS 7-administrasjonskomponenter)

• Brannmurunntak for Ekstern administrasjon( RPC) – dynamisk portområde

Kontorettigheter

En domenekonto med følgende:

• Medlem av den lokale administratorgruppen på alle servere i SharePoint-miljøet
• Full kontroll over alle tjenesteprogrammer.
• Medlem av SysAdmin-gruppen på SQL-forekomster som er vert for SharePoint-databaser
• Ubegrenset nettverkstilgang fra Verktøy-maskinen til alle servere
• Medlem av gruppen Administratorer for SharePoint-farm
• Ubegrenset nettverkstilgang fra Verktøy-maskinen til alle servere

Mulighet til å kjøre PowerShell-skript på maskinen som kjører den frakoblede vurderingsklienten. Kjøringspolicyen for Windows PowerShell må være satt til RemoteSigned eller en policy som gir en tilsvarende mulighet til å kjøre lokale skript.

ADVARSEL: Ikke bruk Kjør som-funksjonen til å starte klientverktøysettet, da oppdagelsesprosessen og samlere kan mislykkes. Kontoen som starter klientverktøysettet, må logge på den lokale maskinen.

En Microsoft-konto er nødvendig for å aktivere og logge på Premier Proactive Assessment Services-portalen. Dette er RAP som en tjenesteportal der du aktiverer tilgangstokenet og installerer verktøysettet.

• Hvis du ikke har en, oppretter du en.
• Kontakt CSAM hvis tokenet i velkomst-e-postmeldingen er utløpt eller ikke lenger kan aktiveres. Tokener utløper etter ti dager. Din CSAM kan gi nye aktiveringstokener for flere personer.

Nettverk og ekstern tilgang

Kontroller at nettleseren på Verktøy-maskinen eller maskinen du aktiverer, installerer og sender inn data fra, har JavaScript aktivert. Følg trinnene som er oppført på «Slik aktiverer du skripting i nettleseren».

Internet Explorer er den anbefalte nettleseren for en bedre opplevelse med portalen. Kontroller at Utvidet sikkerhetskonfigurasjon for Internet Explorer (ESC) ikke blokkerer JavaScript på områder. En midlertidig løsning kan være å deaktivere Internet Explorer ESC midlertidig når du åpner portalen https://services.premier.microsoft.com .

Ubegrenset nettverkstilgang fra Verktøy-maskinen til alle servere. Dette betyr tilgang gjennom brannmurer og ruter-ACLer som kan begrense trafikken til noen av serverne. Dette inkluderer ekstern tilgang til:

• DCOM
• Ekstern registertjeneste
• Windows Management Instrumentation-tjenester (WMI)
• Standard administrative ressurser (C$, D$, IPC$).

Krav til porter og protokolltilgang:

Kontroller at maskinen du bruker til å samle inn data, har følgende:

• Fullfør TCP/UDP-tilgang, inkludert RPC-tilgang til alle servere.
• Det kreves også tilgang over port 135 og 139 eller 445.
• Windows Remote Management (WinRM) bruker Ports 5985 for HTTP. Kommunikasjon mellom Verktøy-maskinen og SharePoint-serveren som er rettet mot datainnsamlingen på port 5985, må aktiveres ettersom PowerShell-kommandoer kjøres eksternt via denne porten.

Obs!

Når du kjører konfigurasjonstrinnene Remote PowerShell og CredSSP i del 6 i dette dokumentet, blir du bedt om å tillate at port 5985 åpnes som en del av konfigurasjonen. Velg ja for å tillate at porten åpnes når du blir bedt om det.

Konfigurer serverbrannmuren for å sikre at alle servere som kjører Windows Server 2016 og senere har ekstern behandling av hendelseslogg aktivert:

Obs!

Frakoblet klient kan kanskje ikke samle inn informasjon om hendelsesloggen fra en Windows Server 2016 eller nyere hvis ekstern behandling av hendelseslogg ikke er tillatt. Når Ekstern administrasjon er aktivert, må følgende tjenester startes på målserverne:

• WMI
• Ekstern registertjeneste
• Servertjeneste
• Workstation-tjeneste
• Fil- og skriverdelingstjeneste
• Automatisk oppdateringstjeneste

Konfigurer serverbrannmuren for å sikre at alle servere som kjører Windows Server 2016 og nyere, har aktivert ekstern behandling av hendelseslogg:

Obs!

Frakoblet vurderingsklient kan kanskje ikke samle inn informasjon om hendelsesloggen fra en Windows Server 2016 eller nyere hvis «Ekstern behandling av hendelseslogg» ikke er tillatt. Når Ekstern behandling er aktivert, aktiveres også reglene som tillater ekstern behandling av hendelseslogg.

Hvis du vil teste om verktøyet vil kunne samle inn hendelsesloggdata fra en Windows Server-vert, kan du prøve å koble til Windows Server-serveren ved hjelp av eventvwr.msc. Hvis du kan koble til, er det mulig å samle inn hendelsesloggdata. Hvis den eksterne tilkoblingen ikke lykkes, må du kanskje slå på den innebygde Windows-brannmuren for å tillate ekstern behandling av hendelseslogg.

Tilkoblingstesting

• Hendelseslogg: Hvis du vil teste om verktøyet vil kunne samle inn hendelsesloggdata fra en Windows Server, kan du prøve å bruke eventvwr.msc. Hvis du kan koble til, er det mulig å samle inn hendelsesloggdata. Hvis den eksterne tilkoblingen ikke lykkes, må du kanskje slå på den innebygde Windows-brannmuren for å tillate ekstern behandling av hendelseslogg.
• Register: Bruk regedit.exe til å teste ekstern registertilkobling til målserverne (Filtilkoblingsnettverksregister > ).
• Fil: Koble til C$- og Admin$-delte ressurser på målserverne for å bekrefte filtilgang.

4. Tilleggskrav for Windows Server 2016 eller nyere:

Svar. Logg på den valgte datainnsamlingsmaskinen for å identifisere gjeldende IP-adresse ved hjelp av IPConfig.exe fra ledeteksten. Et eksempel på utdata er som følger:

C:\>ipconfig
Windows IP Configuration
Ethernet adapter Ethernet:
Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::X:X:X:X%13
IPv4 Address. . . . . . . . . . . : X.X.X.X
Subnet Mask . . . . . . . . . . . : X.X.X.X
Default Gateway . . . . . . . . . : X.X.X.X

• Noter IPv4-adressen til maskinen. Det siste trinnet i konfigurasjonen vil bruke denne adressen til å sikre at bare datainnsamlingsmaskinen kan kommunisere med Windows Update Agent på SharePoint-serverfarmen.

B. Opprett, konfigurer og koble et gruppepolicyobjekt til SharePoint Servers OU i domenet til serverne.

Opprett et nytt gruppepolicyobjekt

Kontroller at gruppepolicyobjektet gjelder for organisasjonsenheten for SharePoint Servers.

Obs!

Hvis andre servere utenfor omfanget finnes i OU, kan filtrering av sikkerhetsgrupper brukes til å begrense programmet for gruppepolicy til bare SharePoint-servere.

• I gruppepolicyobjektet åpent: Datamaskinkonfigurasjon\Policyer\Windows-innstillinger\Sikkerhetsinnstillinger\Windows-brannmur med avansert sikkerhet\ Windows-brannmur med avansert sikkerhet.
• Høyreklikk innkommende regler, og velg deretter Ny regel.
• Regelen du oppretter, flettes sammen med reglene som allerede er aktivert på SharePoint Servers via lokal policy og/eller andre gruppepolicyobjekter som har definert innkommende regler.
• Velg Egendefinert på Regeltype-siden i veiviseren for ny inngående regel, og velg deretter Neste.
• Velg Denne programbanen på Program-fanen, og sett inn følgende bane uten anførselstegn:
• %SystemRoot%\system32\dllhost.exe, som vist i grafikken nedenfor, og velg neste.

Velg TCP for protokolltypen og RPC-dynamiske porter for lokale porter på siden Protokoll og porter, og velg deretter neste som vist i grafikken nedenfor.

• Velg Disse IP-adressene under «hvilke eksterne IP-adresser gjelder denne regelen» på omfangssiden, og velg deretter Legg til. Sett inn IP-adressen til datainnsamlingsmaskinen som ble identifisert i det første trinnet. Velg OK, og deretter Neste på omfangssiden.
• Velg Tillat tilkoblingen på handlingssiden, og velg Neste.
• La standardprofilene være merket på profilsiden, og gi deretter regelen et navn som beskriver hva den tillater, på samme måte som «Tillat innkommende til WUA fra x.x.x.x» og fullfør veiviseren for oppretting av regel for å overføre regelen til brannmurpolicyen.
• Når regelen gjelder, kan den bekreftes som aktiv gjennom Windows-brannmur med Avansert sikkerhet MMC (WF. MSC) overvåker navigasjonsnoden eller ved å avhøre utdataene fra følgende PowerShell-kommando "Get-NetFirewallRule -Enabled true -policystore ActiveStore" og bekrefte at den opprettede regelen vises.

Ekstern PowerShell- og CredSSP-konfigurasjon (Verktøymaskin)

Start PowerShell-ledeteksten på verktøymaskinen med kommandoen «Kjør som administrator». Og kjør følgende kommandoer (se senere viktige merknader før du kjører følgende kommandoer)

Enable-WSManCredSSP -Role client -DelegateComputer <SharePointServer FQDN>

Merk:

• Kommandoen SharePointServer FQDN er målserveren som Verktøymaskin kobler til når data samles inn. Du må bruke FQDN for SharePoint-serveren og ikke bare vertsnavnet.
• WinRM-tjenesten må kjøre for at denne kommandoen skal lykkes.

Ekstern PowerShell- og CredSSP-konfigurasjon (målfarmserver)

På målserveren (se den første siden og den fjerde siden i dette dokumentet for å lære om målserveren), starter du PowerShell-ledeteksten med kommandoen «Kjør som administrator». Og kjør følgende kommandoer (se følgende viktige merknad før du kjører følgende kommandoer)

winrm quickconfig
Enable-WSManCredSSP -Role server

Obs!

SharePoint 2013-, SharePoint 2016- og SharePoint 2019-farmer støttes bare for øyeblikket. On-Demand Assessment for SharePoint Server støtter ikke SharePoint Server 2010 eller tidligere.

On-Demand Assessment for SharePoint Server støtter SharePoint-farmer støttet av SQL-servere som kjører SQL -Server 2014, SQL Server 2012. Tidligere versjoner av SQL Server støttes ikke.

Ekstern PowerShell- og CredSSP-konfigurasjon

Som en del av vurderingen samles mesteparten av SharePoint-informasjonen inn ved å kjøre PowerShell-skript eksternt fra verktøymaskinen. Det er viktig at CredSSP-delegeringen konfigureres riktig, slik at PowerShell-skriptene kan kjøres eksternt på målserveren. Følgende skript hjelper deg med å vite om CredSSP er riktig konfigurert ved å koble til og kjøre skriptet på målserveren. Kjør følgende skript fra verktøymaskinen.

Kjøring av følgende kodesnutt skal sende listen over alle SharePoint-innholdsdatabaser i SharePoint-farmen.

$farm = Get-Credential
$s = New-PSSession -ComputerName [FQDN of Target Server] -Authentication CredSSP -Credential $farm
Invoke-Command -Session $s -ScriptBlock { add-pssnapin Microsoft.SharePoint.PowerShell -ea 0 }
Invoke-Command -Session $s -ScriptBlock { get-spfarm }
Invoke-Command -Session $s -ScriptBlock { get-spcontentdatabase }
Get-PSSession | Remove-PSSession

Obs!

FQDN for målserveren er SharePoint-serveren som CredSSP er aktivert på (se den første siden og den fjerde siden i dette dokumentet for å lære om Målserver).

Hvis testen mislykkes, må du IKKE fortsette med vurderingen og ta kontakt med CSAM for ytterligere hjelp.

Datainnsamlingsmetoder

Tillegg: Metoder for datainnsamling

On-Demand Assessment for SharePoint Server bruker flere metoder for datainnsamling til å samle inn informasjon. Denne delen beskriver metodene som brukes til å samle inn data fra et SharePoint-miljø. Ingen VB-skript brukes til å samle inn data. Datainnsamling bruker arbeidsflyter og samlere. Samlerne er:

• Registersamlere
• SharePoint PowerShell-skript
• Hendelsesloggsamler
• SQL-spørringer
• IIS-informasjon
• Arkivdatainnsamling
• WMI

Registersamlere:

Registernøkler og verdier leses fra On-Demand Assessment for SharePoint Server-datainnsamlingsmaskinen (også kalt Verktøymaskin) og alle SharePoint-servere, inkludert SQL-servere. De inkluderer elementer som:

• SQL Alias-informasjon fra HKLM\SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo

Dette gjør det mulig for vurderingen å avgjøre om SharePoint-serverne bruker SQL-alias til å koble til SQL-serveren som er vert for SharePoint-databasene.

Operativsysteminformasjon fra HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

Dette gjør det mulig å bestemme operasjonssysteminformasjon, for eksempel Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016.

SharePoint PowerShell-skript:

Mesteparten av SharePoint-dataene samles inn via kjøring av SharePoint PowerShell-skript. Informasjonen som gjelder store listevisninger, alternative tilgangstilordninger, SharePoint-tjenester, ULS-informasjon, Informasjon om SharePoint-lister, SharePoint-søk, tidtakerjobber og mer, samles for eksempel ved hjelp av SharePoint PowerShell-skript.

Disse skriptene kjøres eksternt fra verktøymaskinen ved å koble til målmaskinen. Hvis du vil ha mer informasjon om verktøymaskin og målmaskiner, kan du se 1. side og fjerde side i dette dokumentet.

Hendelsesloggsamler:

Samler inn hendelseslogger fra alle SharePoint Server-servere, inkludert SQL-servere. Frakoblet vurdering samler inn de siste 7 dagene med advarsler og feil fra program- og systemloggene.

SQL-spørringer:

Noe av informasjonen som gjelder SQL-databasene som driftes av SharePoint SQL-forekomsten, samles inn via SQL-skript. Informasjonen som er relatert til SQL-data og loggfiler (for eksempel størrelsen og neste vekststørrelse), SQL-forekomstegenskaper (for eksempel hvis du bruker Integrert sikkerhet, hvis forekomsten er gruppert), indeksfragmentering, statistikkinformasjon og mer, samles alle inn via SQL-skript.

IIS-informasjon:

Detaljene for IIS-nettstedene og apputvalgkonfigurasjonene samles inn ved hjelp av .NET-kode og arbeidsflyter.

Arkivdatainnsamling:

Nummererer filer i en mappe på en ekstern maskin, og henter eventuelt disse filene. For eksempel web.config-filer, IIS-loggfiler, appvert-konfigurasjonsfiler og mer,

Windows Management Instrumentation (WMI):

WMI brukes til å samle inn ulike opplysninger, for eksempel:

• WIN32_Volume: Samler inn informasjon om voluminnstillinger for hver server i SharePoint-miljøet. Informasjonen brukes for eksempel til å bestemme systemvolumet og stasjonsbokstaven som gjør det mulig for Frakoblet vurdering for SharePoint å samle inn informasjon om filer som er plassert på systemstasjonen.

• Win32_Process: Samle inn informasjon om prosessene som kjører på hver server i SharePoint-miljøet. Informasjonen gir innsikt i prosesser som bruker en stor mengde tråder, minne eller har en stor sidefilbruk.

• Win32_LogicalDisk: Brukes til å samle inn informasjon på de logiske diskene. Vi bruker informasjonen til å bestemme hvor mye ledig plass på stasjonen der databasen eller loggfilene er plassert.