Udostępnij za pośrednictwem

Omówienie oceny w trybie offline dla programu SharePoint Server

Wymagania wstępne

Jak przygotować się do oceny na żądanie serwera SharePoint The Tools Machine służy do łączenia się z każdym z serwerów w środowisku i pobiera z nich informacje, komunikując się za pośrednictwem zdalnego wywołania procedury (RPC), bloku komunikatów serwera (SMB), protokołu LDAP (Lightweight Directory Access Protocol) i modelu obiektów składników rozproszonych (DCOM). Po zebraniu danych i zakończeniu rozmowy operacyjnej narzędzie Ocena Offline będzie analizować dane lokalnie.

Następuje lista kontrolna akcji wstępnych. Każdy element zawiera łącza do dodatkowego oprogramowania potrzebnego dla maszyny narzędziowej oraz szczegółowe kroki opisane w dalszej części tego dokumentu.

Uwaga

Wszystkie procesy zbierania i analizy danych są wykonywane lokalnie na komputerze narzędzia. Żadne dane nie są przesyłane poza Twoje środowisko, co zapewnia ich ochronę. Twoje dane są analizowane przy użyciu naszego systemu eksperckiego RAP, który jest częścią klienta oceny w trybie offline.

Wymagania dotyczące maszyny i prawa do konta

1. Sprzęt i oprogramowanie

Komputer stacji roboczej klasy serwerowej lub wysokiej klasy, wyposażony w następujące elementy:

  • Minimalnie pojedynczy procesor 2 Ghz — zalecane dwurdzeniowe/wielordzeniowe procesory 2 Ghz lub szybsze.

  • Minimum 4 GB pamięci RAM — zalecane 12 GB pamięci RAM.

  • Minimum 5 GB wolnego miejsca na dysku.

  • Stacja robocza wysokiej klasy: system Windows 11, Windows 10

  • Serwer: system Windows Server 2022, Windows Server 2019, Windows Server 2016

    • 32-bitowy lub 64-bitowy system operacyjny.

  • Minimalna rozdzielczość ekranu 1024x768 (preferowana wyższa).

  • Pakiet Microsoft Office (Word, Excel i PowerPoint) do tworzenia raportów.

  • Musi być członkiem tej samej domeny co farma programu SharePoint, która jest analizowana.

  • Microsoft® .NET Framework 4.8 — https://dotnet.microsoft.com/download/dotnet-framework/net48

    UWAGA: Jeśli serwer SharePoint Server ma zainstalowaną wyższą wersję platformy .NET niż 4.6.2, wówczas wersja zainstalowana na maszynie Tools, musi być równa lub wyższa niż zainstalowana w docelowym serwerze SharePoint.

  • Windows PowerShell 5.0 lub nowsza wersja

    • Program PowerShell 5.0 jest częścią programu Windows Management Framework 3.0: https://support.microsoft.com/kb/2506143
    • Wymagania systemowe programu Windows PowerShell
    • Zasady wykonywania programu PowerShell powinny zostać ustawione na remotesigned, zarówno na komputerze narzędziowym, jak i na serwerach
    • Ustawienia zasad wykonywania można zweryfikować za pomocą "get-executionpolicy –list" w oknie polecenia programu PowerShell

  • Foldery "Dokumenty" lub przekierowane foldery "Dokumenty" w sieci nie są obsługiwane. Wymagany jest lokalny folder "Dokumenty" na komputerze zbierającym dane.

  • Narzędzia zarządzania usługami IIS (składniki administracyjne usług IIS 7)

  • Wyjątek zapory dla administracji zdalnej (RPC) — zakres portów dynamicznych

  • Obsługiwane wersje:

    • SharePoint 2010, SharePoint 2013, SharePoint 2016, SharePoint 2019 lub SharePoint w wersji subskrypcyjnej.
    • SharePoint 2003 i SharePoint 2007 nie są obsługiwane.

2. Prawa do kont

Konto domeny z następującymi uprawnieniami:

  • Członek lokalnej grupy administratorów wszystkich serwerów w środowisku SharePoint
  • Pełna kontrola dla wszystkich aplikacji serwisowych.
  • Członek grupy "SysAdmin" w wystąpieniach SQL obsługujących bazy danych programu SharePoint
  • Nieograniczony dostęp sieciowy do wszystkich serwerów z poziomu maszyny narzędzi
  • Członek grupy Administratorzy farmy programu SharePoint
  • Nieograniczony dostęp sieciowy do wszystkich serwerów z poziomu maszyny narzędzi

Możliwość uruchamiania skryptów programu PowerShell na komputerze z uruchomionym klientem oceny w trybie offline. Zasada wykonywania programu Windows PowerShell musi być ustawiona na RemoteSigned lub zasadę zapewniającą równoważną możliwość uruchamiania skryptów lokalnych (zobacz informacje o zasadach wykonywania).

OSTRZEŻENIE: Nie należy używać funkcji „Uruchom jako”, aby uruchomić zestaw narzędzi klienta, ponieważ proces odnajdywania i moduły zbierające mogą zakończyć się niepowodzeniem. Konto uruchamiające zestaw narzędzi klienta musi zalogować się do komputera lokalnego.

Konto Microsoft jest wymagane do aktywacji i zalogowania się do portalu Services Hub. Jest to program oceny kondycji i ryzyka jako portal usługi, w którym można aktywować token dostępu, pobrać zestaw narzędzi.

  • Jeśli go nie masz, możesz je utworzyć w witrynie https://login.live.com.
  • Skontaktuj się ze swoim CSAM, jeśli token w powitalnej wiadomości e-mail wygasł lub nie można go już aktywować. Tokeny wygasają po 10 dniach. Twój CSAM może dostarczyć nowe tokeny aktywacyjne dla dodatkowych osób.

3. Dostęp sieciowy i zdalny

Upewnij się, że przeglądarka na maszynie Narzędzi lub na maszynie, z której aktywujesz, pobierasz i przesyłasz dane, ma włączoną obsługę JavaScript. Wykonaj kroki opisane w obszarze "Jak włączyć skrypty w przeglądarce".

Internet Explorer jest zalecaną przeglądarką, aby uzyskać lepsze wrażenia z portalu. Upewnij się, że konfiguracja zwiększonych zabezpieczeń programu Internet Explorer (ESC) nie blokuje języka JavaScript w witrynach. Obejściem byłoby tymczasowe wyłączenie usługi Internet Explorer ESC podczas uzyskiwania dostępu do portalu https://services.premier.microsoft.com.

Nieograniczony dostęp sieciowy do wszystkich serwerów z poziomu maszyny narzędzi Oznacza to dostęp za pośrednictwem zapór i list ACL routera, które mogą ograniczać ruch do dowolnego z serwerów. Obejmuje to zdalny dostęp do:

  • DCOM
  • Usługa rejestru zdalnego
  • Interfejsu API instrumentacji zarządzania Windows (WMI)
  • Domyślne udziały administracyjne (C$, D$, IPC).

Portów i wymagań dotyczących dostępu do protokołu:

Upewnij się, że urządzenie używane do zbierania danych ma następujące właściwości:

  • Pełny dostęp TCP/UDP, w tym dostęp RPC do wszystkich serwerów.
  • Wymagany jest również dostęp do portów 135 i 139 lub 445.
  • Zdalne zarządzanie systemem Windows (WinRM) używa portów 5985 dla protokołu HTTP. Komunikacja między maszyną Narzędzia a serwerem SharePoint przeznaczonym dla zbierania danych na porcie 5985 musi być włączona, ponieważ polecenia programu PowerShell będą wykonywane zdalnie za pośrednictwem tego portu.

Uwaga: Podczas wykonywania zdalnych kroków konfiguracji programu PowerShell i protokołu CredSSP opisanych w części 6. tego dokumentu, zostanie wyświetlony monit o zezwolenie na otwarcie portu 5985 w ramach procesu konfiguracji, wybierz opcję „Tak”, aby zezwolić na otwarcie tego portu po wyświetleniu monitu.

Skonfiguruj zaporę serwerów, aby wszystkie serwery z systemem Windows Server 2016 i nowszymi jego wersjami miały włączone zdalne zarządzanie dziennikami zdarzeń:

Klient w trybie offline może nie być w stanie zebrać informacji dziennika zdarzeń z systemu Windows Server 2016 lub nowszej jego wersji, jeśli zdalne zarządzanie dziennikiem zdarzeń nie jest dozwolone. Gdy zarządzanie zdalne jest włączone, na serwerach docelowych należy uruchomić następujące usługi:

  • Usługa WMI
  • Usługa rejestru zdalnego
  • Usługa serwera
  • Usługa stacji roboczej
  • Usługa udostępniania plików i drukarek
  • Funkcja aktualizacje automatyczne

Skonfiguruj zaporę serwera, aby wszystkie serwery z systemem Windows Server 2016 lub nowszą jego wersją miały włączoną funkcję „Zdalne zarządzanie dziennikami zdarzeń”:

Klient oceny w trybie offline może nie być w stanie zebrać informacji dziennika zdarzeń z systemu Windows Server 2016 lub nowszej jego wersji, jeśli „Zdalne zarządzanie dziennikiem zdarzeń” nie jest dozwolone. Gdy włączone jest "Zarządzanie zdalne", włączone są również reguły zezwalające na zarządzanie dziennikami zdarzeń zdalnych.

Zapora systemu Windows

Aby sprawdzić, czy narzędzie będzie mogło zbierać dane dziennika zdarzeń z hosta systemu Windows Server, można spróbować połączyć się z serwerem Windows Server przy użyciu programu eventvwr.msc. Jeśli możesz się połączyć, możliwe jest zbieranie danych dziennika zdarzeń. Jeśli połączenie zdalne nie powiedzie się, może być konieczne włączenie wbudowanej zapory ogniowej systemu Windows w celu umożliwienia „Zdalnego zarządzania dziennikiem zdarzeń”.

Testowanie łączności

  • Dziennik zdarzeń: Aby sprawdzić, czy narzędzie będzie mogło zbierać dane dziennika zdarzeń z serwera Windows Server, można spróbować użyć programu eventvwr.msc. Jeśli możesz się połączyć, możliwe jest zbieranie danych dziennika zdarzeń. Jeśli połączenie zdalne nie powiedzie się, może być konieczne włączenie wbudowanej zapory ogniowej systemu Windows w celu umożliwienia „Zdalnego zarządzania dziennikiem zdarzeń”.
  • Rejestr: Użyj pliku regedit.exe, aby przetestować łączność rejestru zdalnego z serwerami docelowymi (Plik > Połącz rejestr sieciowy).
  • Plik: Połącz się z udziałami C$ i Admin$ na serwerach docelowych, aby zweryfikować dostęp do plików.

4. Dodatkowe wymagania dotyczące systemu Windows Server 2016 lub nowszego:

Odp. Zaloguj się do wybranego komputera zbierającego dane, aby zidentyfikować jego bieżący adres IP przy użyciu pliku IPConfig.exe z wiersza polecenia. Przykładowe dane wyjściowe:

C:\>ipconfig
Windows IP Configuration
Ethernet adapter Ethernet:
Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::X:X:X:X%13
IPv4 Address. . . . . . . . . . . : X.X.X.X
Subnet Mask . . . . . . . . . . . : X.X.X.X
Default Gateway . . . . . . . . . : X.X.X.X
  • Zanotuj adres IPv4 swojego urządzenia. Ostatnim krokiem w konfiguracji będzie użycie tego adresu, aby upewnić się, że tylko komputer zbierający dane może komunikować się z agentem usługi Windows Update w farmie serwerów SharePoint.

B. Tworzenie, konfigurowanie i łączenie obiektu zasad grupy z jednostką organizacyjną serwerów SharePoint w domenie serwerów.

Obiekt polityki grupy

Utwórz nowy obiekt GPO

Upewnij się, że obiekt zasad grupy ma zastosowanie do jednostki organizacyjnej serwerów SharePoint.

Uwaga: Jeśli inne serwery spoza zakresu znajdują się w tej usłudze organizacyjnej, filtrowanie grup zabezpieczeń może służyć do ograniczania stosowania zasad grupy tylko do serwerów SharePoint.

  • W otwartym obiekcie GPO: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zapora systemu Windows z zabezpieczeniami zaawansowanymi\ Zapora systemu Windows z zabezpieczeniami zaawansowanymi.
  • Kliknij prawym przyciskiem myszy pozycję Reguły przychodzące, a następnie kliknij polecenie Nowa reguła.
  • Utworzona reguła zostanie scalona z regułami, które zostały już włączone na serwerach SharePoint za pośrednictwem zasad lokalnych i/lub innych obiektów zasad grupy, które mają zdefiniowane reguły przychodzące.
  • W Kreatorze nowych reguł przychodzących na stronie Typ reguły kliknij pozycję Niestandardowe, a następnie kliknij przycisk Dalej.
  • Na karcie Program wybierz pozycję Ta ścieżka programu i wstaw następującą ścieżkę bez cudzysłowów:
  • „%SystemRoot%\system32\dllhost.exe”, jak pokazano na poniższej grafice i wybierz dalej.

DL Host

Na stronie Protokołu i portów wybierz "TCP" dla typu protokołu i "Porty dynamiczne RPC" dla portów lokalnych i wybierz następny, jak pokazano na poniższej grafice.

okno potwierdzenia zawierające pola: typ protokołu, numer protokołu, port lokalny i port zdalny.

  • Na stronie zakresu wybierz pozycję Te adresy IP w obszarze „które zdalne adresy IP mają zastosowanie do tej reguły”, a następnie kliknij przycisk Dodaj. Wstaw adres IP urządzenia zbierającego dane zidentyfikowanego w pierwszym kroku. Na stronie zakresu kliknij przycisk OK, a następnie przycisk Dalej.
  • Wybierz pozycję Zezwalaj na połączenie na stronie Akcja i wybierz pozycję Dalej.
  • Pozostaw domyślne profile zaznaczone na stronie Profil, a następnie na stronie Nazwa nadaj regule nazwę opisującą dozwoloną przez nią nazwę, podobną do "Zezwalaj na przychodzących do WUA z x.x.x.x" i zakończ kreatora tworzenia reguł, aby zatwierdzić regułę do zasad zapory.
  • Po wejściu w życie reguły można ją potwierdzić jako aktywną za pośrednictwem Zapory systemu Windows z programem zabezpieczeń zaawansowanych MMC (WF.MSC) monitorowanie węzła nawigacji lub przez przesłuchiwanie danych wyjściowych następującego polecenia programu PowerShell "Get-NetFirewallRule -Enabled true -policystore ActiveStore" i potwierdzenie utworzonej reguły pojawia się.

5. Konfiguracja zdalnego programu PowerShell i protokołu CredSSP (komputer z narzędziami)

Na maszynie Tools uruchom wiersz polecenia programu PowerShell z opcją „Uruchom jako administrator”. I uruchom następujące polecenia (zobacz ważną uwagę poniżej przed uruchomieniem poniższych poleceń)

Enable-WSManCredSSP -Role client -DelegateComputer <SharePointServer FQDN>

Uwaga:

  • „SharePointServer FQDN” w powyższym poleceniu jest „Serwerem docelowym”, z którym „Maszyna narzędzi” łączy się podczas zbierania danych. Nazwy FQDN należy używać dla serwera SharePoint, a nie tylko nazwy hosta.
  • Usługa WinRM musi być uruchomiona, aby to polecenie zakończyło się pomyślnie.

6. Konfiguracja zdalnego programu PowerShell i CredSSP (docelowy serwer farmy)

Na serwerze docelowym (zobacz pierwszą i czwartą stronę tego dokumentu, aby dowiedzieć się więcej o serwerze docelowym), uruchom program PowerShell Prompt z opcją „Uruchom jako administrator”. I uruchom następujące polecenia (zobacz ważną uwagę poniżej przed uruchomieniem poniższych poleceń)

winrm quickconfig
Enable-WSManCredSSP -Role server

Uwaga

Farmy programu SharePoint 2013, SharePoint 2016 i SharePoint 2019 są obsługiwane tylko w tej chwili. Ocena na żądanie dla serwera SharePoint nie obsługuje programu SharePoint Server 2010 lub wcześniejszych jego wersji.

Ocena na żądanie dla serwera SharePoint Server obsługuje farmy serwerów SharePoint wspierane przez serwery SQL z systemem SQL — Server 2014 i SQL Server 2012. Starsze wersje programu SQL Server nie są obsługiwane.

7. Zdalna konfiguracja programu PowerShell i CredSSP

W ramach oceny większość informacji programu SharePoint jest zbierana przez zdalne wykonywanie skryptów programu PowerShell z Maszyny narzędzi. Ważne jest, aby delegowanie CredSSP było poprawnie skonfigurowane, tak aby skrypty programu PowerShell mogły być wykonywane zdalnie na serwerze docelowym. Poniższy skrypt pomaga dowiedzieć się, czy CredSSP jest poprawnie skonfigurowany przez połączenie i wykonanie skryptu na serwerze docelowym. Uruchom poniższy skrypt z Maszyny narzędzi.

Wykonanie poniższego fragmentu kodu powinno skutkować podaniem listy wszystkich baz danych zawartości programu SharePoint w farmie programu SharePoint.

$farm = Get-Credential
$s = New-PSSession -ComputerName [FQDN of Target Server] -Authentication CredSSP -Credential $farm
Invoke-Command -Session $s -ScriptBlock { add-pssnapin Microsoft.SharePoint.PowerShell -ea 0 }
Invoke-Command -Session $s -ScriptBlock { get-spfarm }
Invoke-Command -Session $s -ScriptBlock { get-spcontentdatabase }
Get-PSSession | Remove-PSSession

Uwaga

"FQDN serwera docelowego" to serwer SharePoint, na którym jest włączony CredSSP (zobacz pierwszą stronę i czwartą stronę tego dokumentu, aby dowiedzieć się więcej o serwerze docelowym).

**Jeśli poprzedni test nie powiedzie się, NIE kontynuuj oceny i skontaktuj się z menadżerem CSAM w celu uzyskania dalszej pomocy.

Zbieranie danych — metody

Appendix: Dodatek: Zbieranie danych — metody

Ocena w trybie offline dla serwera SharePoint używa wielu metod zbierania danych do zbierania informacji. W tej sekcji opisano metody używane do zbierania danych ze środowiska programu SharePoint. Do zbierania danych nie są używane żadne skrypty VB. Zbieranie danych używa przepływów pracy i modułów zbierających. Kolekcjonerami są:

  • Moduły zbierające rejestry
  • Skrypty programu SharePoint PowerShell
  • Moduł zbierający dzienniki
  • Zapytania SQL
  • Informacje dotyczące usługi IIS
  • Moduł zbierający dane plików
  • Usługa WMI

Moduły zbierające rejestry

Klucze i wartości rejestru są odczytywane z komputera do zbierania danych oceny na żądanie serwera SharePoint (tj. Maszyny narzędzi) i wszystkich serwerów programu SharePoint, w tym serwerów SQL. Obejmują one takie elementy, jak:

  • Informacje o aliasie SQL z HKLM\SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo

Dzięki temu ocena może ustalić, czy serwery SharePoint używają aliasu SQL do łączenia się z serwerem SQL obsługującym bazy danych programu SharePoint.

Informacje o systemie operacyjnym z HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

Pozwala to na określenie informacji o systemie operacyjnym m. in. Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 i Windows Server 2016.

Skrypty programu SharePoint PowerShell

Większość danych programu SharePoint jest zbierana przy uruchamianiu skryptów programu SharePoint PowerShell. Na przykład informacje dotyczące widoków dużej listy, mapowań dostępu alternatywnego, SharePoint Services, informacji o ULS, informacji o listach programu SharePoint, funkcji przeszukiwania SharePoint, zadań czasomierza itp., są zbierane za pomocą skryptów SharePoint PowerShell. Skrypty te są wykonywane zdalnie z Maszyny narzędzi, łącząc się z komputerem docelowym.

Moduł zbierający dzienniki

Zbiera dzienniki zdarzeń ze wszystkich serwerów SharePoint, w tym serwerów SQL. Ocena w trybie offline zbiera ostatnie 7 dni ostrzeżeń i błędów z dzienników aplikacji i systemu.

Zapytania SQL

Niektóre informacje dotyczące baz danych SQL, hostowane przez wystąpienie programu SharePoint SQL, są zbierane za pomocą skryptów SQL. Na przykład informacje związane z danymi SQL i plikami dziennika (na przykład rozmiar i następny rozmiar wzrostu), właściwości wystąpienia SQL (na przykład, jeśli używasz zintegrowanych zabezpieczeń, jeśli wystąpienie jest klastrowane), fragmentacja indeksu, informacje statystyczne itp., są zbierane za pośrednictwem skryptów SQL.

Informacje IIS:

Szczegóły witryn sieci Web usług IIS i konfiguracji puli aplikacji są zbierane przy użyciu kodu .NET i przepływów pracy. Moduł zbierający dane plików wylicza pliki w folderze na komputerze zdalnym i opcjonalnie pobiera te pliki. Na przykład pliki web.config, pliki dziennika usług IIS, pliki konfiguracyjne hosta aplikacji itp.,

Instrumentacja zarządzania Windows (WMI)

WMI służy do zbierania różnych informacji, takich jak:

  • WIN32_Volume: Zbiera informacje o ustawieniach woluminów dla każdego serwera w środowisku programu SharePoint. Informacje te są używane na przykład do określenia woluminu systemowego i litery dysku, co umożliwia funkcji oceny w trybie offline dla programu SharePoint zbieranie informacji o plikach znajdujących się na dysku systemowym.
  • Win32_Process: Zbiera informacje o procesach uruchomionych na każdym serwerze w środowisku programu SharePoint. Te informacje zapewniają wgląd w procesy, które zużywają dużą ilość wątków, pamięci lub mają duże użycie pliku stronicowania.
  • Win32_LogicalDisk: Służy do zbierania informacji na dyskach logicznych. Używamy tych informacji do określenia ilości wolnego miejsca na dysku, na którym znajdują się pliki bazy danych lub dziennika.