SharePoint Server におけるホストヘッダーの利用について

こんにちは SharePoint サポートの森 健吾 (kenmori) です。 今回の投稿では、SharePoint Server オンプレミス製品をホストする Web サーバーでホスト ヘッダーを利用する方法や注意点についてご説明します。 新しい情報ではありませんが、代替アクセス マッピングと合わせて質問が多いため、今回情報を公開させていただくに至りました。 なお、ホストヘッダーは、SharePoint Server 2013 から導入されたホスト名付きサイト コレクションには対応していません。本投稿ではホスト名付きサイト コレクションには言及しません。   ホストヘッダーの用途 ホストヘッダーを指定すれば、要求アドレスのホスト名をもとに、Web サーバーが到達先の Web サイトを振り分けることができるようになります。そのため、例えば複数の異なる IIS Web サイト (または異なる SharePoint の Web アプリケーション) で同じポート番号 (例. 80, 443) を共有することが可能になります。 ホストヘッダーを指定した場合、HTTP 要求されたアドレスのホスト名とポート番号の両方が合致した Web サイトに要求が振り分けられます。 この機能が利用される背景としては、Web サーバーにおいて、特に 80 番ポート (http://)や 443 番ポート (https://) など、URL 表記する際に番号を省略できるポートであるということ。また、ファイアウォール設定などもあるため、あまり多くのポートを開けたくないという要件などもあります。 SharePoint でホストヘッダーを設定できる画面は、新規 Web…

0

SharePoint 2013 形式ワークフローの障害復旧について

こんにちは SharePoint サポートの森 健吾 (kenmori) です。今回の投稿では、オンプレミス版の SharePoint Server 2013  以降における SharePoint 2013 形式ワークフローの障害復旧手順を記載します。 本投稿の内容は SharePoint 2010 形式ワークフローでは考慮の必要はありません。 SharePoint 2010 形式ワークフローは、SharePoint 内にワークフローのランタイムが組み込まれています。そのため、コンテンツ データベース内にワークフローのインスタンスなども存在し、コンテンツ データベース単位のバックアップ・復元だけで障害復旧できるため、運用時の負担が少ないというメリットがあります。 これに対し、SharePoint 2013 形式では、SharePoint 外部に .NET Framework 4.x における Windows Workflow Foundation のフレームワークとなる製品である Workflow Manager がランタイムを担っています。そのため、バックアップ・復元作業は SharePoint だけの作業にとどまりません。 運用環境に SharePoint 2013 形式ワークフローを展開する場合には、障害復旧についても想定しておく必要があります。 タイトル : Workflow Manager 1.0 での障害復旧とスコープ復元 アドレス : https://msdn.microsoft.com/ja-jp/library/jj730570(v=azure.10).aspx   SharePoint Server…

2

複数台のサーバーから一括で診断ログを取得する方法

こんにちは。 SharePoint サポートの木田です。   複数台のサーバーがあるファームで、各サーバーから診断ログを取得する必要がある場合、10 台、20 台とサーバーがあると、取得するのも一苦労ではありませんか?そんな状況で役立つ Merge-SPLogFileコマンドを紹介します。 (エラーや障害に関する問い合わせで弊社サポートをご利用頂く際に、事前に調査してほしい現象が発生した時間帯の診断ログを取得頂いていると助かります!)   今回は、一般的なシナリオとして、複数台の Web フロント エンド サーバーがある環境で、特定の Web パーツがエラーで表示されない場合などを想定して、どのサーバーでエラーが記録されているかわからないが、現象が発生した時間帯は把握している場合に、該当の時間帯のログをファーム内のすべてのサーバーから取得する例を紹介します。   実行手順 ファームのいずれか 1 台のサーバーに管理者権限でログインして、[SharePoint 2013 管理シェル] を管理者権限で起動します。 (SharePoint Server 2010, 2016 の場合はそれぞれのバージョンの管理シェルを起動します。)   以下のコマンドにて、ファーム内のすべてのサーバーより指定した時間帯のログを取得します。 (今回は現象発生時刻が 2016年8月20日 10:00 – 10:10 の間であったと仮定します。)   Merge-SPLogFile -Path “<ログの出力先>” -Overwrite -StartTime “<開始時刻>” – EndTime “<終了時刻>”   例]) Merge-SPLogFile -Path “C:\Logs\mergedlog.log” -Overwrite -StartTime…

0

代替アクセス マッピングを理解する

こんにちは SharePoint サポートの森 健吾 (kenmori) です。 今回の投稿では、 SharePoint  Server オンプレミス版の代替アクセス マッピングによるアドレス調整の動作をご説明し、この設定の意味を理解するためのご説明をいたします。 代替アクセス マッピングは、複数サーバーによるファーム構成の Web サーバー、様々なネットワーク環境への展開の想定、開発者向けの API など、様々な状況を考慮した上で作成されております。代替アクセス マッピングは、SharePoint が要求を受信した際や、指定されたアドレスをどう扱うかについての機能です。DNS などサーバーに到達するまでのルーティング設定とは異なりますので、ネットワーク側の構築は別途行う必要があります。 すでに SharePoint に本機能が組み込まれてから長い期間が経過しますが、理解し難しいというコメントをよく寄せられます。本投稿では代替アクセス マッピングを設定することで、どのような動作が行われるかという観点でまとめ、実際に構成する際やトラブルシューティングなどを行うことが必要となった際に、シンプルに考えられるようにまとめております。 なお、代替アクセス マッピングは SharePoint Server 2013 から導入されたホスト名付きサイト コレクションには対応していません。本投稿ではホスト名付きサイト コレクションには言及しません。 1 : 画面構成について 代替アクセス マッピングの設定画面にアクセスするためには、サーバーの全体管理にアクセスし、"システム設定" 配下にある [代替アクセス マッピングの構成] をクリックします。 少し古いですが、関連記事として下記があります。具体的な設定手順等について記載されておりますが、画面構成は 2007 の時から大きく変更されていません。 タイトル : 代替アクセスマッピングの設定方法アドレス : http://blogs.technet.com/b/sharepoint_support/archive/2009/11/25/3296232.aspx   2 : キーワード 代替アクセス マッピングを正確に理解する上で、最初に意識しておきたいキーワードを記載いたします。 1. 領域2….

0

User Profile Service Application のバックアップに伴いファイアウォールルールが重複して作成される問題について

本投稿では、User Profile Service Application のバックアップに伴いファイアウォールルールが重複して作成される問題について解説します。 対象製品SharePoint Server 2010SharePoint Server 2013 現象上記製品において、User Profile Service Application のバックアップを実施すると、以下の問題が発生します。 ・アプリケーション イベント ログにイベント ID 234 が記録されます。・信頼されたルート証明機関に証明書「ForefrontIdentityManager」が重複して作成されます。・以下のファイア ウォール ルールが重複して作成されます。  ILM Web Service-RMS  ILM Web Service-STS 原因User Profile Service Application のバックアップ プロセスでは、ForeFront Identity Manager の再展開処理が行われます。この再展開処理の過程で、以下の動作が発生します。 ・ForeFront Identity Manager に関する以下のファイア ウォール ルールの追加・ForeFront Identity Manager で使用される証明書の登録 対処方法User Profile Service Application のバックアップに伴うイベント ID 234 は無視しても支障はありません。また、重複して作成されたファイア…


制限付きアクセスのユーザーのアクセス許可ロックダウン モードについて

こんにちは、SharePoint サポートの荒川です。今回の投稿では、制限付きアクセスのユーザーのアクセス許可ロックダウン モードについて解説します。 制限付きアクセスについて例えばドキュメント ライブラリの特定のフォルダーに特定のユーザーの固有の権限を付与した場合、そのユーザーは自分が権限を与えられたフォルダー以外のリソースにはアクセスできません。ただし、ユーザーがフォルダーを参照するためには、ドキュメント ライブラリ配下のビューである AllItems.aspx にアクセスできる必要があります。 例えば、ユーザーが http://sps/doclib1/folder1 にアクセスした場合、以下のような URL にリダイレクトされます。 http://sps/doclib1/Forms/AllItems.aspx?RootFolder=%2fdoclib1%2ffolder1&FolderCTID=0x012000268319AC2F6CB8429763862798B9E30D このように、リストやライブラリ配下の特定のフォルダーにアクセスするためには、上位のアプリケーション ページに対して限定的なアクセス権を持つ必要があるため、SharePoint では子オブジェクトに対して固有の権限を付与した際に、「制限付きアクセス」という特殊なアクセス権を親オブジェクト全体に対して付与する動作になっています。SharePoint Server 2013 では、既定で制限付きアクセスが UI 上で非表示になっていますが、以下のように PowerShell コマンドから直接参照することができます。 制限付きアクセスに割り当てられた詳細なアクセス許可レベルは、サイトの設定ページの [サイトの権限] ページから、[アクセス許可レベル] をクリックすることで確認できます。 既定では、以下のアクセス許可レベルが割り当てられています。 ・アプリケーション ページの表示・ユーザー情報の閲覧・リモート インターフェイスの使用・クライアント統合機能の使用・開く権限 (参考)SharePoint 2013 のユーザー権限とアクセス許可レベルhttps://technet.microsoft.com/ja-jp/library/cc721640.aspx   制限付きアクセスのユーザーのアクセス許可ロックダウン モードについて先述のように、制限付きアクセスのユーザーにはコンテンツの閲覧に必要となる一部のアプリケーションページに対する読み取り権限が付与されますが、セキュリティの観点から、ユーザーが必要以上のアプリケーションページに対して権限を持つことが望ましくない場合もあります。このような場合に備えて、SharePoint には、「制限付きアクセスのユーザーのアクセス許可ロックダウン モード」というサイトコレクション機能が存在します。 本機能を有効にすると、制限付きアクセスおよび匿名アクセスの権限から以下のアクセス許可レベルが削除されます。 ・アプリケーション ページの表示・リモート インターフェイスの使用 制限付きアクセスのユーザーのアクセス許可ロックダウン モードが適用されるのは、以下のような環境にあるサイトです。 ・サイト コレクションの機能で「制限付きアクセスのユーザーのアクセス許可ロックダウン モード」を有効にしている場合・サイト コレクションの機能で「発行インフラストラクチャ」機能を有効にしている場合。既定では、サイト コレクションの機能で「発行インフラストラクチャ」機能を有効すると同時に「制限付きアクセスのユーザーのアクセス許可ロックダウン モード」も有効になります。・発行ポータルなどの発行インフラストラクチャ機能が有効になったサイト テンプレートがサイト コレクションに適用される場合。既定では、これらのテンプレートが適用されると「制限付きアクセスのユーザーのアクセス許可ロックダウン モード」も有効になります。…


Windows Server 2012 以降の DC で、SharePoint のユーザーの権限が適切に判断されない (External Token 関連)

こんにちは SharePoint サポートの森 健吾 (kenmori) です。 今回の投稿では、Windows Server 2012 ドメイン コントローラーを導入 (AD スキーマを拡張) した際に、Windows Server 2008 または2008 R2 上で動作する SharePoint Server 2013、SharePoint 2010 において、ユーザーの権限の確認が適切に行えなくなる現象とその対処策をご紹介いたします。この問題の影響により、セキュリティ グループ経由で権限を付与している場合に、セキュリティ グループに所属しているユーザーに内部処理で権限がないと判断されることがあります。ただし、通常 SharePoint にログインして使用する際には、影響を受けることはほとんどありません。 想定される影響範囲 この影響により、下記のような現象が発生します。 ・対象アイテムに権限のあるはずのユーザーに対して、通知メールが送信されない。・ワークフローの処理でアクセス拒否が発生する。(ワークフロー テンプレートの作成者に偽装しても処理が実行できない)・カスタム ソリューションにおいて、偽装 (SPUserToken 使用) 後の処理でアクセス拒否が発生する。 ・サイトの権限画面などで [権限の確認] をクリックし、ユーザー権限を確認しても権限がないと判断される。・カスタム ソリューションにおいて DoesUserHavePermissions メソッドの実行で権限がないと判断される。 原因 本現象は External Token の更新処理に問題が発生することに起因して発生します。 External Token とは External Token は、主にユーザーがログインしていない状況において、指定されたユーザーに偽装・権限確認などを行うために使用されるトークンです。ユーザーが対話的に SharePoint Server にログインした際に生成される認証情報には、ユーザーを識別する情報およびセキュリティ…

0

サイトの外観とサイト テンプレートについて

こんにちは SharePoint サポートの森 健吾 (kenmori) です。 今回の投稿では、SharePoint Online および SharePoint Server 2013 でサイト テンプレートを使用した際のサイトの外観の機能の制限事項について記載させていただきます。 – 目次サイトの外観について構成済みの外観とサイト テンプレートにおけるこれまでの修正について構成済みの外観のサイト テンプレート化の動作について大量横展開のシナリオ   サイトの外観について [サイトの設定] より [外観の変更] をクリックすることで、簡単にサイトのデザインを変更することができるのが、サイトの外観の機能となります。 上記の外観の定義は、[サイトの設定] より [構成済みの外観] をクリックした際に表示されるリスト (デザイン ギャラリー) に保持しており、このリストのデータと連携する形式となります。これらのデータには、マスター ページの URL やテーマの URL、イメージの URL、フォント パターンの URL などが含まれます。 構成済みの外観とサイト テンプレートにおけるこれまでの修正について 今回の投稿は、SharePoint Server 2013 においては 2014 年 11 月の CU 以降の話となります。それ以前のバージョンにおける現象については、製品の不具合がいくつか報告されております。詳細は割愛させていただきますが、安定して構成済みの外観とサイト テンプレートを使用するためには、2014 年 11 月 CU…

0

リスト ビューのしきい値に関する SharePoint オンプレミス版の対処策

こんにちは、SharePoint サポートの森 健吾 (kenmori) です。 これまで、リスト ビューのしきい値に関して、複数の投稿をさせていただきました。 タイトル : リスト ビューのしきい値に関する FAQ アドレス : https://blogs.technet.microsoft.com/sharepoint_support/2015/04/14/faq/ タイトル : リスト ビューのしきい値によって発生する現象と対処策 アドレス : http://blogs.technet.com/b/sharepoint_support/archive/2015/05/16/sharepoint-list-view-threshold-story.aspx SharePoint オンプレミス版では、一時的にしきい値制限を解消するための方法がありますので、今回はその内容についてご紹介します。 なお、ここに記載する対処策は、SharePoint Online では実現できません。ファームを複数のテナント単位で共有する SharePoint Online では全世界のユーザーに影響するしきい値自身の無効化や変更はできませんので、ご了承ください。 1. SPList.EnableThrottling の使用 SharePoint サーバー サイド オブジェクト モデルを使用することで、リスト単位でリスト ビューのしきい値を無効にすることができます。 例えば、特にフォルダー直下ではなく、フォルダー配下の件数でしきい値に該当する事象 (フォルダーの URL 変更や集計列の追加など) は、運用における一時的な変更です。これらを実行する際には、サーバーのメンテナンス時や夜間など、ユーザーアクセスが少ない時間帯に、一時的にしきい値を無効化して対処して実行してしまう方法が考えられます。 タイトル : SPList.EnableThrottling property アドレス : https://msdn.microsoft.com/en-us/library/office/microsoft.sharepoint.splist.enablethrottling.aspx $web = Get-SPWeb http://sharepoint/sites/site $list =…

0

タイマー サービスのリサイクル ジョブについて

SharePoint 2010 以降、既定で 1 日に 1 度、SharePoint タイマーサービスのプロセス (OWSTIMER.EXE) が自動的に再起動されるようになりました。 SharePoint タイマーサービスでは SharePoint 既定のサービスだけでなく、ユーザーによるカスタム コードが実行される場合があります。SharePoint の以前のバージョンでは、カスタム コードの実装の問題などによりメモリーリークが発生したり、SharePoint タイマーサービスでホストされている他のサービスを巻き込んでファーム全体に問題を引き起こす可能性がありました。このような状況を避けるため、以前のバージョンでも定期的な SharePoint タイマー サービスの再起動が推奨されていましたが、SharePoint 2010 以降では、「タイマー サービスのリサイクル」タイマー ジョブにより自動で定期的にタイマー サービスが再起動されるようになっています。 SharePoint 2013 の場合、既定では毎日早朝 6 時に、タイマー サービスがリサイクルされるように設定されています。この設定は後から変更することもできますし、必要に応じてタイマー ジョブを無効にすることもできます。     タイマー サービスのリサイクル ジョブが実行されると、タイマー サービスは自身を再起動するために、SharePoint Administration Service に対して再起動を実施するようにリクエストします。サービスが再起動される方法は、Restart-Service や NET STOP と同様の一般的なサービスの再起動プロセスになりますが、実際にサービスを再起動するまでには、いくつかの予備動作によって既存のサービスへの影響を最小限にとどめるように工夫されています。 以下に、タイマー サービスがリサイクルされるまでのプロセスを解説します。 タイマー サービスのリサイクルが開始されると、最初に警告フェーズに入り、その後カウント ダウン フェーズに入ります。これらのフェーズに入ったことを確認するには、SharePoint 診断ログを確認します。 タイマー サービスが警告フェーズに入ると、SPPausableJobDefinition…