Chúc các bạn thành công trong công cuộc Số hoá tài liệu, mã hoá an toàn dữ liệu và Bảo vệ tài liệu cá nhân cũng như tổ chức ! Chào các bạn Admin SharePoint, Sau thời gian phát triển các sản phẩm SharePoint từ 2007, 2010, 2013 đến 2016. Chúng ta đều thấy có chung 1 trường hợp kỳ lạ khó hiểu: Khi tạo ra 1 Site Application rất chuẩn chỉ theo sách hướng dẫn của Microsoft SharePoint hay theo khoá học bất kỳ đều có hiện tượng sau:
Như vậy, bạn có thể chạy lệnh PowerShell để áp dụng thay đổi trên máy chủ SharePoint Farm Server. Khái niệm “Disable Loop Back Check in SharePoint 2007/2010/2013/2016″ Hãy chạy Powershell bằng quyền Run as Administration: New-ItemProperty HKLM:\System\CurrentControlSet\Control\Lsa -Name “DisableLoopbackCheck” -value “1” -PropertyType dword Hoặc bạn cũng có thể chạy run: nhập lệnh ngoại trú: regedit và tìm đến ở mục: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa trong registry và tạo thêm dword32 có tên: DisableLoopbackCheck, sửa giá trị là 1. Bạn nên khởi động lại máy chủ SharePoint Farm để đảm bảo các thay đổi trên có giá trị áp dụng được. Hãy kiểm tra lại kết quả sau khi đã khởi động lại máy chủ SharePoint Farms. Chúc các bạn thành công ! 1. Tại sao lại cần SSL/TLS cho LDAP (port default: 389): Theo mặc định, truyền thông LDAP giữa máy chủ AD và máy chủ ứng dụng không được mã hóa. Thiết bị hoặc phần mềm và xem các thông tin liên lạc đi lại giữa client và máy tính LDAP server. Điều này đặc biệt có vấn đề khi một LDAP đơn giản được sử dụng bởi vì các thông tin (tên người dùng và mật khẩu) được truyền tải qua mạng được mã hóa, thậm trí có nhu cầu thay đổi mật khẩu. Lưu ý: chỉ LDAP chuyển dữ liệu được tiếp xúc. Xác nhận hoặc ủy quyền dữ liệu khác sử dụng Kerberos, SASL, và thậm chí NTLM có hệ thống mã hóa. Lý do cho phép Lightweight Directory Access Protocol (LDAP) trên Secure Sockets Layer (SSL) / Transport Layer Security (TLS) cũng được gọi là LDAPS bao gồm:
1.1. Việc kích hoạt LDAPS cho domain controller sử dụng một hệ thống phân cấp CA single-tier: 1.2. Việc kích hoạt LDAPS cho domain controller sử dụng một hệ thống phân cấp CA multi-tier: Khi bạn có một-đa lớp (chẳng hạn như một hai tầng, ba tầng) CA phân cấp, bạn sẽ không tự động có các chứng chỉ thích hợp để xác thực LDAPS trên Domain Controller. Để kích hoạt LDAPS trong một hệ thống phân cấp CA multi-tier, bạn phải yêu cầu một giấy chứng nhận đáp ứng các yêu cầu sau: 2. Cách cấu hình LDAPS (default port: 636)
4. Trong Certificate Templates control, nhấp chuột phải Domain Controller Authentication và sau đó chọn Duplicate Template . Bạn không cần phải sử dụng các mẫu Kerberos. Bạn có thể tạo riêng của bạn hoặc sử dụng một trong những mẫu hiện có Server Authentication như một Target, chẳng hạn như Domain Controller Authentication, Domain Controller , Web Server , và Computer . Quan trọng: Bạn nên kế hoạch trên có giấy chứng nhận trên mỗi máy chủ LDAP (tức là Domain controller hoặc AD LDS server) với target: Server Authentication . 5. Trên Duplicate Template , để mặc định chọn Windows Server 2003 Enterprise chọn và sau đó nhấn OK . 6. Các thuộc tính của New Template xuất hiện. Đảm bảo rằng các thiết lập như bạn muốn họ được cho mẫu chứng chỉ này. Hãy chú ý để đảm bảo rằng các tên Template hiển thị được thiết lập để một cái tên thích hợp cùng với các cài đặt sau:
7. Nhấn OK . 8. Quay trở lại Giấy chứng nhận hoặc certsrv console và trong panel chi tiết của Certificate Templates , kích chuột phải vào một khu vực mở của giao diện, kích New , và sau đó nhấp vào Certificate Template để export 3. Yêu cầu một chứng chỉ cho Server Authentication Để yêu cầu một chứng chỉ từ máy chủ LDAPS của bạn, hãy làm như sau trên mỗi Domain Controller đòi hỏi kết nối LDAPS:
10. Trong Certificate Enrollment , bấm Next. (1.3.6.1.5.5.7.3.1) . Đối với từng bước ví dụ khác yêu cầu một chứng chỉ để xác thực máy chủ và thực hiện LDAP trên SSL (LDAPS), xem các bài viết sau đây:
Khi một chứng chỉ được lựa chọn từ các máy tính local (như trong CertEnumCertificatesInStore ) Giấy chứng nhận hợp lệ đầu tiên mà có thể được sử dụng để xác thực máy chủ (OID: 1.3.6.1.5.5.7.3.1) được trả về để sử dụng. Trong trường hợp khách hàng có nhiều giấy chứng nhận hợp lệ cho Server Authentication trong (ví dụ như các máy chủ LDAP của AD DS bộ điều khiển miền , AD LDS , hoặc ADAM server) lưu trữ chứng chỉ máy tính local, có thể thấy rằng một chứng chỉ khác so với cái mà họ muốn được sử dụng cho LDAPS.Độ mã hóa tốt nhất cho một vấn đề như vậy là để loại bỏ tất cả các chứng chỉ không cần thiết từ các máy tính local chứng nhận và chỉ có một giấy chứng nhận là hợp lệ để xác thực máy chủ. Tuy nhiên, nếu có một lý do chính đáng mà hai hay nhiều chứng chỉ của một máy khách sử dụng ít nhất Windows Server 2008 máy chủ, máy chủ LDAP, Directory Domain Services (NTDS \ Personal) lưu trữ chứng chỉ mới có thể được sử dụng cho giao thức LDAPS . Chú ý: Có một số chi tiết quan trọng cần biết trước khi bạn thực hiện việc sử dụng của các kho lưu trữ chứng thực Active Directory Domain Services (AD DS):
Lưu ý: Các bước trên đây là kết thúc việc cấu hình SSL cho LDAP trên phiên bản máy chủ windows 2000 và Windows 2003 Enteprise. 4.1 Kiểm tra kết nối tới giao thức LDAPS connection:
2. Mở máy chủ liên quan tới SharePoint Server / .NET / PHP Server / VPN SSL cần kết nối với máy chủ Windows 2003/ 2000 vừa cài LDAPS: 3. Xem cách sửa lỗi này ở mục 6: 4.2. Xuất file pfx chứng nhận LDAPS và Nhập file pfx để sử dụng với AD DS (áp dụng cho AD Server 2008 / 2008 R2 Enterprise): Các bước sau chứng minh làm thế nào để xuất ra một giấy chứng nhận LDAPS kích hoạt từ kho lưu trữ chứng thực Enterprise từ một Domain Controller để Directory Domain Services lưu trữ chứng chỉ dịch vụ Active Directory (NTDS \ Personal). Bạn sẽ phải thực hiện bước này cho mỗi Domain Controller khi có nhiều giấy chứng nhận với việc sử dụng kích hoạt kiểu Server Authentication. Giấy chứng nhận này sẽ phải được gia hạn sử dụng và chỉ thực hiện được bắt đầu với Windows Server 2008 domain controller, vì đó là Windows Server Active Directory Domain service (AD DS) đầu tiên, trong đó NTDS được tách ra như là dịch vụ riêng của chính hệ thống.
9. Trên Certificate Export Wizard màn hình chào mừng, nhấn Next. 10. Trên export the Key Private màn hình, chọn Yes, export the private key và sau đó nhấp vào Next. Nếu bạn không có tùy chọn để xuất khẩu các khóa riêng, sau đó các mẫu chứng chỉ không cho phép xuất khẩu của khóa riêng Tham khảo: . Trên Export File Format màn hình, bạn nên chọn Export tất cả các thuộc tính mở rộng . Các lựa chọn khác là: 11. Trên màn hình Password, nhập mật khẩu mà bạn muốn được sử dụng khi các chứng chỉ được nhập khẩu. Bạn sẽ phải nhập mật khẩu hai lần: một lần trong Mật khẩu hộp và sau đó một lần nữa trong các Loại và mật khẩu xác nhận . Sau đó, nhấp vào Next. 12. Trên File to Export màn hình, nhập vào đường dẫn, tên file, và mở rộng tập tin .pfx và sau đó nhấp vào Next. 13. Xác nhận các thiết lập trên màn hình hoàn thành và sau đó nhấp vào Finish. Bạn sẽ thấy một thông báo pop-up chỉ ra rằng việc xuất khẩu là thành công. Nhấn OK . 14. Nhấn vào File và sau đó nhấp vào Add / Remove Snap-in . 15. Nhấn vào Certificates và sau đó nhấp vào Add. Chọn Service account và sau đó nhấp vào Next. 16. Chọn Local Computer, đảm bảo rằng bạn nhắm mục tiêu các máy tính thích hợp. Nếu bạn đang chạy Microsoft Management Console (MMC) và muốn nhắm tới các máy tính địa phương, bạn có thể để lại các lựa chọn mặc định của Local Computer. Nếu không, hãy chọn nother computer và sau đó sử dụng các Browse để chọn các máy tính thích hợp. Sau đó nhấp vào Next. 17. Chọn Active Directory Domain Services và sau đó nhấp vào Finish. 18. Trên Add or Remove Snap-ins hộp thoại bấm OK . 19. Mở rộng Certificates (Active Directory Domain Services) và sau đó nhấp vào NTDS \ Personal. 20. Kích chuột phải vào NTDS \ Personal, nhấn All Tasks , và sau đó nhấn Import . 21. Trên Certificate Import Wizard màn hình chào mừng, nhấn Tiếp theo . 22. Trên File to Import , nhấn chuột vào Browse , và sau đó xác định vị trí các tập tin chứng chỉ mà bạn đã xuất trước đó. 23. Trên mở màn hình, đảm bảo rằng Personal Information Exchange (* PFX, *. p12) được lựa chọn là các loại tập tin và sau đó di chuyển các tập tin hệ thống để xác định vị trí các chứng chỉ mà bạn đã xuất trước đó và sau đó nhấp vào giấy chứng nhận đó. 24. Nhấn Open và sau đó nhấp vào Next. 25. Trên Password màn hình nhập mật khẩu bạn đặt cho các tập tin và sau đó nhấp vào Next. Trên trang Certificate, đảm bảo rằng tất cả các chứng chỉ hợp lệ được chọn và đọc vào vị trí Certificate store : NTDS \ Personal và sau đó nhấp vào Next. 26. Trên Certificate Import Wizard màn hình hoàn thành, bấm Finish. Sau đó bạn sẽ thấy một thông báo rằng nhập đã thành công. Nhấn OK . 27. Trong khung Navigation, dưới NTDS \ Personal, nhấp Certificates 28. Trong cửa sổ chi tiết, kích chuột phải vào chứng chỉ mà bạn nhập khẩu và sau đó nhấp vào Browser. Click vào Detail và sau đó nhấp vào Enhanced Key Usage, bạn sẽ thấy rằng Authentication Server (1.3.6.1.5.5.7.3.1) là một trong những Target của các giấy chứng nhận và sau đó nhấp OK . 5. Kiểm tra kết nối LDAPS: Sau khi một chứng chỉ được cài đặt, hãy làm theo các bước sau để xác minh rằng LDAPS được kích hoạt: 5.1 Bắt đầu công cụ mới Administration Directory (Ldp.exe)
2. Nhập tên của máy chủ LDAP (ví dụ như Domain Controller hoặc AD LDS / ADAM server) mà bạn muốn kết nối. 3. Đổi số cổng sang 636 . 4. Check ô SSL 5. Nhấn OK . 6. Tham khảo các lỗi vs Xử lý sự cố LDAP qua SSL: Khi bạn có vấn đề với LDAPS, có những điều khác nhau mà có thể là sai. Các bạn nên tham khảo: Khắc phục sự cố LDAP qua SSL .Chỉ có một sự kiện ID đó là liên quan trực tiếp đến LDAP trên SSL, đó là các mã lỗi có ký hiệu số: Lỗi Error <0x51>: Fail to connect to Đây là lỗi do bạn chưa ký chữ ký số của máy chủ windows 2000/2003 /2008 AD vừa dựng LDAPS sang máy chủ liên quan mà bạn cần truy cập kết nối sử dụng dịch vụ LDAPS: ví dụ: bạn mở máy chủ SharePoint Server / máy chủ .NET framework hoặc / Apache Server / PHP server … Như vậy, có 2 bước triển khai: 1. cấu hình CA trên AD DS và Export ra file pfx. 2. Cấu hình import file pfx vào máy VPN/ SharePoint /.Net / PHP/ Apache server cần kết nối LDAPS. Chúc các bạn thành công ! P.S: Những nội dung triển khai giải pháp kỹ thuật trên càng ngày càng phức tạp, các bạn nên đăng ký tham gia các khóa học của ROBUSTA để được luyện tập, trải nghiệm qua các môn học, phương pháp học thực hành chuyên sâu, vững Trí vững Nghề ! 10. Cấu trúc hệ thống đăng nhập 1 lần – SSO: 1. Đăng nhập một lần (SSO – Single Sign On): Khi người dùng đăng nhập lần đầu vào một WBT, tài khoản đăng nhập đó sẽ tự động được sử dụng cho phiên làm việc của người đó trong toàn bộ hệ thống. Hệ thống đào tạo ở đây được hiểu là tập hợp các ứng dụng khác nhau có thể được dùng thông qua giao diện Web. Cơ chế này có thể xây dựng dựa vào một điểm chứng thực trung tâm (Central Authentication Service – “CAS”), dựa vào giao thức LDAP (Lightweight Directory Access Protocol), hoặc hoặc thậm chí dựa vào cookie của trình duyệt để giữ xác thực. 2. Sơ đồ đăng nhập 1 lần với LMS vs LCMS: 3. Khả năng đáp ứng đăng nhập 1 lần với các ứng dụng hiện nay: 4. Khả năng tích hợp giữa e-learning với các mô hình hệ thống dịch vụ khác: Dựa trên các phân tích và thực tế triển khai, phát triển sản phẩm công nghệ đào tạo trực tuyến hiện nay, chúng ta thấy được Moodle là một trong các mô hình E-learning phát triển mạnh mẽ nhất trên thế giới. 5. Cấu trúc vận hành xác thực trong SSO: Với mô hình cấu trúc xác thực SSO nói trên đã có rất nhiều các gói ứng dụng, giao thức và giải pháp xác thực, đăng nhập 1 lần khác nhau. Nhưng tất cả đều phải tuân thủ 1 nguyên tắc cơ bản là bảo mật, quản lý và vận hành theo nguồn dữ liệu người dùng đơn giản và hiệu quả nhất. 6. Lý do lựa chọn giải pháp tích hợp Moodle với AD Server:
7. Các bước cấu hình đăng nhập 1 lần trên Moodle Admin: Tham khảo link: Tham khảo link: Tích hợp Moodle với Microsoft Office 365 thông qua AD: http://www.moodlenews.com/2013/integrate-moodle-and-microsoft-office-365-through-ad/ Tham khảo link: Lỗi tích hợp xác thức trên nền IIS http://support.microsoft.com/kb/896861 Tham khảo link: cấu hình SMTP relay gửi thư qua Office 365 trên windows server 2008 http://www.configureoffice365.com/configure-office-365-smtp-relay/ Tham khảo link: cấu hình phân quyền và chức năng sử dụng trong Moodle: https://docs.moodle.org/28/en/Standard_roles Tham khảo link: cách xóa quyền truy cập của Guest / Anonymous: https://moodle.org/mod/forum/discuss.php?d=65614 8. Chi tiết các bước tích hợp Moodle với AD thông qua giao thức xác thực LDAP Authentication và NTLM SSO: Bước 1: chuẩn bị – Moodle 2.8 Server đang chạy trên máy chủ Windows Server 2012 đã Join domain. – 1 máy chủ Domain Control Center “DCC” chạy trên windows server 2008 r2. Bước 2: kiểm tra tình trang kết nối LDAP qua cổng 389 từ máy chủ Moodle 2.8 tới máy chủ DCC. – Bạn nên download công cụ LDP.zip để kiểm tra các công việc trên máy chủ Moodle 2.8 (tham khảo hướng dẫn dùng ldp.exe : https://technet.microsoft.com/en-us/library/cc794810%28v=ws.10%29.aspx ) – Giải nén file ldp.zip vào thư mục c:\LDAP trên máy chủ Moodle. – Chạy file ldp.exe – Chọn menu Connection sau đó bấm chọn Connect. – Nhập tên máy chủ AD server bạn cần để kiểm tra tình trạng làm việc của LDAP. (nếu bạn không chắc chắn tên hoặc ip của máy chủ AD thì hãy nhập dòng lệnh sau: nltest/dclist:yourdomain.name.com nó sẽ giúp bạn nhìn được danh sách các máy chủ Domain controllers trong hệ thống mạng LAN của bạn.) sau đó bấm OK. – Nếu mọi thứ thực hiện đúng nó sẽ kết nối và nó sẽ hiển thị tất cả cấu hình LDAP server /phiên bản của máy chủ AD. – Bấm menu Connection > Bind. – Bây giờ chúng ta cần nhập username, password và domain (nhập tài khoản administrator username và mật khẩu, tên miền domain). – Nếu thực hiện thành công sẽ thấy xuất hiện Authenticated as dn:’username’. (cần khởi tạo hoặc kiểm tra tài khoản này với quyền admin privileges). – Chúng ta có thể bấm menu View sau đó chọn popbar Tree. – Một menu sổ xuống và bạn chọn BaseDN cho việc hiển thị thông tin trong domain của bạn. – Bạn sẽ nhìn thấy phía bên trái domain của bạn, các thông tin về OU và CN trong máy chủ AD đang quản lý. – Bước tiếp theo ta sẽ cần dùng các thông tin trong OU, CN và DC để khai báo vào máy chủ Moodle LDAP Bước 3: kích hoạt Moodle LDAP – Trước hết chúng ta cần kích hoạt LDAP plugin. – Đăng nhập vào Moodle bằng admin, bấm: Site administration, Plugins, Authentication và chọn Manage authentication. – Trong danh sách các plug-in sẽ thấy kiểu xác thực có giá trị “available authentication types” ta bấm tiếp vào hình “con mắt” để kích hoạt “LDAP Server –> enable”. Bước 4: Cấu hình Moodle LDAP: – Bấm vào LDAP Server để truy cập trang cấu hình LDAP: Host URL: ldap://ip (đây là tên FQDN hoặc IPv4 của máy chủ AD domain controller, nếu có nhiều máy chủ DC bạn có thể nhập các địa chỉ phân cách nhau bằng dấu; ví dụ: ldap://10.66.28.42;ldap://10.66.28.43 ). Version: 3 Use TLS: No (bạn có thể nâng cấp dùng TLS sau) LDAP encoding: ulf-8 Bước 5: Lưu lại những thay đổi: Bước 6: Cấu hình NTML trên IIS Server: – Tìm đến file trong thư mục sau auth/ldap/ntlmsso_magic.php thông qua IIS Management Console, Nếu dùng IIS 6.0 thì bấm phải chuột vào file và chọn properties:
Bước cuối: Thử nghiệm – Bấm chọn (Đăng nhập): – Nhập domain name\username và mật khẩu của AD: – Màn hình tự động đăng nhập Moodle bằng NTML: – Bạn sẽ nhận được thư gửi có nội dung và link để kích hoạt tài khoản truy cập sử dụng các dịch vụ của Moodle sau khi khai báo thêm các thông tin về User Profile (đặc biệt là địa chỉ email) Tham khảo: Phần 3. Triển khai cấu hình đăng nhập 1 lần SSO giữa AD server On-Premise với Microsoft Office 365 – ROBUSTA Distance Learning 2015 P.S: Rất tiếc phần 3, chỉ công bố trong chương trình đào tạo MS Office 365, Private Cloud. Các bạn hãy đăng ký tham gia các khóa học của http://robusta.vn để được trải nghiệm, hỗ trợ và thực hành tốt hơn. Chúc các bạn thành công ! Tôi xin giới thiệu qua mô hình SharePoint Farm bằng một vài hình ảnh sau: 1. Mô hình chuẩn của SharePoint Farm theo vật lý: 2. Cấu trúc 3 tier Model cho SharePoint Farm: 3. Cấu trúc Chức năng để triển khai SharePoint Farm: 4. Cấu trúc dữ liệu vật lý của SharePoint Farm: 5. Tổng kết mô hình SharePoint Farm trên nền ảo hóa VMware: 5.1. Hệ thống được vận hành trên vSphere: Thực tế việc triển khai SharePoint Farm trên nền ảo hóa của VMware vSphere nhằm đảm bảo: 1. Tính năng Physical High Available (HA) và có cân bằng tải nguồn tài nguyên các máy ảo (CPU, Memory, Datastorage – DRS). 5.2. Vì sao không nên dùng Microsoft Cluster Fail ? Với 4 tính năng quan trọng trên, chúng ta sẽ không cần đến mô hình Cluster Fail truyền thống của Microsoft hay các hãng khác, vì: 1. Lãng phí hệ thống tài nguyên vật lý do phải có 2 cặp máy chủ vật lý có cấu hình giống hệt nhau. Bài toán đặt ra: Hệ thống domain của tổ chức Doanh nghiệp thông thường được tạo theo cấu trúc nội bộ, không liên quan tới hệ thống dịch vụ trên Internet. Nhưng vì một số lý do rất cơ bản, tổ chức doanh nghiệp lớn, nằm dải khắp các quốc gia khác nhau. Khi dùng chung cấu trúc và tên 1 domain, Ví dụ: Robusta.org , các đơn vị, tổ chức thành viên sẽ dùng lại đúng domain này cho hệ thống nội bộ tại quốc gia thành viên, đây là cách truyền thống, đơn giản, tiết kiệm thời gian. Sau khi xây dựng các hạ tầng mới tài chi nhánh hoặc các tổ chức doanh nghiệp tại các quốc gia thành viên như: Ảo hóa VMware vCenter, Private Cloud… Các chi nhánh và tổ chức danh nghiệp thành viên sẽ nảy sinh vấn đề mới đó là:
Theo như mô hình trên đây thì chúng ta sẽ: – Dễ dàng quản lý từng domain name cho các chi nhánh hoặc tổ chức doanh nghiệp thành viên mà không bị phụ thuộc vào việc xét duyệt đợi điều khiển từ phía Head quarter mỗi lần có phát sinh từ đơn vị chi nhánh. – Chủ động quản lý các tên miền, máy chủ, máy trạm, tài khoản người dùng, phân nhóm và đặc biệt là các dịch vụ SSL/TLS đăng ký để public intranet/extranet/internet. Các phương án thay đổi: 1. Phương án 1: Xóa Domain tại các chi nhánh hoặc tổ chức Doanh nghiệp thành viên ( demote AD-DC, sau đó restart và dcpromo lại AD-DC với tên mới)
2. Phương án 2: Thay đổi tên miền (rename domain, sau đó join domain lại ở các máy chủ, máy trạm) – Phương án này đơn giản trải qua hơn 28 bước thay đổi tên miền và join lại cho các máy trong tên miền của chi nhánh. – Phương án này sẽ mất thời gian join domain lại các máy chủ dịch vụ, máy trạm với tên miền và tài khoản join domain admin mới. – Phương án này sẽ không phải cấu hình lại toàn bộ các ứng dụng dịch vụ đang có, chỉ lưu ý các thông số của các trường hợp sau: 1. UC Server sẽ phải kiểm tra lại các tài khoản login dịch vụ theo kiểu UPN@domain và sau đó kiểm tra dịch vụ có dùng account domain\username. 3. Phương án 3: Không thay đổi tên miền, chỉ thêm các bí danh cho tên miền trên DNS Server (thêm các DNS Zone, bản ghi A (Host), CNAME, PTR, TXT, SRV) – Phương án này đơn giản trải qua hơn 3 bước thay đổi các thông số tên máy chủ dịch vụ, mapping IP nội bộ các máy của chi nhánh. – Phương án này sẽ mất ít thời gian kiểm tra máy trạm , máy chủ dịch vụ từ ngoài truy cập và hệ thống nội bộ để xác định các hạng mục có chạy ổn định hay không ? – Phương án này có thể không phù hợp với toàn bộ hạ tầng ứng dụng của chi nhánh khi có nhiều chuẩn HĐH khác nhau, nhiều chuẩn kết nối dữ liệu người dùng khác nhau, ứng dụng đã fix code gọi LDAP/ADFS… – Phương án này chỉ phù hợp với hạ tầng đã hoặc đang triển khai Private Cloud, giúp các các web portal intranet, các ứng dụng Windows Form… có thể kết nối và truy cập qua Internet bằng các trình duyệt web HTML5 smartphone, mobile device mà không cần thiết lập VPN kết nối Site – to – site. Tóm lại, phương án 2 là hợp lý nhất. Chi tiết các bước, các bạn nên tham khảo: Các bước thay đổi tên miền: https://mizitechinfo.wordpress.com/2013/06/10/simple-guide-how-to-rename-domain-name-in-windows-server-2012/ Tham khảo các ghi chú về kỹ thuật thay đổi tên miền: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Tham khảo support tình huống đăng ký lại chữ ký số mới cho UC: http://support.microsoft.com/kb/2464556/ Tham khảo cách đăng ký chữ ký số cho IIS8, IIS8.5: https://www.digicert.com/ssl-support/ssl-host-headers-iis-8.htm Tham khảo cách đăng ký chữ ký số cho Exchange 2013: http://exchangeserverpro.com/exchange-server-2013-ssl-certificates/ Tại sao có rất nhiều hệ thống Cổng thông tin Doanh nghiệp lại được gọi là “Facebook cho Doanh nghiệp” và bộ sưu tập trang web cá nhân cung cấp cho mỗi người sử dụng với khả năng lưu trữ thông tin cá nhân và công cộng như văn bản, hình ảnh, cập nhật trạng thái, v.v. dễ dàng và hiệu quả. Các trang web của cá nhân trong SharePoint 2010 đều được thiết kế theo mô hình mạng xã hội thu nhỏ trong hoạt động của Doanh nghiệp. Microsoft đã nhìn thấy sự cần thiết phải tiếp tục đầu tư và tăng cường khả năng kết nối mạng xã hội trong SharePoint, và như công nghệ web 2.0 tiếp tục ngổn ngang trên tất cả các trang web đang vận hành trên thế giới, Microsoft đã một lần nữa thiết lập thành công các nhãn hiệu, thẻ văn bản, meta data chuẩn bị trong Sharepoint Enterprise bằng cách giới thiệu một loạt các tính năng mạng xã hội để tăng cường sự hợp tác, lầm việc tương tác giữa những người dùng trong SharePoint 2010. Tôi xin giới thiệu cấu hình ứng dụng dịch vụ Xã hội cho SharePoint 2010 triển khai tại Labs của chúng tôi, hồ sơ người dùng, trong đó cung cấp cho chúng ta một vị trí trung tâm để lưu trữ các chi tiết thông tin người dùng mà sau này sẽ được nhập từ một nguồn nội dung như Active Directory vào. My Site host là gì ? Bạn chỉ có thể sử dụng My Site host Template từ khu vực dành cho người quản trị bởi vì nó tạo ra một nơi cho phép lưu trữ tất cả các Site cá nhân khác. Bạn chỉ nên sử dụng Template này cho mổi User Profile Service Application khi cần. Một khi bạn tạo ra My Site host thì người dùng cá nhân có thể tạo ra các trang chủ My Site dành cho họ để theo dõi các tin tức mới trong Site mà họ quan tâm, tạo ra các trang nội dung và thư viện tài liệu cá nhân. Dĩ nhiên một trong những lợi thế quan trong khác của việc lưu trữ các tập tin trên thư viện My Site hơn là lưu trữ trên ổ cứng cá nhân là các dữ liệu của My Site sẽ được sao lưu một cách thường xuyên. Các bước tạo My Site Web Application Mở Central Administration / Application Management / Web Applications bấm nút New Authentication: chọn kiểu Claims hoặc Classic (tôi sẽ chọn “Classic”). IIS Web Site: Tạo 1 IIS web site mới (nhập tên theo ý của mình). Authentication Provider: chọn phương thức xác thực. Public URL: nhập địa chỉ web làm địa chỉ URL truy cập My Sites của tôi. Application Pool: Tạo thêm mới Application Pool. Thông thường ở chế độ bảo mật, chúng ta nên tạo 1 account domain user trên AD server và cấp quyền duy nhất để có thể start/stop 1 web application pool (ví dụ: được quyền điều khiển My Site Application Pool ). Lưu ý: Account này phải được khởi tạo trong Active Directory trước và chỉ thuộc quyền Domain Users (DOMAIN\sp_mysite). Click OK Database Name and Authentication: tên máy chủ Database SQL sẽ chứa dữ liệu Site Content Collection DB. Failover Server: Tên máy chủ SQL cái ở chế độ failover server (nếu bạn có cấu hình và sử dụng SQL Server database mirroring). bấm “OK”. Bước tiếp theo: Tạo “SharePoint – My Site” Web Application và click General Settings. Ta chỉnh lại Default Time Zone. Tạo My site theo “My Site Host Site Collection”: Ta sẽ nhận được thông báo xác nhận việc tạo My Site: Thiết lập cấu hình My Site: Mở Central Administration / Application Management / Manage service applications. Bấm User Profiles, bấm chọn Setup My Sites located trong mục My Site Settings bấm “OK”. Thêm Managed Path: Mở Central Administration / Application Management / Manage Web Applications. bấm vào My Site Web Application và bấm chọn “Managed Paths” có trên bộ nút “Ribbon” Nhập thêm “personal” chọn kiểu “Wildcard inclusion”, sau đó bấm “Add Path” và bấm “OK” Cấu hình cho phép người dụng đăng ký có thể tự tạo Mysite page: Mở Central Administration / Application Management / Manage Web Applications. bấm “My Site Web Application” và bấm chọn “Self-Service Site Creation” Chọn On và bấm “OK”. Bây giờ thì chúng ta có thể truy cập MySite Lần đầu tiên khởi tạo MySite Content hệ thống SharePoint sẽ cần thời gian xử lý: Và sau ít phút chúng ta đã có My Site của từng cá nhân đăng nhập vào Mysite Các nhà Quản trị hệ thống SharePoint hoặc các nhóm lập trình development có thể tiếp tục công việc cấu hình phần quyền, đẩy các Web Part, Web Application Solution hoặc SharePoint Solution cho từng người hoặc nhóm, hoặc vào các Sites để người dùng có thể dễ dàng sử dụng các tính năng, chức năng mở rộng, mới trong công việc hàng ngày. Chúc các bạn thành công trong công cuộc tái cấu trúc lại hệ thống Cổng thông tin Doanh nghiệp bằng SharePoint ! Các thông tin của user profiles sẽ được lưu trữ trong 1 SQL Server database độc lập và có thể liên kết (ánh xạ) với AD user hay các loại đối tượng khác, ví dụ như: 1 ứng dụng quản lý nhân sự sẽ quản lý và lưu trữ thông tin của nhân viên ở table Employee của 1 SQL Server database có tên là HR. User Profile Service là 1 service của SharePont 2010 chịu trách nhiệm cung cấp khả năng cấu hình và quản trị các thông tin này 1 cách tập trung nhất. Và để quản lý, chúng ta cần tạo và cấu hình ít nhất 1 User Profile Service. SharePoint Server 2010 bao gồm các trang thông tin mạng xã hội, Trang cá nhân “My site”, tìm kiếm trang thông tin và tìm kiếm nhân sự, thiết kế để giúp người dùng tìm kiếm nhanh và dễ. SharePoint 2010 hỗ trợ tích hợp thông tin profile và lưu trữ trong dịch vụ Active Directory® Domain Services (AD DS). Mô hình đồng bộ User profile giữa AD và SharePoint: 1. Tạo User Profile Service Application gồm 2 bước:
2. Cấu hình User Profiles gồm 4 bước:
Mở Active Directory Users and Computers, chọn domain, và bấm click Delegate Control. On the Active Directory Object Type page, select this folder, existing objects in this folder, and creation of new objects in this folder, and then click next. On the Permissions page, in the Permissions box, select Replicating Directory and then click Next. Click Finish. Tiếp theo: Mở Central Administration site, click Application Management > Manage service applications > User Profile Service application. Bên dưới Synchronization, click Configure Synchronization Settings. Tại thiết lập Synchronization Options, lựa chọn Use SharePoint Active Directory Import. Bước tiếp theo bạn cần làm là tạo mới một synchronization connection, các bước làm tương tự trên SharePoint 2010. Sau khi tạo xong synchronization connection, bạn có thể bắt đầu import. 3. Phương án mở rộng – Cấu hình Profile Import từ External Data Sources – BDC Tạo thêm 1 property cho các User Profile để làm trường định danh: thường là primary column của external data source. Cấp quyền trong data source để có thể đọc/ghi dữ liệu Tạo External Content type để SharePoint có thể hiểu được. Tạo Synchronization Connection đến External Data Source (dựa vào External Content Type vừa được tạo) Import profile từ External Data Source (full synchronization). Thiết lập chế độ định kì đồng bộ. 1. Giới thiệu: SharePoint 2010 Developer Dashboard là một màn điều khiển trực quan viết bằng giải pháp jQuery-based giúp các lập trình viên có thể mở rộng phương thức tối ưu tốc độ load các code “Developer Dashboard by plotting” có biểu đồ tương tác với dữ liệu trên màn “Developer Dashboard” cho bạn biết các thông tin **instant** các dấu hiệu thắt cổ chai trong các đoạn code của bạn. Lần đầu khi chúng ta viết code trong SharePoint 2010, chúng ta hay bị nhầm lẫn, sai code, hàm… Số các đoạn code bị dùng nặp đi nặp lại, kết quả thấy rõ ở việc load times bằng “”ms, dường như không thể chính xác 100% các yêu cầu là có thể kiểm soát được trong quá trình code và debug. Về cơ bản là nó chỉ ra rằng có những “kẽ hở” mà không được giám sát, đó chính là lý do tại sao tổng thời gian thực hiện cho một tập hợp các nút con “hàm thủ tục con” trong danh sách thường không phù hợp với thời gian thực hiện của Class gốc. Điều này là do mô hình SPMonitoredScope. (Tham khảo: mô hình SPMonitoredScope ). Mỗi nút trong danh sách đại diện cho một SPMonitoredScope đã được tạo ra, hoặc trong mã SharePoint OOTB hoặc trong mã mà bạn đã tự viết cho mình. Khi một SPMonitoredScope thứ hai được tạo ra trước khi tiến trình của người đầu tiên gửi yêu cầu được xử lý, SPMonitoredScope thứ hai sẽ được đối xử như một phạm vi của người truy cập đầu tiên. Trong bối cảnh của một trang sharepoint web nhận được yêu cầu truy xuất, phạm vi cấp cao nhất được khởi tạo trong SPRequestModule. Giới hạn mà bạn nhận được có khả năng sẽ trở thành phạm vi áp dụng cho hầu hết các phạm vi con “Child scope – phạm vi yêu cầu con”. Một ví dụ cho một WebPart tùy chỉnh để có thể tạo ra phạm vi giới hạn riêng. 1: protected void VisualWebPart1_Load(object sender, EventArgs e) 2: { 3: using (SPMonitoredScope mainScope = new SPMonitoredScope(“VisualWebPart1_Load mainScope”)) 4: { 5: Thread.Sleep(5000); // some processing that is not inside a subscope 6: 7: using (SPMonitoredScope subScope1 = new SPMonitoredScope(“VisualWebPart1_Load subScope1”)) 8: { 9: Thread.Sleep(1000); 10: } 11: 12: using (SPMonitoredScope subScope2 = new SPMonitoredScope(“VisualWebPart1_Load subScope2”)) 13: { 14: Thread.Sleep(1000); 15: } 16: 17: using (SPMonitoredScope subScope3 = new SPMonitoredScope(“VisualWebPart1_Load subScope3”)) 18: { 19: Thread.Sleep(1000); 20: } 21: } 22: } Bây giờ chúng ta hãy nhìn vào kết quả đầu ra Bảng điều khiển phát triển “Developer Dashboard”. 2. Triển khai: Using STSADM command
STSADM –o setproperty –pn devdashboard_v2 –pv On
STSADM –o setproperty –pn devdashboard_v2 –pv Off
STSADM –o setproperty –pn devdashboard_v2 –pv ‘OnDemand’
STSADM –o setproperty –pn devdashboard_v2 –pv expensiveoperationsonly 2. Using PowerShell commands
$DevDashboardSettings = [Microsoft.SharePoint.Administration.SPWebService]::ContentService.DeveloperDashboardSettings; $DevDashboardSettings.DisplayLevel = ‘On’; $DevDashboardsettings.Update()
$DevDashboardSettings = [Microsoft.SharePoint.Administration.SPWebService]::ContentService.DeveloperDashboardSettings; $DevDashboardSettings.DisplayLevel = ‘Off’; $DevDashboardsettings.Update()
$DevDashboardSettings = [Microsoft.SharePoint.Administration.SPWebService]::ContentService.DeveloperDashboardSettings; $DevDashboardSettings.DisplayLevel = ‘OnDemand’; $DevDashboardsettings.Update() 1. Cấu hình hệ thống Báo cáo Report Services: 2. Download phần mềm Microsoft® SQL Server® 2008 R2 Reporting Services Add-in for Microsoft SharePoint® Technologies 2010 Link download: http://www.microsoft.com/en-us/download/details.aspx?id=622 Bấm click đúp vào rsSharePoint để chạy. 3. Các bước cài Reporting Services Add-in for SharePoint 2010 4. Kiểm tra tình trạng hoạt động của Report Services: Chúc các bạn thành công ! Kết thúc phần 5 – các bạn sẽ dựng được toàn bộ hệ thống Report service tích hợp từ MS SQL Server 2008 R2 sang với giao diện |