SharePointCommunity
Die deutschsprachige Community für SharePoint, Office 365 und mit Azure

SP 2013 Migration: Authentifizierung Best Practice

bewertet von 0 Usern
Dieser Beitrag hat 5 Antworten | 2 Followers

Ohne Rang
Männlich
Beiträge 12
Tim erstellt: 12 Dez 2013 11:11

Hallo zusammen,

aktuell planen wir die Migration von SP Server 2010 auf SP 2013.

Wenn ich nun eine einzelne SP 2010-Inhaltsdatenbank in die neue SP 2013-Farm mit dem Test-SPContentDatabase Befehl überprüfe, erhalte ich derzeit noch eine Configuration-Warnung dahingehend, dass der SP 2013-Authentifizierungsmodus "claims" ist und die Inhaltsdatenbank auf "windows classic" basiert.

Ich habe mich in das Thema ein wenig eingelesen ( http://technet.microsoft.com/en-us/library/gg251985.aspx ). Es gibt ja generell zwei Möglichkeiten an die Sache heran zu gehen:

1. Vor dem Kopieren der Inhaltsdatenbank, die entsprechende Webanwendung bereits auf Claims-based Authentifizierung zu stellen.

2. In der SP2013-Farm die (neue) Webanwendung per PowerShell-Befehl als "Windows classic" zu erstellen.

Wenn ich das richtig verstanden habe, setzt SP 2013 verstärkt auf die "Claims-based"-Authentifizierung. Hier ist mir noch unklar, inwieweit eine "windows classic"-WebApp zu späteren Problemen führt.

Hat jemand hier schon Erfahrungen sammeln können, und kann mir von dem ersten oder zweiten Punkt (ab)raten?

 

Schöne Grüße,

Tim

Ohne Rang
Männlich
Beiträge 12

Vielleicht hilft es ja noch jemand anderem:

 

Habe selbst noch ein wenig recherchiert und werde mich wohl für Option 2 entscheiden.

Im englischen Technet Forum gab es hierzu ebenfalls einen Thread:

http://social.technet.microsoft.com/Forums/sharepoint/en-US/1c42c42d-d2da-4a4e-a183-3c6d62a4aa24/authentication-mode-upgrade?forum=sharepointadmin

Dort gibt es Meinung für und gegen Option 1 bzw. 2. Will man SP2013 in Verbindung mit den Office Web Apps einsetzen, kommt man zumindest nicht an der Claims Authentifizierung vorbei.

Ein wesentlicher Vorteil von Option 2 ist, dass man immer noch ein Fallback-Szenario hat, da die SP2010-Farm nicht verändert wurde.

Im Technet habe ich dann auch noch folgendes Video gefunden:

http://technet.microsoft.com/EN-US/library/cc263299.aspx

Hier wird ebenfalls gesagt (2:55 Min): "If you want to migrate from classic to claims authentication, [..] do this as a seperate process after you upgrade the data".

Heißt für mich:

1. In SP2013-Farm Webanwendungen mit PowerShell als Windows Classic aufsetzen.

2. Datenbanken rüberholen und migrieren

3. Authentifizierung auf Claims umstellen (ebenfalls mit PowerShell)

 

Schöne Grüße,

Tim

Top-25-Beitragsschreiber
Männlich
Beiträge 505

Hi !

Aus der Erfahrung eines Consultants heraus würde ich sagen, Du liegst völlig richtig.

Claims ist die Zukunft (macht aus Sinn), das beibehalten der klassischen Authentifizierung bei der Migration ist deshalb nicht empfehlenswert.

Deine Vorgehensweise, die Webanwendung erst NACH der Migration umzustellen, halte ich für die beste Methode.

Beachten musst Du allerdings, das es u.U. zu Problemen mit den Dienstkonten kommen kann (z.B. in den Richtlinien für eine Webanwendung).
Ob alles passt erkennst Du daran, das die Konten dann "irgendwie komisch" benannt sind - z.B. i:0#.wDOMAIN\ACCOUNT.

Das i:0#w kennzeichnet den Claim, die Dienstkonten sollten in dieser Form eingetragen sein.

Greets

Tom

ts (-at-) computer-kreativ.de

Microsoft Certified IT Professional: SharePoint 2010 Administration
Microsoft Certified Technoligie Specialist: SharePoint 2010 Configuring

Ohne Rang
Männlich
Beiträge 12

Hi Tom,

vielen Dank für deine Antwort. Der Aspekt mit den Dienstkonten ist interessant, hatte ich so noch nicht auf dem Plan. Gibt es hierzu irgendeinen entsprechenden Artikel von Microsoft zu dem Thema?

Auf Client-Seite wurden die IE-Sicherheitseinstellungen entsprechend geändert, um die Windows Anmeldeinformationen an die Seite weiterzuleiten.
Gibt es da schon Erfahrungen, inwieweit die Claims-Authentifizierung hier Änderungen erfordert, um das "Single Sign on" zu realisieren?

Schöne Grüße,
Tim

Top-25-Beitragsschreiber
Männlich
Beiträge 505

Hi Tim,

einen echten "Single SignOn" gibt es in SharePoint nicht wirklich.

Aufgrund der Zuordnung des FQDN der Webanwendung zu den "lokalen Intranetsites" fragt der BROWSER den Windows Client nach einem NTLM oder Kerberos Ticket und reicht dieses automatisch an den IIS weiter.
Ist der FQDN nicht unter "Lokales Intranetsites" gelistet, zeigt der Browser direkt einen Eingabeseite für die Credentials.

Das alles hat mit "Claims" nichts zu tun, insofern hat sich auch nix geändert :-)

Greets

Tom

ts (-at-) computer-kreativ.de

Microsoft Certified IT Professional: SharePoint 2010 Administration
Microsoft Certified Technoligie Specialist: SharePoint 2010 Configuring

Ohne Rang
Männlich
Beiträge 12

Hi Tom,

gut zu wissen, vielen Dank!

Schöne Grüße,
Tim

Seite 1 von 1 (6 Elemente) | RSS