SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

Sponsored by

Willkommen im Forum Archiv.
Einträge sind hier nicht mehr möglich, aber der Bestand von 12 Jahren SharePoint-Wissen ist hier recherchierbar.




Umstellung von Classic Mode Authentication auf Claims Based Authentication

Geprüfte Antwort Dieser Beitrag hat 4 Antworten

Ohne Rang
16 Beiträge
Alex erstellt 17 Feb. 2011 13:52
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hallo zusammen

ich habe eine Frage zur Umstellung von Classic Mode Authentication (mit Kerberos) auf Claims Based Authentication (mit Kerberos).

Ist-Zustand:

Wir haben eine funktionierende Umgebung mit Sharepoint 2010, in der sich die User mit Kerberos Authentifizieren. Da der Sharepoint bei uns nun auch als Dienst für Tochterfirmen angeboten wird und diese zum Teil Trusts aber auch ADFS Verbunde haben werden muss ich früher oder später die Webapplications auf Claims Authentifizierung & SAML (für ADFS) umstellen.

Da bis jetzt noch nicht so viele User (so 1000-1500) die Sharepoint Umgebung verwenden wollte ich die Authentifizierung jetzt schon auf Claims Based Authentication mit Kerberos umstellen (um später einfach noch SAML zuzuschalten).

Folgende Tests habe ich bereits gemacht:

Ich habe die Umstellung schon folgendermaßen mit einer WebApplication in unserer Testfarm gemacht:
- Webapplication gelöscht
- danach neu angelegt (mit Claims&Kerberos) und IIS-Seite sowie ContentDBs wieder verbunden
- Alle nötigen Einstellungen wieder gemacht (Managed Paths, usw.).
Leider bekomme ich nach der Umstellung beim Zugriff auf eine Seite unter der umgestellten Web-Application ein "Zugriff Verweigert" Fehler.
Ich vermute das Problem entsteht, weil in der Site-Collection noch die Windows Accounts berechtigt sind und nicht die jeweiligen Claims Tokens.
Wenn ich nämlich von Hand Berechtigungen lösche und wieder neu Berechtige wird der Claims Token richtig angezeigt und der Zugriff auf die Seite funktioniert.

Jetzt meine Frage:

Gibt es eine Möglichkeit z.B. per Powershell Sharepoint zu informieren, dass sich die Authentifizierung der Site-Collection auf Claims geändert hat und Sharepoint die Berechtigungen überarbeiten soll (So wie bei dem Befehl "Upgrade-SPContentDB" nach einem Update)?

Oder gibt es evtl. eine ganz andere Möglichkeit so eine Umstellung zu machen?

 

Ich hoffe ich konnte das Problem einigermaßen erläutern und stehe für Ergänzungen natürlich gerne zur Verfügung.

 

Schon mal Vielen Dank

Gruß

Alex

Alle Antworten

Ohne Rang
186 Beiträge
Benjamin Aicheler Als Antwort am 21 Feb. 2011 15:27
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hallo Alex,

ich habe mich zwar nicht damit beschäftigt, aber "Microsoft Sharepoint 2010 für Administratoren" schlägt folgendes vor:

$App = Get-WebApplication "URL"

$App.UseClaimsAuthentication

$App.Update()

Edit: Dabei soll die WebApp konvertiert werden, also nicht vorher löschen usw. 

 

Gruß

Benjamin

Ohne Rang
16 Beiträge
Alex Als Antwort am 22 Feb. 2011 08:16
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hallo Benjamin,

erst mal danke für deine Hilfe.

Ich habe die Stelle im Buch „Microsoft Sharepoint 2010 für Administratoren“ gefunden. Leider stimmt der Code im Buch nicht. Hier der korrigierte Code:

$App = Get-SPWebApplication "URL"

$App.UseClaimsAuthentication = $true

$App.Update()

Somit lassen sich die Web-Applikationen deutlich einfacher umstellen als mit meiner Methode (WebApp löschen und neu anlegen).

Leider behebt es trotzdem nicht mein ursprüngliches Problem, dass nach der Umstellung keinerlei Zugriffe auf Seiten unter dieser WebApplication mehr möglich sind. Erst nach neu berechtigen jedes einzelnen Accounts, der Zugriff auf die Seite hatte funktioniert der Zugriff wieder.


Vielleicht hast du oder jemand anderes hier im Forum ja noch eine Idee, wie ich das lösen kann.


Gruß & Danke

Alex

Ohne Rang
186 Beiträge
Benjamin Aicheler Als Antwort am 22 Feb. 2011 08:31
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hier vielleicht?

http://technet.microsoft.com/en-us/library/gg251985.aspx

$wa = get-SPWebApplication $WebAppName

$wa.MigrateUsers($true)

Ohne Rang
16 Beiträge
Alex Als Antwort am 22 Feb. 2011 10:51
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hab gerade die Umstellung einer Webapplikation auf unserem Testsystem gemacht.

Wenn man genau nach der Anleitung (http://technet.microsoft.com/en-us/library/gg251985.aspx) vorgeht, dann funktioniert auch die Migration der User.

Jetzt erscheinen in der SiteCollection auch die Claims Tokens der bereits berechtigten User.

 

Ich werde jetzt mal unsere gesamte Testfarm auf Claims mit Kerberos umstellen.
Bei eventuellen Problemen werde ich natürlich berichten.

 

Vielen Dank

Gruß
Alex

CC BY-NC-ND - Michael Greth
Powered by Evocom Productivity