Possono verificarsi rallentamenti quando si utilizzano le attestazioni SAML con SharePoint 2010
Articolo originale pubblicato giovedì 14 luglio 2011
Salve a tutti. Adam C. del supporto SharePoint ha recentemente segnalato un problema riportato soprattutto da clienti che utilizzano le attestazioni SAML. Il problema si manifesta quando l'operazione di accesso a un sito con l'autenticazione SAML richiede troppo tempo. Se si monitorizzano le richieste con uno strumento come Fiddler, è possibile osservare come la maggior parte del tempo sia impiegata sul server SharePoint, principalmente nella sottodirectory /_trust. Se si verifica questo problema e si osserva che la richiesta rimane bloccata soprattutto sul server SharePoint, è possibile che la farm non disponga dell'accesso a Internet. Per verificarlo, attivare la registrazione di CAPI2 nei server SharePoint. Adam illustra come procedere qui di seguito:
CAPI2 è la nuova API di crittografia disponibile in Vista/2008. La diagnostica CAPI2 rappresenta un miglioramento significativo rispetto alla diagnostica PKI disponibile in 2000/XP/2003. Le informazioni diagnostiche di CAPI2 vengono scritte nel registro Operational di CAPI2 in Registri applicazioni e servizi\Microsoft\Windows\CAPI2\Operational nel Visualizzatore eventi. È possibile utilizzare la registrazione di CAPI2 per la risoluzione dei problemi relativi alla maggior parte delle operazioni PKI in Vista/2008.
La registrazione di CAPI2 non è abilitata per impostazione predefinita. Per abilitarla, fare clic con il pulsante destro del mouse sul registro Operational di CAPI2 nel Visualizzatore eventi e scegliere Attiva registro. È inoltre possibile abilitarla utilizzando Wevtutil:
wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true
Per disabilitarla con Wevtutil, la sintassi è la seguente:
wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false
Per ulteriori informazioni, vedere Risoluzione dei problemi PKI in Windows Vista.
Dopo aver abilitato la registrazione di CAPI2, è necessario eseguire di nuovo l'autenticazione in SharePoint e quindi esaminare il Visualizzatore eventi. Se sono presenti i codici evento 11 (Crea catena) e 53 (Recupera oggetto dalla rete), esaminare più attentamente l'evento 53 per controllare se è in corso un tentativo di richiesta a https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab. In caso affermativo e qualora la farm non disponga dell'accesso a Internet, si verificheranno numerosissimi timeout nei diversi tentativi di eseguire l'operazione. Per il momento è possibile ovviare a questo problema in due modi:
- Esportare il certificato autorità radice di SharePoint da SharePoint e importarlo nell'archivio Autorità di certificazione radice attendibili. Accedere allo snap-in di MMC Certificati ed esportare il certificato autorità radice di SharePoint per poi importarlo nelle Autorità di certificazione radice attendibili. Saranno disponibili entrambi nell'archivio certificati del computer e il certificato autorità radice di SharePoint sarà disponibile nel nodo SharePoint in MMC.
- Disabilitare il recupero di certificati radice di terze parti dalla rete tramite Criteri di gruppo. A tale scopo, accedere all'oggetto Criteri di gruppo ed eseguire il drill-down a Configurazione computer, Impostazioni di Windows, Impostazioni sicurezza, Criteri chiave pubblica. Cercare un criterio denominato Impostazioni di convalida percorso certificati, aprirlo e fare clic sulla scheda Recupero dalla rete. Selezionare la casella di controllo "Definisci le impostazioni relative ai criteri" e quindi deselezionare la casella di controllo "Aggiorna automaticamente i certificati nel programma Microsoft Root Certificate (scelta consigliata)".
Dopo aver apportato queste modifiche, i tempi di accesso dovrebbero migliorare in modo significativo. Grazie ancora ad Adam per aver condiviso queste informazioni.
Questo è un post di blog localizzato. L'articolo originale è disponibile in You May Experience Slowness When Using SAML Claims with SharePoint 2010.