SharePoint 2010: Configuração do serviço de sincronização do Perfil Usuario "User Profile"
Introdução
O Serviço de "Perfil de Usuário” do SharePoint é um dos serviços mais requisitados no ambiente empresarial. Ele tem como função partilhar em rede social informações de forma útil para a organização. Entre as diversas características dos utilizadores estão os seus skills, organograma da empresa, partilha de Documentos de trabalho, categorizar os diversos documentos e realizar a sua pesquisa.
Devido a sua integração com diversas aplicações e serviços como o: AD, Services, Certificados, Contas, Forefront, Serviços do SharePoint entre outros. A sua configuração tornou-se extremamente complexa devido aos seus pré-requisitos para uma boa manutenção do serviço e sua instalação.
Este artigo tenta explicar alguns dos fatores e validações a serem feitos previamente na configuração do serviço.
Pré- validação dos requisitos de configuração
Uma das primeiras tarefas, será realizar a definição das contas que irão ser utilizadas na sua execução:
Farm admin- SPFarm
Sync account - SPUPS
Definição dos bancos de dados - ProfileDBName, ProfileSyncDBName, SocialDBName
Serviços associados “Forefront Identity Manager Service, Forefront Identity Manager Synchronization Service”
Perfil de Pessoas – Fornece informação sobre os utilizadores que serão distribuídos dentro da organição. Geralmente, os perfis contêm as informações detalhadas sobre cada um dos indivíduos em uma organização. Um perfil de usuário também organiza e exibe todas as propriedades relacionadas ao usuário, juntamente com marcas sociais, documentos e outros itens relacionados a esse usuário.
Alguns serviços:
Profile database – Banco de dados destinado a guardar informação dos utilizadores.
Banco de dados para Sincronização – Banco de dados voltado para armazenar a informação do AD em modo staging afim de sincronizar com DB de Profiles.
Banco de dados para Tags -Banco de dados exclusivo para as tags do SharePoint.
Valide a conta que ira executar o processo de sincronização, se elas se encontram nos grupos de administrador local.
Configuração das Portas e Protocolos para comunicação entre Serviços
Configuração das portas para sincronização dos profiles entre SharePoint 2013 e Active Directory Domain Services (AD DS) no servidor que esteja configurado o Forefront Identity Management agent:
- TCP 5725
- TCP&UDP 389 (LDAP service)
- TCP&UDP 88 (Kerberos)
- TCP&UDP 53 (DNS)
- UDP 464 (Kerberos Change Password)
"Plan security hardening for SharePoint 2013"
http://technet.microsoft.com/en-us/library/cc262849.aspx
Configuração das Contas para Serviço para sincronização
Uma das tarefas a se realizar previamente é a configuração e definição das permissões das contas que vão ter acesso aos serviços .
Valide sempre as permissões do utilizador que irá realizar a sincronização entres as contas do AD e o serviço de Perfil de Usuário.
Para isso, será preciso acessar o servidor onde se encontra a Active Directory - "AD" e navegar pelas seguintes janelas “View > Advanced Features” afim de disponibilizar opções para gestão das permissões.
Com todas as opções disponíveis será preciso acessar o Dominio e na opção "Delegate Control" definir as corretas permissões ao utilizador que executará o servico de Forefront.
Adicione a conta que executa o serviço do Forefront.
Selecione a opção “Create a custom task to delegate”.
Selecione a opção “This folder, exist…..”.
Selecione a opção “Replicating Directory Changes” para realizar o Import e Export da informação do Active Directory.
A partir deste momento, a conta de serviço tem as permissões suficientes para se comunicar com o AD e as propiedades dos usuarios.
Também é possível, realizar esta tarefa pelo método de accessar o dominio e suas propiedades, adicionando o utilizador que irá realizar a sincronização. Neste caso , o **SPFarm **adicionará a permisssão de “Replicating Directory Changes” como “Allow”.
https://lh5.googleusercontent.com/2WS0Ru4mjoJxekDMghQ-5LBP8jxhxJOMhPqNqbBrXT5crKq5nbp2JcYxF6i-pcjWmwEApd5mrOJmxKSwA-D2wFjfb-F7gAKlsluEPPec3Upvd23BIps3GsXnaAhttps://lh3.googleusercontent.com/4G5EbA6FYoMTb2Bk84cci-wnvWcDpbkRwVt6A4MvBfl_xbTagkJYhfcKmzj1cTuimA3fZZ-tegQAP3lLWxuJcz_d20OL-DD17s-WmKYFo9HjMgj1BIoW-Q4kMA
Validar Certificados Forefront para SharePoint
Um dos problemas que podem ocorrer na instalação dos serviços de sincronização é o fato de existir diversos certificados no Forefront utilize o “ForeFrontIdentityManager” para identificar os certificados instalados. Para o seu bom funcionamento, nos serviços de sincronização apenas deverá existir 1 certificado cabendo ao administrador de IT validar e corrigir esse detalhe.
Por isso é importante validar se existem outros certificados do Forefront nas instalações prévias. Caso a instalação de diversos certificados tenha sido feita com sucesso proceda com a ação de remover.
Para acessar a opção dos certificados, vá até o modo de console presente no servidor onde se encontra instalado o SharePoint. Em iniciar - executar, ou tecla Win+R digite “MMC.exe > File > Add/Remove Snap-in”
Selecione a opção “Certificates” para listar todos os certificados associados ao servidor.
Após selecionar a opção “Certificates” vá em “Computer Account”. Desta forma, você terá acesso a todos os certificados do servidor.
Na Console, os cerificados associados ao Forefront “ForefronIdentityManager” encontram-se nas seguintes pastas “Trusted Root Certification Authorities > Certificates” ou “Personal > Certificates”. Se o serviço de Sincronização não estiver provisionado e exisitir diversos Certificados “ForefronIdentityManager” estes deverão ser removidos, caso nao sejam removidos, eles poderão ocasionar problemas na próxima vez que o serviço de sincronização for configurado.
A principal razão encontra-se no fato do SharePoint criar um novo Certificado “ForefronIdentityManager” sem que haja a necessidade dele ser provisionado, se houver casos que haja varios servidores SharePoint instalados ele não será capaz de reconhecer a versão correta.
Registo de Contas de Serviços no site de Administração do SharePoint
Uma das tarefas que se deve realizar em nível de administraçao do SharePoint, estão relacionadas as contas de configurçao dos serviços. Para configurar estas contas devemos acessar o site de Adminstraçao Central do SharePoint e selecionar a opção “Configurar contas gerenciadas”.
Dentro da opção “Configurar Contas gerenciadas” o utilizador pode adicionar outros usuários que ele irá ser usado pelos serviços de Administracao do SharePoint.
Tambem é possivel realizar essa operação de adicionar usuários pelo Powershell, basta para isso, utilizar os seguintes comandos:
$cred = Get-Credential
New-SPManagedAccount -Credential $cred
Depois da conta criada, é possivel associar a conta ao serviço do SharePoint utilizando a opção “Gerenciamento de Credenciais”.
Para o suporte deste exemplo, eu utilizei um pequeno script em Powersheel realizado por Spencer Harbar.
http://www.harbar.net/archive/2011/10/16/339.aspx
New-SPProfileServiceApplication
http://technet.microsoft.com/en-us/library/ff608036.aspx
Após a criação do serviço de User Profile, será preciso definir as conexões de sincronização. Este serviço será utilizado para criar e configurar a regra de sincronização com a Active directory. - AD.
Primeiro deveremos criar a Conexão, para este exemplo, foi utilizado “COLLAB”.
Este filtro irá ajudar a definir quais são as OU ou CN que queremos associar no processo de sincronização.
PS: Validar no firewall do servidor se a porta “389” está com acesso ao conteúdo.
Depois que essas informações forem configuradas com os seguintes campos:
● Tipo de conexão (AD)
● Forest Name
● Tipo de Autenticação “Windows Authentication”
● Conta que ira realizar a sincronização “[Dominio]\SPUPS”
● Password
● Porta (por defeito 389)
● Definir as OU “Organization Units” e a CN ”Common Names” , importar e sincronizar com AD e o Serviço de User Profile do SharePoint
Criar regra de exclusão e filtros nas conexões de sincronização
Umas das opções disponibilizadas pelas conexões de importação é a definições de regras para filtragem dos objetos, ou seja, o que deve ser importado.
Uma das formas mais comuns seria definir uma regra para se importar apenas utilizadores que tenham nas propriedades do AD “userAccountrControl” como Ativo.
Esta regra ajudará você a nao importar contas de antigos colaboradores e também irá servir de base para remover utilizadores associados aos serviços de User Profile quando eles sairem da empresa.
Como importar as informações das contas do perfil de usuário habilitadas no Active Directory para o SharePoint:
http://support.microsoft.com/kb/827754/pt
Provisionar e ativar os serviços de sincronização
Depois de criar a aplicação de serviço da user profiles e as respectivas conexões de DB, será necessário provisionar o serviço. Desta forma, será possível realizar a sincronização da AD com os serviços de User Profiles do SharePoint.
Para controlar o estado atual você podera acessar o “Services” dn servidor e verificar os seguintes servicos.
Antes de executar o comando no Powesheel , verifique se as permissões que foram dadas estão corretas e se a conta que for executar “por exemplo Farm Account” se encontra como “local Admin” do servidor.
Aqui, tem um código que pode ser utilizado para provisionar o serviço de sincronização pela ordem correta.
Este exemplo, pode ser entrado no seguinte artigo:
http://www.harbar.net/articles/sp2010mt5.aspx
Depois que o serviço for executado pelos comandos do Powershell, eles deverão funcionar sem problemas.
Recomendo a leitura do blog “Spencer Harbar” relativo a User Profiles.
Monitorizar a sincronização dos User Profiles
O SharePoint disponibiliza uma ferramenta que ajuda a visualizar o estado dos processos de sincronização de usarios.
Para aceder a essa ferramenta podera aceder ao ficheiro miisclient.exe do Forefront que se encontra nos seguintes caminhos:
SP2013
C:\Program Files\Common Files\Microsoft Office Servers\15.0\Synchronization Service\UIShell\
SP2010
C:\Program Files\Common Files\Microsoft Office Servers\14.0\Synchronization Service\UIShell\
Ao selecionar o gestor de serviços de sincronização, você poderá acessar os diferentes processos e visualizar os seus detalhes.
Para acessar as configurações dos serviços, o gestor do SharePoint poderá ir em “Management Agents ” e selecionar o datasource criado na pagina de administração do SharePoint e selecionar as suas propiedades.
Na opção “Configure Connector Filter” o administrador podera visualizar o filtro criado no serviço de sincronização na página do SharePoint.
PS: qualquer alteracao neste filtro atraves desta ferramenta “Gestor de Serviços de Sincronização” nao ira refletir na pagina de administracao de Perfil de usuarios no SharePoint. Qualquer alteracao realizada na realizada na pagina de SharePoint ira alterar a query feita directamente na ferramenta.
Espero que tenham gostado deste artigo.
Links e Videos de Supporte para este artigo:
Plan for profile synchronization
http://technet.microsoft.com/en-us/library/ff382639.aspx
Configure profile synchronization (SharePoint Server 2010)
http://technet.microsoft.com/en-us/library/ee721049.aspx
Start profile synchronization manually (SharePoint Server 2010)
http://technet.microsoft.com/en-us/library/ee890104.aspx
Spence Harbar Blog “Autor de diversos artigos sobre as Best practices na configuração dos User Profiles”
http://www.harbar.net/
Configure a profile synchronization connection in SharePoint Server 2010 (video)
http://technet.microsoft.com/en-us/library/gg593612.aspx
Configure a synchronization connection to a SQL Server database in SharePoint Server 2010 (video)
http://technet.microsoft.com/en-us/library/hh269603.aspx
How to import user profile information of enabled user accounts from Active Directory to SharePoint
http://support.microsoft.com/kb/827754
Powershell: How to restart the User Profile Synchronization Service if disabled?
http://blogs.technet.com/b/asiasupp/archive/2011/11/25/powershell-how-to-restart-the-user-profile-synchronization-service-if-disabled.aspx
New-SPManagedAccount
http://technet.microsoft.com/en-us/library/ff607831.aspx