none
SharePoint Foundation 2013 Berechtigung

    Allgemeine Diskussion

  • Hi, ich habe auf einem Server SharePoint Foundation 2013 installiert (Standalone). Der Server selbst ist in einem AD. Ich habe den Server nun eine öffentliche IP gegeben, wenn ich diese Aufrufe kommt erst mal ein anmeldefenster und dann Folgendes: "

    401 UNAUTHORIZED"

    SharePoint läuft sehe ich über dem Link (/_layouts/15/start.aspx#/SitePages/Homepage.aspx)

    In welche Gruppe muss der User rein? (habs mit dem Domainadmin versucht) und kann ich die Gruppen irgendwie vom Localenserver ins AD geben?

    Freitag, 27. April 2018 06:43

Alle Antworten

  • Hi,
    die öffentliche IP-Adresse ist nur ein Teil der benötigten Einstellungen. Wichtig ist weiterhin die passende Einstellung des DNS. Wenn von außerhalb zugegriffen werden soll, dann muss das eine öffentliche URL sein, ggf. mit einem Präfix, z.B. so internet.firma.de. Die Webanwendung muss dann auf diesen Host-Header auch reagieren, d.h. die Url muss im IIS als Bindung vorhanden sein, damit der IIS weiß, wohin er die Anfrage weiterleiten soll. Diese Url kann z.B. über eine Erweiterung (Extend) der Webanwendung erreicht werden. Damit wird im IIS ein entsprechender Eintrittspunkt erzeugt, der auf die gleiche Webanwendung verzweigt. Eine andere Möglichkeit ist die Nutzung von Websitesammlungen mit HostHaeder. Das geht dann per PowerShell. Zu jeder Url kann man einen Authentifizierung-Provider zuordnen oder auch anonymen Zugriff zulassen. Der angemeldete Nutzer muss dann beim zu sichernden Objekt (Z.B. Rootweb der Website-Sammlung) in der entsprechenden SharePoint-Gruppe eingetragen sein, der die gewünschten Zugriffsstufen zugeordnet sind, z.B. Besucher (nur Lesen), Mitwirkende, Besitzer (Vollzugriff). Guter Stil ist, den SharePoint-Gruppen die entsprechenden Sicherheitsgruppen aus den AD zuzuordnen.

    Wenn einer dieser Schritte (DNS, URL, HostHeader, Authentifizierungsprovider, SP-Gruppe) nicht passend konfiguriert is, kommt die 401.

    Um das Problem sauber und langfristig zu lösen, solltest Du ein Sicherheitskonzept erarbeiten, wo genau beschreiben ist, wer auf welcher Ebene was darf, wie er authentifiziert wird und wie die entsprechenden Url's dazu aussehen.

    Die erste Frage wäre: "Wie sehen die DNS-Einträge aus?".


    --
    Viele Grüsse
    Peter Fleischer (ehem. MVP)
    Meine Homepage mit Tipps und Tricks

    Freitag, 27. April 2018 07:09
  • Die DNS (beim Domainhoster) sollte soweit stimmen. Kleine Info das ist nur zum testen, ich kenn mich SP noch gar nicht aus
    Freitag, 27. April 2018 07:49
  • Hi,
    da der SP den IIS als FrontEnd nutzt, ist nicht die Kenntnis des SP primär, sondern erst einmal die Kenntnis des IIS.

    Um sicherzustellen, dass auch der gesamte Pfad bis zum IIS funktioniert, stell den SP so ein, dass er nicht auf die URL reagiert. Erstelle dann eine Website im IIS, die auf die Url reagiert und test das mal mit anonymen Zugriff.

    Wenn das funktioniert, entferne die Website und konfiguriere den SP. Als ersten Schritt kannst Du eine Websitesammlung mit anonymen Zugriff erstellen, die auf die externe Url reagiert. und den Zugriff testen.

    Wenn das funktioniert, dann schalte den anonymen Zugriff aus und nutze den gewünschten Authentifizierungsprovider und teste das mit Anmeldung.

    Wenn das funktioniert, dann lösche die Websitesammlung und konfiguriere analog den alternativen Zugriff auf die gewünschte Websitesammlung.

    Nach jedem Schritt im SP solltest Du mal im IIS schauen, ob das wie gewünscht auch eingestellt wurde.

    Unabhängig davon sollte die Erarbeitung des Sicherheitskonzeptes der erste Schritt sein, da es sehr vilee Möglichkeiten der Konfiguration gibt und das planlose "Rumstochern" kaum einen sinnvollen Erfolg bringt.


    --
    Viele Grüsse
    Peter Fleischer (ehem. MVP)
    Meine Homepage mit Tipps und Tricks






    Freitag, 27. April 2018 08:12
  • ISS geht. Die Testpage wurde angezeigt.

    Habe es dann wieder umgestellt und die URL wieder aufgerufen, dann wurde ich nach einem User + Pw gefragt. Habe Administrator und das dazugehörige Pw eingegeben. dann kam wieder der Fehler

    Freitag, 27. April 2018 08:24
  • Hi,
    die Abfrage des Nutzernamens und Kennworts zeigt erst einmal, dass der IIS reagiert. Prüfe dann mal im IIS, ob die externe Adresse auch an die gewünschte WebAnwendung (des SP) gebunden ist. Prüfe dann, ob der Zone mit der externen Web-Anwendung auch der passende Authentifizierungsprovider zugeordnet ist (ich vermute mal Windows).

    Nimm mal einen einfachen Domain-Account (keinen Admin). Füge diesen Account der Besitzergruppe des adressierten RootWebs zu und teste.


    --
    Viele Grüsse
    Peter Fleischer (ehem. MVP)
    Meine Homepage mit Tipps und Tricks

    Freitag, 27. April 2018 08:32
  • Ne, hat auch nicht geklappt. Direkt am Server geht alles, außerhalb mit der IP zeigt es weiterhin die Fehlermeldung an
    Dienstag, 1. Mai 2018 14:48
  • Hi,
    wieso IP?

    ... außerhalb mit der IP zeigt es weiterhin die Fehlermeldung an

    Du greifst doch über eine URL zu, die der DNS auflöst?

    Wenn Du die IP nutzt, dann muss dieses auch als alternative Adresse eingetragen sein. Ist sie das?


    --
    Viele Grüsse
    Peter Fleischer (ehem. MVP)
    Meine Homepage mit Tipps und Tricks

    Dienstag, 1. Mai 2018 15:43