Accès refusés lors de l’indexation de mon SharePoint

Je reviens sur ce Post que j’avais fait fin d’été dernier : Accès impossible à une application web SharePoint depuis le serveur (erreur 401) / Accès impossible à une application web SharePoint depuis le serveur (erreur 401)
Pour trois raisons :
– Je me suis rendu compte que j’avais carrément oublié une clé registre à positionner (en tout cas d’après MSDN)
– mon Post n’était pas assez précis sur le format des informations à renseigner dans le registre. Je me suis fait moi même “avoir” quand j’ai été de nouveau confronté à ce problème et que j’ai suivi ma propre procédure…. qui ne fonctionnait pas.
– enfin j’ai rencontré ce souci ainsi qu’un collègue (quasiment en même temps, les grands esprits se rencontrent) sur le cas du moteur de recherche SharePoint dans une config de ferme “Small Farm” assez classique. Je pense qu’il est donc intéressant d’en remettre une couche sur ce cas particulier

Ma ferme est donc composée de 2 frontaux, 1 serveur applicatif ayant le rôle d’indexeur (crawler) et 1 serveur SQL. J’ai aussi un loadbalancer hardware qui se charge de router les clients sur l’un ou l’autre des frontaux. A la base le serveur ayant le rôle d’indexeur se comporte comme un client final, c’est à dire que le serveur DNS lui indique que www.intranet.fr pointe sur l’IP virtuelle prise en charge par le loadbalancer. Donc chaque requête HTTP réalisée par l’indexeur est traitée par l’un ou l’autre des WFE. Dans cette configuration je n’avais pas de souci.

Puis j’ai décidé de faire une configuration légèrement différente qui consiste à modifier le fichier HOST du serveur APP pour lui dire que finalement www.intranet.fr pointe sur sa propre IP. En effet le crawler est tout à fait capable de servir lui même les pages de l’intranet. Ainsi mon serveur APP travaille plus mais mes frontaux ne sont pas pénalisé par l’indexation (hormis l’impact sur le SQL Server) :

image

Et bien c’est exactement dans ce cas de figure que vous rencontrerez le même problème que moi. Le compte d’accès au contenu utilisé pour l’indexation, bien qu’ayant une “User Policy” à “Full Read’” sur votre site SharePoint va recevoir des erreur “401 Access Denied” en continu et n’arrivera plus à indexer quoique ce soit. Pour rappel les conditions à  réunir pour reproduire le problème:
– Appel http depuis le serveur sur un nom de domaine différent du nom du serveur
– Authentification nécessaire (en tout cas en anonyme évidement ça passe)
– La requête http arrive directement sur le serveur (127.0.0.1 ou une des IP du serveur)

Dans ce cas, c’est IIS qui renvoi un 401, pour des raisons de sécurité au cas où vous pensiez effectivement accéder à un site externe et qu’un virus ou autre pirate aurais fait en sorte de faire tourner un site de type “pishing” sur votre serveur pour y récupérer des informations types login/password.

Bref je vous redonne la procédure, complète cette fois ci.

- Sur le serveur en question (le crawler) ouvrez le registre
– Ouvrez la clé HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
– ajoutez une valeur de type DWORD avec le nom DisableStrictNameChecking et pour valeur 1
– ouvrez la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
– ajoutez la clé de type multistring (si elle n’existe pas déjà) nommée BackConnectionHostNames
– alimentez cette clé avec les noms d’hôtes à autoriser en local :
– un nom pour chaque web application à autoriser
– le nom est le nom de domaine SANS le protocole, par exemple : intranet.fr (et pas
http://www.intranet.fr) ou encore app1.domaine.com (et pas http://app1.domaine.com)
– Redémarrez le service IISADMIN

Sources : http://support.microsoft.com/kb/896861/en-us et http://support.microsoft.com/kb/281308

 

Publié dans SharePoint Tagués avec : , , , , , , , , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*


× 4 = vingt

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Archives

Social

  • Twitter
  • LinkedIn
  • Flux RSS
  • mvp
  • technet
  • Google+