Heute hatte ich bei einem Kunden eine sehr spezielle Anforderung: Der Kunde hat auf einem Server, der Mitglied einer Domäne ist, vollen administrativen Zugriff, ebenso auf einen zweiten Server, auf dem SQL Server 2005 installiert war. Die Aufgabe lautete, auf dem ersten Server Windows SharePoint Services 3.0 zu installieren. Klingt nach Standard-Job, wie ich ihn schon dutzende Male machte. Die Herausforderung: Der Kunde hatte keine Berechtigung, in der Domäne Benutzerkonten für die SharePoint Services anzulegen. Die ganze Installation sollte daher völlig ohne Domänen-Konten als Service-Konten ablaufen.
Für erfahrene SharePoint-Admins klingt das gar nicht sonderlich kompliziert, kann man doch in den diversen Seiten der Zentraladministration, in denen Datenbanken erzeugt werden, fast immer SQL-Server-Authentifzierung auswählen und so ganz ohne Domänen-Konten auskommen. Also startete ich voller Zuversicht den Assistenten zur Konfiguration von SharePoint-Produkten und Technologien um die Erstkonfiguration des Servers vorzunehmen. Doch der Assistent lässt für die Verbindung zum SQL-Server für die Konfigurationsdatenbank nur Domänen-Konten zu.
Nach kurzer Recherche gab es dann doch eine Lösung mit Happy-End, die ich hier in drei einfachen Schritten präsentiere:
- Dienstkonten: Zunächst muss auf dem SQL-Server die gemischte Authentifizierung ermöglicht werden. Dann legt man ein SQL-Konto an, dem man die Rollen DBCreator und SecurityAdmin zuweist. Mit diesen Rechten können die Datenbanken automatisch erzeugt und konfiguriert werden. Auf dem SharePoint-Server erzeugt man ein lokales Benutzerkonto, das als Farmkonto dienen wird. Wie immer ist darauf zu achten, dass bei Dienstkonten das Kennwort nicht ablaufen darf.
- Datenbanken erstellen: Normalerweise werden die Datenbanken für die SharePoint-Konfiguration und die Zentraladministration mittels bequem zu handhabendem Assistenten erzeugt. Um aber auf Domänen-Konten verzichten zu können, müssen wir zumindest teilweise auf die weniger bekannten Kommandozeilen-Version zurückgreifen, die im Verzeichnis %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\12\bin zu finden ist:
PSConfig.exe –cmd –configdb –create –server database_servername –database config_database –user computer\username –password password –dbuser SQL_user –dbpassword SQL_user_password –admincontentdatabase SharePoint_AdminContent
Die Parameter sind wie folgt zu verstehen:
| database_servername | Name des SQL-Servers |
| config_database | Name für die Konfigurationsdatenbank, die erstellt werden soll. |
| computer\username | Lokales Benutzerkonto auf dem SharePoint-Server, das in Schritt 1 erstellt wurde. Computer ist der NetBIOS-Name des SharePoint-Computers. |
| password | Kennwort des lokalen Benutzerkontos auf dem SharePoint-Server, das in Schritt 1 erstellt wurde. |
| SQL_user | Name des SQL-Kontos (SQL-Logins), das in Schritt 1 erstellt wurde. |
| SQL_user_password | Kennwort für das SQL-Konto aus Schritt 1. |
| SharePoint_AdminContent | Name der Inhaltsdatenbank für die Zentraladministration. |
Hier ein Beispiel für den Befehl:
psconfig.exe –cmd –configdb –create –server SQL01 –database SharePoint_Config –user OSS01\OSSFarm –password OssFarmPa$$word –dbuser OSSDBUser –dbpassword OSSDBUserPa$$w0rd –admincontentdatabase SharePoint_Content_CentralAdministration -
Wenn dieser Befehl erfolgreich abgeschlossen wurde, kann der grafische Assistent zur Produktkonfiguration gestartet werden. Auf dem ersten Bildschirm ist zu wählen, dass die Verbindung zur Serverfarm nicht getrennt werden soll. Dann kann noch der Port und die Authentifizierungsmethode für die Zentraladministration gewählt werden. Wie immer empfehle ich als Authentifizierungsmethode hier NTLM zu wählen. Ansonsten sind keine Fragen zu beantworten.
Die weitere Konfiguration des Server unterscheidet sich nicht wesentlich von einer normalen Installation. Überall, wo noch Datenbanken anzulegen sind (z. B. Suchdatenbanken, Inhaltsdatenbanken) wähle ich allerdings SQL-Authentifizierung und gebe den SQL-Benutzer an, den ich in Schritt 1 erzeugt habe.
Zum Abschluss noch zwei Tipps:
Erstens ist es bei dieser Installation entgegen anderslautenden Gerüchten sehr wohl möglich, Domänen-Benutzer auf den Websites zu berechtigen. Einzig in der Zentraladministration konnte ich z. B. die Websitesammlungsadministratoren nicht über das “Adressbuch” suchen.
Zweitens ist der oben angegebene Befehl auch praktisch, wenn man SharePoint installieren möchte, aber die Standardnamen für die Inhaltsdatenbank der Zentraldatenbank nicht mag, was angesichts der endlosen Nummern, die daran angefügt werden, kein Wunder ist. Dann nimmt man für den –user-Parameter einfach ein Domänenkonto und lässt die beiden –db*-Parameter weg.