Eventuelle Verlangsamung bei Verwenden von SAML-Ansprüchen mit SharePoint 2010

  • Article

Veröffentlichung des Originalartikels: 14.07.2011

Hallo zusammen, unser guter Freund Adam C. vom SharePoint-Support hat die Leser hier vor kurzem mit einer Beschwerde aufgeschreckt, die wir immer öfter von Benutzern hören, die SAML-Ansprüche verwenden. Es fängt damit an, dass es sehr lange dauert, sich bei einer Website mithilfe der SAML-Authentifizierung anzumelden. Wenn die Anforderungen mit einem Tool wie Fiddler untersucht werden, ergibt sich, dass die meiste Zeit auf dem Server mit SharePoint und dort am ehesten im Unterverzeichnis /_trust verbracht wird. Wenn dieses Verhalten bei Ihnen auftritt und auch Ihre Anforderung die meiste Zeit auf dem Server mit SharePoint verbringt, hat Ihre Farm ggf. keinen Internetzugriff. Dies kann möglicherweise erkennbar werden, wenn Sie die CAPI2-Protokollierung auf den Servern mit SharePoint aktivieren. Adam erklärt, wie Sie dazu vorgehen müssen:

CAPI2 ist die neue Kryptografie-API in Windows Vista/2008. Die CAPI2-Diagnosefunktionen stellen eine enorme Verbesserung im Vergleich zur PKI-Diagnose in Windows 2000/XP/2003 dar. CAPI2-Diagnoseinformationen werden im Betriebsprotokoll aufgezeichnet, das Sie in der Ereignisanzeige unter Anwendungs- und DienstprotokolleMicrosoftWindowsCAPI2Operational finden. Mithilfe der CAPI2-Protokollierung können Sie die meisten PKI-Vorgänge in Vista/2008 auf Probleme untersuchen.

Die CAPI2-Protokollierung ist nicht standardmäßig aktiviert. Klicken Sie zur Aktivierung in der Ereignisanzeige mit der rechten Maustaste auf das CAPI-Betriebsprotokoll, und wählen Sie Protokollierung aktivieren. Sie können die Aktivierung auch mithilfe von Wevtutil vornehmen:

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true

Die Syntax zur Deaktivierung mit Wevtutil lautet:

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false

Weitere Informationen finden Sie unter Beheben von PKI-Problemen in Windows Vista

Führen Sie nach Aktivierung der CAPI2-Protokollierung erneut eine Authentifizierung bei SharePoint durch, und untersuchen Sie dann die Ereignisanzeige. Wenn Sie die Ereigniscodes 11 (Kette erstellen) und 53 (Objekt aus Netzwerk abrufen) vorfinden, sollten Sie Ereignis 53 näher untersuchen und prüfen, ob eine Anforderung an https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab gestellt wird. Wenn dies der Fall sein sollte und Ihre Farm keinen Internetzugriff hat, treten viele verschiedene Timeouts beim Versuch der Herstellung einer Verbindung auf. Derzeit gibt es zwei Möglichkeiten, dieses Problem zu umgehen:

  1. Exportieren Sie das Zertifikat SharePoint-Stammzertifizierungsstelle aus SharePoint, und importieren Sie es in den Speicher Vertrauenswürdige Stammzertifizierungsstellen. Wechseln Sie zur MMC Zertifikate, exportieren Sie das Zertifikat SharePoint-Stammzertifizierungsstelle, und importieren Sie es in Vertrauenswürdige Stammzertifizierungsstellen. Sie finden beide Zertifikate im Zertifikatsspeicher Computer. Das Zertifikat SharePoint-Stammzertifizierungsstelle finden Sie im Knoten SharePoint in der MMC.
  2. Deaktivieren Sie den Abruf von Stammzertifikaten anderer Anbieter aus dem Netzwerk mithilfe von Gruppenrichtlinien. Führen Sie im entsprechenden Gruppenrichtlinienobjekt eine Detailsuche zu Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellung, Richtlinien für öffentliche Schlüssel durch. Suchen Sie anschließend die Richtlinie Einstellungen für die Überprüfung des Zertifikatpfades. Öffnen Sie sie, und klicken Sie auf die Registerkarte Netzwerkabruf. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, und deaktivieren das Kontrollkästchen Zertifikate im Microsoft-Programm für Stammzertifikate automatisch aktualisieren (empfohlen) .

Nach diesen Änderungen sollte die Anmeldung wesentlich schneller erfolgen. Nochmals Dank an Adam für diese Informationen.

 

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter You May Experience Slowness When Using SAML Claims with SharePoint 2010