Synchronisation des Profils utilisateurs : NetBios VS. Domain

Vous avez un domaine du type « mon-entreprise.fr » et votre nom NetBios se trouve être « monentreprise » ? ce cas particulier peut frapper la synchronisation de vos profils utlisateurs (via l’application de service Profil utilisateur).

En l’occurence, ForeFront Identity Manager (FIM) synchronise les informations relatives à des personnes (login de l’utilisateur ou encore son manager / N+1) de telle manière à mapper le nom du du domaine avec le nom NetBios de votre entreprise. En l’occurence la référence à une personne, qui aurait du être initialement de la forme « domaine\login », vous sera retourné de la manière suivante « cn\login ».

Pour palier à ce soucis, voici la marche à suivre :

– Sur votre serveur applicatif, ouvrez une fenêtre de commandes PowerShell SharePoint 2010 :

  • Get-SPServiceApplication
  • Notez le Guid du service d’application Profil utilisateur
  • $profil= Get-SPServiceApplication –Identity {Guid de votre service d’application Profil utilisateur}
  • $profil.NetBiosDomainNamesEnabled
  • Si la valeur retourné est « False » passez à l’étape suivante
  • $profil.NetBiosDomainNamesEnabled = « True »
  • $profil.update()
  • Vérifiez si la valeur est bien à « True » via $profil.NetBiosDomainNamesEnabled

– Créez maintenant une nouvelle Connexion de synchronisation.

Petite subtilité, si vous recréez une Connexion à l’identique de ce que vous aviez précédemment (par exemple une OU particulière de votre Active Directory) : l’ensemble de vos profils,même s’il se mettent correctement à jour, ne seront plus visibles par la fonction de recherche des profils utilisateur (menu « Gérer les profils utilisateurs »). Configurez donc cette nouvelle connexion de synchronisation de façon qu’il se synchronise sur une OU ne contenant pas les profils utilisateurs précédemment synchronisés.

Une fois créée, supprimez l’ancienne Connexion de synchronisation puis lancez une synchronisation complète.

Logiquement le nombre de vos profils devrait être réduit au sceptre de l’OU spécifiée (idéalement = 0 profils synchronisés).

Reconfigurez la connexion de synchronisation pour qu’il pointe vers la bonne OU (comme initialement) et relancez une synchronisation complète. Vous devriez logiquement avoir des noms de personnes du type « domain\login » et pouvoir utiliser la recherche de profils.

Application de service Profil utilisateur : Erreurs 5555, 6801, 6803

J’ai constaté dernièrement toute une batterie d’erreurs dont le détail faisait directement référence à l’application de service « Profil utilisateur » (je vous fais grâce des alertes / avertissements liés) :

  • Erreur 5555 – SharePoint Portal Server : Échec lors de la tentative de synchronisation de l’application Web {Guid}, base de données de contenu {Guid}. Message de l’exception : Mcrosoft.Office.Server.UserProfiles.UserProfileApplicationNotAvailableException: Aucune application de profil utilisateur n’est disponible pour traiter la demande. Contactez l’administrateur de la batterie de serveurs
  • Erreur 6801 – FIMSynchronizationService : The extensible extension returned an unsupported error (…)
  • Erreur 6803 – FIMSynchronizationService : The management agent « MOSS-{Guid} » failed on run profile « MOSS_DELTAIMPORT_{Guid} » because the server encountered errors.

Ces erreurs sont apparement des remontées classiques d’une malfonction de l’application de service en question. Celles-ci furent générés par une manipulation assez singulière : la reconfiguration de l’URL d’accès de la Centrale d’administration.

Trois cas de figure sont possibles :

NB : Dans mon cas -histoire de compléxifier la chose- il s’agissait des 3 cas de figure combinés, à savoir passer de http://serveur:8080 à https://serveur.domain.com:9999

Il faut savoir que pour synchroniser les profils utilisateurs à partir d’un annuaire, SharePoint utilise une usine à gaz joliment nommée ForeFront Identity Manager (FIM).

Ce dernier communique avec l’application de service en consommant un WebService SharePoint (ProfileImportExportService.asmx) configuré à l’installation du produit. En l’occurence, si vous aviez une URL d’accès à votre Centrale d’administration à l’installation et que celle-ci change entre-temps, la configuration de votre ForeFront Identity Manager se trouve être fausse.

Pour palier à cette anomalie, voici les opérations à mener :

  1. Connectez-vous au serveur exécutant l’application de service de Profil utilisateur. Utilisez le compte de service lié à l’application de service (ou le cas échéant, le compte de la ferme SharePoint).
  2. Vous connecter à FIM via miisclient.exe, qui se trouve à cet emplacement (faire varier la lettre de lecteur suivant votre installation) : C:\Program Files\Microsoft Office Servers\14.0\Synchronization Service\UIShell
  3. Si miisclient.exe vous retourne une erreur à l’ouverture vérifiez les points suivants :
    • Le service de synchronisation est-il lancé ?
    • Le compte de service (le compte de la ferme) est-il bien renseigné dans les groupes d’utilisateurs locaux liés à FIM : FIMSyncBrowse, FIMSyncJoiners, FIMSyncOperators et FIMSyncPasswordSet.
  4. Une fois miisclient.exe ouvert (onglet « Operations »), vous devriez constater les multiples erreurs de synchronisation (stopped-extension-dll-exception).
  5. Cliquez sur l’onglet Management Agents puis ouvrez les propriétés de l’Extensible Connectivity (ce dernier doit logiquement être nommé de la façon suivante : MOSS-{guid}).
  6. Sous le menu Configure Connection Information vous pouvez lire en bas de la fenêtre les informations utilisées par FIM pour la sychronisation :
    • Connect to : direct://serveur:8080 à remplacer par la bonne information. Laissez le protocole « direct:// » sauf si utilisation du SSL où vous utiliserez « https:// ». Dans tous les cas indiquez l’URL + n° de port utilisés pour accéder à votre Centrale d’administration. Exemple : https://serveur.domain.com:9999
    • Compte + utilisateur de l’application de service Profil utilisateur.
  7. Relancez un import complet et constatez le succès de l’import (success). Pensez aussi, dans le cas où vous planifiez des imports incrémentiels, à superviser le bon déroulement de ces derniers.

Intégrer des applications Lotus Notes dans SharePoint

Lorsque l’on parle intégration dans SharePoint on peut rapidement citer les méthodes suivantes comme étant communément « valables » (ie. via le framework .NET tout est intégrable) :

  • Consommer des WebServices voir des flux XML
  • Utiliser des WebParts (fournis par l’éditeur tiers voir la communauté)
  • Indexer une source connexe via le moteur de recherche de SharePoint
  • Possibilité d’intégrer des sources de données externes au service d’authentification via le Membership Provider
  • Utiliser le Business Connectivity Services (où son grand frère, le Business Data Catalog)

La méthode décrite ci-dessous n’utilise aucune de ses méthodes, où tout du moins pas à 100%. Toute la méthode repose sur l’utilisation d’un plugin WebSphere. Il ne s’agit pas d’une faute de frappe … néanmoins la finalité est bien celle que nous recherchons, offrir la possibilité d’intégrer des applications Lotus sous SharePoint et ce de façon transparente pour l’utilisateur.

IBM, dans sa grande sagesse, nous fournit un article détaillant la méthodologie à employer : Installing and Configuring Domino 6 for use with Microsoft IIS. La marche à suivre parait un peu « batarde » mais fonctionne parfaitement et c’est bien le principal (je ne garantie pas la compatibilité de la méthode mais sachez néanmoins que cela fonctionne sur des serveurs Domino en versions 7, 8 et 8.5).

Voici un exemple de fichier de configuration permettant d’interfacer Domino Web Access via IIS.

Concernant la partie authentification, à savoir le mapping entre l’Active Directory et Lotus Domino (nous permettant de nous connecter au serveur Lotus via notre identifiant AD, incluant également les notions de LCA Lotus), tout se passe au niveau de la configuration de l’annuaire (renseignez-vous auprès de votre administrateur Domino). Une fois cette manipulation faite assurez-vous d’avoir la possibilité d’accéder à votre serveur Domino via internet.

Pour finir il vous suffit d’utiliser le WebPart le plus basique qui soit, à savoir la visionneuse de pages et de configurer le lien vers l’application tel que vous l’aviez paramétrée dans le fichier de configuration du plugin WebSphere. Exemple pour le Domino Web Access :

Visionneuse

A savoir également, pour les non-initiés, que dwar.nsf gère la redirection des personnes connectées vers leur boîte mail personelle (/maboitemail.nsf).

A voir également :