При использовании утверждений SAML с SharePoint 2010 может ощущаться замедление работы

Дата публикации исходной статьи: четверг, 14 июля 2011 г.

Всем привет. Наш добрый друг Адам К. из службы поддержки SharePoint недавно сообщил об увеличении количества жалоб от клиентов, использующих утверждения SAML.  Проблема заключается в том, что вход на сайты, использующие проверку подлинности SAML, занимает очень много времени.  Если отследить запросы с помощью такого средства, как Fiddler, можно заметить, что потеря времени в основном происходит на сервере SharePoint, скорее всего в подкаталоге /_trust.  Если вы столкнулись с таким поведением и обнаружили, что задержка обработки запроса в основном происходит на сервере SharePoint, возможно, ваша ферма не имеет доступа к Интернету.  Вероятно, вы сможете обнаружить это, если включите ведение журнала CAPI2 на серверах SharePoint.  Адам объясняет, как это сделать:

CAPI2 — это новый криптографический API-интерфейс, доступный в Windows Vista/Windows Server 2008. Диагностика CAPI2 значительно улучшена по сравнению с диагностикой PKI, доступной в Windows 2000/XP/2003. Данные диагностики CAPI2 регистрируются в операционном журнале CAPI2, который находится в меню Журналы приложений и служб\Microsoft\Windows\CAPI2\Работает в программе "Просмотр событий". Ведение журнала CAPI2 можно использовать для диагностики большинства операций PKI в Windows Vista/Windows Server 2008.

Ведение журнала CAPI2 по умолчанию не включено. Чтобы его включить, щелкните правой кнопкой мыши операционный журнал CAPI2 в программе просмотра событий и выберите Включить ведение журнала. Его также можно включить с помощью команды Wevtutil:

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true

Для отключения используйте следующий синтаксис команды Wevtutil:

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false

Дополнительные сведения см. в статье Устранение проблем PKI в Windows Vista

После включения ведения журнала CAPI2 попробуйте снова пройти проверку подлинности в SharePoint и просмотрите журнал событий в программе "Просмотр событий".  Если вы увидите коды событий 11 (построение цепочки) и 53 (получение объекта по сети), просмотрите подробные сведения о событии 53 и определите, выполнялся ли запрос https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab.  Если это имело место и у вашей фермы нет доступа к Интернету, вам придется смириться со всеми неприятными задержками, вызванными этим запросом.  Пока вы можете обойти эту проблему двумя способами:

  1. Экспортируйте из SharePoint сертификат "Корневой центр SharePoint" и импортируйте его в доверенное корневое хранилище центров сертификации.  Перейдите в консоль управления сертификатами и экспортируйте сертификат корневого центра SharePoint, а затем импортируйте его в список надежных центров сертификации.  И то и другое вы найдете в хранилище сертификатов компьютера, а сертификат корневого центра SharePoint вы найдете в узле SharePoint консоли управления сертификатами.
  2. С помощью групповой политики отключите получение сторонних корневых сертификатов по сети.  Для этого перейдите в объект групповой политики и последовательно откройте пункты "Конфигурация компьютера", "Конфигурация Windows", "Параметры безопасности" и "Политики открытого ключа".  Найдите политику "Параметры подтверждения пути сертификата", откройте ее и щелкните вкладку "Получение по сети".  Установите флажок "Определить следующие параметры политики" и снимите флажок "Автоматически обновлять сертификаты в программе корневых сертификатов Microsoft (рекомендуется)".

После выполнения этих изменений вы заметите, что время входа значительно уменьшилось.  Еще раз спасибо Адаму за эту информацию.

 

Это локализованная запись блога. Исходная статья доступна по адресу You May Experience Slowness When Using SAML Claims with SharePoint 2010