Convert a SharePoint 2016 front-end to a front-end with Distributed Cache

I have been running a SharePoint 2016 farm with 4 servers (Front-End, Application, Distributed Cache, Search) but now Feature Pack 1 has been released, I’m looking to reduce this to 2 servers and use the 2 combined minroles which have been added. To be more precise, I want to eliminate my Distributed Cache server and convert my Front-End to a Front-End with Distributed Cache. After that, I want to do the same for my Search server and convert my application server to an application server with search. But doing this for my Distributed Cache server, proved to be a challenge. I was getting all kind of errors. This might have something to do with the order I did things though.
Before I did the conversion, I removed my Distributed Cache server from the farm and I didn’t do this in a graceful way… I just disconnected it from the farm.

My first attempt to convert a server failed with a very self-explanatory error:

The Distributed Cache service instance must be configured. Run ‘Add-SPDistributedCacheServiceInstance -Role WebFrontEndWithDistributedCache’ on this server to configure the Distributed Cache service instance.

minrole1

That’s pretty clear. This is indeed a front-end server and in SharePoint 2016, this role doesn’t have the Distributed Cache service instance. So, I added it like the error proposed.

The result however was not what I expected. I got the error:

Failed to connect to hosts in the cluster

minrole2

Come to think of it… this actually makes sense. I already mentioned I kicked out the Distributed Cache server in a very direct way. Probably, my cluster is still referencing this host. The only way to verify this is to look at the cluster configuration. To get this information, you can export it to a text file.

Somewhere near the end of the file a “hosts” section can be found and this contained the following information:

minrole2a

And this confirmed it. The old host was still listed in the configuration. I had to remove this host first. To do this, I executed the following command:

This succesfully unregistered my host from the cluster and I re-ran the command to add the Distributed Cache Service Instance.

This time, no error! Hooray!

I proceeded to run the Set-SPServer command again to start the conversion. Again, an error appeared. This time, the error was different.

The Distributed Cache service instance must be reconfigured. Run ‘Remove-SPDistributedCacheServiceInstance’ on this server to remove the Distributed Cache service instance. Then run ‘Add-SPDistributedCacheServiceInstance -Role WebFrontEndWithDistributedCache’ on this server to reconfigure the Distributed Cache service instance….

minrole3

At this point, when you look at the Distributed Cache service in Central Administration, you can see that it’s stopped. If you open the Windows Services console on the server, the AppFabric Caching Service is disabled.

I tried to remove this service using Remove-SPDistributedCacheServiceInstance, but it failed with the error:

cacheHostInfo is null

minrole4

To get past this point and get the service removed, you can execute the following piece of PowerShell script:

This worked and it removed the service instance completely from my server.

I then proceeded to execute the Add-SPDistributedCacheServiceInstance command again but this time without the -Role parameter!!!

When the command finished, I went to the Services on Server page in Central Administration and I noticed that the Distributed Cache service was added again. This time it was started! It also stated that my server was not compliant anymore but who cares…. we are going to change the role anyway.

minrole5

I re-ran the Set-SPServer command to start the conversion:

And yes, now it worked. I was notified that a timer job had been scheduled to do the conversion.

minrole6

I only had to wait until the job was completed. When I looked at the Servers page in Central Administration, I could clearly see that my role was changed and that the server was compliant.

minrole7

Part of this could possibly have been avoided by removing the Distributed Cache server in a more graceful way. Lessons learned… don’t cut corners!  😎 

DistributedCache Server role vs SkipRegisterAsDistributedCacheHost

Since SharePoint 2013, the New-SPConfigurationDatabase and Connect-SPConfigurationDatabase cmdlets have a parameter called “SkipRegisterAsDistributedCacheHost”. When this switch parameter is specified during the creation of a new  farm or when a server is added to an existing farm, the local server will not have the Distributed Cache. With the arrival of SharePoint 2016, we also got the MinRole feature. This feature enables you to designate the local server to be a “DistributedCache” server. How to do this, is explained in one of my previous posts where I provide a script to create a farm and to join a farm. I was wondering what happens when you use the DistributedCache server role together with the -SkipRegisterAsDistributedCacheHost switch.

Best way of finding this out is to try it. I did, and found out that the server in fact was a DistributedCache host after I joined it to the farm. So, it ignores the switch completely.

But what with the other roles? How about Custom? And Search? To see how this is handled, I fired up ILSpy and started digging in the code.

In the Microsoft.SharePoint.DistributedCaching.Utilities.SPDistributedCacheServiceInstance class, a method ShouldRegisterAsDistributedCacheHost exists and this is called somewhere during the execution of one of the above 2 cmdlets.

This method contains a test which illustrates how the decision is made if a server should be a DistributedCache host or not.

Bottomline… 

If the ServerRole parameter is DistributedCache, SingleServerFarm or WebFrontEndWithDistributedCache, the presence of the SkipRegisterAsDistributedCacheHost doesn’t matter. The server will be a Distributed Cache host. Period.

If the ServerRole parameter is not specified, “Custom” or we don’t have the MinRole feature enabled, the SkipRegisterAsDistributedCacheHost is taken into account and used in the decision.

Iets meer dan een jaar geleden…

Iets meer dan een jaar geleden…

Het is ondertussen iets meer dan een jaar geleden dat we onszelf “ouders” mochten noemen. Kobe was het resultaat van een jarenlange strijd die we hadden gevoerd en we waren dus maar wat blij dat hij er eindelijk was. Maar het was niet op de manier zoals we hadden gehoopt. In plaats van ouders te zijn van een levendig jong baasje zijn we ouders van een sterrenkindje. Als je jaren vecht voor kinderen, dan is dat een bijzonder zware last die erbij komt.

Vaderdag, moederdag, de eerste verjaardag… dit zijn geen leuke dagen, geloof me. En al zeker niet wanneer je Facebook open doet op dergelijke dagen. Waar ik het soms nog het moeilijkst mee heb, dat zijn de posts van mensen die rond dezelfde tijd zijn bevallen. Want zij posten dingen die wij ook hadden moeten kunnen doen. In plaats daarvan staan er bij ons enkel herinneringen en comments met knuffels en medeleven. Ik had mij het ouderschap iets anders voorgesteld.
Een kind verliezen is iets waar niemand op hoopt maar waar je wel bij stil staat als je er eentje verwacht. Stel je voor dat het misgaat… ik kan mij die gedachte nog zo voor de geest halen. In het onwaarschijnlijke geval dat het misgaat, dan ga ik niet weten wat doen. Tot het dan misgaat, en dan treedt er een soort van natuurlijke afweer in gang en neemt een automatische piloot over. Wonderbaarlijk slaag je erin om de administratie af te handelen die eerste dag. Als je naar het onthaal gaat om de nodige formulieren in te vullen voor de opname en de hospitalisatie, dan zie je al de mensen aan het onthaal die geen idee wat er zich zonet heeft afgespeeld 1 verdieping hoger. Je zegt dat het is voor een opname voor de materniteit vannacht… de spontane glimlach en “Ah! En is mevrouw al bevallen?” Jawel. “Proficiat… alles goed verlopen?”. Een aarzeling bij mij en een gelaten nee schuddende beweging is het signaal voor hen dat ze voorzichtig te werk moeten gaan nu. Verontschuldigingen en excuses…  ik zeg dat het niets is, ze kunnen het niet weten. Ze vragen of het gaat en of ze iemand moeten roepen… maar neen, is niet nodig. De automatische piloot heeft alles onder controle. Daarna nog wat pijnlijke telefoontjes doen naar ons ma en mijn broer maar ook dat gebeurd in een automatisme. Uiteindelijk schakelt die automatische piloot zich ook weer uit en dan krijg je pas zicht op wat er je echt is overkomen en kan je beginnen met alles een plaats te geven.

Read more

Change SharePoint Service Identities using PowerShell

After installing SharePoint and setting up my farm, one of the first things I always do is change SharePoint service identities. In a freshly installed SharePoint farm, most services are running under the farm account or under a local identity (LocalService, LocalSystem). Some of the services I change right away:

  • Search Host Controller Service
  • SharePoint Server Search
  • Distributed Cache
  • SharePoint Tracing Service

With the exception of the SharePoint Tracing Service, all of these identities can be changed from the “Service Accounts” page in Central Administration. But where’s the fun in that… furthermore, this page has one big disadvantage. You can change a service to run with a managed account but you can’t set it to run under a local account (LocalService, LocalSystem, NetworkService). So, if you changed your service from a local account to a domain account, you can’t undo this change using the UI. You need to use PowerShell.

The script below allows you to set a domain account or a local account.

 

Cleaning up obsolete SharePoint groups

During the lifetime of a SharePoint implementation, sites come and go. When a site collection grows, you typically see the amount of SharePoint groups growing as well because you want to give people access to those sites in a sort of organized way. When sites go, those groups are left behind. Removing those obsolete SharePoint groups can be a challenging task because groups which have been created for a specific site can be used for other sites as well. So, before removing a group, you need to be sure that it’s not used on any other sub sites.

SharePoint groups live on the root web of a site collection.

If a group is created as part of the site creation process, it will have a description which clearly states for which site is has been created. This doesn’t mean it can’t be used on any other sites. If you want to get a list of all SharePoint groups which exist in a site collection, you can also use the following PowerShell snippet to get the collection.

obsolete-sharepoint-groups-1

If you want to know which groups are used on a specific subsite of the site collection, you can use the UI and check the Site Permissions section of a site. This will give you all permissions for that site. You can also use the following PowerShell snippet to get these.

obsolete-sharepoint-groups-2

See the difference? The SiteGroups has a group “MyCustomGroup” which is not part of the Groups collection of the same web. This means that the group exists in the site collection but at this point, it’s not used. When I give this group explicit permissions to my site, it will be added to this collection and it will be in use.

So, the process of cleaning up obsolete groups is to check the Groups collection on each sub site and see which site groups are used for giving people access. If you have a site group which is not part of any Groups collection of any site, it’s not used and you can remove that group from the site collection.

You can do this manually, or you can automate this process and use the following script for this task.

This script will do 2 things.
If run in Simulation mode, it will look for obsolete groups and ouput them to the console. Nothing more.
If run in Execution mode, it will look for obsolete groups and delete them from the site collection.

My advice… run it in Simulation mode before running it in Execution mode. That way, you have an idea of what groups were found and will be deleted.

There are some situations which need clarifications.

Inherited permissions

What happens when you have subsites which inherit permissions? This is no issue. Suppose you have a subsite which inherits permissions of the root web of the site collection. When a SharePoint group is given access to the root web of the site collection, it will be given access to all sub sites which inherit their permissions and as such, that group will be part of the Groups collection of those sub sites.

Audience targeting

What happens when a group is exclusively used for audience targeting? Well, this is a problem because that group is not part of the Groups collection of the site where you have used it as an audience. In my opinion, this is a situation you should avoid doing because you are going to give a collection of users access to a site. In theory, an audience is a subset of authorized users, right? You want to target specific content on a site to specific users. If they can’t reach the site, what’s the point in targeting content to them?

If you do find yourself in such a situation where you have SharePoint groups which are exclusively used for audience targeting, a good approach would be to give those groups distinctive names, clearly indicating they are audience targeting groups. For example, you could start each group name with “AUD_”. This way, you can extend the script above and include a check to skip groups which start with “_AUD”.

SharePoint issues when using a trust with Selective Authentication

If you have some experience with SharePoint, the issue where you get a credential request three times before hitting the 401 Unauthorized is probably not new to you. We all know this happens when you try to navigate to a SharePoint site from the web front-end servers. Resolving this is common knowledge for SharePoint admins… You disable the loopback check in the registry or you use the recommended BackConnectionHostNames registry key. This has been documented in KB896861.

Last week, I was at a customer doing an assessment of a SharePoint implementation and one of their developers approached me with a weird issue on their Extranet. They have a SharePoint farm in a separate extranet domain. Between the internal domain and the extranet domain is a one-way trust to allow users from the internal domain to use their accounts to log on to a site on the Extranet. He was able to do this from the web front-end servers of the Extranet farm but not from his laptop. On his laptop, he had to enter his credentials and this kept failing… seems familiar right?

I double-checked the BackConnectionHostNames on the servers and sure enough, the key and hosts were there.

I tried the same thing on my machine with my account and this worked! I was able to go to the site from my machine. When he tried to do it from my machine with his account, it failed. We tested this on several other clients with several users… ALL of them had the same issue. Nobody was able to sign-in. Only I was able to sign-in from any place.

I will spare you the checks and comparisons we did, but I will tell you that we were able to solve it!

Servers in a domain are, like user accounts, just objects in Active Directory. When you open the properties of such a computer object in AD, and you go to the Security tab, you can specify a lot of permissions which specific AD objects can have on this computer. One of those permissions is “Allowed to authenticate”. For the servers in that Extranet farm, I was explicitly granted that permission, while the “Authenticated Users” group was not…

allowed-to-authenticate

In normal circumstances, this doesn’t pose any issue. If you have 1 domain which contains your users and servers, this permission is not required. Furthermore, if you have multiple domains and a one-way trust and you keep the default trust authentication level (Forest-wide authentication), you will not have any issues with users from the trusted domain authenticating to resources in the trusting domain.

selective-authentication-02

However, when you are using “Selective Authentication”, you need to explicitly grant the “Allowed to authenticate” permission to all users on the resources they need to access. When we verified this authentication level at the customer, we got confirmation that they were using selective authentication. So, we had to give “Authenticated Users” this permission on the SharePoint servers in the AD of the Extranet to resolve this issue.

See following articles for more information on selective authentication on trusts.

Hiep Hiep Hoera!!!

Hiep Hiep Hoera!!!

Hiep Hiep Hoera… je zou denken dat vandaag niet echt een dag is om te vieren. 8 september is inderdaad een dag die nooit meer hetzelfde zal zijn. Een dag waar ik nooit nog naar zal uitkijken maar eigenlijk toch wel een beetje. 8 september is uiteindelijk de dag waarop ik eindelijk papa werd, na zoveel jaren. Jammer genoeg een papa die dit nooit zal horen van zijn zoon die toen geboren werd. Maar ik voel mij wel een papa. Een papa die een schat aan herinneringen heeft van een zeer korte tijd samen met zijn zoon. En dus is 8 september ook wel een dag met hele mooie herinneringen die ik nooit wil vergeten.

Dus ja, hiep hiep hoera!! Gelukkige verjaardag jongen!!!! Het had zoveel leuker geweest als jij dat kaarsje echt had kunnen uitblazen en en met je handjes in de slagroom had gezeten, maar we weten dat je daarboven even hard zal blazen. Er is dan wel geen taart, maar ik eet een extra appeltje vandaag, speciaal voor jou.

10 jaar geleden… het lijkt een eeuwigheid

10 jaar geleden… het lijkt een eeuwigheid

Dit jaar is het 11 jaar geleden dat we elkaar hebben ontmoet. Het lijken er meer, maar het is niet zo. We hebben elkaar voor het eerst gezien op het huwelijk van een gemeenschappelijke vriendin. Ik als gast, zij als getuige van de bruid. Dat was het begin van een vriendschap, niets meer… zij had op dat moment een relatie en van een vonk was er absoluut geen sprake toen.

IMG_0833

In het anderhalf jaar dat daarop volgde is de vriendschap gegroeid en versterkt. Tot die memorabele week in Denemarken in 2006. We beseften het zelf nog niet op dat moment maar ergens is er tijdens die week een vonk geweest. De gezellige rit met ons tweetjes naar huis, het ongemakkelijke moment bij het afscheid nemen na thuiskomst… de dagen en weken nadien waren de kriebels bij momenten absurd… net pubers. Uiteindelijk hebben we elkaar de liefde verklaard op 19 november 2006.

mixtape-136395972199803901-150204161947

Een relatie die ondertussen al 10 jaar is, en zoals alle relaties met ups and downs is verlopen. We hebben mooie momenten gekend, maar ook vreselijke moeilijke momenten. De fijne momenten die we tijdens de jaren hebben gehad, het uitkijken naar een eigen huisje, het uitzichtloze proces voor een gezinsuitbreiding, de sprankeltjes hoop en het uiteraard het grote moment waar we jaren naar hebben uitgekeken, maar ook de bijzonder grote pijn van het verlies van Kobe… Het zijn die momenten die de band enkel maar hebben versterkt.

10 jaar is dan denk ik ook een mooi moment om uiteindelijk die laatste stap te zetten waar iedereen eigenlijk al een tijdje op aan het wachten is. Een evidente stap, ook voor ons… Zoals het hoort voor een echte grillmeister, hebben we dit uiteraard beslist tijdens een BBQ, tussen een kipfilet en een kalkoen-brochette… “Misschien moeten we er ook eens werk van maken? Wat denkte?” Het antwoord was niet verrassend… maar toch had ik iets later even een momentje dat ik in mijn eigen dacht…

36fd30b5b90456d8bf399400fb7c45e9

Een datum zoeken was ook al niet moeilijk: 19/11/2016. De dag waarop we exact 10 jaar samen zijn. Een snel telefoontje naar het stadhuis met de vraag of die datum nog vrij is en voila… het was geregeld. Nu nog de praktische zaken regelen en we kunnen aftellen.

De Efteling

De Efteling

Gisteren naar de Efteling geweest in Kaatsheuvel samen met wat vrienden. Het was een last minute deal. Donderdag in de voormiddag een telefoontje met de vraag om nog eens af te spreken. Sure. Wanneer? Morgen! OK. Laat mij even de agenda checken… ah, kijk, lukt nog. Cool! Wat gaan we doen? Efteling?

Ik ben geen pretpark-liefhebber maar de laatste keer dat ik in de Efteling ben geweest is al zolang geleden dat ik mij enkel nog het sprookjesbos vaag kan herinneren. Dus ja, waarom niet. Maar tegelijkertijd ook een dubbel gevoel want iemand zal er niet bij zijn en ondanks dat het bijna een jaar geleden is, zijn dergelijke uitstapjes momenten waarop we keihard met de realiteit worden geconfronteerd. Buggy’s, koetsen, gelukkige gezinnetjes… zo had het ook voor ons moeten zijn. Ik ben iemand die graag mensen observeert en op rustige momenten kijk ik dus rond en naar de mensen. Maar ik heb mijzelf erop betrapt dat ik nu meer oog heb voor het merk buggy… is het dezelfde als deze van onze Kobe? Als dit dan dezelfde is, dan voel ik mij even een momentje slecht. Niet lang, enkele tellen maar. Weer die realiteit die komt aankloppen.

Maar de beste manier om dergelijke zaken te verwerken is de confrontatie aangaan. En kijk, we hebben ons geamuseerd. Een dagje onder vrienden, de 4 kindjes die erbij waren hebben ons ook bezig gehouden. Een gezellige, drukke bende. Net een stel Duracel konijntjes die een onuitputbare bron van energie hebben. Als mijn voeten een time-out nodig hadden, dan gingen die beentjes nog altijd even hard en snel als toen ze uit de auto stapten. Een gezellig uitstapje, even geen zorgen en gewoon even de sfeer opsnuiven.

De Efteling is niet meer zoals ik het mij kan herinneren… ik denk dat we oud worden.  🙂 Maar gelukkig zijn er nog de vaste waarden… de goudstukken-schijtende ezel, Langnek, Holle Bolle Gijs,…

Verfwerken

Na 6 jaar zijn vorige week eindelijk de laatste werken gestart aan het huis. Iets wat we altijd voor ons uit hebben geschopt… verfwerken! We hadden zelf al de slaapkamers en dergelijke geverfd maar de grootste brok, de leefruimte, keuken, hal, nachthal, plafonds en deuren moest nog gebeuren. Maar dit zagen we niet zitten om zelf te doen. Verven doe je niet elk jaar en dus wilden we ineens wél zeker zijn dat de kleuren een beetje passen bij het interieur en dat het deftig is gedaan. We hadden al gauw door dat er ook aanzienlijk wat retoucheerwerk nodig was aan de bepleistering en daarenboven moesten alle muren nog worden geschuurd. Het vooruitzicht om hier een volledige verlofperiode aan te besteden was nu niet echt bemoedigend.

Read more