This article explains how to move overrides from the Default Management Pack to any other unsealed management pack in System Center Operations Manager 2007 R2 or 2012.

This is a very common problem I see when visiting customers. Most of people, right after installing OpsMgr, start to create overrides, and store then to Default Management Pack. This could be a problem, because:

•     If you created an override for a monitor from Exchange MP, for example, references would then be created in Default MP, and that would prevent you from deleting the Exchange one;
•     You created these overrides in a test environment, and wants to send to production, but can’t override the production default MP
•     Your environment is growing, and you no longer wants to have all your overrides in the same management pack, instead, you want to organize them in categorized MPs.

So, for moving overrides from the Default MP, these are the main steps:

1.    Create a new Management Pack to  receive the overrides;
2.    Export both management packs, for some XML editing (don’t worry, it’s simple);
3.    Copy the references and overrides XML sections to the new MP;
4.    Reimport MPs.

1.    Create a new Management Pack to receive the overrides;

In Administration Pane, right-click “Management Packs” and select “Create Management Pack”

Type a Name and Description (if desired) and click Next, and then Finish.

2.    Export both management packs, for some XML editing (don’t worry, it’s simple);

In the Administration Pane, click in the left on Management Pack, and you will get a list of all installed MPs. Right-click the ones you want to export, and select the folder.

3.    Copy the references and overrides XML sections to the new MP;

Before we proceed, let me just show you the override I will be moving, it’s for a monitor called AD Database Free Space Monitor, and it’s possible to see in the picture it’s stored in the Default Management Pack.

Now, I will look for the exported MPs in Windows Explorer. The default MP will be stored as Microsoft.SystemCenter.OperationsManager.DefaultUser. I will just right-click it, and select “Edit”. It should open notepad or another XML editor, if you have one installed.

These are the two sections in default MP we are interested in. The first one is about the references. You could have many here, so I highlighted only the ones I will use. You could do some analysis to understand each ones are really needed, but I will just pick up the ones related to AD. Copy them, and remove if you want. In case you remove, but there is still an override using it, SCOM won’t let you import back the MP. Copy everything inside the red square.

In the Test.ManagementPack, I already have the References section, so I will just paste the references, between the end of existing reference (After </Reference>) and the end of References section (Before </References>).

This second section is about overrides. I have three of them, but will only copy the one I wanted, the last in the list. Again, copy everything inside the red square, but remove these lines from Default MP, since this can create a conflict of the same override in two Management Packs.

Now, for the overrides, Test.ManagementPack doesn’t have the section created, so we will manually add the lines, right after </Manifest>.

Then we can paste the override:

Now, save the changes made to both MPs, and let’s go to the final step.

4.    Reimport MPs.

First I will import back the edited Default Management Pack. In administration panel, right-click “Management Packs” and select “Import Management Packs…”

Click Add…, then Add from disk… and No, for the Online Catalog Connection message box.

I will first import only the Default MP, select Install, and then Close:

I will check my overrides view now:

Ok. The override is gone, because I only imported the Default MP. I will now import the Test.ManagementPack and check again my Overrides view:

Great! Now the Override is in the correct MP.

This post is provided "AS IS" with no warranties, and confers no rights. Use of included script samples are subject to the terms specified in the Terms of Use

Saludos Comunidad,

Después de hacer bastantes pruebas y dañar muchas máquinas virtuales intentando configurar FBA en SharePoint 2010 como lo haciamos en MOSS 2007, finalmente creo que encontré la manera más simple y fácil de hacerlo para SharePoint Server 2010, espero en realidad que lo que digo sea verdad, por favor lean cuidadosamente todas las instrucciones y no brinquen ningún paso.

Para configurar FBA usando SQL Server con autenticación de Windows Integrada (Recomendado) seguiremos los siguientes pasos:

Pre-requisitos

a) Conocimiento sobre SharePoint 2010, IIS 7.5 y SQL Server 2008 (No indispensable, solicitud de apoyo del DBA)

b) SQL Server configurado como Windows Integrated Authentication

c) ASP.Net SQL Server Database (Base de datos de membresia)

d) Cuenta de usuario de dominio (esta puede ser el mismo administrador de la granja de SharePoint)

e) Asegurarse de respaldar los archivos de configuración "web.config" de: Central Administration, el servicio web llamado Security Token Service y también la Web Application en la que vamos a configurar FBA

Pasos para configurar FBA

1. Configurar la seguridad de SQL para utilizar Windows Integrated Authentication
2. Agregar la cuenta de dominio a los SQL Logins
3. Crear la base de datos de FBA en SQL para almacenar a los usuarios que no son parte del dominio de Windows al que pertenence la granja de SharePoint
4. Proveer de los permisos apropiados sobre la base de datos de SQL FBA
5. Configurar mediante IIS Admin el sitio de la Central Administration
6. Configurar mediante IIS Admin el servicio llamado SharePoint Security Token Service
7. Crear la nueva aplicación web para usar FBA y después el Site Collection
8. Configurar los proveedores de autenticación por defecto en IIS para la nueva aplicación web
9. Crear un sitio de IIS para administrar y dar de alta a los usuarios externos

Configurar SQL Server para usar Windows Integrated Authentication

Basicamente cuando se instala SQL Server, por defecto la autenticación de Windows integrada es provisionada, en caso de que el equipo de base de datos haya configurado SQL como Mixed-Mode entonces tienen que hacer lo siguiente:

1. Desde el Management Studio en la instancia de SQL Server donde viven las bases de datos de SharePoint
2. Clic derecho y seleccionar propiedades
3. En el panel del lado izquierdo seleccionar Security
4. On the right pane choose the option Windows Authentication mode

Si tuviste que realizar el paso anterior entonces TIENES que reiniciar el servicio de SQL Server o reiniciar el servidor

Agregar la cuenta de dominio a los SQL Logins

Ahora es necesario agregar la cuenta de dominio que vamos a utilzar para el acceso a la base de datos de ASP .Net a los SQL Logins para darle control total sobre dicha base de datos cuando sea creada despúes en este artículo.

Dos cosas son importantes en este punto, escoger al SharePoint Farm Administrator que ya usas o crear una nueva cuenta de usuario de dominio para administrar la base de datos de ASP.NET . Mi recomendación es que utilices el SharePoint Farm administrator, cualquiera que sea la opción que tomes aquí está el proceso a seguir (Apóyate en tu DBA para crear el login si es necesario):

1. Una vez que decidiste que cuenta usar abre el SQL Server Management Studio
2. En el panel del lado izquierdo expande el nombre de la instancia de SQL Server y selecciona la carpeta llamada Security
3. Sobre la carpeta llamda Logins haz clic derecho y después New Login
4. Busca el nobre de la cuenta de dominio creada o bien del administrador de la granja de SharePoint y deja los demás valores por defecto manten la opcion Windows authentication seleccionada
5. Clic OK

Create SQL FBA database to store non-Windows domain users

Abrir el asistente de ASP.Net y crear la base de datos de membresia donde los usuarios externos serán alojados para el acceso Extranet:

- Ve a la ruta: C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_regsql.exe desde el explorador de Windows y doble clic sobre el ejecutable

- Selecciona la primera opcón “Configure SQL Server for application services”

- Escribe el nombre del servidor de SQL donde se alojará la base de datos. No es necesario que sea el mismo servidor donde las bases de datos de SharePoint se alojan

- Mantén la configuración de autenticación por defecto Windows Authentication

- Utiliza “Default” o escribe un nombre para la base de datos de membresia y completa el procedimiento

TLa primera vez que la base de datos de ASP.NET es creada debes elegir Windows Authentication como se menciona arriba y después crear una nueva base o incluso USAR la que tenías en MOSS 2007*

- Confirma la configuración creada y listo

Garantizar los permisos necesarios al SQL Login (Domain user/ SP Farm Admin) para la nueva base de datos SQL FBA

- Regresa al SQL Server Management Studio

- Localiza la nueva base de datos ASP.NET que creaste o asignaste en el paso anterior

- Haz clic derecho sobre ella y selecciona propiedades

- En el panel del lado derecho haz clic sobre el cuadro con los 3 puntos y busca la cuenta de usuario (escribe domainname\username) y clic OK

- Copia el nombre del campo Login name y pégalo en el campo User name

- Al final de la ventana en la sección Database Role Membership selecciona db_owner y haz click in OK

Configurar el sitio de la Central Administration

Es tiempo de crear: Connection String, Role Provider, y Membership Provider en el IIS Manager para obtener acceso a la nueva base de datos de ASP.NET.

Hagámoslo primero para el sitio de SharePoint Central Administration y después repitamos exactamente los mismos pasos para el servicio web Security Token service, y la aplicación web de SharePoint, al final vamos a crear un sitio de IIS común para administrar a los usuarios de la base de datos ASP .NET.

- Abre IIS Manager y encuentra el sitio SharePoint Central Administration v4 debajo de la carpeta Sites

- En el panel del centro haz clic en Connection Strings

- En el panel del lado izquierdo llamado Actions haz clic en Add

- Escribe un nombre para la conexión

- Escribe el nombre del servidor de base de datos donde se encuentra la base de datos de ASP .NET

- Escribe el nombre de la base de datos que recientemente creaste o migraste

- Mantén seleccionada la opción Use Windows Integrated Security

- Clic OK

- Regresa al sitio de IIS para ahora crear los proveedores

- Haz doble clic sobre Providers en la vista llamda IIS Features view y vamos a crear Role Provider y Membership Provider

- Sobre el menu desplegable selecciona primero .Net Roles para crear el proveedor de roles, después seleeciona .Net Users para configurar las membresias de usuarios

- Esto es todo para el sitio de Central Administration v4

Configure SharePoint Security Token Service

Repitamos exactamente los mismos pasos ahora para configurar el servicio web llamado Security Token service. Tenemos que usar los mismos nombres para: Connection String, Role Provider y Membership Provider

Create the new Web Application to use FBA and Site Collection

Ahora vamos a SharePoint en el sitio de la Central Administration y vamos a crear la nueva aplicación web que usará la autenticación basada en formas

Es importante recordar que en SharePoint 2010 la única manera de configurar FBA es creando las aplicaciones web seleccionando la opción “Claims Based Authentication” de lo contrario no podrás hacerlo.

- Vamos a la Central Administration

- En la categoría llamada Application Management hacemos clic en Manage Web Application

- En el menú superior seleccionamos New

- Escogemos Claims Based Authentication para que las opciones de Forms Based Authentication se habiliten

- Es importante que la opción Enable Windows Authentication con NTLM se mantengan seleccionadas por lo siguiente:

• El Rastreo no se pierda para la aplicación web
• La ventana de login del sitio mostrará ambas opciones Windows Authentication y Forms-Base Authentication

- Ahora debemos seleccionar Enable Forms Based Authentication (FBA) y escribir tanto el Membership Provider como el Role Provider

- Ahora es necesario crear la colección de sitios para la aplicación web, cualquier definición de sitios que escogas será decisión tuya

- Hasta este punto el administrador de la colección de sitios TIENE que ser el SharePoint Farm Admin ya que nuestra base de datos de ASP.NET SQL esta vacia, o bien puedes usar la cuenta de usuario de dominio que especificaste como db_owner de la base de datos

- Ahora tenemos que repetir los pasos anteriores para crear: Connection String, Role Provider, y Membership Provider usando los mismos nombres no lo olviden

Create IIS Site to administer ASP.NET users

Vamos a crear un sitio común de IIS para administrar los roles y las cuentas de usuario de nuestra base de datos de ASP.NET

- Desde el IIS Manager hagamos clic derecho sobre la carpeta Sites y seleccionamos New Site

- Le damos un nombre y los demas valores los dejamos por defecto

- Revuisamos lo que hicimos para configura el sitio de la Central Administration v4 y configuramos:

• Connection String
• Role Provider
• Membership Provider

- Para este sitio no debemo dejar como “i” y “c” los proveedores por defecto, esta vez vamos a usar FBARoleProvider & FBAMembershipProvider

- Tiempo de hacer pruebas, abre el sitio de SharePoint que creaste y configuraste con FBA

- Primero utiliza Windows Integrated Authentication, y escribe las credenciales del SharePoint Farm Admin o la cuenta de dominio que diste de alta como administrador del sitio, funcionó?

- Cambia de usuario y escoge ahora Forms-Based Authentication, funcionó? Estoy seguro que no pues no hemos dado de alta usuarios en la base de datos de ASP .NET y tampoco les hemos dado permisos en SharePoint

- Regresemos al IIS Manager y vamos a crear roles y usuarios para FBA

- Ok, Ahora ya podemos agregar a estos usuarios como miembros de los sitios de SharePoint, volvamos al sitio de SharePoint e iniciemos sesión con el SharePoint Farm Administrator

- En la colección de sitios vamos a Site Actions > Site Permissions

- Seleccionamos el grupo al cual deseamos que pertenezcan el o los usuarios externos

- Hagamos clic en New

- Clic sobre el icono de la libreta de direcciones o simplemente escribimos el nombre de usuario que se encuentra en la base de datos de ASP .NET

Les deseo mucha suerte y recuerden que su retroalimentación es muy importante para nosotros, por favor déjenos saber si el artículo es realmente útil y si en verdad esta configuración de FBA para SharePoint 2010 es como lo describí la más simple y rápida.

Hasta la próxima

After testing many times and configuring FBA in many Virtual environments, finally I think I wrote the easiest and clearest procedure and hope what I'm saying is true, please read carefully and do not skip any step.

To configure FBA using SQL Server with Windows Integrated Authentication (recommended) we’ll follow the following steps.

Pre-requisites        

a)      Knowledge about SharePoint 2010, IIS 7.5 and SQL Server 2008

b)      SQL Server configured as Windows Integrated Authentication

c)       ASP.Net SQL Server Database (Membership database)

d)      Windows Domain user account (Can be SharePoint Farm Administrator)

e)      Make sure you backup web.config files for Central Administration Site, Security Token Service web service and also the Web Application you will use for FBA

Steps to configure FBA

1. Configure SQL Server security settings to use Windows Integrated Authentication
2. Add the Domain User Account to SQL Logins
3. Create SQL FBA database to store non-Windows domain users
4. Grant SQL Login (Domain user) permissions for the new SQL FBA database
5. Configure SharePoint Central Administration
6. Configure  SharePoint Security Token Service
7. Create the new Web Application to use FBA and Site Collection
8. Configure IIS Default providers for the new web application
9. Create IIS Site to administer ASP.NET users

Configure SQL Server to use Windows Integrated Authentication

Basically when you install SQL Server by default Windows Integrated Authentication is already set, in case your DBA team configured SQL Server with Mixed-Mode you have to do the following:

1. Go into the Management Studio of the instance of your SharePoint database server
2. Right click on SQL Server Instance name and choose properties
3. On the left pane go to Security
4. On the right pane choose the option Windows Authentication mode

If you did the change you MUST restart SQL Server service or reboot the server

Add the Domain User Account to SQL Logins

Now we need to add the Domain user account to the SQL Logins in order to provide full access to the ASP.NET membership database we’ll create later.

Two things are important here, you have to decide if you will use the SharePoint Farm Administrator account you are already using or create a new Windows domain user account to manage the access to the ASP.NET membership database. I recommend using SharePoint Farm administrator, whatever you decide here are the steps. (Ask for your DBA team to help you creating the new login)

1. Once you have decided which account to use open SQL Server Management Studio
2. On the left pane expand the SQL Server instance and choose Security folder
3. On Logins right click and choose New Login
4. Look for your Windows domain user account and keep Windows authentication option marked
5. Click OK

Create SQL FBA database to store non-Windows domain users

Open the ASP.Net wizard and creating the database which will store non-Windows domain users for your extranet access:

-          Go to the path: C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_regsql.exe

-          Choose “Configure SQL Server for application services”

-          Type the SQL Server name you want. You don’t have to use the SharePoint database server

-          Keep Windows Authentication as default

-          Use “Default” or type the database name you will create at the end of the process

The first time you create the ASP.NET database you have to choose Windows Authentication and create or USE an existing database*

-          Just confirm the settings and that’s it for this part

 Grant SQL Login (Domain user) permissions for the new SQL FBA database

-          Go back to the SQL Server Management Studio

-          Locate the ASP.NET membership database you already created or restored

-          Right click and choose properties

-          On the right pane click on the square with dots and look for your domain user account (Type domainname\username) and click OK

-          Copy the name from the field Login name to the upper field named User name

-          At the bottom of the window locate Database Role Membership section and mark db_owner and click OK

Configure SharePoint Central Administration

Now we have to create a Connection String, Role Provider, and Membership Provider in IIS Manager to get access to the ASP.NET membership database that we already created.

Let’s do this once for SharePoint Central Administration site and then repeat the steps for the Security Token service web service, the SharePoint Web Application and at the end for the IIS site that we will use to mange ASP .NET Memberships.

-          Open IIS Manager and locate SharePoint Central Administration v4 site under Sites folder

-          On the right pane double click on Connection Strings

-          On the very right pane called Actions click on Add

-          Type a name

-          Type the name of the SQL Server

-          Type the name of the database server you already created

-          Keep selected the option Use Windows Integrated Security

-          Click OK

-          Go back to the IIS to create both providers

-          Double click on Providers in IIS Features view and create Role Provider and Membership Provider

-           On Features drop down menu click .Net Roles first to configure role provider, then click on .Net Users to configure Membership provider

-          This is it for Central Administration site

Configure SharePoint Security Token Service

Repeat the steps just before to configure Security Token service web service. Use same Connection String,  Role Provider and Membership Provider names

Create the new Web Application to use FBA and Site Collection

Open SharePoint Central Administration Site and let’s create the new Web Application that you will use to configure Forms-Based Authentication

Remember in SharePoint 2010 the only way to configure FBA is creating web applications with Authentication option “Claims Based Authentication” otherwise you won’t be able to do it.

-          So open Central Administration web site

-          Go to Application Management category and click on Manage Web Application

-          On the ribbon click on New

-          Choose Claims Based Authentication authentication option in order to enable Forms Based Authentication options

-          It is important for you to keep Enable Windows Authentication with NTLM check box marked for two things:

• Crawl works for that content database
• Active Directory users will use Authentication page to get the content

-          Now check Enable Forms Based Authentication (FBA) and type both Membership Provider and Role Provider

-          Now we have to create a Site Collection, you may use the one for Teams or any other, it’s up to you

-          At this point the Site Collection Administrator MUST be the SharePoint Farm Administrator since our ASP.NET SQL database is empty

-          Create the Connection String, Role Provider, and Membership Provider following the same steps like we did for Central Administration v4 Site

Create IIS Site to administer ASP.NET users

Create an IIS site to manage roles and user account that will live in our ASP.NET membership database

-          Create the IIS Site from IIS Manager

-          Review again the steps we performed for Central Administration v4 site in order to configure:

• Connection String
• Role Provider
• Membership Provider

-          For the IIS Site you should not revert the default provider to “i” or “c”, this time default providers will be FBARoleProvider & FBAMembershipProvider

-          Test time, log in to the new SharePoint site configured with FBA

-          First use Windows Integrated Authentication, successful?

-          Now choose sign in with a different user, successful? I’m sure not since you have not granted permissions for FBA users yet

-          Go back to IIS Manager and create FBA roles and users

-          Ok, now we can add FBA users to SharePoint sites, login back with SharePoint Farm Administrator

-          Open Site Actions > Site Permissions

-          Pick a group you want to add the new FBA user

-          Click New

-          Click the address book or type the name of the FBA user

I wish you good luck and remember that feedback is very important for us, please let me know if this post is really useful and if it was easy to configure FBA in SharePoint 2010 as I wrote

Traduciendo a Español el post de nuestro colega Eduardo Nakahara!

La semana pasada tuvimos un evento interno llamado GeekReady, donde los PFE's de todo LATAM (Latinoamérica) nos reunimos para escuchar las últimas noticias de la organización PFE de parte del equipo de administración, adquiriendo y compartiendo conocimiento, conociendo a los nuevos PFE's y reuniéndonos con los viejos amigos (lo que en nuestro caso es genial, pues generalmente estamos viajando)!!!

En éste evento de 3 días, que tuvo lugar en el Hotel Sofitel Jequitimar en la playa de Guaruja en Sao Paulo (Brasil), 120 sesiones fueron presentadas para diversas tecnologías como Base de Datos, Desarrollo, Plataforma (Windows, AD, etc), SharePoint y IIS, IT OPS, Servicios de Administración y Mensajería, con PFE's de Argentina, Brasil, Canadá, Chile, Colombia, Ecuador, El Salvador, USA, México, Panamá, Perú, Puerto Rico y Venezuela. La experiencia fue impresionante, y aun a pesar de todo tuvimos tiempo libre para disfrutar de la playa a mitad de la semana!!! =)

Impresionante no lo creen?, aun trabajando nos divertivmos bastante durante el evento, regresando a casa con las baterías recargadas, y realmente LISTOS para enfrentar nuevos retos!!! =)

Last week we had an internal event called GeekReady, where PFE’s all over LATAM (Latin America) could get together to hear from the management team the latest updates, acquire and share knowledge,  meet with new-hires and reunite with old friends (which in our case is great, as we usually are constantly travelling)!!!

On this 3-day event, which happened in Hotel Sofitel Jequitimar in Guaruja Beach-SP (Brazil), 120 sessions were presented in different tracks like Database, Development, Platform, SharePoint & IIS, IT OPS, Manageability and Messaging, with PFE’s from Argentina, Brazil, Canada, Chile, Colombia, Ecuador, El Salvador, USA, Mexico, Panama, Peru, Puerto Rico and Venezuela. The experience sharing was awesome, and we still had some free-time to enjoy the beach in the middle of the week!!! =)

Yeah, even working we have lots of fun during the event, returning to home with our batteries recharged, and really READY to face new challenges!!! =)