Performance Problem SharePoint
Manchmal dauert es aus unerklärlichen Gründen lange, bis eine SharePoint Seite geladen wird. Um die Performance zu überprüfen, gibt es sehr viele Checks. Wenn Ihr SharePoint Server über keinen Internetzugang verfügt, gibt es einen wichtigen Aspekt, welchen Sie unbedingt überprüfen müssen, wenn Sie mit Performance Problemen zu kämpfen haben.
Bei jedem Zugriff auf die SharePoint Seiten wird in der CRL, (Certificate Revocation List) abgefragt, ob das SSL Zertifikat noch gültig ist. -> crl.microsoft.com
In unserem Beispiel handelt es sich um SharePoint Server, welche Performance Probleme aufweisen. Wichtig: Diese Server haben keinen Internet Zugriff. Da die CRL im Internet publiziert ist, konnten die SharePoint Server diesen Check nicht ausführen. Das Default Timeout für solche Zugriffe ist 15 Sekunden. Dieser CRL Check wurde nun auf allen SharePoint Servern ausgeschaltet. Inzwischen ist die Performance wieder einwandfrei. Wie Sie den CRL Check ausschalten können, erfahren Sie in diesem Blogbeitrag:
Vorgehen CRL Check deaktivieren
- SharePoint Root Zertifikat per Powershell exportiert und in lokalen Computer Zert Store importiert
$rootCert = (Get-SPCertificateAuthority).RootCertificate
$rootCert.Export(„Cert“) | Set-Content C:SharePointRootAuthority.cer -Encoding byte
Anschliessend dieses Zertifikat über MMC Certificate Snap-in Computer Store zu „Trusted Root Certification Authorities“ importieren. - „Automatic update certificate in the Microsoft Root Certificate Program” deaktivieren. “Local Security Policy” Snap öffnen, in “Public Key Policies” -> Certificate Path Validation Settings -> Network Retrieval -> Hacken bei “Automatic update certificate in the Microsoft Root Certificate Program” entfernen: GPUpdate /force /target:computer
- Mittels VBScript alle bestehenden Users Accounts in der Registry anpassen. (DisableCRLCheck.vbs)HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionWinTrustTrust ProvidersSoftware Publishing -> State auf 146944 gesetzt
Dies schaltet den CRL Check auf User Level aus. - Internet Access wurde für die Server gesperrt.
Im ULS Viewer kann man nun einen Filter auf „Message contains SPCertificateValidator.Validate“ setzen.
Normalerweise ist die Execution Time kleiner als eine Sekunde.
Wenn der CRL Check aktiviert ist, wird hier 15 oder 30 Sekunden angezeigt:
Pingback: CRLcheck.exe Certificate Revocation List Check Tool to verify all CRL and OCSP on Windows client – www.butsch.ch