Bewährte Methoden zum Verwalten einer großen Anzahl von Ressourcen in Project Server 2010

Übersicht über Websiteberechtigungen für Project Server 2010

In Project Server 2010 wird die normale SharePoint-Berechtigungsinfrastruktur zum Festlegen der Zugriffssteuerung für die Microsoft Project Web App (PWA)-Website verwendet. Dieselbe Infrastruktur dient auch der Festlegung der Zugriffssteuerung für beliebige Projektwebsites (zuvor als Projektarbeitsbereichswebsites bekannt), die für individuelle, in Project Server gespeicherte Projektpläne erstellt werden.

Auf Ebene der PWA-Website werden Benutzer in Abhängigkeit von ihrer Berechtigungsstufe in Project Server speziellen SharePoint-Gruppen hinzugefügt. Die Seite mit den Websiteeinstellungen für eine PWA-Website enthält "Microsoft Project Server" SharePoint-Gruppen für Projektmanager, Leser, Teammitglieder, Webadministratoren und Administratoren von Workflow- und Projektdetailseiten. Wenn Benutzer in Project Server 2010 hinzugefügt werden, werden sie auch der entsprechenden Gruppe für die PWA-Website hinzugefügt, auf die sie zugreifen dürfen. Nehmen wir beispielsweise an, dass ein Benutzer zu Project Server 2010 hinzugefügt wird und ein Mitglied der Sicherheitsgruppe Projektmanager ist. Der Benutzer wird in den Websiteberechtigungen für die PWA-Homepage, die Seiten Project Center und Genehmigungscenter sowie für alle Seiten der PWA-Website, auf die der Benutzer zugreifen darf, der Gruppe Projektmanager (Microsoft Project Server) hinzugefügt.

Die Einstellungen unter Websiteberechtigungen für die PWA-Website enthalten nicht nur die Microsoft Project Server SharePoint-Gruppen, sondern dort werden auch individuelle SharePoint-Benutzerkonten für Websitesammlungsadministratoren und andere Farmadministratorkonten angezeigt. Die folgende Tabelle enthält die SharePoint-Berechtigungsstufen für die "Microsoft Project Server" SharePoint-Gruppe auf Ebene der PWA-Website.

Für Projektwebsites werden Benutzer direkt als Einzelpersonen hinzugefügt, und sie werden keinen speziellen "Microsoft Project Server" SharePoint-Gruppen zugeordnet. Die dem Benutzer erteilte Berechtigungsstufe wird anhand seiner Rolle bestimmt.

Leistungsprobleme beim Überschreiten der empfohlenen Benutzerbeschränkung für Projektwebsites

In Office Project Server 2007 kann bei der Benutzersynchronisierung mit den PWA-Websites ein Leistungsproblem auftreten, weil einzelne Benutzer den PWA- und Projektarbeitsbereichswebsites mit speziellen Berechtigungsstufen hinzugefügt werden. Wenn an der Benutzerberechtigung für die Website Änderungen vorgenommen werden, werden alle Benutzer, die über Berechtigungen für die Website verfügen, entfernt. Anschließend werden sie der Website wieder hinzugefügt. Befinden sich viele Benutzer auf einer Website, kann dieser Vorgang sehr lange dauern. Benutzer, die gerade wieder der Website hinzugefügt werden, erhalten die Fehlermeldung Zugriff verweigert, bis sie wieder der Website hinzugefügt wurden.

In Project Server 2010 wurden am Benutzerzugriff auf PWA-Websites zwei Änderungen vorgenommen, um das Problem in Office Project Server 2007 zu beheben:

• Benutzer mit Zugriff auf PWA-Websites wurden nicht einzeln hinzugefügt, sondern sie wurden SharePoint-Benutzergruppen hinzugefügt.

• Wenn die Benutzersynchronisierung erfolgt, werden die Benutzer einzeln entfernt und jeweils einzeln wieder der Website hinzugefügt (anstatt alle Benutzer zu entfernen und sie einzeln wieder hinzuzufügen).

Diese Änderungen wurden nur für PWA-Websites in Kraft gesetzt, auf die normalerweise viele Benutzer zugreifen. Für Projektwebsites ist diese Änderung nicht erfolgt. Die Ursache dafür liegt in der normalerweise deutlich geringeren Anzahl Benutzer, die auf diese Websites zugreifen (normalerweise sind dies die dem Projekt zugewiesenen Ressourcen), und darin, dass diese Websites mit geringerer Wahrscheinlichkeit von dem Synchronisierungsproblem betroffen sind. Ein mögliches Problem kann dabei vorliegen, wenn alle oder viele Benutzer auf alle oder zahlreiche Projektwebsites zugreifen sollen. Dieser Fall kann eintreten, wenn Sie einem Projekt viele Benutzer hinzufügen oder wenn Sie die Berechtigung Projektwebsite anzeigen auf Ebene der Teammitglieder in einer Kategorie zuweisen, die zahlreiche oder alle Projekte umfasst. Wenn dieses Szenario eintritt, ist es jedoch möglich, dass die empfohlenen Softwarebeschränkungen und Grenzen von SharePoint Server 2010 überschritten werden, sofern eine hohe Anzahl Benutzer vorliegt. Eine Überschreitung dieser empfohlenen Beschränkungen kann zu Leistungsproblemen führen. Jeder Benutzer, der einer Website einzeln hinzugefügt wird, gilt als Sicherheitsbereich. Der empfohlene Maximalwert eindeutiger Sicherheitsbereiche pro Liste beträgt 1.000. Alle Listen und Bibliotheken der Website erben Berechtigungen der übergeordneten Website und überschreiten somit diesen Grenzwert, wenn mehr als 1.000 einzelne Benutzer Zugriff auf die Website haben. Weitere Informationen zu den Sicherheitsbereichsbeschränkungen für Listen finden Sie unter SharePoint Server 2010-Kapazitätsverwaltung: Softwarebeschränkungen und -grenzen.

Bei einer Überschreitung der empfohlenen eindeutigen Sicherheitsbereichsbeschränkungen können Leistungsprobleme auftreten. Die Probleme können auftreten, wenn die Websitemitgliedschaft aufgrund von Änderungen der Kategorien oder Gruppe geändert wird. Sie können jedoch auch durch Aktionen wie dem Hinzufügen oder Deaktivieren eines Benutzers verursacht werden. Eine Ursache für die Einführung der empfohlenen Beschränkung für einzelne Benutzer bestand darin, dass im Falle einer Überschreitung der Prozess zum Entfernen von Benutzern von der Website sehr langsam ausfallen kann. Der Prozess wird insbesondere dann sehr langsam ausgeführt, wenn derselbe Benutzer von mehreren Websites entfernt wird, die alle die empfohlene Beschränkung überschritten haben. In den Fällen, in denen mehrere Benutzer deaktiviert werden, reagiert der Server möglicherweise nicht mehr, und Benutzer können möglicherweise nicht mehr authentifiziert werden. Dies führt zu einem eindeutigen Problem, wenn Sie die empfohlenen jeweiligen Benutzerbeschränkungen für eine Website erstmals überschreiten. Ihr Server reagiert möglicherweise nicht mehr, wenn Sie die Benutzer verwalten müssen, weil zu viele Benutzer mit vorhandenen Berechtigungen für eine Website vorhanden sind. Beim Versuch, das Problem durch Entfernen von Benutzern von der Website zu beheben, reagiert der Server möglicherweise ebenfalls nicht mehr.

Die bewährten Methoden zur Vermeidung dieses Problems sind von Ihrem beabsichtigten Zweck abhängig:

• Wenn es wirklich erforderlich ist, dass die meisten Benutzer auf einen Großteil der Projektwebsites zugreifen können: Verwenden Sie SharePoint Server 2010-Gruppen und die Vererbung von PWA, um die Benutzer diesen Gruppen hinzuzufügen, anstatt den Websites Benutzer einzeln hinzuzufügen. Die übergeordnete Website für Projektwebsites ist beispielsweise generell die Website der PWA-Homepage. In diesem Szenario erben Projektwebsites die Berechtigungen der Website der PWA-Homepage, die alle PWA-Benutzer in Microsoft Project Server SharePoint-Gruppen enthält.

• Wenn der Zugriff auf die Websites durch viele Benutzer nicht beabsichtigt ist und Sie das Problem lösen müssen: Entfernen Sie die Berechtigung der Kategorie Projektwebsite anzeigen aus der Kategorie, mit deren Hilfe die Benutzer Zugriff auf die Websites erhalten. Sie können auch die Anzahl der dem Projekt zugewiesenen Ressourcen reduzieren. Vor dem Ausführen einer der beiden Aktionen müssen Sie die Benutzersynchronisierung mit der Website beenden. Andernfalls können beide Aktionen dazu führen, dass Ihr Server nicht mehr reagiert.

Wenn Sie die Synchronisierung für die Projektwebsite deaktivieren möchten, können Sie ein Dienstprogramm schreiben, für das die Project Server-Schnittstelle (Project Server Interface, PSI) und der Verwaltungs-Webdienst verwendet werden und mit dessen Hilfe die UserSyncSetting-Aufzählung (in englischer Sprache) (möglicherweise in englischer Sprache) auf DisablePWS festgelegt wird. Rufen Sie die Aufzählung mit der Admin.UpdateUserSyncSetting-Methode (in englischer Sprache) (möglicherweise in englischer Sprache) auf.

Sie können die Einstellung auch deaktivieren, indem Sie in der Tabelle MSP_WEB_ADMIN der Datenbank Veröffentlicht in der Spalte WADMIN_USER_SYNC_SETTING direkte Änderungen vornehmen. Die Synchronisierung der Projektwebsite können Sie durch Ausführen der folgenden SQL-Abfrage deaktivieren:

Update [ProjectServer_Published].[dbo].[msp_web_admin] set [WADMIN_USER_SYNC_SETTING]=2

Möglicherweise fällt Ihnen eine direkte Änderung in der Tabelle MSP_WEB_ADMIN der Datenbank Veröffentlicht deutlich leichter als das Erstellen und Testen eines Tools für denselben Vorgang per PSI.

Erben von Berechtigungen von der übergeordneten PWA-Website

Nach dem Deaktivieren der Synchronisierung der Projektwebsite können dieselben Probleme weiterhin ausgelöst werden, wenn Sie über die Funktionalität, die auf der Seite für die SharePoint-Websiteberechtigungen bereitgestellt wird, versuchen, Benutzer direkt von der Projektwebsite zu entfernen. Eine Möglichkeit zum schnellen Entfernen von Benutzern ohne Auslösung der einzelnen Löschung, durch die das Problem verursacht wird, besteht im Erben der Berechtigungen von der übergeordneten Website. Dies ist über das Menüband der Benutzeroberfläche auf der Seite Websiteberechtigungen der jeweiligen Projektwebsite möglich (im Menü Websiteaktionen).

So vererben Sie Berechtigungen von der übergeordneten Website an die Projektwebsite

1. Klicken Sie auf der Projektwebsite auf Websiteaktionen, und klicken Sie dann auf Websiteberechtigungen.

2. Klicken Sie auf der Seite Berechtigungen auf das Menüband Bearbeiten.

3. Klicken Sie auf Berechtigungen erben.

4. Klicken Sie im Meldungsfeld, in dem Sie davor gewarnt werden, dass eine Änderung vererbter Berechtigungen dazu führen kann, dass Benutzer nicht mehr auf die Website zugreifen können, auf OK.

In diesem Menüband wird angegeben, dass die Website nun Berechtigungen von der zugehörigen übergeordneten Website erbt, bei der es sich um eine PWA-Website handeln sollte. Die Websiteberechtigungsstruktur der übergeordneten Website ist nun die Websiteberechtigungsstruktur für die Projektwebsite. Demnach sind die einzelnen PWA-Benutzer nun in Microsoft Project Server-Websitegruppen enthalten.

Wenn Ihr Ziel letztendlich darin besteht, den meisten Benutzern Zugriff auf die meisten Websites zu erteilen, können Sie festlegen, dass Ihre Projektwebsites übergeordnete Berechtigungen aus PWA erben, wie zuvor beschrieben. Bevor Sie diese Aktion ausführen, sollten Sie sicherstellen, dass die PWA-Website über die richtigen Berechtigungen für alle Benutzer verfügt, die Zugriff benötigen. Die Ursache dafür ist, dass die Berechtigung, die die Benutzer in PWA haben, der Berechtigung entspricht, die die Benutzer für die Projektwebsite haben werden, wenn Sie das Verfahren zum Erben von Berechtigungen ausführen.

Wenn Sie über viele Projektwebsites verfügen, können Sie die Änderung mit Windows PowerShell automatisieren. Mithilfe des folgenden Windows PowerShell-Befehls erben alle Projektwebsites, die der angegebenen übergeordneten PWA-Website untergeordnet sind, deren Berechtigungen. Sie können den Windows PowerShell-Befehl in der SharePoint 2010-Verwaltungsshell ausführen:

$site = Get-SPSite "<url of PWA>"
     Foreach ($web in $site.AllWebs) {
        $web.Update()
        $web.ResetRoleInheritance()
        $web.Update()
        }
     $site.Dispose()

Sie müssen diesen Befehl (oder das vorherige Verfahren zum Erben von Websiteberechtigungen) für alle neuen Projektwebsites ausführen, um ein wiederholtes Auftreten des Problems zu verhindern.

In einer Umgebung, in der alle Projektwebsites PWA-Berechtigungen erben, verfügen Sie möglicherweise über bestimmte Projekte mit vertraulichen Informationen, und Sie möchten die Berechtigungen und Benutzer daher möglicherweise auf einer individuellen Ebene verwalten. In diesem Fall können Sie mit Windows PowerShell eine Eigenschaft für diese Websites festlegen und mithilfe der Eigenschaft eine Filterung in einer geänderten Version des Windows PowerShell-Befehls ausführen, der für die Festlegung der Vererbung verwendet wurde (siehe oben).

Deaktivieren der Einstellung "Projektwebsite-Berechtigungen"

Sie können das automatische Hinzufügen von Benutzern zu Ihren Projektwebsites auch verhindern, indem Sie die Einstellung Projektwebsite-Berechtigungen, die sich im Abschnitt Betriebsrichtlinien Ihrer Project Web App-Servereinstellungen befindet, deaktivieren. Wenn diese Einstellung aktiviert ist, werden Project Web App-Benutzer immer dann automatisch mit den Projektwebsites synchronisiert, wenn die Benutzerberechtigungen in Project Server 2010 geändert werden, wenn der Projektmanager das Projekt veröffentlicht oder wenn die Projektwebsite erstellt wird. Wenn die Einstellung aktiviert ist und eine der zuvor beschriebenen Situationen eintritt, werden die folgenden Aktionen automatisch ausgeführt:

• Projektmanager, die ein Projekt veröffentlicht haben oder die Berechtigungen zum Speichern des Projekts in einem Projekt besitzen, werden der Website mit Berechtigungen für Projektmanager (Microsoft Project Server) hinzugefügt.

• Teammitglieder mit Zuweisungen in einem Projekt werden der Website mit Berechtigungen für Teammitglieder (Microsoft Project Server) hinzugefügt.

• Andere Project Server-Benutzer, die für ein Projekt die Berechtigung Projektwebsite anzeigen besitzen, werden der Website mit Berechtigungen für Leser (Microsoft Project Server) hinzugefügt.

Durch das Deaktivieren dieser Option wird zwar das automatische Hinzufügen von Project Server-Benutzern zu der Website gestoppt, die bereits hinzugefügten Benutzer werden jedoch nicht entfernt.

So deaktivieren Sie die Einstellung "Projektwebsite-Berechtigungen"

1. Klicken Sie auf der Seite Servereinstellungen im Abschnitt Betriebsrichtlinien auf Einstellungen für die Bereitstellung der Projektwebsite.

2. Deaktivieren Sie auf der Seite Einstellungen für die Bereitstellung der Projektwebsite im Abschnitt Projektwebsite-Berechtigungen das Kontrollkästchen Aktivieren Sie diese Option, um Project Web App-Benutzer automatisch mit Projektwebsites zu synchronisieren, wenn sie erstellt werden oder wenn Projektmanager Projekte in Project Server veröffentlichen und wenn Benutzerberechtigungen in Project Server geändert werden.

   Wenn das Kontrollkästchen deaktiviert wird, werden Project Server-Benutzer nie mit Projektwebsites synchronisiert.

3. Klicken Sie auf Speichern.

Weitere Informationen zur Einstellung Projektwebsite-Berechtigungen finden Sie unter Einstellungen für die Bereitstellung der Projektwebsite (Project Server 2010-Einstellungen).

Fehler bezüglich der Überschreitung empfohlener Benutzerbeschränkungen für Projektwebsites

Nachstehend werden Fehler aufgelistet, die möglicherweise in den ULS-Protokollen angezeigt werden, wenn in Ihrer Project Server-Bereitstellung Leistungsprobleme auftreten, weil die empfohlene maximale Anzahl Benutzer, die auf Projektwebsites zugreifen dürfen, überschritten wird. Üblicherweise stellt der Benutzer, der das Problem initiiert (möglicherweise durch Deaktivieren einer Ressource), fest, dass die Schaltfläche Speichern auf der Seite Benutzer bearbeiten in "angeklickter" Position blockiert ist, wobei möglicherweise die Meldung Ein unerwarteter Fehler ist aufgetreten. angezeigt wird. Die Korrelations-ID befindet sich in den ULS-Protokollen, und sie enthält Daten, die sich auf einen SQL-Deadlock beziehen. Der Eintrag auf "kritischer" Ebene ähnelt dem Folgenden:

• 08/10/2011 12:17:02.85 w3wp.exe (0x2178) 0x314C SharePoint Foundation-Datenbank 5586 Kritische unbekannte SQL-Ausnahme 1205 aufgetreten. Zusätzliche Informationen von SQL Server sind unten aufgeführt. Für die Transaktion (Prozess-ID 80) ist ein Deadlock für LOCK-Ressourcen bei einem anderen Prozess aufgetreten, und sie wurde als Deadlock-Opfer ausgewählt. Führen Sie die Transaktion erneut aus. 886d9cdd-5c0c-4f3a-8f89-f4e8c92acde3

Ein Fehler der "höchsten" Ebene mit weiteren Informationen zu der Abfrage, die das Problem verursacht hat, ähnelt dem folgenden Text. Der hier angegebene Eintrag wurde deutlich gekürzt. Beachten Sie jedoch den Text des Schlüssels "proc_SecRemoveUserFromSite":

• 
  08/10/2011 12:17:06.97 w3wp.exe (0x2178) 0x314C SharePoint Foundation Database tzkv High SqlCommand: 'SET NOCOUNT ON; DECLARE @DN nvarchar(256),@LN nvarchar(128),@@DocUIVersion int,@@S uniqueidentifier,@@Level tinyint; DECLARE @ItemId int; DECLARE @@iRet int; DECLARE @ExtraItemSize int; SET @@Level = 1; SET @@S=@wssp0; EXEC @@iRet = proc_SecRemoveUserFromSite @@S, @wssp1, @wssp2 SELECT @ItemId = @wssp3 IF @@iRet <> 0 BEGIN GOTO DONE; END ;BEGIN TRAN IF NOT EXISTS( SELECT tp_ID FROM UserData WHERE tp_ListId = '06C8C9BB-B10B-4042-8859-9F9985E73E76' AND tp_ID = @ItemId AND tp_Level = 1 AND tp_RowOrdinal =0) BEGIN SELECT @ExtraItemSize = 0 EXEC @@iRet = proc_AddListItem @SiteId….

Ein möglicherweise ebenfalls generierter Eintrag der "unerwarteten" Ebene ähnelt dem folgenden Text:

• 
  08/10/2011 12:17:06.97 w3wp.exe (0x2178) 0x314C SharePoint Foundation Runtime tkau Unexpected System.Runtime.InteropServices.COMException: Exception from HRESULT: 0x80131904 at Microsoft.SharePoint.Library.SPRequestInternalClass.UpdateMembers(String bstrUrl, UInt32 dwObjectType, String bstrObjId, Guid& pguidScopeId, Int32 lGroupID, Int32 lGroupOwnerId, Object& pvarArrayAdd, Object& pvarArrayAddIds, Object& pvarArrayLoginsRemove, Object& pvarArrayIdsRemove, Boolean bRemoveFromCurrentScopeOnly, Boolean bSendEmail) at Microsoft.SharePoint.Library.SPRequest.UpdateMembers(String bstrUrl, UInt32 dwObjectType, String bstrObjId, Guid& pguidScopeId, Int32 lGroupID, Int32 lGroupOwnerId, Object& pvarArrayAdd, Object& pvarArrayAddIds, Object& pvarArrayLoginsRemove, Object& pvarArrayIdsRemove, Boolean bRemoveFromCurrentScopeOnly, Boolean bSendEmail) 886d9cdd-5c0c-4f3a-8f89-f4e8c92acde3

Möglicherweise reagiert der Server für 15–30 Minuten nicht. Während dieser Zeit erhalten andere Benutzer Timeoutfehler auf ihren Seiten, und in den ULS-Protokollen werden möglicherweise die folgenden Einträge angezeigt:

• 
  08/10/2011 12:20:22.30 w3wp.exe (0x1228) 0x1454 SharePoint Foundation Monitoring b4ly High Leaving Monitored Scope (ExecuteStoredProcedureDataReader -- MSP_AUTH_GETUSERBYNAME). Execution Time=120002.728838442 2be0491a-a64b-4237-8cfc-40342a374d49
• 
  08/10/2011 12:20:22.30 w3wp.exe (0x1228) 0x1454 Project Server General 8ym5 Monitorable PWA:http://<server>/PWA, ServiceApp:Project Web App Service Application, User:, PSI: SqlException occurred in DAL: <Error><Class>0</Class><LineNumber>0</LineNumber><Number>-2</Number><Procedure></Procedure> <Message> System.Data.SqlClient.SqlError: Timeout expired. The timeout period elapsed prior to completion of the operation or the server is not responding. </Message> <CallStack> at System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection) at …