Entwerfen einer Extranetfarmtopologie (Windows SharePoint Services)
Inhalt dieses Artikels:
Informationen zu Extranetumgebungen
Planen von Extranetumgebungen
Edgefirewall-Topologie
Back-to-Back-Umkreistopologie
Aufteilen einer Back-to-Back-Topologie
Dieser Artikel kann zusammen mit dem folgenden Modell verwendet werden: Extranettopologien für SharePoint-Produkte und -Technologien (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x407).
Informationen zu Extranetumgebungen
Bei einer Extranetumgebung handelt es sich um ein privates Netzwerk, das auf sichere Art und Weise erweitert wird, um Teile der Informationen oder Prozesse einer Organisation für Remotemitarbeiter, externe Partner oder Kunden freizugeben. Mithilfe eines Extranets können Sie alle von Windows SharePoint Services 3.0 gehosteten Inhaltstypen freigeben. Dazu zählen unter anderem Dokumente, Listen, Bibliotheken, Kalender, Blogs und Wikis.
In der folgenden Tabelle werden die Vorteile beschrieben, die sich aus dem Extranet für die einzelnen Gruppen ergeben.
Remotemitarbeiter |
Remotemitarbeiter können überall, jederzeit und von jedem Ort aus auf Unternehmensinformationen und elektronische Ressourcen zugreifen, ohne dass dazu ein VPN (virtuelles privates Netzwerk) erforderlich ist. Zu Remotemitarbeitern zählen:
|
Externe Partner |
Externe Partner können am Geschäftsprozess teilnehmen und mit den Mitarbeitern Ihrer Organisation zusammenarbeiten. Mithilfe eines Extranets können Sie die Datensicherheit folgendermaßen verbessern:
Sie können die Prozesse und Websites für die Partnerzusammenarbeit folgendermaßen optimieren:
|
Kunden |
Websites werden für Kunden zur Verfügung gestellt:
|
Windows SharePoint Services 3.0 bietet flexible Optionen zum Konfigurieren des Extranetzugriffs auf Websites. Sie können für eine Teilmenge von Websites in einer Serverfarm den internetgebundenen Zugriff bereitstellen, oder Sie können den Zugriff auf sämtlichen Inhalt einer Serverfarm über das Internet ermöglichen. Sie können Extranetinhalt innerhalb Ihres Unternehmensnetzwerks hosten und den Inhalt über eine Edgefirewall zur Verfügung stellen, oder Sie können die Serverfarm innerhalb eines Umkreisnetzwerks isolieren.
Planen von Extranetumgebungen
Im weiteren Verlauf dieses Artikels werden spezielle Extranettopologien erläutert, die in Windows SharePoint Services 3.0 getestet wurden. Mithilfe der in diesem Artikel erläuterten Topologien können Sie die in Windows SharePoint Services 3.0 verfügbaren Optionen nachvollziehen, einschließlich Anforderungen und Kompromissen.
In den folgenden Abschnitten werden die zusätzlichen Planungsaktivitäten für eine Extranetumgebung hervorgehoben.
Planen der Netzwerk-Edgetechnologie
In jeder Topologie entspricht die dargestellte Netzwerk-Edgetechnologie einem oder beiden der folgenden Produkte aus der Microsoft Forefront Edge-Produktfamilie: Microsoft Internet Security and Acceleration (ISA) Server und Intelligent Application Gateway (IAG) 2007. Weitere Informationen zu diesen Microsoft Forefront Edge-Produkten entnehmen Sie den folgenden Ressourcen:
Microsoft Internet Security and Acceleration (https://go.microsoft.com/fwlink/?linkid=86495&clcid=0x407)
Netzwerkkonzepte in ISA Server 2006 (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=86497&clcid=0x407)
Technische Bibliothek zu Intelligent Application Gateway 2007 (in englischer Sprache)
Hinweis
Andere Netzwerk-Edgetechnologien können ersetzt werden.
IAG Server bietet diese zusätzlichen Features:
Verhindern von Informationsverlusten: Es verbleiben keine Restdaten auf dem Clientcomputer; der gesamte Cache, alle temporären Dateien sowie Cookies werden gelöscht.
Endpunkt-, zustandsbasierte Autorisierung: Administratoren können eine Zugriffsrichtlinie definieren, die nicht nur auf der Identität des Benutzers und den offengelegten Informationen basiert, sondern auch auf dem Zustand des Clientcomputers.
Zugreifen auf SharePoint-Websites über Outlook Web Access: Benutzer können mittels Hyperlinks, die in E-Mails über Outlook Web Access gesendet wurden, auf SharePoint-Websites zugreifen. IAG stellt die Linkübersetzung für Hyperlinks bereit, die auf interne URLs verweisen.
Einheitliches Portal: Bei der Anmeldung präsentiert IAG jedem Benutzer eine Liste von SharePoint-Websites und anderen Anwendungen, die diesem Benutzer zur Verfügung stehen und autorisiert sind.
In der folgenden Tabelle wird der Unterschied zwischen den Servern zusammengefasst.
| Eigenschaft | ISA 2006 | IAG 2007 |
|---|---|---|
Veröffentlichen von Webanwendungen mithilfe von HTTPS |
X |
X |
Veröffentlichen von internen mobilen Anwendungen auf mobilen Roaminggeräten |
X |
X |
Firewall der Ebene 3 |
X |
X* |
Unterstützung ausgehender Szenarien |
X |
X* |
Unterstützung von Arrays |
X |
|
Globalisierung und Lokalisierung der Verwaltungskonsole |
X |
|
Assistenten und vordefinierte Einstellungen zum Veröffentlichen von SharePoint-Websites und Exchange |
X |
X |
Assistenten und vordefinierte Einstellungen zum Veröffentlichen verschiedener Anwendungen |
X |
|
Unterstützung der Active Directory-Verbunddienste (Active Directory Federation Services, ADFS) |
X |
|
Umfangreiche Authentifizierung (z. B. Einmalkennwort, formularbasiert, Smartcard) |
X |
X |
Anwendungsschutz (Firewall für Webanwendungen) |
Standard |
Vollständig |
Endpunkt-Zustandserkennung |
X |
|
Verhindern von Informationsverlusten |
X |
|
Spezifische Zugriffsrichtlinie |
X |
|
Einheitliches Portal |
X |
* Unterstützt von ISA, das in IAG 2007 enthalten ist.
Planen der Authentifizierung und der logischen Architektur
Zusätzlich zum Auswählen oder Entwerfen einer Extranettopologie müssen Sie eine Authentifizierungsstrategie und eine logische Architektur entwerfen, um den gewünschten Benutzern außerhalb des internen Netzwerks den Zugriff zu ermöglichen und um die Websites und den Inhalt der Serverfarm zu sichern. Weitere Informationen dazu finden Sie in den folgenden Artikeln:
Planen von Vertrauensstellungen für Domänen
Wenn sich die Serverfarm innerhalb eines Umkreisnetzwerks befindet, sind für dieses Netzwerk eine gesonderte Active Directory-Verzeichnisdienstinfrastruktur und eine gesonderte Domäne erforderlich. Normalerweise sind Umkreisdomänen und Unternehmensdomänen nicht für eine gegenseitige Vertrauensstellung konfiguriert. Wenn Sie jedoch eine unidirektionale Vertrauensstellung konfigurieren, bei der die Umkreisdomäne der Firmendomäne vertraut, können Sie die Windows-Authentifizierung zum Authentifizieren von internen Mitarbeitern und Remotemitarbeitern mithilfe der Anmeldeinformationen für die Unternehmensdomäne verwenden. Eine weitere Möglichkeit ist die Authentifizierung der Mitarbeiter mithilfe der Formularauthentifizierung oder der Authentifizierung durch einmalige Webanmeldung (Single Sign-On, SSO). Mit diesen Methoden können Sie auch mit einem internen Domänenverzeichnisdienst authentifizieren.
In der folgenden Tabelle werden diese Authentifizierungsoptionen zusammengefasst und es wird darauf hingewiesen, ob eine Vertrauensstellung erforderlich ist.
| Szenario | Beschreibung |
|---|---|
Windows-Authentifizierung |
Wenn die Umkreisdomäne der Unternehmensnetzwerkdomäne vertraut, können Sie sowohl interne Mitarbeiter als auch Remotemitarbeiter mithilfe ihrer Anmeldeinformationen für die Unternehmensdomäne authentifizieren. |
Formularauthentifizierung und Web-SSO |
Mithilfe der Formularauthentifizierung und der einmaligen Webanmeldung können Sie sowohl interne Mitarbeiter als auch Remotemitarbeiter für eine interne Active Directory-Umgebung authentifizieren. Mithilfe der einmaligen Webanmeldung können Sie beispielsweise eine Verbindung mit Active Directory Federation Services (ADFS) herstellen. Für die Verwendung der Formularauthentifizierung oder der einmaligen Webanmeldung ist *keine* Vertrauensstellung zwischen Domänen erforderlich. Es kann jedoch sein, dass einige Features von Windows SharePoint Services 3.0 nicht verfügbar sind. Dies ist vom Authentifizierungsanbieter abhängig. Weitere Informationen zu den Features, die bei Verwendung der Formularauthentifizierung oder der einmaligen Webanmeldung betroffen sein können, finden Sie unter Planen von Authentifizierungseinstellungen für Webanwendungen (Windows SharePoint Services). |
Weitere Informationen zum Konfigurieren einer unidirektionalen Vertrauensstellung in einer Extranetumgebung finden Sie unter Planen des Verstärkens der Sicherheit für Extranetumgebungen (Windows SharePoint Services).
Planen der Verfügbarkeit
Die in diesem Artikel beschriebenen Extranettopologien dienen der Veranschaulichung folgender Aspekte:
Wo sich eine Serverfarm innerhalb eines Gesamtnetzwerks befindet
Wo sich die einzelnen Serverrollen innerhalb einer Extranetumgebung befinden
Dieser Artikel dient nicht dazu, Ihnen beim Planen der zum Erzielen einer Redundanz bereitzustellenden Serverrollen oder der Anzahl der für die Bereitstellung der einzelnen Rollen benötigten Server zu helfen. Nachdem Sie die Anzahl der für Ihre Umgebung erforderlichen Serverfarmen ermittelt haben, planen Sie unter Verwendung des folgenden Artikels die Topologie für die einzelnen Serverfarmen: Planen der Redundanz (Windows SharePoint Services).
Planen der Verstärkung der Sicherheit
Nachdem Sie Ihre Extranettopologie entworfen haben, planen Sie unter Verwendung den folgenden Ressourcen eine Verstärkung der Sicherheit:
Edgefirewall-Topologie
Bei dieser Konfiguration wird an der Schnittstelle zwischen dem Internet und dem Unternehmensnetzwerk ein Reverseproxyserver verwendet, um Anfragen abzufangen und dann an den entsprechenden Webserver im Intranet weiterzuleiten. Der Proxyserver überprüft anhand konfigurierbarer Regeln, ob die angefragten URLs basierend auf der Zone, aus der die Anfrage stammt, zulässig sind. Die angefragten URLs werden anschließend in interne URLs umgewandelt. In der folgenden Abbildung wird eine Edgefirewall-Topologie veranschaulicht.
.gif "Extranetfarmtopologie – Edgefirewall")
Vorteile
Einfachste Lösung mit den geringsten Hardware- und Konfigurationsanforderungen.
Die gesamte Serverfarm befindet sich im Unternehmensnetzwerk.
Zentrale Datenquelle:
Die Daten befinden sich innerhalb des vertrauenswürdigen Netzwerks.
Die Datenverwaltung erfolgt zentral.
Durch die Verwendung einer einzelnen Farm für interne und externe Anfragen wird sichergestellt, dass alle authentifizierten Benutzer denselben Inhalt anzeigen.
Interne Benutzeranfragen werden nicht über einen Proxyserver geleitet.
Nachteile
- Resultiert in einer einzelnen Firewall, die das interne Unternehmensnetzwerk vom Internet trennt.
Back-to-Back-Umkreistopologie
In einer Back-to-Back-Umkreistopologie wird die Serverfarm in einem separaten Umkreisnetzwerk isoliert. Dies wird in der folgenden Abbildung veranschaulicht.
.gif "Back-to-Back-Umkreistopologie")
Diese Topologie weist die folgenden Eigenschaften auf:
Die gesamte Hardware und alle Daten befinden sich im Umkreisnetzwerk.
Die Serverfarmrollen und die Server für die Netzwerkinfrastruktur können auf mehrere Ebenen verteilt werden. Durch eine Kombination der Netzwerkebenen können Komplexität und Kosten reduziert werden.
Die einzelnen Ebenen können durch zusätzliche Router oder Firewalls getrennt werden, um sicherzustellen, dass nur Anfragen aus bestimmten Ebenen zugelassen werden.
Anfragen aus dem internen Netzwerk können über den intern verbundenen ISA-Server oder über die öffentliche Schnittstelle des Umkreisnetzwerks weitergeleitet werden.
Vorteile
Der Inhalt wird in einer einzelnen Farm des Extranets isoliert, wodurch die Freigabe und Wartung von Inhalt im Intranet und im Extranet vereinfacht werden.
Der externe Benutzerzugriff wird auf das Umkreisnetzwerk beschränkt.
Bei einer Gefährdung des Extranets beschränken sich Schäden möglicherweise auf die betroffene Ebene oder auf das Umkreisnetzwerk.
Mithilfe einer separaten Active Directory-Infrastruktur können externe Benutzerkonten erstellt werden, ohne dass das interne Unternehmensverzeichnis betroffen ist.
Nachteile
- Erfordert eine zusätzliche Netzwerkinfrastruktur und -konfiguration.
Aufteilen einer Back-to-Back-Topologie
Bei dieser Topologie wird die Serverfarm zwischen dem Umkreis- und dem Unternehmensnetzwerk geteilt. Die Computer, auf denen die Microsoft SQL Server-Datenbanksoftware ausgeführt wird, werden innerhalb des Unternehmensnetzwerks gehostet. Die Webserver befinden sich im Umkreisnetzwerk. Suchserver können entweder im Umkreisnetzwerk oder im Unternehmensnetzwerk gehostet werden.
.gif "Geteilte Back-to-Back-Topologie")
In der vorherigen Abbildung gilt Folgendes:
Der Suchserver wird innerhalb des Umkreisnetzwerks gehostet. Diese Option wird in der gestrichelten Linie durch den blauen Server verdeutlicht.
Suchserver können optional innerhalb des Unternehmensnetzwerks zusammen mit den Datenbankservern bereitgestellt werden. Diese Option wird durch den grauen Server auf der gepunkteten Linie veranschaulicht. Für das Bereitstellen von Suchservern und Datenbankservern im Unternehmensnetzwerk ist außerdem eine Active Directory-Umgebung erforderlich, die diese Server unterstützt (durch graue Server im Unternehmensnetzwerk veranschaulicht).
Wenn die Serverfarm zwischen dem Umkreis- und dem Unternehmensnetzwerk geteilt ist und sich die Datenbankserver innerhalb des Unternehmensnetzwerks befinden, ist bei Verwendung von Windows-Konten für den Zugriff auf SQL Server eine Vertrauensstellung für Domänen erforderlich. In diesem Szenario muss die Umkreisdomäne der Unternehmensdomäne vertrauen. Bei Verwendung der SQL-Authentifizierung ist keine Vertrauensstellung für Domänen erforderlich. Weitere Informationen zum Konfigurieren von Konten für diese Topologie finden Sie unter dem Thema "Domänenvertrauensstellungen" des Artikels Planen des Verstärkens der Sicherheit für Extranetumgebungen (Windows SharePoint Services).
Wenn Sie sowohl die Suchleistung als auch die Crawlingvorgänge optimieren möchten, positionieren Sie die Suchserverrolle zusammen mit den Datenbankservern im Unternehmensnetzwerk. Sie können auch innerhalb des Unternehmensnetzwerks einem Suchserver die Webserverrolle hinzufügen und diesen Webserver für die dedizierte Verwendung durch die Suchrolle für Inhaltscrawlings konfigurieren. Wenn Sie Webserver im Umkreisnetzwerk und die Suchrolle im Unternehmensnetzwerk positionieren, müssen Sie eine unidirektionale Vertrauensstellung konfigurieren, in der die Domäne des Umkreisnetzwerks der Domäne des Unternehmensnetzwerks vertraut. Diese unidirektionale Vertrauensstellung dieses Szenarios ist für die Unterstützung der Serverkommunikation mit der Serverfarm erforderlich. Dabei ist es unerheblich, ob Sie für den Zugriff auf SQL Server die Windows- oder die SQL-Authentifizierung verwenden.
Vorteile
Vorteile der geteilten Back-to-Back-Topologie:
Computer, auf denen SQL Server ausgeführt wird, werden nicht im Umkreisnetzwerk gehostet.
Für Farmkomponenten innerhalb des Unternehmens- und des Umkreisnetzwerks können dieselben Datenbanken verwendet werden.
Mithilfe einer separaten Active Directory-Infrastruktur können externe Benutzerkonten erstellt werden, ohne dass sich dies auf das interne Unternehmensverzeichnis auswirkt.
Nachteile
Die Lösung wird deutlich komplexer.
Angreifer, die die Ressourcen des Umkreisnetzwerks gefährden, können mithilfe der Serverfarmkonten Zugriff auf den im Unternehmensnetzwerk gespeicherten Farminhalt erhalten.
Die Kommunikation zwischen den Farmen wird normalerweise zwischen zwei Domänen aufgeteilt.
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Planung und Architektur für Windows SharePoint Services 3.0, Teil 2 (in englischer Sprache)
Planen einer Extranetumgebung für Windows SharePoint Services (in englischer Sprache)
Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services.