Progettare una topologia di farm Extranet (Windows SharePoint Services)

Contenuto dell'articolo:

• Informazioni sugli ambienti Extranet

• Pianificazione per gli ambienti Extranet

• Topologia firewall di confine

• Topologia perimetrale back to back

• Topologia back to back suddivisa

Questo articolo può essere utilizzato con il modello Topologie Extranet per Prodotti e tecnologie SharePoint (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x410) (informazioni in lingua inglese) .

Informazioni sugli ambienti Extranet

Un ambiente Extranet corrisponde a una rete privata estesa in modo protetto per condividere parte delle informazioni o dei processi di un'organizzazione con dipendenti remoti, partner esterni o clienti. Mediante una rete Extranet è possibile condividere qualsiasi tipo di contenuto ospitato da Microsoft Windows SharePoint Services 3.0, inclusi documenti, elenchi, raccolte, calendari, blog e siti Wiki.

Nella tabella seguente vengono illustrati i vantaggi presentati dall'ambiente Extranet per ogni gruppo.

Dipendenti remoti	I dipendenti remoti possono accedere alle risorse elettroniche e alle informazioni aziendali in qualsiasi luogo, in qualsiasi momento e in qualsiasi posizione senza che sia necessaria una rete VPN (Virtual Private Network). I dipendenti remoti includono: Agenti di vendita in viaggio per lavoro. Dipendenti che lavorano da casa o presso clienti dell'organizzazione. Team virtuali distribuiti in aree geografiche diverse.
Partner esterni	I partner esterni possono partecipare ai processi aziendali e collaborare con i dipendenti dell'organizzazione. È possibile utilizzare un ambiente Extranet per aumentare il grado di protezione dei dati nei modi seguenti: Applicare componenti di protezione e di interfaccia utente appropriati per isolare i partner e separare i dati interni. Autorizzare i partner a utilizzare solo i siti e i dati necessari per le loro attività. Impedire ai partner di visualizzare i dati di altri partner. È possibile ottimizzare i processi e i siti per la collaborazione con i partner nei modi seguenti: Consentire ai dipendenti dell'organizzazione e ai dipendenti dell'azienda partner di visualizzare, modificare, aggiungere ed eliminare contenuto allo scopo di ottenere risultati positivi per entrambe le società. Configurare avvisi per segnalare agli utenti quando cambia il contenuto o quando avviare un flusso di lavoro.
Clienti	Rende i siti disponibili per i clienti: Viene garantito l'accesso anonimo alle informazioni relative all'organizzazione. I client possono connettersi e partecipare a un flusso di lavoro.

Microsoft Windows SharePoint Services 3.0 offre opzioni flessibili per configurare l'accesso Extranet ai siti. È possibile fornire l'accesso con connessione Internet a un sottoinsieme di siti di una server farm oppure rendere accessibile da Internet tutto il contenuto di una server farm. È possibile ospitare contenuto Extranet all'interno della rete aziendale e renderlo disponibile tramite un firewall di confine oppure isolare la server farm all'interno di una rete perimetrale.

Pianificazione per gli ambienti Extranet

Il resto di questo articolo è dedicato a specifiche topologie Extranet testate con Microsoft Windows SharePoint Services 3.0. Le topologie trattate nell'articolo possono costituire un utile riferimento per comprendere le diverse alternative disponibili con Microsoft Windows SharePoint Services 3.0, inclusi i relativi requisiti e compromessi.

Nelle sezioni seguenti vengono illustrate ulteriori attività di pianificazione per un ambiente Extranet.

Pianificare la tecnologia di rete

In ogni topologia la tecnologia di rete illustrata rappresenta uno o entrambi dei prodotti seguenti della famiglia Microsoft Forefront Edge: Microsoft Internet Security and Acceleration (ISA) Server e Intelligent Application Gateway (IAG) 2007. Per ulteriori informazioni su questi prodotti Microsoft Forefront Edge, vedere le risorse seguenti:

• Home page ISA Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=86495&clcid=0x410) (informazioni in lingua inglese)

• Concetti di rete in ISA Server 2006 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=86497&clcid=0x410) (informazioni in lingua inglese)

• Progettare una topologia di farm Extranet (Windows SharePoint Services)

• Raccolta di documentazione tecnica Intelligent Application Gateway 2007 (informazioni in lingua inglese)

Nota

È possibile utilizzare una tecnologia di rete diversa.

IAG Server include tre caratteristiche aggiuntive:

• Prevenzione dalla divulgazione indesiderata di informazioni: nel computer client non rimangono informazioni e tutta la cache, i file temporanei e i cookie vengono eliminati.

• Autorizzazione dell'endpoint basata sull'integrità: gli amministratori possono definire un criterio di accesso basato non solo sull'identità dell'utente e le informazioni esposte, ma anche sulla condizione del computer client.

• Accesso ai siti di SharePoint da Outlook Web Access: gli utenti possono accedere ai siti di SharePoint da collegamenti inviati in messaggi di posta elettronica tramite Outlook Web Access. IAG garantisce la conversione dei collegamenti che fanno riferimento a URL interni.

• Portale unificato: all'accesso a ogni utente viene presentato l'elenco dei siti di SharePoint e di altre applicazioni disponibili e autorizzati per tale utente.

Nella tabella seguente sono riepilogate le differenze tra i server.

Capacità	ISA 2006	IAG 2007
Pubblicazione di applicazioni Web mediante HTTPS	X	X
Pubblicazione di applicazioni mobili su dispositivi mobili di roaming	X	X
Firewall livello 3	X	X*
Supporto di scenari in uscita	X	X*
Supporto di array	X
Globalizzazione e localizzazione della console di amministrazione	X
Procedure guidate e impostazioni predefinite per la pubblicazione di siti di SharePoint ed Exchange	X	X
Procedure guidate e impostazioni predefinite per la pubblicazione di diverse applicazioni		X
Supporto di ADFS (Active Directory Federation Services)		X
Autenticazione avanzata, ad esempio password monouso, basata su form, smart card	X	X
Protezione delle applicazioni con firewall dell'applicazione Web	Di base	Full
Rilevamento dell'integrità dell'endpoint		X
Prevenzione dalla divulgazione indesiderata di informazioni		X
Criterio di accesso granulare		X
Portale unificato		X

* Supporto garantito da ISA, incluso in IAG 2007.

Pianificare l'autenticazione e l'architettura logica

Oltre a scegliere o progettare una topologia Extranet, sarà necessario progettare una strategia di autenticazione e un'architettura logica per consentire l'accesso agli utenti desiderati all'esterno della rete interna e per proteggere i siti e il contenuto della server farm. Per ulteriori informazioni, vedere gli articoli seguenti:

• Pianificare l'autenticazione (Windows SharePoint Services)

• Progettazione di esempio di un'architettura logica: siti di collaborazione

Pianificare relazioni di trust a livello di dominio

Quando la server farm si trova all'interno di una rete perimetrale, tale rete richiede un proprio dominio e una propria infrastruttura del servizio directory Active Directory. Un dominio perimetrale e un dominio aziendale in genere non sono configurati per considerarsi reciprocamente attendibili. Se tuttavia si configura una relazione di trust unidirezionale, in cui il dominio perimetrale considera attendibile il dominio aziendale, sarà possibile utilizzare l'autenticazione di Windows per autenticare sia i dipendenti interni che quelli remoti mediante le credenziali del dominio aziendale. Un'altra soluzione è quella di autenticare i dipendenti mediante l'autenticazione Forms o SSO (Single Sign-On) Web. È inoltre possibile utilizzare questi metodi per eseguire l'autenticazione per un servizio directory di dominio interno.

Nella tabella seguente vengono riepilogate queste opzioni di autenticazione e viene indicato se è richiesta una relazione di trust.

Scenario	Descrizione
Autenticazione di Windows	Se il dominio perimetrale considera attendibile il dominio di rete aziendale, sarà possibile autenticare sia i dipendenti interni che quelli remoti utilizzando le relative credenziali di dominio aziendale.
Autenticazione Forms e SSO Web	È possibile utilizzare l'autenticazione Forms e SSO Web per autenticare sia i dipendenti interni che quelli remoti in un ambiente Active Directory interno. È ad esempio possibile utilizzare SSO Web per connettersi ad ADFS (Active Directory Federation Services). Con l'autenticazione Forms o SSO Web *non* è richiesta una relazione di trust tra i domini. Alcune caratteristiche di Microsoft Windows SharePoint Services 3.0 potrebbero tuttavia non essere disponibili, a seconda del provider di autenticazione. Per ulteriori informazioni sulle caratteristiche su cui influisce l'autenticazione Form o SSO Web, vedere Pianificare le impostazioni di autenticazione per le applicazioni Web (Windows SharePoint Services).

Per ulteriori informazioni sulla configurazione di una relazione di trust unidirezionale in un ambiente Extranet, vedere Pianificare una protezione avanzata per gli ambienti Extranet (Windows SharePoint Services).

Pianificare la disponibilità

Le topologie Extranet descritte in questo articolo hanno lo scopo di illustrare:

• Se una server farm si trova all'interno di una rete generale.

• Se ognuno dei ruoli del server si trova all'interno di un ambiente Extranet.

Questo articolo non include informazioni su come pianificare i ruoli del server da distribuire o su quanti server per ogni ruolo è necessario distribuire per ottenere la ridondanza. Dopo aver determinato quante server farm sono necessarie per l'ambiente, per pianificare la topologia di ogni server farm utilizzare l'articolo Pianificare la ridondanza (Windows SharePoint Services).

Pianificare la protezione avanzata

Dopo aver progettato la topologia Extranet, utilizzare le risorse seguenti per pianificare la protezione avanzata:

• Pianificare la protezione avanzata per i ruoli del server in una server farm (Windows SharePoint Services)

• Pianificare una protezione avanzata per gli ambienti Extranet (Windows SharePoint Services)

Topologia firewall di confine

In questa configurazione viene utilizzato un server proxy inverso al confine tra Internet e la rete aziendale per intercettare e quindi inoltrare le richieste al server Web appropriato della rete Intranet. Mediante un insieme di regole configurabili, il server proxy verifica che gli URL richiesti siano consentiti in base all'area da cui ha origine la richiesta. Gli URL richiesti vengono quindi convertiti in URL interni. Nella figura seguente è illustrata una topologia firewall di confine.

Vantaggi

• È la soluzione più semplice che richiede configurazione e hardware minimi.

• L'intera server farm si trova all'interno della rete aziendale.

• Singolo punto di dati:

  • I dati si trovano all'interno della rete attendibile.

  • La manutenzione dei dati si svolge in un'unica posizione.

  • L'utilizzo di una sola farm sia per le richieste interne che per quelle esterne garantisce che tutti gli utenti autorizzati visualizzino lo stesso contenuto.

• Le richieste degli utenti interni non passano attraverso un server proxy.

Svantaggi

• Un solo firewall che separa la rete interna aziendale da Internet.

Topologia perimetrale back to back

In una topologia perimetrale back to back la server farm viene isolata in una rete perimetrale separata, come illustrato nella figura seguente.

Questa topologia presenta le caratteristiche seguenti:

• Tutto l'hardware e i dati risiedono nella rete perimetrale.

• I ruoli della server farm e i server dell'infrastruttura di rete possono essere separati in più livelli. La combinazione dei livelli di rete può ridurre la complessità e il costo.

• Ogni livello può essere separato da router o firewall aggiuntivi per garantire che vengano consentite solo le richieste provenienti da livelli specifici.

• Le richieste provenienti dalla rete interna possono essere indirizzate tramite il computer ISA Server interno oppure tramite l'interfaccia pubblica della rete perimetrale.

Vantaggi

• Il contenuto è isolato in una singola farm nell'ambiente Extranet, semplificando la condivisione e la manutenzione del contenuto nella rete Intranet ed Extranet.

• L'accesso degli utenti esterni è isolato nella rete perimetrale.

• Se l'ambiente Extranet viene compromesso, il danno è potenzialmente limitato al livello interessato o alla rete perimetrale.

• Utilizzando un'infrastruttura di Active Directory separata, è possibile creare account utente esterni senza incidere sull'elenco in linea aziendale interno.

Svantaggi

• Richiede configurazione e infrastrutture di rete aggiuntive.

Topologia back to back suddivisa

In questa topologia la farm viene suddivisa tra la rete perimetrale e quella aziendale. I computer che eseguono il software di database di Microsoft SQL Server si trovano all'interno della rete aziendale, mentre i server Web si trovano nella rete perimetrale. I server di ricerca possono essere ospitati nella rete perimetrale o in quella aziendale.

Nella figura precedente:

• Il server di ricerca è ospitato all'interno della rete perimetrale. Tale soluzione è indicata dal server blu all'interno della linea tratteggiata.

• I server di ricerca possono essere facoltativamente distribuiti all'interno della rete aziendale con i server database. Tale soluzione è indicata dal server grigio all'interno della linea tratteggiata. Se si distribuiscono server di ricerca all'interno della rete aziendale con i server database, sarà inoltre necessario disporre di un ambiente Active Directory per supportare tali server, rappresentati come server di colore grigio all'interno della rete aziendale.

Se la server farm è divisa tra la rete perimetrale e la rete aziendale e i server database si trovano all'interno della rete aziendale, è necessaria una relazione di trust a livello di dominio in caso di utilizzo di account di Windows per accedere a SQL Server. In questo scenario il dominio perimetrale deve considerare attendibile il dominio aziendale. Se invece viene utilizzata l'autenticazione di SQL Server, non è necessaria una relazione di trust a livello di dominio. Per ulteriori informazioni sulla configurazione di account per questa topologia, vedere la sezione sulle relazioni di trust a livello di dominio nell'articolo Pianificare una protezione avanzata per gli ambienti Extranet (Windows SharePoint Services).

Per ottimizzare le prestazioni in fase di ricerca e la ricerca per indicizzazione, inserire il ruolo del server di ricerca all'interno della rete aziendale con i server database. È inoltre possibile aggiungere il ruolo del server Web a un server di ricerca all'interno della rete aziendale e configurare tale server Web per un utilizzo dedicato da parte del ruolo di ricerca per la ricerca per indicizzazione nel contenuto. Se si inseriscono i server Web nella rete perimetrale e il ruolo di ricerca all'interno della rete aziendale, sarà necessario configurare una relazione di trust unidirezionale in base alla quale il dominio della rete perimetrale considera attendibile il dominio della rete aziendale. Tale relazione di trust unidirezionale è necessaria in questo scenario per supportare la comunicazione tra server all'interno della farm, indipendentemente dal fatto che si utilizzi l'autenticazione di Windows o di SQL Server per accedere a SQL Server.

Vantaggi

La topologia back to back suddivisa presenta i vantaggi seguenti:

• I computer che eseguono SQL Server non sono ospitati all'interno della rete perimetrale.

• I componenti della farm sia all'interno della rete aziendale che di quella perimetrale possono condividere gli stessi database.

• Con un'infrastruttura di Active Directory separata, è possibile creare account utente esterni senza incidere sull'elenco in linea aziendale interno.

Svantaggi

• La complessità della soluzione aumenta considerevolmente.

• Gli eventuali intrusi che dovessero compromettere le risorse della rete perimetrale potrebbero accedere al contenuto della farm archiviato nella rete aziendale mediante account della server farm.

• La comunicazione tra farm in genere è divisa in due domini.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

• Pianificazione e architettura per Windows SharePoint Services 3.0, parte 2 (informazioni in lingua inglese)

• Pianificazione di un ambiente Extranet per Windows SharePoint Services (informazioni in lingua inglese)

Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).