Рекомендации для сред экстрасети (SharePoint Foundation 2010)

 

Применимо к: SharePoint Foundation 2010

Последнее изменение раздела: 2016-11-30

В этой статье описаны рекомендации по планированию и проектированию сред экстрасетей, основанных на SharePoint Foundation, в которых пользователям за пределами внутренней сети предоставляется доступ к сайтам. Данная статья входит в серию статей с рекомендациями для Microsoft SharePoint Foundation 2010.

1. Начало работы с помощью модели "Топологии экстрасетей для продуктов Продукты SharePoint 2010"

В модели "Топологии экстрасетей для продуктов Продукты SharePoint 2010" иллюстрируются определенные топологии экстрасетей, протестированные для работы с Продукты SharePoint 2010. В этой модели также дается сравнение сервера ISA, Forefront Threat Management Gateway (TMG) и Forefront Unified Access Gateway (UAG) при использовании в качестве брандмауэра или шлюза с Продукты SharePoint 2010.

Топологии экстрасетей для продуктов Продукты SharePoint 2010

Щелкните изображение, чтобы просмотреть модель "Топологии экстрасетей для продуктов SharePoint 2010" (Возможно, на английском языке)

Загрузите модель "Топологии экстрасетей для продуктов SharePoint 2010" (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=219527&clcid=0x419).

2. Выбор подходящей лицензии сервера

Лицензия или сочетание лицензий для серверов зависит от нескольких факторов. Компании, использующие SharePoint Foundation 2010, должны быть корректно лицензированы для Windows Server 2008.

3. Применение нескольких механизмов проверки подлинности

Оставьте попытки унифицировать механизм проверки подлинности для всех пользователей. Используйте тот механизм проверки подлинности, который обеспечивает наиболее удобную работу каждой группе пользователей. Например, использование проверки подлинности на основе утверждений SAML для партнеров позволяет этим пользователям применять один набор учетных данных. Используйте преимущества гибкости, предоставляемые SharePoint Foundation для настройки проверки подлинности, вместо развертывания единого механизма проверки подлинности для всех пользователей в организации.

Пример использования нескольких механизмов проверки подлинности см. в разделе Пример проекта: сайты совместной работы (SharePoint Foundation 2010).

4. Поддержание согласованности проверки подлинности пользователей

Обеспечьте применение пользователями одинаковых учетных записей и учетных данных для входа на сайты, когда они находятся во внутренней сети или за ее пределами. Это важно, так как если пользователи подключаются к сайтам через две разные службы проверки подлинности, SharePoint Foundation создает для всех пользователей две разные учетные записи и два профиля.

Если проверка подлинности Windows используется во внутренней сети, есть минимум два варианта действий, позволяющие обеспечить вход пользователей с одной и той же учетной записью во внутренней и внешней сети:

• Используйте проверку подлинности на основе форм на брандмауэре или шлюзе для сбора учетных данных Windows, которые перенаправляются в ферму SharePoint. Это работает в средах, использующих классический режим проверки подлинности, при котором проверка подлинности на основе форм для сайтов SharePoint не поддерживается.

• Использование протокола SSL для реализации только одного URL-адреса, который может использоваться как во внутренней, так и во внешней сети. Другими словами, сотрудники используют одну и ту же зону, настроенную для использования протокола SSL вне зависимости от их расположения.

5. Одинаковая настройка зон для веб-приложений

В среде экстрасети проектирование зон является очень важной задачей. Убедитесь, что конфигурация зон удовлетворяет следующим требованиям:

• Зоны нескольких веб-приложений должны быть настроены так, чтобы они зеркально отражали друг друга. Настройки проверки подлинности, зон и пользователей, связанных с зонами, должны быть одинаковы. При этом политики, связанные с зонами, могут отличаться для разных веб-приложений. Например, необходимо обеспечить, чтобы зона интрасети использовалась одними и теми же сотрудниками во всех веб-приложениях. Другими словами, нельзя настраивать зону интрасети для внутренних сотрудников в одном веб-приложении, а для удаленных сотрудников в другом веб-приложении.

• Альтернативные сопоставления доступа для каждой зоны и каждого ресурса должны быть настроены корректно и точно. Альтернативные сопоставления доступа создаются автоматически при создании зоны. Однако SharePoint Foundation можно настроить для обхода контента во внешних ресурсах, например в общей папке. Необходимо использовать альтернативные сопоставления доступа, чтобы для этих внешних ресурсов вручную создать ссылки на каждую зону.

6. Использование преимуществ обратного прокси-сервера

Защитите среду от прямых запросов пользователей с помощью обратного прокси-сервера, позволяющего применять правила проверки запросов к каждому запросу. Обратный прокси-сервер позволяет предотвратить раскрытие информации о конфигурации внутренней сети. С его помощью можно также безопасно завершать клиентские сеансы SSL во избежание избыточной нагрузки на веб-серверы, связанной с использованием протокола SSL.

Forefront Unified Access Gateway (UAG) — это обратный прокси-сервер, обеспечивающий различные возможности при использовании в сочетании с SharePoint Foundation в средах экстрасети. Дополнительные сведения см. в следующих ресурсах:

• SharePoint publishing solution guide

• Why enable SharePoint extranet access with Forefront UAG?

7. Настройка доступа через брандмауэр и параметров для мобильных устройств

Зона доступа через брандмауэр используется для создания внешних URL-адресов в сообщениях мобильных оповещений. Она также позволяет пользователям отправлять доступные извне URL-адреса с помощью кнопки Отправить ссылку на ленте. Чтобы сделать сайты SharePoint доступными для мобильных устройств, например для устройств Windows Phone 7, которые используются за пределами корпоративного брандмауэра, требуется некоторая настройка.

Дополнительные сведения см. в статьях, посвященных следующим темам:

• Configure external access for mobile devices (SharePoint Foundation 2010)

• Планирование использования мобильных устройств (SharePoint Foundation 2010)

8. Настройка средства выбора людей для нескольких доменов

Поскольку среды экстрасети могут охватывать несколько доменов, необходимо настроить средство выбора людей так, чтобы оно возвращало пользователей, группы и утверждения из соответствующих доменов.

Дополнительные сведения см. в следующих ресурсах:

• Использование средства выбора людей с несколькими лесами или доменами

• Разрешение запросов к другим лесам или доменам с односторонним отношением доверия

9. Настройка параметров защиты от вирусов

SharePoint Foundation включает антивирусную программу, которую можно настроить с помощью центра администрирования или программы командной строки stsadm.

10. Настройка DNS для разделенных топологий с двумя межсетевыми экранами

Если веб-серверы разделяются между внутренней сетью и сетью периметра, в службе DNS необходимо настроить соответствующие записи для каждой зоны сети, чтобы трафик направлялся на нужные веб-серверы.

Дополнительные сведения о настройке DNS см. в разделе “Зоны и URL-адреса” в документе Пример проекта: сайты совместной работы (SharePoint Foundation 2010).

Группа публикации контента SharePoint Server 2010 выражает благодарность следующим авторам, участвовавшим в написании этой статьи:

• Эли Мазахери (Ali Mazaheri), служба Microsoft Consulting Services

• Брайан Портер (Bryan Porter), служба Microsoft Consulting Services

• Стив Уокер (Steve Walker), служба Microsoft SharePoint Customer Engineering

• Таджешвар Сингх (Tajeshwar Singh), служба Microsoft Consulting Services