Extranet 环境最佳实践 (SharePoint Server 2010)
适用于: SharePoint Foundation 2010, SharePoint Server 2010
上一次修改主题: 2016-11-30
本文介绍基于 SharePoint Server 的 Extranet 环境(其中,内部网络之外的用户有权访问网站)的规划和设计建议。本文是 Microsoft SharePoint Server 2010 的一系列最佳实践文章之一。
1. “SharePoint 2010 产品的 Extranet 拓扑”模型入门
“SharePoint 2010 产品的 Extranet 拓扑”模型演示已经过 SharePoint 2010 产品测试的特定 Extranet 拓扑。它还比较 Internet Security and Acceleration (ISA) Server、Forefront Threat Management Gateway (TMG) 和 Forefront Unified Access Gateway (UAG) 作为防火墙或网关产品时与 SharePoint 2010 产品的差别。
SharePoint 2010 产品的 Extranet 拓扑
单击图像可放大“SharePoint 2010 产品的 Extranet 拓扑”模型(该链接可能指向英文页面)
下载“SharePoint 2010 产品的 Extranet 拓扑”模型(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?LinkId=219527&clcid=0x804)(该链接可能指向英文页面)
2. 选择适当的服务器许可证
服务器许可证或许可证组合取决于多种因素。对于 SharePoint Server 2010,请参阅Planning for server farms (SharePoint Server 2010),以获取适用于 Extranet 环境的各种注意事项和许可选项的讨论。
3. 利用多种身份验证机制
不要尝试将所有用户标准化为使用单种身份验证机制。对每个用户访问群体使用提供最佳体验的身份验证机制。例如,对合作伙伴使用基于 SAML 声明的身份验证允许这些用户使用一组凭据。利用 SharePoint Server 提供的灵活性来配置身份验证,而非将单种身份验证机制部署给组织中的每个人。
有关利用多种身份验证机制的设计示例,请参阅设计示例:企业部署 (SharePoint Server 2010)
4. 为用户保持用户身份验证一致性
确保用户可以使用相同的帐户和凭据登录到网站,而不管他们是在内部网络的内部还是外部。这一点很重要,因为如果用户通过两种不同的身份验证提供程序连接到网站,则 SharePoint Server 会为每个用户创建两种不同的帐户和配置文件。
如果您在内部使用 Windows 身份验证,则至少有两个选项可确保用户可以在内部和外部使用同一帐户登录:
对防火墙或网关产品使用基于表单的身份验证来收集转发到 SharePoint 场的 Windows 凭据。这适用于使用经典模式身份验证的环境,其中不支持 SharePoint 网站的基于表单的身份验证。
使用安全套接字层 (SSL) 来只实施一个可同时在内部和外部使用的 URL。换句话说,员工使用为 SSL 配置的同一区域,而不管他们位于何处。
5. 跨 Web 应用程序对区域进行相同的配置
在 Extranet 环境中,区域设计很重要。确保区域配置满足以下要求:
配置跨多个 Web 应用程序的区域,以使各区域间互为镜像。身份验证、区域和分配到区域的用户的配置应相同。但是,与区域关联的策略在 Web 应用程序之间可以不同。例如,确保 Intranet 区域在所有 Web 应用程序中都用于相同的员工。换句话说,不要既在一个 Web 应用程序中为内部员工配置 Intranet 区域,又在另一个 Web 应用程序中为远程员工配置 Intranet 区域。
为每个区域和每个资源准确配置相应备用访问映射。在您创建区域时,将自动创建备用访问映射。不过,可以将 SharePoint Server 配置为对外部资源(例如文件共享)中的内容进行爬网。必须使用备用访问映射为每个区域手动创建这些外部资源的链接。
6. 利用反向代理服务器
使用反向代理服务器保护环境免遭直接用户请求,并可对每个请求应用请求检查规则。反向代理可防止泄露有关内部网络配置的信息,并可用于安全终止客户端 SSL 会话以避免 Web 服务器上产生 SSL 开销。
Forefront Unified Access Gateway (UAG) 是一种反向代理服务器,在 Extranet 环境中将它与 SharePoint Server 结合使用时,它可提供许多功能。有关详细信息,请参阅以下资源:
7. 为移动设备配置跨防火墙访问和设置
跨防火墙访问区域用于为移动警告消息生成外部 URL。它还使用户能够单击功能区上的“通过电子邮件发送链接”按钮来发送可从外部访问的 URL。需要某种配置才能确保 SharePoint 网站可供在公司防火墙外部使用的移动设备(例如 Windows Phone 7)访问。
有关详细信息,请参阅以下文章:
8. 为多个域配置人员选取器
因为 Extranet 环境可以跨越多个域,所以请务必将人员选取器配置为从目标域返回用户、组和声明。
有关详细信息,请参阅以下资源:
9. 配置防病毒设置
SharePoint Server 包括一个可使用管理中心或使用 stsadm 命令行工具进行配置的防病毒程序。
10. 使用 Secure Store Service 管理访问后端数据源的服务的凭据
使用委派的 Windows 标识(Excel Services、PerformancePoint Services、InfoPath Forms Services 和 Visio Services)访问外部数据源的服务应用程序对环境有其他要求。外部数据源必须与托管服务的 SharePoint 场位于同一域中,或者必须将服务应用程序配置为使用 Secure Store Service。如果未使用 Secure Store Service,并且场服务器拆分到两个域中,则应用程序服务器必须与外部数据源位于同一域中。如果外部数据源不在同一域中,则对外部数据源的身份验证将失败。
11. 为拆分后端到后端拓扑配置 DNS
如果将 Web 服务器拆分到内部网络和外围网络中,请确保在每个网络区域中使用相应记录对 DNS 进行了配置以将流量引至目标 Web 服务器。
有关配置 DNS 的详细信息,请参阅以下文章中的“区域和 URL”:设计示例:企业部署 (SharePoint Server 2010)
SharePoint Server 2010 内容发布团队非常感谢以下参与编写这篇文章的人员:
Microsoft 咨询服务部门的 Ali Mazaheri
Microsoft 咨询服务部门的 Bryan Porter
Microsoft SharePoint 客户工程部门的 Steve Walker
Microsoft 咨询服务部门的 Tajeshwar Singh