邏輯架構元件 (Windows SharePoint Services)
本文內容:
伺服器陣列
IIS 應用程式集區
Web 應用程式
區域
Web 應用程式的原則
內容資料庫
網站集合
網站
主機名稱網站集合
您可以透過多種方式以邏輯架構設計來排列元件。每個元件各提供不同的共用及隔離機會。開始進行邏輯架構設計之前:
瞭解共用與隔離的目標為何。
評估每種選擇的利弊。
本文各節將分別說明特定的邏輯架構元件,並討論該元件的下列考量:容量、共用與隔離、可設定的項目、管理與規劃建議。
伺服器陣列
伺服器陣列在技術上不是邏輯架構元件。不過,伺服器陣列代表設計的最上層元素。個別的伺服器陣列會提供實體隔離功能。
貴組織決定的幾項準則,可能會影響所需要的伺服器陣列的數目,其中包括:
區分營運部門的權責。
專用資金來源。
個別的資料中心位置。
產業對網站之間的實體隔離需求。
但您只需要使用單一伺服器陣列,即可因應許多隔離需求。例如,使用不同的網際網路資訊服務 (IIS) 應用程式集區與不同的處理序身分識別,在處理序層級達成隔離。您也可以使用個別的 Web 應用程式,在 Web 應用程式層級達成隔離。
使用多個伺服器陣列除了可因應隔離需求以外,組織亦可實作多個伺服器陣列以達到效能與規模的需求。
應用程式集區
應用程式集區由工作者處理序所服務的一或多個 URL (在 IIS 中則以網站呈現) 所組成。每個應用程式集區有自己的工作者處理序與身分識別 (安全性帳戶),以防止兩個處理序互動。
容量
應用程式集區的記憶體額外負荷為 30-50 MB,外加應用程式集區處理序空間中所執行之應用程式所需的記憶體。應用程式集區的數量受系統上之可用記憶體的影響。也就是說,應用程式集區的數量取決於下列兩個因素:
可用的可定址記憶體。
於應用程式集區中執行的應用程式大小。
可接受效能的準則是使用八個或更少的應用程式集區。
共用與隔離
IIS 應用程式集區所提供的方式可讓多個網站在相同的伺服器電腦上執行,且仍然保有其自己的工作者處理序和身分識別。這有助於防止在某個網站遭到入侵後,致使攻擊者得以插入惡意程式碼而攻擊其他應用程式集區中的網站。
可設定的項目
為每個應用程式集區使用不同的應用程式集區身分識別。
管理
管理包括維護每個應用程式集區中的各個應用程式集區的身分識別。
規劃建議
實際來說,基於下列各項原因,請考慮使用專用應用程式集區:
從匿名內容分隔驗證內容。
隔離儲存密碼的應用程式,以及與外部商業應用程式互動的應用程式。
隔離使用者擁有極大自由可以建立和管理網站,以及對內容進行共同作業的應用程式。
Web 應用程式
Web 應用程式是 SharePoint 產品及技術所建立與使用的 IIS 網站。每個 Web 應用程式在 IIS 中代表不同網站。請指定每個 Web 應用程式唯一的網域名稱,這樣有助於防止跨網站的指令碼攻擊。
容量
每個 ASP.NET 頁面都會為各個 Web 應用程式產生個別的動態連結程式庫 (DLL)。個別的 DLL 會耗用記憶體,限制伺服器上可執行的 Web 應用程式數目。可接受效能的準則是應實作 99 個或更少的 Web 應用程式。
共用與隔離
伺服器陣列的組件庫與範例會登錄在設定資料庫。您可以指定可使用這些項目的 Web 應用程式。
每個 Web 應用程式有唯一的網域名稱,這樣有助於防止跨網站的指令碼攻擊。
可設定的項目
下表列出可設定隔離與共用的項目。
項目 | 描述 |
---|---|
區域 |
一個 Web 應用程式內最多可建立五個區域。請使用區域對大量不同類別的使用者執行不同的存取與原則條件。 |
Web 應用程式的原則 |
建立「所有區域」原則,以對 Web 應用程式中的所有區域套用原則條件。 |
管理
Web 應用程式不需要持續進行管理。
規劃建議
一般而言,使用專用 Web 應用程式可以:
分隔匿名使用者的可用內容與已驗證之使用者的可用內容。
隔離使用者。例如,您可以將合作夥伴網站置於個別的 Web 應用程式,以確保合作夥伴無法存取內部網路內容。
執行權限。專用 Web 應用程式使用管理中心中的 [Web 應用程式的原則] 頁面,可讓您透過原則執行權限。例如,您可以建立原則,以明確拒絕一或多個使用者群組的寫入權限。不論 Web 應用程式內個別網站或文件上設定的權限為何,都會執行 Web 應用程式的原則。
最佳化資料庫效能。若應用程式所在的 Web 應用程式具有類似的資料特性之其他應用程式,則這些應用程式會達到較好的效能。例如,「我的網站」的資料特性通常包括大量規模較小的網站。反之,小組網站通常會包含少量的大型網站。透過將這兩種不同類型的網站放在不同的 Web 應用程式,產生的資料庫就會包含類似的特性資料,這樣可最佳化資料庫效能。
最佳化管理性。建立不同 Web 應用程式會產生不同的網站和資料庫,因此您可以實作不同的網站限制 (資源回收筒、到期時間和大小),以及交涉不同的服務層級協定。例如,您可以允許非關鍵業務的網站有更多時間進行還原。
區域
區域代表存取相同 Web 應用程式的不同邏輯路徑 (URL)。在每個 Web 應用程式內,最多可建立五個區域並使用其中一種可用的區域名稱 (預設、內部網路、網際網路、自訂或外部網路)。每個區域在 IIS 中代表不同網站。
預設區域是建立 Web 應用程式時所建立的第一個區域。
容量
一個 Web 應用程式內最多可建立五個區域。架設多個 Web 應用程式的伺服器陣列,可支援來自五個或更多不同網路區域的使用者要求。一般而言,跨 Web 應用程式的同名區域會歸於同一類別,因此同名的區域會設定給相同的使用者。
共用與隔離
區域可透過下列方式分隔使用者:
**驗證類型 **每個區域設定為使用不同的驗證提供者,可讓您在許多合作夥伴公司間共用相同的內容。
**網路區域 **每個區域可以被設定為接受來自不同網路區域的使用者,例如內部網路或網際網路。
原則權限 您可以根據使用者帳戶或群組帳戶,明確允許或拒絕各個區域之內容的讀取或寫入權限。
可設定的項目
下表列出可設定隔離與共用的項目。
項目 | 描述 |
---|---|
驗證提供者 |
每個區域經設定後可使用不同的驗證提供者。 |
安全通訊端階層 (SSL) |
開啟或關閉各個區域的 SSL。 |
負載平衡的 URL 與備用存取對應 |
指定要輸入的網域名稱使用者,以存取 Web 應用程式中的內容。或者使用備用存取對應,將方便使用或適用於區域的 URL 對應至每個區域的預設 URL (伺服器名稱與連接埠)。備用存取對應提供 SSL 的離線方塊終止支援。SSL 的離線方塊終止是指 Proxy 伺服器終止 SSL 要求,然後使用 HTTP 將要求轉送至網頁伺服器。在此情況下,可設定備用存取對應以使用 SSL 傳回這些要求,這樣就可維護用戶端與 Proxy 伺服器之間的通訊安全。 |
Web 應用程式的原則 |
為 Web 應用程式內的每個區域建立唯一的原則集。若您有特殊的使用者群組需使用不同於整體安全性原則的原則,請考慮將這些使用者設定於個別的區域中。 |
管理
若您使用備用存取對應,請考量所有公用 URL 皆需要網域名稱系統 (DNS) 項目,以將公用 URL 對應至伺服器陣列所使用之負載平衡器的 IP 位址。
規劃建議
當您設計區域時,有數個對部署成功與否十分重要的重要決策。這些決策包括下列區域的設計和設定決策:
預設區域
進行外部存取的區域
以下幾節將說明區域的一些規劃建議與需求。
預設區域的設定需求
內含最大考量的區域就是「預設」區域。下列為適用於設定「預設」區域時的要求:
「預設」區域必須是最安全的區域。這是因為當使用者要求無法與區域產生關聯時,會套用「預設」區域的驗證和原則。
索引元件需要透過至少一個區域來存取內容,才能編目內容。根據預設,索引元件會使用 NTLM 驗證。搜尋服務管理員可以設定編目規則,以在編目特定範圍的 URL 時使用基本驗證或用戶端憑證。因此,若要編目內容,則至少其中有一個區域會設定為使用 NTLM 驗證、基本驗證或憑證。而且,編目程式在發現可以進行驗證的區域之前,都會依下列順序輪詢區域:預設區域、內部網路區域、網際網路區域、自訂區域、外部網路區域。不過,若編目程式先遇到設定成使用 Kerberos 驗證的區域,則編目程式不會進行驗證,也不會嘗試存取下一個區域。因此,請確定使用 Kerberos 驗證之區域的設定不會防止索引元件編目內容。如需與編目內容相關之驗證需求的詳細資訊,請參閱<規劃驗證方法 (Windows SharePoint Services)>。
送出含有「預設」區域之連結的管理電子郵件。這包括送給將達到配額限制之網站擁有者的電子郵件。因此,收到管理電子郵件訊息和提醒的使用者,必須可透過「預設」區域存取連結。這對網站擁有者特別重要。
主機名稱的網站集合只能透過「預設」區域使用。預定要存取主機名稱網站集合的所有使用者,都必須透過「預設」區域擁有存取權。
設定外部網路環境的區域
在外部網路環境中,區域的設計十分重要,原因有二:
使用者要求可從數個不同的網路發出,例如內部網路、合作夥伴公司網路或網際網路。
使用者使用多個 Web 應用程式的內容。例如,內部網路環境可能包含數個不同 Web 應用程式所主控的網站。此外,員工可能同時具有內部網路內容與合作夥伴共同作業內容的存取權。
在外部網路環境中,請務必遵循下列設計原則:
跨多個 Web 應用程式設定區域彼此鏡像。驗證設定和預定使用者應該相同。不過,與區域相關的原則可以不同於跨多個 Web 應用程式。例如,確定在所有 Web 應用程式中,會為相同的員工使用內部網路區域。換言之,不要在某個 Web 應用程式中,將「內部網路」區域設定給內部員工,而在另一個 Web 應用程式中,又將該區域設定給遠端員工。
針對每個區域和每個資源,適當且正確地設定備用存取對應。
Web 應用程式的原則
Web 應用程式的原則會對 Web 應用程式內的所有內容執行權限,讓您在 Web 應用程式層級設定使用者的安全性原則。原則中的權限會覆寫針對網站和內容設定的其他所有安全性設定。
您可以根據使用者或使用者群組來設定原則,但不能根據 SharePoint 群組設定原則。一般而言可以定義 Web 應用程式的原則,或只針對特定區域定義原則。
容量
Web 應用程式的原則沒有容量方面的限制。
共用與隔離
Web 應用程式的原則提供一種方式,可讓您根據使用者及存取內容時所通過的區域來設定權限。
例如,經由使用原則,您可以:
允許支援工程師存取所有內容。
拒絕合作夥伴或廠商的寫入權限。
拒絕某種類型的使用者存取安全資料,無論網站擁有者所設定的權限為何。
確定編目帳戶有權編目所有內容。
可設定的項目
下表列出可設定隔離與共用的項目。
項目 | 描述 |
---|---|
區域 |
對 Web 應用程式內的特定區域 (例如內部網路區域) 或 Web 應用程式內的所有區域套用原則。 |
使用者 |
使用下列其中一項,指定要套用原則的使用者:
|
權限 |
選擇要對使用者執行的權限:
這些權限會覆寫任何指派於 Web 應用程式內的權限,包括為網站集合、網站、清單、文件等所設定的權限。 |
管理
Web 應用程式不需要持續進行管理。
規劃建議
因為原則集中管理,所以請考慮使用原則管理大量不同類別的使用者,而非個別使用者。
內容資料庫
根據預設,Web 應用程式的所有內容會儲存在單一內容資料庫中。您可以在網站集合層級,將內容分散到多個內容資料庫中。一個內容資料庫可包含一或多個網站集合。單一網站集合無法跨越多個資料庫。網站的備份與還原作業會在內容資料庫層級上進行。
容量
可接受效能的準則是每個 Web 應用程式實作 99 或更少的內容資料庫。
共用與隔離
進行資料庫規劃,可讓您獲得最佳化的效益 (多個網站集合共用資料庫) 或隔離效果 (每個網站集合使用一個資料庫)。
管理資料庫以達到目標大小上限,可達成規模效益。在此情況下,您可以設定資料庫設定,將新的網站集合新增至現有的資料庫中,直到網站集合達到數目上限為止。透過評估分割為資料庫大小上限目標之網站集合的平均大小或大小上限,以計算網站集合的數目上限。當您預期會有大量的小型網站集合 (例如「我的網站」),此方法十分有效。
利用一個網站集合使用一個資料庫的方式,達到隔離小組或專案之內容的效果。此法可讓您個別管理不同小組的內容。例如,您可以個別管理每個小組的資料庫,對其進行備份、復原及移轉。此法亦可讓您對不同的小組或專案,實作不同服務層級的協定。您也可以藉由此法管理整個專案生命週期的內容。例如在專案完成時封存資料庫。
可設定的項目
下表列出可設定隔離與共用的項目。
項目 | 描述 |
---|---|
資料庫伺服器 |
指定用以建立內容資料庫的 SQL Server 電腦。 |
搜尋伺服器 |
建立搜尋伺服器與每個內容資料庫的關聯性。 |
容量設定 |
|
管理
透過可管理的資料庫管理規劃,可讓您在資料庫數目與管理資料庫所需的資源之間取得平衡。
資料庫管理包括:
為需要專用資料庫的新小組網站或網站集合建立新資料庫。
監視資料庫大小,並在達到預定大小時建立新資料庫。
備份及還原資料庫。
規劃建議
選擇下列兩個方式之一:
建立具有適當大小警告臨界值之內容資料庫的目標大小。在達到大小警告臨界值時,建立新的資料庫。使用此方式,會僅根據大小目標,自動將網站集合新增至可用的一或多個資料庫。
建立網站集合與特定內容資料庫的關聯。這種方式可讓您將一或多個網站集合放入可以與其他資料庫分開管理的專用資料庫。
若您想要將網站集合關聯至特定內容資料庫,則可以使用下列方法來完成:
使用 Stsadm 命令列工具,在特定資料庫中建立網站集合。
在「SharePoint 管理中心網站」的 [管理內容資料庫設定] 頁面上套用下列資料庫容量設定,讓資料庫專用於單一網站集合:
產生警告事件之前的網站數目 = 1
此資料庫中可以建立的最大網站數目 = 1
執行下列步驟,將網站集合群組新增至專用資料庫:
在 Web 應用程式內建立資料庫,然後在管理中心的 [管理內容資料庫設定] 頁面上,將資料庫狀態設為 [就緒]****。
將其他所有資料庫的狀態設定為 [離線]。內容資料庫離線時,無法建立新的網站集合。不過,讀取和寫入作業仍然可以存取離線資料庫中的現有網站集合。
建立網站集合。它們會自動新增至資料庫。
將其他所有資料庫的狀態設回 [就緒]****。
網站集合
網站集合是一組具有相同擁有者並共用管理設定的網站。每個網站集合包含一個最上層網站,並可包含一或多個子網站。
容量
可接受效能的建議準則是每個 Web 應用程式的網站集合實作應在 50,000 以下。將網站集合分配到多部資料庫伺服器而向外擴展,可提供額外的儲存容量與輸送量。
共用與隔離
網站集合帶來許多共用及隔離狀況,並因此而對權限、導覽及功能部署造成影響。
下列是可在網站集合內共用、但不可在網站集合間共用的項目:
主版頁面
版面配置
圖像
網站範本
此外,權限與導覽會以下列方式在網站集合層級進行隔離:
網站集合內的子網站可繼承最上層網站的權限。
網站集合無法繼承其他網站集合的權限。
不同的網站集合間沒有內建的導覽。
最後,Windows SharePoint Services 3.0 搜尋只會提供單一網站集合內的搜尋結果。Windows SharePoint Services 3.0 搜尋不會包含多個網站集合的結果。
請務必注意,雖然個別網站會執行權限,但這些網站仍然容易受到來自網域中其他網站的跨網站指令碼攻擊。
可設定的項目
下表列出管理中心中參與隔離與共用的可設定項目。
項目 | 描述 |
---|---|
網站集合管理員 |
您可以將一名使用者指定為主要網站集合管理員,並將另一名使用者指定為次要網站集合管理員。在管理中心中,您無法為這些角色輸入多個帳戶,也無法為其輸入群組帳戶。 |
配額範本 |
您可以套用配額範本,以限制網站集合所使用的資源。以下是可用的範本:
|
下表列出網站集合中參與隔離與共用的可設定項目。
項目 | 描述 |
---|---|
網站集合管理員 |
您可以將多個使用者帳戶指定為網站集合管理員。您無法新增群組帳戶。 |
權限層級 |
為網站集合新增使用者與群組帳戶,並分別為其指定權限層級。 |
管理
建立網站集合時無須使用 DNS 項目,並且可輕易地自動執行或委派給使用者。您可以為小組網站集中建立網站集合,或讓使用者透過 [自助網站管理] 建立其本身的網站集合。將網站集合指派給單一資料庫,可讓您在網站層級上執行備份與復原。
規劃建議
網站集合可橋接邏輯架構和資訊架構。設計網站集合時,請考量以下兩項設計工作:
整個組織內設計一致的 URL。
建立內容的邏輯區分。
除非您使用主機名稱網站集合,否則每個 Web 應用程式都必須要有單一根層級網站集合。如此只需使用單一 URL 路徑,即可進入 Web 應用程式中的網站。若您在 Web 應用程式中實作多個區域,也需達到此需求。
許多組織會規劃在 Web 應用程式內實作多個網站集合,以供組織內不同的小組或部門使用。常見的設計目標如下:
讓每個小組保有個別而獨立的網站集合。
為每個小組建立唯一的 URL。
為達到這些目標,您可以使用管理的路徑合併 Web 應用程式內的多個最上層網站集合。您可以藉由定義管理的路徑來指定 Web 應用程式之 URL 命名空間中的哪些路徑會用於網站集合。您可以指定在根網站的不同路徑下有一個或多個網站集合。若沒有管理路徑,所有在根網站集合下建立的網站都會是根網站集合的一部分。
您可以建立下列兩種類型的管理路徑:
包含絕對路徑 指派具有明確 URL 的網站集合。一個包含絕對路徑只能套用一個網站集合。您可以建立上述每個網站集合與不同內容資料庫的關聯,以管理成長並提供分別備份和還原這些網站的機會。使用這種方法建立的網站集合 URL 範例是 http://fabrikam/hr。使用包含絕對路徑建立之網站集合的限制大約是 100 個網站集合。如果組織需要較大的網站集合數目,請改用包含相對路徑。
包含相對路徑 新增至 URL 的路徑。這個路徑指出緊跟在路徑名稱後面指定的所有網站都是唯一網站集合。此選項通常用以支援自助網站管理,例如為合作夥伴共同作業建立的網站。使用此方法所建立的網站集合 URL 範例:http://partnerweb/sites/project1 與 http://partnerweb/sites/project2。在這些範例中,"http://partnerweb" 代表最上層網站集合,"/sites" 代表包含相對路徑。
網站
網站是架設在網站集合中的一或多個相關網頁。
容量
可接受效能的準則是每個網站集合實作的網站要少於 250,000 個。您可以建立巢狀子網站,以建立總數龐大的網站。例如,100 個網站各包含 1000 個子網站,總數為 100,000 個網站。網站與子網站的建議數目上限為 125 個,其各包含 2,000 個子網站的網站,總計為 250,000 個網站。
共用與隔離
網站中包含網站集合內不同子網站間的內建導覽。不同的網站集合間沒有內建的導覽。
與網站集合相同,個別的網站也容易受到來自網域內其他網站的跨網站指令碼攻擊。
可設定的元素
在每個網站內,您可以為該網站的擁有者群組新增使用者或群組帳戶。
管理
您可以使用 Microsoft Office SharePoint Designer 2007 備份及還原個別網站。如需網站管理的詳細資訊,請參閱下列文章:
規劃建議
如需規劃網站的相關資訊,請參閱下列文章:規劃網站結構與發佈 (Windows SharePoint Services)。
主機名稱網站集合
主機名稱網站集合選項可讓您在 Web 應用程式內建立多個根層級的網站集合。例如,主控組織的管理員會使用主機名稱網站集合建立多個網域名稱網站。
建立主機名稱網站集合時無須使用特殊模式,如主機標頭模式。您可以使用 Stsadm 命令列工具建立主機名稱網站集合。
主機名稱網站集合可讓您更容易控制 URL。但此項目也有其利弊。以下是使用主機名稱網站集合時應注意的事項:
主機名稱的網站集合只能透過「預設」區域使用。被設定為經由其他區域進行驗證的使用者帳戶,不能存取主機名稱網站。
備用存取對應功能不適用於主機名稱網站集合。備用存取對應功能也支援 SSL 的離線方塊終止,讓遠端員工存取和合作夥伴存取案例時可以使用 SSL (HTTPS)。
容量
單一 IIS 網站內最多可建立 100,000 個主機名稱網站集合。
共用與隔離
源自主機名稱網站集合的獨立網域名稱,有助於防止兩個網站間的跨網站指令碼攻擊。
管理
主機名稱網站集合的管理工作包括:
使用 Stsadm 命令列工具新增主機名稱網站集合。
每個主機名稱網站集合皆需要個別的 DNS 項目。
規劃建議
如需使用 Stsadm 命令列工具,以及在架設環境中使用主機名稱網站集合來建立主機名稱網站集合的相關資訊,請參閱<白皮書:於 Windows SharePoint Services 建立共用主控解決方案>。
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Windows SharePoint Services 可下載的叢書 (英文) 上提供的完整叢書清單。