邏輯架構範例設計:共同作業網站
本文內容:
關於模型
整體設計目標
伺服器陣列
使用者、區域和驗證
管理網站
應用程式集區
Web 應用程式
網站集合
內容資料庫
區域和 URL
區域原則
備份及還原共同作業網站
設計安全的外部共同作業
本文描述達成可行設計之邏輯架構元件的實際實作。本文旨在與下列模型搭配使用:還輯架構範例設計:Windows SharePoint Services 共同作業 (英文) (https://go.microsoft.com/fwlink/?linkid=124861&clcid=0x404) 。
關於模型
此模型會以虛構公司 Fabrikam, Inc. 的部署為範例進行說明。所規劃的解決方案若會使用模型中的一或多項共同作業網站類型,即可以此模型作為您設計的基礎。
此模型以Windows SharePoint Services 3.0 與三種代表下列項目之共同作業網站類型的一般部署進行說明::
小組網站
自助網站
合作夥伴共同作業網站
此模型幾乎適用於所有邏輯架構元件,並可說明如何將這些元件併入整體設計中。本文描述模型的設計目標,以及說明如何使用這個模型中說明的邏輯架構元件來達成這些目標。
每一個不同類型的共同作業網站:
架設具有不同資料特性的資料。
受限於不同的使用設定檔。
需要不同的權限管理策略。
因此,模型中的設計選擇都是要最佳化每個應用程式的效能及安全性。
小組網站
小組網站是指高度結構化及管理的共同作業網站,其:
使用少量的最上層網站集合包含大量的資料 (與自助網站相反)。
最上層 URL 對每一個小組皆有意義。
網站階層、分類法及自訂項目皆是經過精心規劃。
各小組的內容皆位於個別的資料庫內,並可個別進行管理。
下列圖表說明小組網站的網站階層:
.gif "小組網站組織")
自助網站
自助網站是高度管理之小組網站的另一種選擇。您可以讓使用者與小組使用「自助網站管理」建立他們自己的網站集合。您可以從管理中心開啟自助網站管理。當您想要允許群組或社群建立網站時,最適合這個方法。如果您有架設網站,並且想要允許使用者建立網站,而不需等候詳細資料,也很適合這個方法。
自助網站的特性通常與高度管理之網站的特性不同。這些特性可能包括下列項目:
大量的最上層網站集合。
每個網站集合只有小量的資料。
URL 為自動產生,但通常不含任何意義。
下列圖表說明設計範例中所實作的自助網站:
.gif "提供自助網站架設的網站")
在規劃實作自助網站時必須小心取捨,因其將會影響管理這些類型網站的方式:
與實作完整的分類法不同,網站的建立是隨個人的意願,因此網站之間的組織原則各不相同。由於每一個新網站皆是一個網站集合,因此無法在自助網站間共用範本,亦無法互相進行導覽。
由於每個網站集合都僅提供對該網站集合內容的搜尋,因此沒有跨網站集合的搜尋結果彙總。
每個網站集合的大小與目的可能大不相同。
網站可能很快就棄置不用。
管理自助網站可包括依據內容資料庫的目標大小管理內容儲存區,並定期刪除不再使用的網站。
如需實作「自助網站管理」的詳細資訊,請參閱<Plan process for creating sites (Windows SharePoint Services)>。
合作夥伴共同作業網站
合作夥伴網站應用程式會架設可供外部使用的網站,以與合作夥伴公司的員工進行安全的共同作業。此應用程式的目的是要讓員工輕鬆地建立安全網站以進行共同作業。引導此應用程式之設計選擇的主要因素包括:
**內容隔離 **不允許合作夥伴存取架設在伺服器陣列上其他類型的內容。
**分隔合作夥伴帳戶的驗證 **合作夥伴帳戶透過表單驗證進行管理。合作夥伴帳戶不會新增至企業目錄中。
**權限管理 **個別網站擁有者可自行管理網站的權限,邀請必要的參與者加入共同作業。
下列圖表說明合作夥伴共同作業網站。
.gif "合作夥伴網站中的專案網站階層")
整體設計目標
此模型說明數個不同類型之共同作業應用程式 (小組網站、自助網站及合作夥伴網站) 內 Windows SharePoint Services 3.0 功能的實際實作。本文會討論每個個別網站應用程式的設計實作。此模型的主要設計目標包括:
在設計環境時,建立一個可以成長的架構。個別共同作業應用程式的設計決策不應防礙新增其他應用程式。例如,初始部署可能只包含共同作業小組網站或合作夥伴網站。使用類似的邏輯架構設計,您可以將其他類型的共同作業網站新增至解決方案,而不會影響初始共同作業網站的設計。換言之,此設計不會因併入設計選項而限制了環境的使用。
提供數種類別的使用者存取權,而不會危害不同共同作業應用程式內的內容安全性。不同網路區域且不同驗證提供者的使用者 (內部和外部) 可以參與共同作業。而且,使用者只可以存取他們可以存取的內容。依照類似的邏輯架構設計,可讓您對位於多個位置以及具有不同目標的使用者提供存取權。例如,您的初始設計可能是只提供內部員工存取。不過,使用類似的設計,可以讓遠端員工、合作夥伴員工,甚至是客戶進行存取。
確定設計可用於外部網路環境。您可以仔細思考後進行設計選擇,以確保伺服器陣列能夠安全地部署在周邊網路中,或<Design extranet farm topology (Windows SharePoint Services)>中所討論的任何外部網路拓撲。
本文的其他部分則討論模型中出現的每個邏輯元件 (從上到下),並討論套用到模型的設計選擇。此方法的目的是要示範根據應用程式以設定邏輯架構元件的不同方法。
伺服器陣列
此模型說明具有五部伺服器的伺服器陣列。但此模型可以任意規模的伺服器陣列 (包括單一伺服器) 加以實作。模型中的伺服器陣列由五部具有下列拓撲的伺服器所組成:
兩部前端網頁伺服器
一部應用程式伺服器作為搜尋伺服器
兩部資料庫伺服器 (叢集或鏡像)。
此模型說明 Windows SharePoint Services 3.0 的邏輯架構,如下所示:
在前端網頁伺服器中鏡像所有網站。
管理中心網站安裝在應用程式伺服器上,讓使用者無法直接存取。
實際上,除了有時會有增加容量和提高效能的需求外,伺服器電腦的數目和伺服器陣列的拓撲對邏輯架構而言並不重要。邏輯架構可以設計成與伺服器陣列拓撲無關。效能和容量規劃程序可協助您調整伺服器陣列的大小,以符合效和容量的目標。如需詳細資訊,請參閱<Plan for performance and capacity (Windows SharePoint Services)>。
使用者、區域和驗證
此模型說明五種不同類別的使用者,每種類別指派給不同的區域。在每個 Web 應用程式內,最多可建立五個區域並使用其中一種可用的區域名稱 (預設、內部網路、網際網路、自訂或外部網路)。架設多個 Web 應用程式的伺服器陣列,可以支援來自五個以上網路區域的使用者要求 (每個 Web 應用程式最多五個區域)。不過,這個模型只顯示五個區域。
使用者和驗證
此模型示範如何對不同網路區域之使用者套用驗證。下表另示範將驗證套用至每一種類型的使用者和區域。
| 區域 | 使用者 | 驗證 |
|---|---|---|
內部網路 |
內部員工 |
NTLM (整合式 Windows) |
預設 |
遠端員工 |
NTLM (整合式 Windows) 或搭配輕量型目錄存取通訊協定 (LDAP) 的表單驗證。 |
外部網路 |
合作夥伴員工 |
表單驗證 |
內部員工
「內部網路」區域用於內部員工存取。將會使用整合式 Windows 驗證。
遠端員工
「預設」區域用於遠端員工存取。「預設」區域的設計目標如下:
向內部 Active Directory 目錄服務環境進行驗證。
將 Windows 驗證用於內部員工和遠端員工,可簡化權限管理。如果使用者透過兩個不同的驗證提供者連線至網站,且 Windows SharePoint Services 3.0 會為每位使用者建立兩個不同的帳戶,而這兩個帳戶都必須要有權限,則這個目標就十分重要。
此模型呈現用以驗證遠端員工的兩個不同選項。使用第一個選項 (使用 NTLM 的整合式 Windows 驗證),可達成這兩個設計目標。第二個選項 (使用 LDAP 的表單驗證) 可滿足第一個目標,但無法滿足第二個目標。因此,遠端員工較偏向選擇第一個選項。
下表摘要說明這兩種驗證選項的差異。
| 類型比較 | 使用 NTLM 的整合式 Windows 驗證 | 使用 LDAP 提供者的表單驗證 |
|---|---|---|
功能 |
此方法依賴使用Internet Security and Acceleration (ISA) Server 2006 或 Intelligent Application Gateway (IAG 2007) 驗證使用者,然後再將使用者認證傳送給 Windows SharePoint Services 3.0。這些伺服器會使用表單驗證向 Active Directory 環境驗證使用者。之後再將 Windows 認證轉送給 Windows SharePoint Services 3.0。如需詳細資訊,請參閱下列資源:
因為區域是「預設」區域,所以使用 NTLM 驗證來滿足索引元件需求。如需詳細資訊,請參閱本文稍後的<預設區域的設定需求>。 |
Windows SharePoint Services 3.0 搭配使用 LDAP 提供者的表單驗證,針對內部 Active Directory 環境來驗證遠端員工。 |
優點 |
Windows SharePoint Services 3.0 不會為同時從內部及遠端工作的使用者,建立兩個不同的帳戶。如此可大幅簡化權限管理。 |
不需要 Proxy 伺服器來驗證使用者和轉送認證。 |
缺點 |
需要與 ISA Server 2006、IAG 2007 或另一個 Proxy 伺服器產品進行額外協調,或對其進行設定。 |
如果使用者同時從內部和外部連線至 Windows SharePoint Services 3.0,則會在 Windows SharePoint Services 3.0 中建立兩個不同的帳戶。因此,這兩個帳戶都需要有網站和文件的權限。若員工想要從內部網路和遠端進行工作,便需要管理其網站的權限,以及兩個使用者帳戶的文件。 |
合作夥伴員工
合作夥伴員工會透過「外部網路」區域來存取網路,而且使用表單驗證來進行驗證。這需要不同的目錄和提供者 (如 Microsoft SQL Server 資料庫和提供者) 才能在外部網路中儲存合作夥伴帳戶。此方式的優點是您可以分開管理合作夥伴帳戶,而不需要將合作夥伴帳戶新增至內部員工目錄。
或者,您也可以使用網頁單一登入 (SSO) 針對合作夥伴自己的目錄進行驗證。不過,這種方式需要每個合作夥伴目錄都有不同的區域。
因為這個模型假設 Fabrikam 與數個不同公司的合作夥伴在相同的合作夥伴應用程式內工作,所以會使用表單驗證。不會指定目錄和提供者。
區域
當您設計區域時,有數個對部署成功與否十分重要的重要決策。這些決策包括下列區域的設計和設定決策:
「預設」區域
進行外部存取的區域
下列各節描述併入模型中的決策。
預設區域的設定需求
最需要仔細考量的區域就是「預設」區域。Windows SharePoint Services 3.0 為「預設」區域的設定列出下列需求:
當使用者要求無法與區域產生關聯時,會套用「預設」區域的驗證和原則。因此,「預設」區域必須是最安全的區域。
索引元件需要透過至少一個區域來存取內容,才能編目內容。索引元件會使用 NTLM 驗證。因此,若要編目內容,則至少其中有一個區域會設定為使用 NTLM 驗證、基本驗證或憑證。而且,編目程式在發現可以進行驗證的區域之前,都會依下列順序輪詢區域:預設區域、內部網路區域、網際網路區域、自訂區域和外部網路區域。不過,如果編目程式先遇到設定成使用 Kerberos、基本或摘要驗證的區域,則編目程式不會進行驗證,也不會嘗試存取下一個區域。因此,請確定區域的設定不會防止索引元件編目內容。如需與編目內容相關之驗證需求的詳細資訊,請參閱<Plan authentication methods>。
送出含有「預設」區域之連結的管理電子郵件。這包括送給將達到配額限制之網站擁有者的電子郵件訊息。因此,收到此類型之電子郵件的使用者,必須可以透過「預設」區域存取連結。這對網站擁有者特別重要。
主機名稱的網站集合只能透過「預設」區域使用。需要存取主機名稱之網站集合的所有使用者,都必須透過「預設」區域擁有存取權。
基於下列原因,在此模型中,「預設」區域會用於遠端員工存取:
無論員工從內部或遠端存取網站,都可以存取管理電子郵件中的連結。
無法判斷與使用者要求相關的區域時,會保護內部伺服器名稱和 URL 而不予公開。因為「預設」區域已設定供遠端員工使用,所以 URL 不會在套用這個區域時公開敏感資料。
設定外部網路環境的區域
基於下列兩個原因,在外部網路環境中,區域的設計十分重要:
可以從多個不同網路啟動使用者要求。在此模型中,使用者從內部網路、網際網路和合作夥伴公司啟動要求。
使用者可以參與多個 Web 應用程式的共同作業。例如,內部和遠端員工可能會在所有 Web 應用程式 (小組網站、自助網站及合作夥伴網站) 中提供和管理內容。
在外部網路環境中,請務必遵循下列設計原則:
跨多個 Web 應用程式設定區域彼此鏡像。驗證設定和預定使用者應該相同。不過,與區域相關的原則可以不同於跨多個 Web 應用程式。例如,確定在所有 Web 應用程式中,會為相同的員工使用內部網路區域。換言之,不要在某個 Web 應用程式中,將「內部網路」區域設定給內部員工,而在另一個 Web 應用程式中,又將該區域設定給遠端員工。
針對每個區域和每個資源,適當且正確地設定備用存取對應。
在此模型中,針對遠端員工存取,將每個 Web 應用程式的「預設」區域都設定為相同。此外,所有 Web 應用程式的「內部網路」區域也會採取相同的設定供內部員工存取。「外部網路」區域會設定為只供一個 Web 應用程式使用。
當您建立區域時會自動建立備用存取對應。但若是使用 Proxy 伺服器或閘道產品讓網際網路存取網站,即須為每一個區域新增額外的備用存取對應項目。如此可確保根據使用者區域的內容,使用者可以使用傳回內部網路外之使用者的 URL。如需詳細資訊,請參閱<Plan alternate access mappings>。
若各 Web 應用程式中的區域未彼此鏡像,且外部資源連結不正確,將會產生下列風險:
可能會在內部網路外,公開伺服器名稱、網域名稱系統 (DNS) 名稱和 IP 位址。
使用者可能無法存取網站和其他資源。
管理網站
在此模型中,管理中心網站會架設在搜尋伺服器上。如此可避免使用者直接連接到網站。如果效能瓶頸或安全性危害影響到前端網頁伺服器的可用性,則管理中心網站會保持在可用狀態。
此模型或本文不包含管理網站的負載平衡 URL。建議如下:
如果管理 URL 中使用了連接埠號碼,請使用非標準連接埠。URL 預設會包括連接埠號碼。一般雖不會在客戶對向的 URL 中使用連接埠號碼,但為管理網站使用連接埠號碼,仍可將對這些網站的存取,限制在非標準連接埠,以提高管理網站的安全性。
為管理網站建立不同的 DNS 項目。
應用程式集區
一般會實作不同的網際網路資訊服務 (IIS) 應用程式集區,以區隔網站之間的程序。應用程式集區提供一種方式,讓多個網站可以在相同的伺服器電腦上執行,且仍然保有它們自己的工作者程序和身分識別。這可降低網站上出現安全性問題的機會,讓攻擊者難以在伺服器插入程式碼攻擊其他網站。
實際來說,在下列每種情況下,都請考慮使用專用應用程式集區:
從匿名內容分隔驗證內容。
分隔主供外部合作夥伴或客戶共同作業之用的網站。這可將外部帳戶隔離到單一應用程式集區中的網站。
隔離使用者擁有大部分權限可以建立和管理網站,以及對內容進行共同作業的網站。
這個模型利用下列方法使用應用程式集區:
管理網站架設在專用應用程式集區中。這是 Windows SharePoint Services 3.0 的需求。
內部共同作業網站 (小組網站與自助網站) 都架設在一個應用程式集區。
合作夥伴應用程式架設在專用應用程式集區中。
Web 應用程式
Web 應用程式是 SharePoint 產品及技術所建立與使用的 IIS 網站。每個 Web 應用程式在 IIS 中代表不同網站。請指定每個 Web 應用程式唯一的網域名稱,這樣有助於防止跨網站的指令碼攻擊。
一般而言,使用專用 Web 應用程式可以:
將匿名內容與驗證的內容分開。
隔離使用者。在此模型中,合作夥伴網站架設於專用 Web 應用程式和應用程式集區,確保合作夥伴無法存取內部共同作業內容。
執行權限。專用 Web 應用程式使用管理中心中的 [Web 應用程式的原則] 頁面,提供執行權限的機會。例如,您可以在內部共同作業網站上建立原則,明確拒絕對合作夥伴帳戶的存取。不論 Web 應用程式內個別網站或文件上設定的權限為何,皆會執行 Web 應用程式的原則。
最佳化效能。如果網站所在的 Web 應用程式具有與其他應用程式類似的資料特性,則這些網站會有較好的效能。例如,自助網站的資料特性包括大量規模較小的網站。反之,小組網站一般會包含少量的極大型網站。透過將這兩種不同類型的網站放在不同的 Web 應用程式,產生的資料庫就會包含特性類似的資料,如此可最佳化資料庫效能。在此模型中,小組網站和自助網站沒有特有的資料隔離需求,它們會共用相同的應用程式集區。但是,小組網站和自助網站會放在不同的 Web 應用程式中,以最佳化效能。
最佳化管理性。因為建立不同 Web 應用程式會產生不同的網站和資料庫,所以您可以實作不同的網站限制 (資源回收筒、到期時間和大小),以及交涉不同的服務層級協定。例如,如果自助網站內容不是您組織內最重要的內容類型,則可能會允許較多的時間來進行還原。這樣可讓您先還原較重要的內容,再還原這些網站的內容。在此模組中,自助網站放在不同的 Web 應用程式中,而與其他應用程式相較之下,管理員可以更積極地管理成長。
網站集合
網站集合可橋接邏輯架構和資訊架構。在此模型中,網站集合的設計目標是要滿足 URL 設計的需求,以及建立內容的邏輯區分。
為了滿足 URL 設計的需求,每個 Web 應用程式都會包括單一根層級網站集合。管理路徑是用以併入最上層網站集合的第二層。如需 URL 需求以及使用管理路徑的詳細資訊,請參閱本文稍後的<區域和 URL>。在網站集合第二層下面的每個網站都是子網站。
下圖顯示小組網站的網站階層。
.jpg "共同作業網站的邏輯架構")
符合根層級網站集合的需求之後,設計決策係以第二層的網站集合為主。此模型會根據應用程式的本質來併入選項。
自助網站
在此模型中,自助網站使用 http://my 這個 URL 來併入最上層網站。使用包含相對路徑來併入管理路徑,這樣可允許使用者無限制地建立網站。管理路徑下的所有網站均為獨立的網站集合,會繼承建立最上層網站所使用的網站範本。下圖說明自助網站。
如需自助網站的詳細資訊,請參閱<Plan process for creating sites (Windows SharePoint Services)>。
小組網站
設計小組網站應用程式內的網站集合時,建議您根據貴組織的營運方式,為其建立有限數量的網站集合。使用這種方式,網站集合會由 Windows SharePoint Services 3.0 管理員建立。建立網站集合之後,小組就可以根據其需求在網站集合內建立網站。
這種方式可讓您實作周密的分類法,而分類提供管理小組網站以及小組網站成長的結構。同時也有較多機會在一個共用網站集合的專案和小組之間共用範本以及進行導覽。為組織建立合理的網站集合之第二層是資訊設計師的挑戰。下表列出不同組織類型的建議。
| 組織類型 | 建議的網站集合分類法 |
|---|---|
產品開發 |
|
研究 |
|
高等教育機構 |
|
國家立法局 |
|
企業法律事務所 |
|
製造業 |
|
合作夥伴網站
合作夥伴網站主要是用於與外部合作夥伴共同作業範圍有限或期間有限的專案。根據設計,合作夥伴網站應用程式內的網站預定不會有相關。合作夥伴網站的需求,包含確定:
專案擁有者可以輕鬆地建立網站,以進行合作夥伴共同作業。
合作夥伴和其他參與者只可以存取他們所處理的專案。
權限由網站擁有者所管理。
某個專案內的搜尋結果不會公開另一個專案的內容。
管理員可以輕鬆地識別不再使用的網站,並刪除這些網站。
為了滿足這些需求,這個模型會為每個專案使用網站集合,其提供下列優點:
個別網站集合提供專案之間的適當隔離層級。
可以實作自助網站架設。
內容資料庫
您可以使用下列兩種方式,將內容資料庫併入設計中 (這個模型使用兩種方式):
建立具有適當大小警告臨界值之內容資料庫的目標大小。在達到大小警告臨界值時,建立新的資料庫。使用此方式,會僅根據大小目標,自動將網站集合新增至可用的一或多個資料庫。
將網站集合關聯至特定內容資料庫。這種方式可讓您將一或多個網站集合放入可以與其他資料庫分開管理的專用資料庫。
如果您選擇將網站集合關聯至特定內容資料庫,則可以使用下列方法來完成:
使用 Stsadm 命令列工具,在特定資料庫中建立網站集合。
套用下列資料庫容量設定,將資料庫專用於單一網站集合:
產生警告事件之前的網站數目 = 1
此資料庫中可以建立的最大網站數目 = 1
執行下列步驟,將網站集合群組新增至專用資料庫:
在 Web 應用程式內,建立資料庫,並將資料庫狀態設定為 [就緒]****。
將其他所有資料庫的狀態設定為 [離線]。內容資料庫離線時,無法建立新的網站集合。不過,讀取和寫入作業仍然可以存取離線資料庫中的現有網站集合。
建立網站集合。它們會自動新增至資料庫。
將其他所有資料庫的狀態設回 [就緒]****。
小組網站
這個模型會為每個小組網站集合使用專用資料庫。這種方式可讓您單獨管理每個小組的資料庫,以進行備份、還原和移轉。而且,專案完成時,您也可以輕鬆地封存與專案相關的資料庫。
自助網站
針對自助網站,這個模型透過管理到達最大目標大小的資料庫,以達成縮放效率。設定下列設定,可達成這個目標:
限制網站儲存量的最大值為:這個設定設定於管理中心的 [配額範本] 頁面中,可限制個人網站的大小。
第二階段資源回收筒:這個設定設定於 [Web 應用程式一般設定] 頁面中,可決定還需要額外配置給第二階段資源回收筒多少空間。
這個資料庫可以建立的網站數目上限:當您建立資料庫時會設定這個設定。請使用指定給前兩個值的數字,來計算允許的網站總大小。然後,根據每個資料庫的大小目標,決定要放入資料庫中的網站數目。
這個模型根據 100 GB 的資料庫目標大小和 500 MB 的「我的網站」目標大小,提供下列大小設定的範例:
每個網站的網站大小限制 = 500 MB
資料庫的目標大小 = 100 GB
網站數目上限 = 200
網站層級警告 = 175
達到網站層級警告時,會建立新的資料庫。建立新的資料庫之後,新的自助網站會交替新增至到新的資料庫與已存在的資料庫,直到其中一個資料庫的網站數目達到上限為止。
合作夥伴網站
與自助網站類似,合作夥伴網站透過管理達到最大目標大小的資料庫,來達成縮放效率。
因為合作夥伴網站架設於專用 Web 應用程式,所以您可以針對該類型建立較適合於該類型大小的大小限制。這個模型提供下列大小設定的範例:
資料庫的目標大小 = 100 GB
每個網站的儲存配額 = 5 GB
網站數目上限 = 20
區域和 URL
這個模型說明如何跨企業部署內的多個應用程式協調 URL。
設計目標
下列目標會影響 URL 的設計決策:
URL 慣例不會限制用以存取內容的區域。
在此模型中,可以跨所有應用程式使用標準 HTTP 和 HTTPS 連接埠 (80 和 443)。
URL 不包括連接埠號碼。實際上,連接埠號碼一般不會用於實際執行環境。
設計準則
為了達到這些設計目標,會套用下列設計準則:
不會使用主機名稱的網站集合。請注意,主機名稱的網站集合與 IIS 主機標頭不同。主機名稱的網站集合無法與備用存取對應功能搭配使用。需要有備用存取對應功能,才能透過多個網域 URL 存取相同的內容。因此,使用主機名稱的網站時,只有透過「預設」區域才可以使用這些網站。備用存取對應功能也支援安全通訊端階層 (SSL) 的離線方塊終止 (off-box termination),讓遠端員工存取和合作夥伴存取案例使用 SSL (HTTPS)。如需使用主機名稱之網站集合的詳細資訊,請參閱<White paper: Create shared hosting solutions on Windows SharePoint Services>。
每個應用程式都會使用單一根網站集合。這對於使用備用存取對應而言是必要的。如果 Web 應用程式內需要多個根網站集合,而且您只想要使用「預設」區域來進行使用者存取,則主機名稱的網站集合是不錯的選擇。
針對包括多個高層級網站集合的應用程式 (其中,每個網站集合都代表最上層小組或專案 (例如,小組網站)),這個模組會使用管理路徑。管理路徑較能控制這些網站類型的 URL。
設計利弊
符合設計目標會有一些利弊得失,如下所示:
URL 較長。
不會使用主機名稱的網站集合。
設計負載平衡 URL
當您建立 Web 應用程式時,必須選擇負載平衡 URL 以指定給應用程式。此外,還必須為每個在 Web 應用程式內建立的區域建立負載平衡 URL。負載平衡 URL 包括通訊協定、結構描述、主機名稱和連接埠 (如果使用)。在所有 Web 應用程式和區域中,負載平衡 URL 必須是唯一的。因此,每個應用程式以及每個應用程式內的每個區域都需要這個模型中的唯一 URL。
內部共同作業網站
這兩種不同類型的內部共同作業網站,皆需要唯一的 URL。在此模型中,這些網站的目標對象是內部員工和遠端員工。下表列出內部和遠端員工存取每個應用程式的 URL。
| 應用程式 | 內部員工 URL | 遠端員工 URL |
|---|---|---|
小組網站 |
http://teams |
https://teams.fabrikam.com |
自助網站 |
http://sites |
https://sites.fabrikam.com |
合作夥伴網站
在此模型中,內部員工、遠端員工和合作夥伴員工都會存取合作夥伴網站。雖然遠端員工和合作夥伴員工都可以使用 SSL (HTTPS) 從外部存取合作夥伴網站,但是每個人都需要不同的 URL 才能擁有使用不同網站的優點;即不同驗證方法和不同的區域原則。下表列出內部員工、遠端員工和合作夥伴用以存取合作夥伴網站的 URL。
| 區域 | URL |
|---|---|
內部員工 URL |
http://partnerweb |
遠端員工 URL |
https://remotepartnerweb.fabrikam.com |
合作夥伴 URL |
https://partnerweb.fabrikam.com |
使用 URL 的明確路徑和包含相對路徑
您可以藉由定義管理的路徑來指定 Web 應用程式之 URL 命名空間中的哪些路徑會用於網站集合。您可以指定在根網站的特定路徑下有一個或多個網站集合。若沒有管理路徑,所有在根網站集合下建立的網站都會是根網站集合的一部分。
您可以建立下列兩種類型的管理路徑:
包含絕對路徑 指定具有明確 URL 的網站集合。一個包含絕對路徑只能套用一個網站集合。您可以在根網站集合下建立多個包含絕對路徑。使用這種方法建立的網站集合 URL 範例是 http://team/Team1。
包含相對路徑 新增至 URL 的路徑。這個路徑指出緊跟在路徑名稱後面指定的所有網站都是唯一網站集合。這個選項一般用於支援本身網站建立的應用程式。使用這種方法建立的網站集合 URL 範例是 http://sites/site1。
此模型包含使用下列章節所述之兩種類型。
包含絕對路徑:小組網站
在此模型中,兩個小組網站應用程式皆會採用「包含絕對路徑」。
小組網站
在小組網站應用程式內,每個小組網站集合皆使用「包含絕對路徑」。使用「包含絕對路徑」建立之網站集合的縮放限制大約是 100 個網站。良好的控管作法是將最上層小組網站的數目保持在可管理的數目內。而且,針對公司的運作方式,小組網站的分類法應該具邏輯性。100 個網站的建議值適用於許多組織。如果組織需要較大的範圍以放入小組網站,則請使用包含相對路徑取代。
在此模型中,使用包含絕對路徑會產生下表的 URL。
| 內部員工 (內部網路區域) | 遠端員工 (預設區域) |
|---|---|
http://team/Team1 |
https://team.fabrikam.com/Team1 |
http://team/Team2 |
https://team.fabrikam.com/Team2 |
http://team/Team3 |
https://team.fabrikam.com/Team3 |
在此範例中,根網站集合 http://team 不一定具備使用者的內容。
包含相對路徑:合作夥伴網站和自助網站
合作夥伴網站和自助網站皆會使用「包含相對路徑」。「包含相對路徑」適用於允許使用者建立他們自己的網站集合的應用程式。「包含相對路徑」表示萬用字元後面的下一個項目是網站集合的根網站。
自助網站
在此模型中,自助網站包括相對路徑 /sites (http://selfservice/sites)。
此會產生下表所列格式的 URL。
| 內部 (內部網路區域) | 遠端員工 (預設區域) |
|---|---|
http://selfservice/sites/site1 |
https://selfservice.fabrikam.com/sites/site1 |
http://selfservices/sites/site2 |
https://selfservice.fabrikam.com/sites/site2 |
http://selfservice/sites/user3 |
https://selfservices.fabrikam.com/personal/user3 |
合作夥伴網站
合作夥伴網站的設計旨在允許員工輕鬆地建立安全網站,以與外部合作夥伴進行共同作業。為達此目標,允許建立自助網站。
在此模型中,合作夥伴網站包含相對路徑 /sites (http://partnerweb/sites)。此會產生下表所列格式的 URL。
| 內部員工 (內部網路區域) | 遠端員工 (預設區域) |
|---|---|
http://partnerweb/sites/project1 |
https://remotepartnerweb.fabrikam.com/sites/project1 |
http://partnerweb/sites/project2 |
https://remotepartnerweb.fabrikam.com/sites/project2 |
http://partnerweb/sites/project3 |
https://remotepartnerweb.fabrikam.com/sites/project3 |
合作夥伴參與者可以使用下表列出的 URL 存取合作夥伴網站。
| 合作夥伴 (外部網路區域) |
|---|
https://partnerweb.fabrikam.com/sites/project1 |
https://partnerweb.fabrikam.com/sites/project2 |
https://partnerweb/fabrikam.com/sites/project3 |
區域原則
您可以建立 Web 應用程式的原則,在 Web 應用程式層級強制權限。一般而言可以定義 Web 應用程式的原則,或只針對特定區域定義原則。「原則」可強制 Web 應用程式或區域內之所有內容的權限。「原則」權限會覆寫針對網站和內容設定的其他所有安全性設定。您可以根據使用者或使用者群組來設定原則,但不能根據 SharePoint 群組設定原則。
此模型提供一個範例:拒絕合作夥伴帳戶存取內部共同作業網站。
備分及還原共同作業網站
下列數個選項以進行備份及還原適用於共同作業網站的相關內容:
內建的備份及還原工具:這些工具隨附於 Windows SharePoint Services 3.0,若資料庫小於 100 GB,且沒有多項自訂或將自訂封裝為解決方案,即可使用這些工具。
Microsoft SQL Server 2005 備份及復原工具:若為 SQL 資料庫管理員,即可使用這些工具。
如需詳細資訊,請參閱<Choose backup and recovery tools (Windows SharePoint Services)>。
設計安全的外部共同作業
此設計範例海報包含如何規劃外部安全共同作業的概觀。本節將介紹每個項目及 TechNet 文件庫中之對應文章的連結。
| 設計建議 | 1 |
|---|---|
選擇外部網路拓撲 |
使用邊緣防火牆或在周邊網路設置伺服器陣列,保護您的伺服器陣列。如需詳細資訊,請參閱下列 TechNet 文章: |
保護用戶端對伺服器通訊 |
保護外部網路環境中的共同作業,有賴於客戶端電腦與伺服器陣列環境之間的安全通訊。若條件許可,可使用安全通訊端階層 (SSL) 保護用戶端電腦與伺服器之間的通訊安全。 如需詳細資訊,請參閱下列 TechNet 文章: |
保護後端伺服器與管理中心網站 |
外部安全共同作業需要網際網路對向伺服器。您可以在網頁伺服器與其他伺服器間設置防火牆,以及在後端伺服器上架設管理中心網站,限制使用網際網路的流量。 如需詳細資訊,請參閱下列 TechNet 文章:
|
設定備用存取對應 |
備用存取對應適用於網際網路資訊服務 (IIS) 所收到之 Web 要求的 URL 與使用者輸入之 URL 不同的網際網路部署方案。這種情況最可能發生在包含回復 Proxy 發行及負載平衡的部署方案中。例如,反向 Proxy 可以執行進階功能,例如使用 SSL (HTTPS) 透過網際網路接收 Web 要求,但使用 HTTP 將要求轉寄至伺服器。這會表示為「離線方塊 SSL 終止」。 如需詳細資訊,請參閱<Plan alternate access mappings>。 |
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Windows SharePoint Services 可下載的叢書 (英文) 上提供的完整叢書清單。