Planen der Verstärkung der Sicherheit für SharePoint ServerPlan security hardening for SharePoint Server

Zusammenfassung: Informationen Sie zum verstärken der Sicherheit für SharePoint Server 2013 und SharePoint Server 2016 und Datenbank Serverrollen, einschließlich spezifischer härtungsanforderungen für Ports, Protokolle und Dienste.Summary: Learn about security hardening for SharePoint Server 2013 and SharePoint Server 2016 and database server roles, including specific hardening requirements for ports, protocols, and services.

Sichere ServermomentaufnahmenSecure server snapshots

In einer serverfarmumgebung haben die einzelne Servern bestimmte Rollen. Verstärken der Sicherheit sicherheitsempfehlungen für diese Server hängen von der Rolle, die jeder Server spielt. Dieser Artikel enthält die sicheren Snapshots für zwei Kategorien von Serverrollen:In a server farm environment, individual servers have specific roles. Security hardening recommendations for these servers depend on the role each server plays. This article contains secure snapshots for two categories of server roles:

Die Snapshots sind in allgemeine Konfigurationskategorien unterteilt. Die Eigenschaften für jede Kategorie definiert darzustellen den Zustand, optimalen gesicherten für SharePoint Server. Dieser Artikel enthält keine Sicherheitshandbuch für andere Software in der Umgebung.The snapshots are divided into common configuration categories. The characteristics defined for each category represent the optimal hardened state for SharePoint Server. This article does not include hardening guidance for other software in the environment.

Zusätzlich zum Verstärken der Sicherheit für bestimmte Rollen ist es wichtig, die SharePoint-Farm zu schützen, indem zwischen den Farmservern und externen Anforderungen eine Firewall eingerichtet wird. Der Leitfaden in diesem Artikel kann zum Konfigurieren einer Firewall verwendet werden.In addition to hardening servers for specific roles, it is important to protect the SharePoint farm by placing a firewall between the farm servers and outside requests. The guidance in this article can be used to configure a firewall.

SharePoint-ServernSharePoint servers

Dieser Abschnitt enthält Informationen zum verstärken der Sicherheit Merkmale für SharePoint Server. Einige dieser Anleitung gilt für bestimmte dienstanwendungen. in diesen Fällen müssen die entsprechenden Eigenschaften nur auf den Servern angewendet werden soll, die die angegebenen dienstanwendungen zugeordneten Dienste ausgeführt werden.This section identifies hardening characteristics for SharePoint servers. Some of the guidance applies to specific service applications; in these cases, the corresponding characteristics need to be applied only on the servers that are running the services associated with the specified service applications.

KategorieCategory MerkmalCharacteristic
Im MMC-Snap-In Dienste aufgeführte DiensteServices listed in the Services MMC snap-in
Aktivieren Sie folgende Dienste:Enable the following services:
ASP.NET-Statusdienst (bei Verwendung von InfoPath Forms Services oder 2016 für Project Server)ASP.NET State service (if you are using InfoPath Forms Services or Project Server 2016)
Ansichtstatusdienst (bei Verwendung von InfoPath Forms Services)View State service (if you are using InfoPath Forms Services)
WWW-PublishingdienstWorld Wide Web Publishing Service
Stellen Sie sicher, dass die folgenden Dienste nicht deaktiviert sind:Ensure that these services are not disabled:
Forderungen an den Windows-TokendienstClaims to Windows Token Service
SharePoint-VerwaltungSharePoint Administration
SharePoint-TimerdienstSharePoint Timer Service
SharePoint-AblaufverfolgungsdienstSharePoint Tracing Service
SharePoint VSS WriterSharePoint VSS Writer
Stellen Sie sicher, dass diese Dienste auf den Servern mit den entsprechenden Rollen nicht deaktiviert sind:Ensure that these services are not disabled on the servers that host the corresponding roles:
AppFabric-CachedienstAppFabric Caching Service
SharePoint-BenutzercodehostSharePoint User Code Host
SharePoint-SuchhostcontrollerSharePoint Search Host Controller
SharePoint Server-SucheSharePoint Server Search
Ports und ProtokollePorts and protocols
TCP 80, TCP 443 (SSL)TCP 80, TCP 443 (SSL)
Benutzerdefinierte Ports für Suchdurchforstung, falls konfiguriert (z. B. zum Durchforsten einer Dateifreigabe oder einer Website auf einem Nicht-Standardport)Custom ports for search crawling, if configured (such as for crawling a file share or a website on a non-default port)
Von der Suchindexkomponente verwendete Ports - TCP 16500-16519 (nur innerhalb der Farm)Ports used by the search index component — TCP 16500-16519 (intra-farm only)
Für den AppFabric-Cachedienst erforderliche Ports - TCP 22233-22236Ports required for the AppFabric Caching Service — TCP 22233-22236
Für die Windows Communication Foundation-Kommunikation erforderliche Ports - TCP 808Ports required for Windows Communication Foundation communication — TCP 808
Erforderliche Ports für die Kommunikation zwischen SharePoint-Servern und dienstanwendungen (der Standardwert ist HTTP):Ports required for communication between SharePoint servers and service applications (the default is HTTP):
HTTP-Bindung: TCP 32843HTTP binding: TCP 32843
HTTPS-Bindung: TCP 32844HTTPS binding: TCP 32844
net.tcp-Bindung: TCP 32845 (nur wenn ein Drittanbieter diese Option für eine Dienstanwendung implementiert hat)net.tcp binding: TCP 32845 (only if a third party has implemented this option for a service application)
Wenn Ihre Computernetzwerkumgebung Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7, oder Windows Vista zusammen mit früheren Windows-Versionen als Windows Server 2012 und Windows Vista verwendet, müssen Sie die Konnektivität über die folgenden beiden Portbereiche aktivieren:If your computer network environment uses Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7, or Windows Vista together with versions of Windows earlier than Windows Server 2012 and Windows Vista, you must enable connectivity over both the following port ranges:
Oberer Portbereich 49152 über 65535High port range 49152 through 65535
Unterer Portbereich 1025 über 5000Low port range 1025 through 5000
Standard-Ports für die SQL Server-Kommunikation – TCP 1433 in Betracht, UDP-Port 1434. Wenn diese Ports auf dem SQL Server-Computer blockiert werden und Datenbanken in einer benannten Instanz installiert sind, konfigurieren Sie einen SQL Server-clientalias zum Herstellen einer Verbindung mit der benannten Instanz.Default ports for SQL Server communication — TCP 1433, UDP 1434. If these ports are blocked on the SQL Server computer and databases are installed on a named instance, configure a SQL Server client alias for connecting to the named instance.
Microsoft SharePoint Foundation-Benutzercodedienst (für sandkastenlösungen) – TCP 32846. Dieser Port muss für ausgehende Verbindungen auf allen Front-End- und Front-End-mit verteilten Servern geöffnet sein. Dieser Port muss für eingehende Verbindungen auf Front-End- und Front-End-mit verteilten Cache-Servern, auf dem dieser Dienst aktiviert ist, klicken Sie auf, öffnen.Microsoft SharePoint Foundation User Code Service (for sandbox solutions) — TCP 32846. This port must be open for outbound connections on all Front-end and Front-end with Distributed Cache servers. This port must be open for inbound connections on Front-end and Front-end with Distributed Cache servers where this service is turned on.
Stellen Sie sicher, dass Ports für Webanwendungen, auf die Benutzer zugreifen können, geöffnet bleiben.Ensure that ports remain open for Web applications that are accessible to users.
Blockieren Sie den externen Zugriff auf den Port, der für die Website der Zentraladministration verwendet wird.Block external access to the port that is used for the Central Administration site.
SMTP für E-mail-Integration – TCP 25 oder einen benutzerdefinierten TCP-Port, wenn Sie einen nicht standardmäßigen Port verwenden, um ausgehenden E-mail konfiguriert haben.SMTP for e-mail integration — TCP 25, or a custom TCP port if you've configured outbound e-mail to use a non-default port.
RegistrierungRegistry
Keine zusätzlichen HinweiseNo additional guidance
Überwachung und ProtokollierungAuditing and logging
Wenn Protokolldateien verschoben werden, stellen Sie sicher, dass die Speicherorte der Protokolldateien entsprechend aktualisiert werden. Aktualisieren Sie auch die Zugriffssteuerungslisten (ACLs) der Verzeichnisse.If log files are relocated, ensure that the log file locations are updated to match. Update directory access control lists (ACLs) also.
Web.configWeb.config
Folgen Sie diesen Empfehlungen für jede Datei Web.config, die nach der Ausführung des Setupprogramms erstellt wird:Follow these recommendations for each Web.config file that is created after you run Setup:
Lassen Sie Kompilierung oder Skripting von Datenbankseiten über die PageParserPaths-Elemente nicht zu.Do not allow compilation or scripting of database pages via the PageParserPaths elements.
Stellen Sie sicher, dass Folgendes festgelegt ist: <SafeMode> CallStack="false" und AllowPageLevelTrace="false".Ensure <SafeMode> CallStack="false" and AllowPageLevelTrace="false".
Stellen Sie sicher, dass die Webpartlimits für maximale Steuerelemente pro Zone niedrig festgelegt sind.Ensure that the Web Part limits around maximum controls per zone are set low.
Stellen Sie sicher, dass die Liste SafeControls auf die mindestens für die Websites benötigten Steuerelemente festgelegt ist.Ensure that the SafeControls list is set to the minimum set of controls needed for your sites.
Stellen Sie sicher, dass die Liste Workflow SafeTypes auf die mindestens benötigen SafeTypes festgelegt ist.Ensure that your Workflow SafeTypes list is set to the minimum level of SafeTypes needed.
Stellen Sie sicher, dass "customErrors" aktiviert ist (<customErrors mode="On"/>).Ensure that customErrors is turned on (<customErrors mode="On"/>).
Berücksichtigen Sie gegebenenfalls die Webproxyeinstellungen (<system.net>/<defaultProxy>).Consider your Web proxy settings as needed (<system.net>/<defaultProxy>).
Legen Sie den Grenzwert Upload.aspx auf die höchste Größe, die Sie Benutzern das Hochladen von nach vernünftigem Ermessen erwarten. Leistung kann von Uploads betroffen sein, die größer sind 100 MB als.Set the Upload.aspx limit to the highest size you reasonably expect users to upload. Performance can be affected by uploads that exceed 100 MB.

DatenbankserverrolleDatabase server role

Hinweis

Zusätzlich zu dem Feature MinRole in SharePoint Server 2016 wurde das Konzept der Rollen geändert. Informationen zu Rollen finden Sie unter Planen einer Bereitstellung im MinRole Server in SharePoint Server 2016.With the addition to the MinRole feature in SharePoint Server 2016, the concept of roles has changed. For information about roles, see Planning for a MinRole server deployment in SharePoint Server 2016.

Die primäre Empfehlung für SharePoint Server wird zur Kommunikation zwischen den Farmen Sicherung durch Blockieren der standardmäßigen Ports für die SQL Server-Kommunikation verwendet und benutzerdefinierte Ports für diese Kommunikation stattdessen einrichten. Weitere Informationen zum Konfigurieren von Ports für die Kommunikation mit SQL Server finden Sie unter Blockieren der standardmäßigen SQL Server-Ports, weiter unten in diesem Artikel.The primary recommendation for SharePoint Server is to secure inter-farm communication by blocking the default ports used for SQL Server communication and establishing custom ports for this communication instead. For more information about how to configure ports for SQL Server communication, see Blocking the standard SQL Server ports, later in this article.

KategorieCategory MerkmalCharacteristic
PortsPorts
Blockieren Sie UDP 1434.Block UDP 1434.
Ziehen Sie das Blockieren von TCP 1433 in Betracht.Consider blocking TCP 1433.

Das Sichern von SQL Server wird in diesem Artikel nicht beschrieben. Weitere Informationen zum Sichern von SQL Server finden Sie unter Sichern von SQL Server (http://go.microsoft.com/fwlink/p/?LinkId=186828).This article does not describe how to secure SQL Server. For more information about how to secure SQL Server, see Securing SQL Server (http://go.microsoft.com/fwlink/p/?LinkId=186828).

Leitfaden für bestimmte Ports, Protokolle und DiensteSpecific port, protocol, and service guidance

Der Rest dieses Artikels wird ausführlicher beschrieben, die spezifischer härtungsanforderungen für SharePoint Server.The rest of this article describes in greater detail the specific hardening requirements for SharePoint Server.

Inhalt dieses Abschnitts:In this section:

Blockieren der standardmäßigen SQL Server-PortsBlocking the standard SQL Server ports

Die spezifischen Ports, die zum Herstellen einer Verbindung mit SQL Server verwendet werden, hängen davon ab, ob die Datenbanken in einer Standardinstanz von SQL Server oder in einer benannten Instanz von SQL Server installiert sind. Die Standardinstanz von SQL Server hört TCP 1433 auf Clientanforderungen ab. Eine benannte Instanz von SQL Server hört eine zufällig zugewiesene Portnummer ab. Außerdem kann die Portnummer für eine benannte Instanz neu zugewiesen werden, wenn die Instanz neu gestartet wird (abhängig von der Verfügbarkeit der vorher zugewiesenen Portnummer).The specific ports used to connect to SQL Server are affected by whether databases are installed on a default instance of SQL Server or a named instance of SQL Server. The default instance of SQL Server listens for client requests on TCP 1433. A named instance of SQL Server listens on a randomly assigned port number. Additionally, the port number for a named instance can be reassigned if the instance is restarted (depending on whether the previously assigned port number is available).

Standardmäßig wird auf Clientcomputern, die eine Verbindung mit SQL Server herstellen, zuerst eine Verbindung mithilfe von TCP 1433 hergestellt. Wenn diese Kommunikation nicht erfolgreich ist, fragen die Clientcomputer den UDP 1434 abhörenden SQL Server-Auflösungsdienst ab, um den von der Datenbankinstanz abgehörten Port zu ermitteln.By default, client computers that connect to SQL Server first connect by using TCP 1433. If this communication is unsuccessful, the client computers query the SQL Server Resolution Service that is listening on UDP 1434 to determine the port on which the database instance is listening.

Das Standardport-Kommunikationsverhalten von SQL Server führt zu verschiedenen Problemen, die sich auf die Verstärkung der Serversicherheit auswirken. Erstens handelt es sich bei den von SQL Server verwendeten Ports um allgemein veröffentlichte Ports, und der SQL Server-Auflösungsdienst ist Ziel von Pufferüberlaufangriffen und Denial-of-Service-Angriffen, beispielsweise durch den Wurmvirus "Slammer". Auch wenn SQL Server aktualisiert wird, um die Sicherheitsprobleme im SQL Server-Auflösungsdienst zu mindern, bleiben die allgemein veröffentlichten Ports ein Ziel. Zweitens wird, wenn Datenbanken in einer benannten Instanz von SQL Server installiert werden, der entsprechende Kommunikationsport zufällig zugewiesen und kann geändert werden. Dieses Verhalten kann möglicherweise in einer Umgebung mit verstärkter Sicherheit die Kommunikation zwischen Servern verhindern. Die Möglichkeit, zu steuern, welche TCP-Ports geöffnet sind oder blockiert werden, ist unerlässlich für den Schutz der Umgebung.The default port-communication behavior of SQL Server introduces several issues that affect server hardening. First, the ports used by SQL Server are well-publicized ports and the SQL Server Resolution Service has been the target of buffer overrun attacks and denial-of-service attacks, including the "Slammer" worm virus. Even if SQL Server is updated to mitigate security issues in the SQL Server Resolution Service, the well-publicized ports remain a target. Second, if databases are installed on a named instance of SQL Server, the corresponding communication port is randomly assigned and can change. This behavior can potentially prevent server-to-server communication in a hardened environment. The ability to control which TCP ports are open or blocked is essential to securing your environment.

Hinweis

Es wird empfohlen, zum Verwenden der standardmäßigen SQL-Ports, jedoch sicherstellen, dass die Firewall konfiguriert ist, damit nur die Kommunikation mit den Servern, die Zugriff auf den SQL Server benötigen. Server, auf denen benötigen Zugriff auf den SQL Server sollte eine Verbindung zu SQL Server über TCP-Port 1433 und UDP-Port 1444 blockiert werden.We recommend to use the standard SQL ports, but ensure the firewall is configured to only allow communication with the servers that need access to the SQL Server. Servers that don't need access to the SQL Server should be blocked from connecting to the SQL Server over TCP port 1433 and UDP port 1444.

Es gibt verschiedene Methoden, die Sie zum Blockieren von Ports verwenden können. Sie können die Ports mithilfe einer Firewall blockieren. Wenn Sie jedoch nicht sicher sind, dass keine weiteren Routen in das Netzwerksegment vorhanden sind und dass keine böswilligen Benutzer mit Zugriff auf das Netzwerksegment vorhanden sind, sollten Sie diese Ports direkt auf dem Server blockieren, auf dem SQL Server gehostet wird. Hierzu können Sie die Windows-Firewall in der Systemsteuerung verwenden.There are several methods you can use to block ports. You can block these ports by using a firewall. However, unless you can be sure that there are no other routes into the network segment and that there are no malicious users that have access to the network segment, the recommendation is to block these ports directly on the server that hosts SQL Server. This can be accomplished by using Windows Firewall in Control Panel.

Konfigurieren von SQL Server-Datenbankinstanzen zum Überwachen eines NichtstandardportsConfiguring SQL Server database instances to listen on a nonstandard port

In SQL Server können Ports, die von der Standardinstanz und benannten Instanzen verwendet werden, neu zugewiesen werden. In SQL Server weisen Sie Ports mithilfe des SQL Server-Konfigurations-Managers neu zu.SQL Server provides the ability to reassign the ports that are used by the default instance and any named instances. In SQL Server, you reassign ports by using SQL Server Configuration Manager.

Konfigurieren von SQL Server-ClientaliasenConfiguring SQL Server client aliases

In einer Serverfarm sind alle Front-End-Webserver und Anwendungsserver SQL Server-Clientcomputer. Wenn Sie UDP 1434 auf dem SQL Server-Computer blockieren oder den Standardport für die Standardinstanz ändern, müssen Sie auf allen Servern, die eine Verbindung mit dem Computer mit SQL Server herstellen, einen SQL Server-Clientalias konfigurieren. Bei diesem Szenario gibt der SQL Server-Clientalias den TCP-Port an, der von der benannten Instanz abgehört wird.In a server farm, all front-end Web servers and application servers are SQL Server client computers. If you block UDP 1434 on the SQL Server computer, or you change the default port for the default instance, you must configure a SQL Server client alias on all servers that connect to the SQL Server computer. In this scenario, the SQL Server client alias specifies the TCP port that the named instance is listening on.

Zum Herstellen einer Verbindung mit einer Instanz von SQL Server installieren Sie die SQL Server-Clientkomponenten auf dem Zielcomputer und konfigurieren dann den SQL Server-Clientalias mithilfe des SQL Server-Konfigurations-Managers. Zum Installieren der SQL Server-Clientkomponenten führen Sie das Setup aus und wählen nur die folgenden Clientkomponenten für die Installation aus:To connect to an instance of SQL Server, you install SQL Server client components on the target computer and then configure the SQL Server client alias by using SQL Server Configuration Manager. To install SQL Server client components, run Setup and select only the following client components to install:

  • KonnektivitätskomponentenConnectivity Components

  • Verwaltungstools (enthalten den SQL Server-Konfigurations-Manager)Management Tools (includes SQL Server Configuration Manager)

Verstärkung der für das Blockieren der standardmäßigen SQL Server-Ports finden Sie unter Konfigurieren von SQL Server-Sicherheit für SharePoint Server.For specific hardening steps for blocking the standard SQL Server ports, see Configure SQL Server security for SharePoint Server.

Kommunikation zwischen DienstanwendungenService application communication

Standardmäßig erfolgt die Kommunikation zwischen SharePoint-Servern und dienstanwendungen in einer Farm mithilfe von HTTP mit einer Bindung zu TCP 32843. Wenn Sie eine dienstanwendung veröffentlichen, können Sie mit der folgenden Bindungen entweder HTTP oder HTTPS auswählen:By default, communication between SharePoint servers and service applications within a farm takes place by using HTTP with a binding to TCP 32843. When you publish a service application, you can select either HTTP or HTTPS with the following bindings:

  • HTTP-Bindung: TCP 32843HTTP binding: TCP 32843

  • HTTPS-Bindung: TCP 32844HTTPS binding: TCP 32844

Daneben können Drittanbieter, die Dienstanwendungen entwickeln, eine dritte Möglichkeit implementieren:Additionally, third parties that develop service applications can implement a third choice:

  • net.tcp-Bindung: TCP 32845net.tcp binding: TCP 32845

Sie können die Protokoll- und Portbindung für jede Dienstanwendung ändern. Wählen Sie auf der Seite Dienstanwendungen in der Zentraladministration die Dienstanwendung aus, und klicken Sie dann auf Veröffentlichen.You can change the protocol and port binding for each service application. On the Service Applications page in Central Administration, select the service application, and then click Publish.

Die HTTP/HTTPS/net.tcp Bindungen können auch angezeigt und geändert, indem Sie das Cmdlet Get-SPServiceHostConfig "und" Set-SPServiceHostConfig Microsoft PowerShell-Cmdlets.The HTTP/HTTPS/net.tcp bindings can also be viewed and changed by using the Get-SPServiceHostConfig and Set-SPServiceHostConfig Microsoft PowerShell cmdlets.

Die Kommunikation zwischen Dienstanwendungen und SQL Server erfolgt über die standardmäßigen SQL Server-Ports oder die Ports, die Sie für die SQL Server-Kommunikation konfigurieren.Communication between service applications and SQL Server takes place over the standard SQL Server ports or the ports that you configure for SQL Server communication.

Verbindungen mit externen ServernConnections to external servers

Verschiedene Features von SharePoint Server können konfiguriert werden, um auf Daten zuzugreifen, die sich auf Servercomputern außerhalb der Serverfarm befindet. Wenn Sie den Zugriff auf Daten, die sich befindet auf Computern mit externen Server konfigurieren, stellen Sie sicher, dass die Kommunikation zwischen den entsprechenden Computern zu ermöglichen. In den meisten Fällen hängen die externe Ressource die Ports, Protokolle und Dienste, die verwendet werden. Zum Beispiel:Several features of SharePoint Server can be configured to access data that resides on server computers outside of the server farm. If you configure access to data that is located on external server computers, ensure that you enable communication between the appropriate computers. In most cases, the ports, protocols, and services that are used depend on the external resource. For example:

  • Für Verbindungen mit Dateifreigaben wird der Datei- und Druckerfreigabedienst verwendet.Connections to file shares use the File and Printer Sharing service.

  • Bei Verbindungen mit externen SQL Server-Datenbanken werden die standardmäßigen oder angepassten Ports für die SQL Server-Kommunikation verwendet.Connections to external SQL Server databases use the default or customized ports for SQL Server communication.

  • Für Verbindungen mit Oracle-Datenbanken wird normalerweise OLE DB verwendet.Connections to Oracle databases typically use OLE DB.

  • Für Verbindungen mit Webdiensten werden sowohl HTTP als auch HTTPS verwendet.Connections to Web services use both HTTP and HTTPS.

In der folgenden Tabelle sind die Features aufgeführt, die für den Zugriff auf Daten, die sich auf Servercomputern außerhalb der Serverfarm befinden, konfiguriert werden können.The following table lists features that can be configured to access data that resides on server computers outside the server farm.

FeatureFeature BeschreibungDescription
InhaltscrawlingContent crawling
Sie können Durchforstungsregeln für das Durchforsten von Daten auf externen Ressourcen, wie Websites, Dateifreigaben, öffentlichen Exchange-Ordnern und Branchenanwendungen, konfigurieren. Beim Durchforsten externer Datenquellen kommuniziert die Durchforstungsrolle direkt mit diesen externen Ressourcen.You can configure crawl rules to crawl data that resides on external resources, including Web sites, file shares, Exchange public folders, and business data applications. When crawling external data sources, the crawl role communicates directly with these external resources.
Weitere Informationen finden Sie unter Manage crawling in SharePoint Server.For more information, see Manage crawling in SharePoint Server.
Business Data Connectivity-VerbindungenBusiness Data Connectivity connections
Webserver und Anwendungsserver kommunizieren direkt mit Computern, die für Business Data Connectivity-Verbindungen konfiguriert sind.Web servers and application servers communicate directly with computers that are configured for Business Data Connectivity connections.

Dienstanforderungen für die E-Mail-IntegrationService requirements for e-mail integration

Für die E-Mail-Integration ist die Verwendung von zwei Diensten erforderlich:E-mail integration requires the use of two services:

SMTP-DienstSMTP service

Für die E-Mail-Integration muss auf mindestens einem der Front-End-Webserver in der Serverfarm der SMTP-Dienst (Simple Mail Transfer-Protokoll) verwendet werden. Der SMTP-Dienst ist für die eingehende E-Mail-Kommunikation erforderlich. Für ausgehende E-Mail-Nachrichten können Sie entweder den SMTP-Dienst verwenden oder die Nachrichten über einen dedizierten E-Mail-Server in Ihrem Unternehmen weiterleiten, z. B. einen Computer mit Microsoft Exchange Server.E-mail integration requires the use of the Simple Mail Transfer Protocol (SMTP) service on at least one of the front-end Web servers in the server farm. The SMTP service is required for incoming e-mail. For outgoing e-mail, you can either use the SMTP service or route outgoing email through a dedicated e-mail server in your organization, such as a Microsoft Exchange Server computer.

Microsoft SharePoint-VerzeichnisverwaltungsdienstMicrosoft SharePoint Directory Management service

SharePoint Server enthält einen internen Dienst, der Microsoft SharePoint-Verzeichnisverwaltungsdienst zum Erstellen von E-mail-Verteilergruppen. Wenn Sie E-mail-Integration konfigurieren, müssen Sie die Option zum Aktivieren des Features für Verzeichnisverwaltungsdienst, dem Benutzer Verteilerlisten erstellen können. Wenn Benutzer eine SharePoint-Gruppe erstellen, und wählen Sie die Option zum Erstellen einer Verteilerliste, erstellt Microsoft SharePoint-Verzeichnisverwaltungsdienst die entsprechende Active Directory-Verteilerliste in Active Directory-Umgebung.SharePoint Server includes an internal service, the Microsoft SharePoint Directory Management Service, for creating e-mail distribution groups. When you configure e-mail integration, you have the option to enable the Directory Management Service feature, which lets users create distribution lists. When users create a SharePoint group and they select the option to create a distribution list, the Microsoft SharePoint Directory Management Service creates the corresponding Active Directory distribution list in the Active Directory environment.

In Umgebungen mit verstärkter Sicherheit wird empfohlen, den Zugriff auf den Microsoft SharePoint-Verzeichnisverwaltungsdienst durch Schützen der diesem Dienst zugeordneten Datei, SharePointEmailws.asmx, einzuschränken. Lassen Sie beispielsweise den Zugriff auf diese Datei nur für das Serverfarmkonto zu.In security-hardened environments, the recommendation is to restrict access to the Microsoft SharePoint Directory Management Service by securing the file associated with this service, which is SharePointEmailws.asmx. For example, you might allow access to this file by the server farm account only.

Darüber hinaus erfordert dieses Diensts Berechtigungen in Active Directory-Umgebung zum Erstellen von Active Directory-Verteilergruppe List-Objekten. Es wird empfohlen, eine separate Organisationseinheit (OU) einrichten in Active Directory für SharePoint Server-Objekte. Nur diese Organisationseinheit sollte dem Konto Schreibzugriff zulassen, die von der Microsoft SharePoint-Verzeichnisverwaltungsdienst verwendet wird.Additionally, this service requires permissions in the Active Directory environment to create Active Directory distribution list objects. The recommendation is to set up a separate organizational unit (OU) in Active Directory for SharePoint Server objects. Only this OU should allow write access to the account that is used by the Microsoft SharePoint Directory Management Service.

Dienstanforderungen für den SitzungsstatusService requirements for session state

Project Server 2016 und InfoPath Forms Services Verwalten des Sitzungsstatus. Wenn Sie diese Features oder Produkte innerhalb der Serverfarm bereitstellen, deaktivieren Sie die ASP.NET-Statusdienst keine. Darüber hinaus, wenn Sie InfoPath Forms Services bereitstellen, deaktivieren Sie nicht den Statusdienst anzeigen.Both Project Server 2016 and InfoPath Forms Services maintain session state. If you are deploying these features or products within your server farm, do not disable the ASP.NET State service. Additionally, if you are deploying InfoPath Forms Services, do not disable the View State service.

Dienste für SharePoint Server-ProdukteSharePoint Server Products services

Deaktivieren Sie keine Dienste, die von SharePoint Server (zuvor im Abschnitt zu Momentaufnahmen aufgelistet) installiert sind.Do not disable services that are installed by SharePoint Server (listed in the snapshot previously).

Wenn als lokales System ausgeführte Dienste in der Umgebung nicht zulässig sind, können Sie das Deaktivieren des SharePoint-Verwaltungsdiensts in Betracht ziehen. Sie müssen jedoch die Konsequenzen kennen und sie umgehen können. Dieser Dienst ist ein Win32-Dienst, der als lokales System ausgeführt wird.If your environment disallows services that run as a local system, you can consider disabling the SharePoint Administration service only if you are aware of the consequences and can work around them. This service is a Win32 service that runs as a local system.

Dieser Dienst wird von SharePoint-Timerdienst verwendet, um Aktionen auszuführen, die Administratorrechte auf dem Server, wie Internetinformationsdienste (Internet Information Services, IIS)-Websites erstellen, Bereitstellen von Code, und beenden und Starten von Diensten erforderlich sind. Wenn Sie diesen Dienst deaktivieren, können nicht Sie Aufgaben im Zusammenhang mit der Bereitstellung von der Website für die Zentraladministration abschließen. Sie müssen Microsoft PowerShell führen Sie das Cmdlet Start-spadminjob aus (oder mit dem Befehlszeilentool Stsadm.exe Execadmsvcjobs -Vorgang ausgeführt) verwenden, um vollständige MultiServer-Bereitstellungen für SharePoint Server und andere ausführen Aufgaben im Zusammenhang mit der Bereitstellung.This service is used by the SharePoint Timer service to perform actions that require administrative permissions on the server, such as creating Internet Information Services (IIS) Web sites, deploying code, and stopping and starting services. If you disable this service, you cannot complete deployment-related tasks from the Central Administration site. You must use Microsoft PowerShell to run the Start-SPAdminJob cmdlet (or use the Stsadm.exe command-line tool to run the execadmsvcjobs operation) to complete multiple-server deployments for SharePoint Server and to run other deployment-related tasks.

Web.config (Datei)Web.config file

In .NET Framework und insbesondere ASP.NET werden zum Konfigurieren von Anwendungen Konfigurationsdateien im XML-Format verwendet. In .NET Framework werden Konfigurationsdateien zum Definieren von Konfigurationsoptionen verwendet. Die Konfigurationsdateien sind textbasierte XML-Dateien. Auf einem einzigen System können sich mehrere Konfigurationsdateien befinden, und normalerweise ist dies auch der Fall.The .NET Framework, and ASP.NET in particular, use XML-formatted configuration files to configure applications. The .NET Framework relies on configuration files to define configuration options. The configuration files are text-based XML files. Multiple configuration files can, and typically do, exist on a single system.

Systemweite Konfiguration von Einstellungen für .NET Framework sind in der Datei "Machine.config" definiert. Die Datei Machine.config befindet sich im %SystemRoot%\Microsoft.NET\Framework%VersionNumber%\CONFIG\ Ordner. Die Standardeinstellungen, die in der Datei Machine.config enthalten sind können geändert werden, um das Verhalten der Anwendung beeinflusst, die auf das gesamte System .NET Framework verwenden.System-wide configuration settings for the .NET Framework are defined in the Machine.config file. The Machine.config file is located in the %SystemRoot%\Microsoft.NET\Framework%VersionNumber%\CONFIG\ folder. The default settings that are contained in the Machine.config file can be modified to affect the behavior of applications that use the .NET Framework on the whole system.

Sie können die ASP.NET-Konfigurationseinstellungen für eine einzelne Anwendung ändern, indem Sie eine Datei Web.config im Stammordner der Anwendung erstellen. Wenn Sie dies tun, werden durch die Einstellungen in der Datei Web.config die Einstellungen in der Datei Machine.config außer Kraft gesetzt.You can change the ASP.NET configuration settings for a single application if you create a Web.config file in the root folder of the application. When you do this, the settings in the Web.config file override the settings in the Machine.config file.

Wenn Sie eine Webanwendung mithilfe der Zentraladministration erweitern, wird in SharePoint Server automatisch eine Datei Web.config für die Webanwendung erstellt.When you extend a Web application by using Central Administration, SharePoint Server automatically creates a Web.config file for the Web application.

In der Momentaufnahme für Webserver und Anwendungsserver weiter oben in diesem Artikel werden Empfehlungen für das Konfigurieren der Datei Web.config aufgelistet. Diese Empfehlungen gelten für jede erstellte Datei Web.config, einschließlich der Datei Web.config für die Website für die Zentraladministration.The Web server and application server snapshot presented earlier in this article lists recommendations for configuring Web.config files. These recommendations are intended to be applied to each Web.config file that is created, including the Web.config file for the Central Administration site.

Weitere Informationen zu ASP.NET-Konfigurationsdateien und zum Bearbeiten der Datei Web.config finden Sie unter ASP.NET-Konfiguration (http://go.microsoft.com/fwlink/p/?LinkID=73257).For more information about ASP.NET configuration files and editing a Web.config file, see ASP.NET Configuration (http://go.microsoft.com/fwlink/p/?LinkID=73257).

Siehe auchSee also

KonzepteConcepts

Sicherheit für SharePoint ServerSecurity for SharePoint Server