Freigeben über


Entwerfen einer Extranetfarmtopologie (Windows SharePoint Services)

Inhalt dieses Artikels:

  • Informationen zu Extranetumgebungen

  • Planen von Extranetumgebungen

  • Edgefirewall-Topologie

  • Back-to-Back-Umkreistopologie

  • Aufteilen einer Back-to-Back-Topologie

Dieser Artikel kann zusammen mit dem folgenden Modell verwendet werden: Extranettopologien für SharePoint-Produkte und -Technologien (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x407).

Informationen zu Extranetumgebungen

Bei einer Extranetumgebung handelt es sich um ein privates Netzwerk, das auf sichere Art und Weise erweitert wird, um Teile der Informationen oder Prozesse einer Organisation für Remotemitarbeiter, externe Partner oder Kunden freizugeben. Mithilfe eines Extranets können Sie alle von Windows SharePoint Services 3.0 gehosteten Inhaltstypen freigeben. Dazu zählen unter anderem Dokumente, Listen, Bibliotheken, Kalender, Blogs und Wikis.

In der folgenden Tabelle werden die Vorteile beschrieben, die sich aus dem Extranet für die einzelnen Gruppen ergeben.

Remotemitarbeiter

Remotemitarbeiter können überall, jederzeit und von jedem Ort aus auf Unternehmensinformationen und elektronische Ressourcen zugreifen, ohne dass dazu ein VPN (virtuelles privates Netzwerk) erforderlich ist. Zu Remotemitarbeitern zählen:

  • Vertriebsmitarbeiter im Außendienst

  • Mitarbeiter, die zu Hause oder am Standort des Kunden arbeiten

  • Geografisch verteilte virtuelle Teams

Externe Partner

Externe Partner können am Geschäftsprozess teilnehmen und mit den Mitarbeitern Ihrer Organisation zusammenarbeiten. Mithilfe eines Extranets können Sie die Datensicherheit folgendermaßen verbessern:

  • Wenden Sie geeignete Sicherheits- und Benutzeroberflächenkomponenten an, um Partner und interne Daten zu isolieren.

  • Autorisieren Sie Partner ausschließlich für die Verwendung von Websites und Daten, die sie für ihre Arbeit benötigen.

  • Lassen Sie nicht zu, dass Partner die Daten anderer Partner anzeigen können.

Sie können die Prozesse und Websites für die Partnerzusammenarbeit folgendermaßen optimieren:

  • Ermöglichen Sie den Mitarbeitern Ihrer Organisation und den Mitarbeitern von Partnern das Anzeigen, Ändern, Hinzufügen und Löschen von Inhalt, um für beide Unternehmen erfolgreiche Ergebnisse zu fördern.

  • Konfigurieren Sie Warnungen, um die Benutzer über geänderten Inhalt oder über das Starten eines Workflows zu benachrichtigen.

Kunden

Websites werden für Kunden zur Verfügung gestellt:

  • Anonymer Zugriff auf Informationen zu Ihrem Unternehmen.

  • Kunden können sich anmelden und an einem Workflow beteiligen.

Windows SharePoint Services 3.0 bietet flexible Optionen zum Konfigurieren des Extranetzugriffs auf Websites. Sie können für eine Teilmenge von Websites in einer Serverfarm den internetgebundenen Zugriff bereitstellen, oder Sie können den Zugriff auf sämtlichen Inhalt einer Serverfarm über das Internet ermöglichen. Sie können Extranetinhalt innerhalb Ihres Unternehmensnetzwerks hosten und den Inhalt über eine Edgefirewall zur Verfügung stellen, oder Sie können die Serverfarm innerhalb eines Umkreisnetzwerks isolieren.

Planen von Extranetumgebungen

Im weiteren Verlauf dieses Artikels werden spezielle Extranettopologien erläutert, die in Windows SharePoint Services 3.0 getestet wurden. Mithilfe der in diesem Artikel erläuterten Topologien können Sie die in Windows SharePoint Services 3.0 verfügbaren Optionen nachvollziehen, einschließlich Anforderungen und Kompromissen.

In den folgenden Abschnitten werden die zusätzlichen Planungsaktivitäten für eine Extranetumgebung hervorgehoben.

Planen der Netzwerk-Edgetechnologie

In jeder Topologie entspricht die dargestellte Netzwerk-Edgetechnologie einem oder beiden der folgenden Produkte aus der Microsoft Forefront Edge-Produktfamilie: Microsoft Internet Security and Acceleration (ISA) Server und Intelligent Application Gateway (IAG) 2007. Weitere Informationen zu diesen Microsoft Forefront Edge-Produkten entnehmen Sie den folgenden Ressourcen:

Hinweis

Andere Netzwerk-Edgetechnologien können ersetzt werden.

IAG Server bietet diese zusätzlichen Features:

  • Verhindern von Informationsverlusten: Es verbleiben keine Restdaten auf dem Clientcomputer; der gesamte Cache, alle temporären Dateien sowie Cookies werden gelöscht.

  • Endpunkt-, zustandsbasierte Autorisierung: Administratoren können eine Zugriffsrichtlinie definieren, die nicht nur auf der Identität des Benutzers und den offengelegten Informationen basiert, sondern auch auf dem Zustand des Clientcomputers.

  • Zugreifen auf SharePoint-Websites über Outlook Web Access: Benutzer können mittels Hyperlinks, die in E-Mails über Outlook Web Access gesendet wurden, auf SharePoint-Websites zugreifen. IAG stellt die Linkübersetzung für Hyperlinks bereit, die auf interne URLs verweisen.

  • Einheitliches Portal: Bei der Anmeldung präsentiert IAG jedem Benutzer eine Liste von SharePoint-Websites und anderen Anwendungen, die diesem Benutzer zur Verfügung stehen und autorisiert sind.

In der folgenden Tabelle wird der Unterschied zwischen den Servern zusammengefasst.

Eigenschaft ISA 2006 IAG 2007

Veröffentlichen von Webanwendungen mithilfe von HTTPS

X

X

Veröffentlichen von internen mobilen Anwendungen auf mobilen Roaminggeräten

X

X

Firewall der Ebene 3

X

X*

Unterstützung ausgehender Szenarien

X

X*

Unterstützung von Arrays

X

Globalisierung und Lokalisierung der Verwaltungskonsole

X

Assistenten und vordefinierte Einstellungen zum Veröffentlichen von SharePoint-Websites und Exchange

X

X

Assistenten und vordefinierte Einstellungen zum Veröffentlichen verschiedener Anwendungen

X

Unterstützung der Active Directory-Verbunddienste (Active Directory Federation Services, ADFS)

X

Umfangreiche Authentifizierung (z. B. Einmalkennwort, formularbasiert, Smartcard)

X

X

Anwendungsschutz (Firewall für Webanwendungen)

Standard

Vollständig

Endpunkt-Zustandserkennung

X

Verhindern von Informationsverlusten

X

Spezifische Zugriffsrichtlinie

X

Einheitliches Portal

X

* Unterstützt von ISA, das in IAG 2007 enthalten ist.

Planen der Authentifizierung und der logischen Architektur

Zusätzlich zum Auswählen oder Entwerfen einer Extranettopologie müssen Sie eine Authentifizierungsstrategie und eine logische Architektur entwerfen, um den gewünschten Benutzern außerhalb des internen Netzwerks den Zugriff zu ermöglichen und um die Websites und den Inhalt der Serverfarm zu sichern. Weitere Informationen dazu finden Sie in den folgenden Artikeln:

Planen von Vertrauensstellungen für Domänen

Wenn sich die Serverfarm innerhalb eines Umkreisnetzwerks befindet, sind für dieses Netzwerk eine gesonderte Active Directory-Verzeichnisdienstinfrastruktur und eine gesonderte Domäne erforderlich. Normalerweise sind Umkreisdomänen und Unternehmensdomänen nicht für eine gegenseitige Vertrauensstellung konfiguriert. Wenn Sie jedoch eine unidirektionale Vertrauensstellung konfigurieren, bei der die Umkreisdomäne der Firmendomäne vertraut, können Sie die Windows-Authentifizierung zum Authentifizieren von internen Mitarbeitern und Remotemitarbeitern mithilfe der Anmeldeinformationen für die Unternehmensdomäne verwenden. Eine weitere Möglichkeit ist die Authentifizierung der Mitarbeiter mithilfe der Formularauthentifizierung oder der Authentifizierung durch einmalige Webanmeldung (Single Sign-On, SSO). Mit diesen Methoden können Sie auch mit einem internen Domänenverzeichnisdienst authentifizieren.

In der folgenden Tabelle werden diese Authentifizierungsoptionen zusammengefasst und es wird darauf hingewiesen, ob eine Vertrauensstellung erforderlich ist.

Szenario Beschreibung

Windows-Authentifizierung

Wenn die Umkreisdomäne der Unternehmensnetzwerkdomäne vertraut, können Sie sowohl interne Mitarbeiter als auch Remotemitarbeiter mithilfe ihrer Anmeldeinformationen für die Unternehmensdomäne authentifizieren.

Formularauthentifizierung und Web-SSO

Mithilfe der Formularauthentifizierung und der einmaligen Webanmeldung können Sie sowohl interne Mitarbeiter als auch Remotemitarbeiter für eine interne Active Directory-Umgebung authentifizieren. Mithilfe der einmaligen Webanmeldung können Sie beispielsweise eine Verbindung mit Active Directory Federation Services (ADFS) herstellen. Für die Verwendung der Formularauthentifizierung oder der einmaligen Webanmeldung ist *keine* Vertrauensstellung zwischen Domänen erforderlich.

Es kann jedoch sein, dass einige Features von Windows SharePoint Services 3.0 nicht verfügbar sind. Dies ist vom Authentifizierungsanbieter abhängig. Weitere Informationen zu den Features, die bei Verwendung der Formularauthentifizierung oder der einmaligen Webanmeldung betroffen sein können, finden Sie unter Planen von Authentifizierungseinstellungen für Webanwendungen (Windows SharePoint Services).

Weitere Informationen zum Konfigurieren einer unidirektionalen Vertrauensstellung in einer Extranetumgebung finden Sie unter Planen des Verstärkens der Sicherheit für Extranetumgebungen (Windows SharePoint Services).

Planen der Verfügbarkeit

Die in diesem Artikel beschriebenen Extranettopologien dienen der Veranschaulichung folgender Aspekte:

  • Wo sich eine Serverfarm innerhalb eines Gesamtnetzwerks befindet

  • Wo sich die einzelnen Serverrollen innerhalb einer Extranetumgebung befinden

Dieser Artikel dient nicht dazu, Ihnen beim Planen der zum Erzielen einer Redundanz bereitzustellenden Serverrollen oder der Anzahl der für die Bereitstellung der einzelnen Rollen benötigten Server zu helfen. Nachdem Sie die Anzahl der für Ihre Umgebung erforderlichen Serverfarmen ermittelt haben, planen Sie unter Verwendung des folgenden Artikels die Topologie für die einzelnen Serverfarmen: Planen der Redundanz (Windows SharePoint Services).

Planen der Verstärkung der Sicherheit

Nachdem Sie Ihre Extranettopologie entworfen haben, planen Sie unter Verwendung den folgenden Ressourcen eine Verstärkung der Sicherheit:

Edgefirewall-Topologie

Bei dieser Konfiguration wird an der Schnittstelle zwischen dem Internet und dem Unternehmensnetzwerk ein Reverseproxyserver verwendet, um Anfragen abzufangen und dann an den entsprechenden Webserver im Intranet weiterzuleiten. Der Proxyserver überprüft anhand konfigurierbarer Regeln, ob die angefragten URLs basierend auf der Zone, aus der die Anfrage stammt, zulässig sind. Die angefragten URLs werden anschließend in interne URLs umgewandelt. In der folgenden Abbildung wird eine Edgefirewall-Topologie veranschaulicht.

Extranetfarmtopologie – Edgefirewall

Vorteile

  • Einfachste Lösung mit den geringsten Hardware- und Konfigurationsanforderungen.

  • Die gesamte Serverfarm befindet sich im Unternehmensnetzwerk.

  • Zentrale Datenquelle:

    • Die Daten befinden sich innerhalb des vertrauenswürdigen Netzwerks.

    • Die Datenverwaltung erfolgt zentral.

    • Durch die Verwendung einer einzelnen Farm für interne und externe Anfragen wird sichergestellt, dass alle authentifizierten Benutzer denselben Inhalt anzeigen.

  • Interne Benutzeranfragen werden nicht über einen Proxyserver geleitet.

Nachteile

  • Resultiert in einer einzelnen Firewall, die das interne Unternehmensnetzwerk vom Internet trennt.

Back-to-Back-Umkreistopologie

In einer Back-to-Back-Umkreistopologie wird die Serverfarm in einem separaten Umkreisnetzwerk isoliert. Dies wird in der folgenden Abbildung veranschaulicht.

Back-to-Back-Umkreistopologie

Diese Topologie weist die folgenden Eigenschaften auf:

  • Die gesamte Hardware und alle Daten befinden sich im Umkreisnetzwerk.

  • Die Serverfarmrollen und die Server für die Netzwerkinfrastruktur können auf mehrere Ebenen verteilt werden. Durch eine Kombination der Netzwerkebenen können Komplexität und Kosten reduziert werden.

  • Die einzelnen Ebenen können durch zusätzliche Router oder Firewalls getrennt werden, um sicherzustellen, dass nur Anfragen aus bestimmten Ebenen zugelassen werden.

  • Anfragen aus dem internen Netzwerk können über den intern verbundenen ISA-Server oder über die öffentliche Schnittstelle des Umkreisnetzwerks weitergeleitet werden.

Vorteile

  • Der Inhalt wird in einer einzelnen Farm des Extranets isoliert, wodurch die Freigabe und Wartung von Inhalt im Intranet und im Extranet vereinfacht werden.

  • Der externe Benutzerzugriff wird auf das Umkreisnetzwerk beschränkt.

  • Bei einer Gefährdung des Extranets beschränken sich Schäden möglicherweise auf die betroffene Ebene oder auf das Umkreisnetzwerk.

  • Mithilfe einer separaten Active Directory-Infrastruktur können externe Benutzerkonten erstellt werden, ohne dass das interne Unternehmensverzeichnis betroffen ist.

Nachteile

  • Erfordert eine zusätzliche Netzwerkinfrastruktur und -konfiguration.

Aufteilen einer Back-to-Back-Topologie

Bei dieser Topologie wird die Serverfarm zwischen dem Umkreis- und dem Unternehmensnetzwerk geteilt. Die Computer, auf denen die Microsoft SQL Server-Datenbanksoftware ausgeführt wird, werden innerhalb des Unternehmensnetzwerks gehostet. Die Webserver befinden sich im Umkreisnetzwerk. Suchserver können entweder im Umkreisnetzwerk oder im Unternehmensnetzwerk gehostet werden.

Geteilte Back-to-Back-Topologie

In der vorherigen Abbildung gilt Folgendes:

  • Der Suchserver wird innerhalb des Umkreisnetzwerks gehostet. Diese Option wird in der gestrichelten Linie durch den blauen Server verdeutlicht.

  • Suchserver können optional innerhalb des Unternehmensnetzwerks zusammen mit den Datenbankservern bereitgestellt werden. Diese Option wird durch den grauen Server auf der gepunkteten Linie veranschaulicht. Für das Bereitstellen von Suchservern und Datenbankservern im Unternehmensnetzwerk ist außerdem eine Active Directory-Umgebung erforderlich, die diese Server unterstützt (durch graue Server im Unternehmensnetzwerk veranschaulicht).

Wenn die Serverfarm zwischen dem Umkreis- und dem Unternehmensnetzwerk geteilt ist und sich die Datenbankserver innerhalb des Unternehmensnetzwerks befinden, ist bei Verwendung von Windows-Konten für den Zugriff auf SQL Server eine Vertrauensstellung für Domänen erforderlich. In diesem Szenario muss die Umkreisdomäne der Unternehmensdomäne vertrauen. Bei Verwendung der SQL-Authentifizierung ist keine Vertrauensstellung für Domänen erforderlich. Weitere Informationen zum Konfigurieren von Konten für diese Topologie finden Sie unter dem Thema "Domänenvertrauensstellungen" des Artikels Planen des Verstärkens der Sicherheit für Extranetumgebungen (Windows SharePoint Services).

Wenn Sie sowohl die Suchleistung als auch die Crawlingvorgänge optimieren möchten, positionieren Sie die Suchserverrolle zusammen mit den Datenbankservern im Unternehmensnetzwerk. Sie können auch innerhalb des Unternehmensnetzwerks einem Suchserver die Webserverrolle hinzufügen und diesen Webserver für die dedizierte Verwendung durch die Suchrolle für Inhaltscrawlings konfigurieren. Wenn Sie Webserver im Umkreisnetzwerk und die Suchrolle im Unternehmensnetzwerk positionieren, müssen Sie eine unidirektionale Vertrauensstellung konfigurieren, in der die Domäne des Umkreisnetzwerks der Domäne des Unternehmensnetzwerks vertraut. Diese unidirektionale Vertrauensstellung dieses Szenarios ist für die Unterstützung der Serverkommunikation mit der Serverfarm erforderlich. Dabei ist es unerheblich, ob Sie für den Zugriff auf SQL Server die Windows- oder die SQL-Authentifizierung verwenden.

Vorteile

Vorteile der geteilten Back-to-Back-Topologie:

  • Computer, auf denen SQL Server ausgeführt wird, werden nicht im Umkreisnetzwerk gehostet.

  • Für Farmkomponenten innerhalb des Unternehmens- und des Umkreisnetzwerks können dieselben Datenbanken verwendet werden.

  • Mithilfe einer separaten Active Directory-Infrastruktur können externe Benutzerkonten erstellt werden, ohne dass sich dies auf das interne Unternehmensverzeichnis auswirkt.

Nachteile

  • Die Lösung wird deutlich komplexer.

  • Angreifer, die die Ressourcen des Umkreisnetzwerks gefährden, können mithilfe der Serverfarmkonten Zugriff auf den im Unternehmensnetzwerk gespeicherten Farminhalt erhalten.

  • Die Kommunikation zwischen den Farmen wird normalerweise zwischen zwei Domänen aufgeteilt.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services.