Planen des Verstärkens der Sicherheit von Extranetumgebungen
Inhalt dieses Artikels:
Planungstool für das Verstärken der Extranetsicherheit
Netzwerktopologie
Domänenvertrauensstellungen
Kommunikation mit Serverfarmrollen
Kommunikation mit Infrastrukturserverrollen
Anforderungen für die Unterstützung von Dokumentkonvertierungen
Kommunikation zwischen Netzwerkdomänen
Verbindungen mit externen Servern
In diesem Artikel werden die Anforderungen für das Verstärken der Sicherheit einer Extranetumgebung beschrieben, in der sich eine Microsoft Office SharePoint Server 2007-Serverfarm innerhalb eines Umkreisnetzwerks befindet und Inhalte über das Internet oder das Firmennetzwerk verfügbar sind.
Weitere Informationen zu unterstützten Extranettopologien finden Sie unter Entwerfen einer Extranetfarmtopologie (Office SharePoint Server).
Planungstool für das Verstärken der Extranetsicherheit
Das folgende Planungstool ist für die Verwendung mit diesem Artikel verfügbar: Planungstool für das Verstärken der Extranetsicherheit: Back-to-Back-Umkreis (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=85533&clcid=0x407). Basierend auf der Back-to-Back-Umkreistopologie formuliert dieses Tool die Portanforderungen für jeden Computer, auf dem Microsoft Internet Security and Acceleration (ISA) Server ausgeführt wird, sowie für jeden Router oder jede Firewall. Bei diesem Tool handelt es sich um eine bearbeitbare Microsoft Office Visio-Datei, die Sie für Ihre Umgebung überarbeiten können. Sie haben die folgenden Möglichkeiten:
Hinzufügen benutzerdefinierter Portnummern, sofern zutreffend
Angeben der verwendeten Ports bei Verfügbarkeit mehrerer Protokolle oder Ports
Angeben der Ports, die in der Umgebung für die Datenbankkommunikation verwendet werden
Hinzufügen oder Entfernen der Anforderungen für Ports basierend auf folgenden Faktoren:
Konfigurieren Sie die E-Mail-Integration?
In welcher Ebene stellen Sie die Abfragerolle bereit?
Konfigurieren Sie eine Domänenvertrauensstellung zwischen der Umkreisdomäne und der Unternehmensdomäne?
Wenn Sie weitere Planungstools für andere unterstützte Extranettopologien sehen möchten, setzen Sie uns darüber in Kenntnis, indem Sie uns einen Kommentar zu diesem Artikel senden.
Netzwerktopologie
Die Anleitung zum Verstärken der Sicherheit in diesem Artikel kann auf viele verschiedene Extranetkonfigurationen angewendet werden. Im folgenden Diagramm einer Back-to-Back-Umkreistopologie wird ein Beispiel für eine Implementierung gezeigt, und die Server- und Clientrollen innerhalb einer Extranetumgebung werden veranschaulicht. Zweck des Diagramms ist die Darstellung aller möglichen Rollen und ihrer Beziehung zur gesamten Umgebung. Daher wird die Abfragerolle zweimal angezeigt. In einer realen Implementierung wird die Abfragerolle entweder auf Webservern oder als Anwendungsserver bereitgestellt, aber nicht beides gleichzeitig. Wenn die Abfragerolle den Webservern bereitgestellt wird, wird sie sämtlichen Webservern in einer Farm bereitgestellt. Zum Veranschaulichen der Anforderungen für das Verstärken der Sicherheit sind im Diagramm alle Möglichkeiten dargestellt. Die dargestellten Router können durch Firewalls ausgetauscht werden.
Domänenvertrauensstellungen
Die Notwendigkeit einer Domänenvertrauensstellung hängt von der Konfiguration der Serverfarm ab. In diesem Abschnitt werden zwei mögliche Konfigurationen erläutert.
Die Serverfarm befindet sich im Umkreisnetzwerk
Das Umkreisnetzwerk erfordert eine eigene Infrastruktur und Domäne für den Active Directory-Verzeichnisdienst. Normalerweise sind die Umkreisdomäne und die Firmendomäne nicht so konfiguriert, dass sie einander vertrauen. Für die Authentifizierung von Intranetbenutzern und Mitarbeitern an Remotestandorten, die ihre Domänenanmeldeinformationen verwenden (Windows-Authentifizierung), müssen Sie jedoch eine unidirektionale Vertrauensstellung konfigurieren, damit die Umkreisdomäne der Firmendomäne vertraut. Die Formularauthentifizierung und die Web-SSO erfordern keine Domänenvertrauensstellung.
Die Serverfarm ist zwischen Umkreisnetzwerk und Firmennetzwerk aufgeteilt
Wenn die Serverfarm zwischen dem Umkreis- und dem Firmennetzwerk aufgeteilt ist und sich die Datenbankserver innerhalb des Firmennetzwerks befinden, ist bei Verwendung von Windows-Konten eine Domänenvertrauensstellung erforderlich. In diesem Szenario muss das Umkreisnetzwerk dem Firmennetzwerk vertrauen. Bei Verwendung der SQL-Authentifizierung wird keine Domänenvertrauensstellung benötigt. In der folgenden Tabelle werden die Unterschiede zwischen diesen beiden Ansätzen dargestellt.
Windows-Authentifizierung | SQL-Authentifizierung | |
---|---|---|
Beschreibung |
Firmendomänenkonten werden für alle Dienst- und Verwaltungskonten von Microsoft Office SharePoint Server 2007, einschließlich Anwendungspoolkonten, verwendet. Es ist eine unidirektionale Vertrauensstellung erforderlich, bei der das Umkreisnetzwerk dem Firmennetzwerk vertraut. |
Die Microsoft Office SharePoint Server 2007-Konten sind auf folgende Weise konfiguriert:
Eine Vertrauensstellung ist nicht erforderlich, kann jedoch zur Unterstützung der Clientauthentifizierung für einen internen Domänencontroller konfiguriert werden. Hinweis Wenn sich die Anwendungsserver in der Unternehmensdomäne befinden, ist eine unidirektionale Vertrauensstellung erforderlich, in der das Umkreisnetzwerk dem Firmennetzwerk vertraut. |
Setup |
Setup umfasst Folgendes:
|
Setup umfasst Folgendes:
|
Zusätzliche Informationen |
Die unidirektionale Vertrauensstellung ermöglicht den Web- und Anwendungsservern, die mit den Konten in der Extranetdomäne verbunden sind, Konten in der Firmendomäne aufzulösen. |
|
Bei den Angaben in der vorangehenden Tabelle wird Folgendes vorausgesetzt:
Sowohl die Web- als auch die Anwendungsserver befinden sich im Umkreisnetzwerk.
Alle Konten werden mit den geringsten erforderlichen Rechten erstellt. Dazu gehören folgende Empfehlungen:
Es werden separate Konten für alle Verwaltungs- und Dienstkonten erstellt.
Kein Konto ist Mitglied der Administratorgruppe. Dies gilt für alle Computer, einschließlich des Servercomputers, auf dem SQL Server ausgeführt wird.
Wenn Sie die SQL-Authentifizierung verwenden, müssen die folgenden SQL-Anmeldenamen mit den folgenden Berechtigungen erstellt werden:
Die SQL-Anmeldung für das Konto, das zum Ausführen des Psconfig-Befehlszeilentool verwendet wird Das Konto muss Mitglied der folgenden SQL-Rollen sein: dbcreator und securityadmin. Das Konto muss Mitglied der Gruppe Administratoren auf jedem Server sein, auf dem Setup ausgeführt wird (nicht auf dem Datenbankserver).
Die SQL-Anmeldung für das Serverfarmkonto Diese Anmeldung wird zum Erstellen der Konfigurationsdatenbank und der SharePoint AdminContent-Datenbank verwendet. Die Anmeldung muss die Rolle dbcreator enthalten. Die Anmeldung muss kein Mitglied der Rolle securityadmin sein. Der Benutzername muss mithilfe der SQL-Authentifizierung erstellt werden. Konfigurieren Sie das Serverfarmkonto für die Verwendung der SQL-Authentifizierung mit dem Kennwort, das bei der Erstellung der SQL-Anmeldung angegeben wird.
SQL-Anmeldung für alle anderen Datenbanken Die Anmeldung muss mithilfe der SQL-Authentifizierung erstellt werden. Die Anmeldung muss Mitglied der folgenden SQL-Rollen sein: dbcreator und securityadmin.
Weitere Informationen zu Microsoft Office SharePoint Server 2007-Konten finden Sie unter Planen administrativer Konten und Planen von Dienstkonten (Office SharePoint Server).
Weitere Informationen zum Erstellen von Datenbanken mithilfe des Befehlszeilentools Psconfig finden Sie unter Befehlszeilenreferenz für den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien (Office SharePoint Server).
Kommunikation mit Serverfarmrollen
Beim Konfigurieren einer Extranetumgebung ist es wichtig zu verstehen, wie die verschiedenen Serverrollen innerhalb der Serverfarm kommunizieren.
Kommunikation zwischen Serverrollen
In der folgenden Abbildung sind die Kommunikationskanäle innerhalb einer Serverfarm veranschaulicht. In der Tabelle direkt nach der Abbildung sind die Ports und Protokolle angegeben, die in der Abbildung dargestellt werden. Die schwarzen durchgezogenen Pfeile kennzeichnen die Serverrolle, die die Kommunikation initiiert. Beispielsweise initiiert die Rolle Dienste für Excel-Berechnungen die Kommunikation mit dem Datenbankserver. Der Datenbankserver initiiert keine Kommunikation mit der Rolle Dienste für Excel-Berechnungen. Ein roter punktierter Pfeil gibt an, dass beide Server die Kommunikation initiieren. Dies ist eine wichtige Information beim Konfigurieren der eingehenden und ausgehenden Kommunikation an einer Firewall.
Legende | Ports und Protokolle |
---|---|
1 |
Clientzugriff (einschließlich der Verwaltung von Informationsrechten (IRM) und Suchabfragen) – mindestens eine der folgenden Einstellungen:
|
2 |
Datei- und Druckerfreigabe – *eine* der folgenden Einstellungen:
|
3 |
Office Server-Webdienste – *beides*:
|
4 |
Datenbankkommunikation:
|
5 |
Crawlvorgang der Suche: Je nachdem wie die Authentifizierung konfiguriert ist, werden SharePoint-Websites möglicherweise um eine zusätzliche Zone oder um eine IIS-Site (Internet Information Services) erweitert, damit die Indexkomponente auf den Inhalt zugreifen kann. Diese Konfiguration kann dazu führen, dass benutzerdefinierte Ports verwendet werden.
|
6 |
Dienst für einmaliges Anmelden – Jede Serverrolle, die den SSO-Dienst ausführt, muss mit dem Server für den Verschlüsselungschlüssel mithilfe von RPC (Remote Procedure Call, Remoteprozeduraufruf) kommunizieren können. Dies umfasst alle Webserver, die Rolle Dienste für Excel-Berechnungen und die Rolle Index. Wenn ein benutzerdefinierter Security Trimmer auf dem Abfrageserver installiert ist und dieser den Zugriff auf SSO-Daten erfordert, wird der SSO-Dienst für diese Serverrolle ebenfalls ausgeführt. RPC erfordert TCP-Port 135 und *entweder*:
Weitere Informationen zum Server für den Verschlüsselungsschlüssel und zu den Serverrollen, die den SSO-Dienst erfordern, finden Sie unter Planen des einmaligen Anmeldens. |
Webserver führen automatisch einen Lastenausgleich der Abfrageanforderungen auf verfügbare Abfrageserver aus. Wenn die Abfragerolle über Webservercomputer hinweg bereitgestellt wird, kommunizieren diese Server folglich über den Datei- und Druckerfreigabedienst und die Office Server-Webdienste miteinander. Die folgende Abbildung zeigt die Kommunikationskanäle zwischen diesen Servern.
Kommunikation zwischen Verwaltungssites und Serverrollen
Zu den Verwaltungssites gehören die folgenden:
Zentraladministrationswebsite – Diese Website kann auf einem Anwendungsserver oder einem Webserver installiert werden.
Verwaltungssites der gemeinsamen Dienste – Diese Websites werden zwischen Webservern gespiegelt.
Dieser Abschnitt erläutert die Port- und Protokollanforderungen für die Kommunikation zwischen einer Administratorarbeitsstation und den Serverrollen innerhalb der Farm. Die Zentraladministrationswebsite kann auf jedem Webserver oder Anwendungsserver installiert werden. Konfigurationsänderungen, die über die Zentraladministrationswebsite vorgenommen werden, werden der Konfigurationsdatenbank mitgeteilt. Andere Serverrollen in der Farm übernehmen dann die Konfigurationsänderungen während ihrer Abrufzyklen aus der Konfigurationsdatenbank. Folglich stellt die Zentraladministrationswebsite keine neuen Kommunikationsanforderungen für andere Serverrollen in der Serverfarm.
Die folgende Abbildung zeigt die Kommunikationskanäle von einer Administratorarbeitsstation zu den Verwaltungssites und der Konfigurationsdatenbank.
In der folgenden Tabelle sind die Ports und Protokolle beschrieben, die in der obigen Abbildung dargestellt sind.
Legende | Ports und Protokolle |
---|---|
A |
Verwaltungssite der gemeinsamen Dienste – mindestens eine der folgenden Einstellungen:
|
B |
Website für die SharePoint-Zentraladministration – mindestens eine der folgenden Einstellungen:
|
C |
Datenbankkommunikation:
|
Kommunikation mit Infrastrukturserverrollen
Beim Konfigurieren einer Extranetumgebung ist es wichtig zu verstehen, wie die verschiedenen Serverrollen zwischen den Servercomputern innerhalb der Infrastruktur kommunizieren.
Active Directory-Domänencontroller
In der folgenden Tabelle sind die Portanforderungen für eingehende Verbindungen zwischen den einzelnen Serverrollen und einem Active Directory-Domänencontroller aufgeführt.
Element | Webserver | Abfrage-server | Index-server | Dienste für Excel-Berechnungen | Datenbankserver |
---|---|---|---|---|---|
TCP/UDP 445 (Verzeichnisdienste) |
X |
X |
X |
X |
X |
TCP/UDP 88 (Kerberos-Authentifizierung) |
X |
X |
X |
X |
X |
Standardmäßig LDAP/LDAPS-Ports 389/636 (Lightweight Directory Access-Protokoll), anpassbar |
X |
X |
X |
LDAP/LDAPS-Ports sind für Serverrollen basierend auf den folgenden Bedingungen erforderlich:
Webserver LDAP/LDAPS-Ports werden verwendet, wenn die LDAP-Authentifizierung konfiguriert ist.
Indexserver Die Rolle erfordert LDAP/LDAPS-Ports zum Importieren von Profilen von den Domänencontrollern, die als Profilimportquellen konfiguriert sind, unabhängig davon, wo sie sich befinden.
Dienste für Excel-Berechnungen LDAP/LDAPS-Ports werden nur dann verwendet, wenn Datenquellenverbindungen für die Authentifizierung mit LDAP konfiguriert sind.
DNS-Server
In der folgenden Tabelle sind die Portanforderungen für eingehende Verbindungen zwischen den einzelnen Serverrollen und einem DNS-Server aufgeführt. In vielen Extranetumgebungen dient ein einzelner Servercomputer als Host für den Active Directory-Domänencontroller und den DNS-Server.
Element | Webserver | Abfrageserver | Indexserver | Dienste für Excel-Berechnungen | Datenbankserver |
---|---|---|---|---|---|
DNS, TCP/UDP 53 |
X |
X |
X |
X |
X |
SMTP-Dienst
Für die E-Mail-Integration muss auf mindestens einem der Front-End-Webserver in der Serverfarm der SMTP-Dienst (Simple Mail Transport-Protokoll) unter Verwendung des TCP-Ports 25 verwendet werden. Der SMTP-Dienst ist für die eingehende E-Mail-Kommunikation (eingehende Verbindungen) erforderlich. Für ausgehende E-Mail-Nachrichten können Sie entweder den SMTP-Dienst verwenden oder die Nachrichten über einen dedizierten E-Mail-Server in Ihrem Unternehmen weiterleiten, z. B. einen Computer mit Microsoft Exchange Server.
Element | Webserver | Abfrageserver | Indexserver | Dienste für Excel-Berechnungen | Datenbankserver |
---|---|---|---|---|---|
TCP-Port 25 |
X |
Anforderungen für die Unterstützung von Dokumentkonvertierungen
Wenn Sie auf dem Server Dokumentkonverter verwenden, müssen die folgenden Dienste auf einem Anwendungsserver installiert und gestartet werden:
Startprogrammdienst für die Dokumentkonvertierung
Lastenausgleichsdienst für die Dokumentkonvertierung
Diese Dienste werden normalerweise auf dem gleichen Anwendungsserver oder auf separaten Anwendungsservern installiert, je nachdem, welche Topologie Ihre Anforderungen am besten erfüllt. Diese Dienste können bei Bedarf auch auf einem oder mehreren Webservern installiert werden. Wenn diese Dienste auf separaten Servern installiert sind, muss die Kommunikation zwischen diesen verschiedenen Servern möglich sein.
In der folgenden Tabelle sind die Port- und Protokollanforderungen für diese Dienste aufgeführt. Diese Anforderungen gelten nicht für Serverrollen in der Farm, für die keiner dieser Dienste installiert ist.
Dienst | Anforderung |
---|---|
Startprogrammdienst für die Dokumentkonvertierung |
TCP-Port 8082, für TCP oder SSL anpassbar |
Lastenausgleichsdienst für die Dokumentkonvertierung |
TCP-Port 8093, für TCP oder SSL anpassbar |
Informationen zum Konfigurieren dieser Dienste in einer Serverfarm finden Sie unter Topologie zum Entwerfen von Dokumentkonvertierungen.
Kommunikation zwischen Netzwerkdomänen
Active Directory-Kommunikation
Damit die Active Directory-Kommunikation zwischen Domänen die Authentifizierung für einen Domänencontroller innerhalb des Firmennetzwerks unterstützt, muss mindestens eine unidirektionale Vertrauensstellung bestehen, bei der das Umkreisnetzwerk dem Firmennetzwerk vertraut.
Im Beispiel in der ersten Abbildung in diesem Artikel sind die folgenden Ports als eingehende Verbindungen zu ISA-Server B erforderlich, damit eine unidirektionale Vertrauensstellung unterstützt wird:
TCP/UDP 135 (RPC)
Standardmäßig TCP/UDP 389, anpassbar (LDAP)
Standardmäßig TCP 636, anpassbar (LDAP SSL)
TCP 3268 (LDAP GC)
TCP 3269 (LDAP GC SSL)
TCP/UDP 53 (DNS)
TCP/UDP 88 (Kerberos)
TCP/UDP 445 (Verzeichnisdienste)
TCP/UDP 749 (Kerberos-Adm)
TCP-Port 750 (Kerberos-IV)
Beim Konfigurieren des ISA-Servers B (oder eines anderen Geräts zwischen dem Umkreis- und dem Firmennetzwerk) muss für die Netzwerkbeziehung die Weiterleitung definiert sein. Definieren Sie die Netzwerkbeziehung nicht als Netzwerkadressübersetzung (Network Address Translation, NAT).
Weitere Informationen zu Anforderungen für das Verstärken der Sicherheit in Bezug auf Vertrauensstellungen finden Sie in den folgenden Ressourcen:
Konfigurieren einer Firewall für Domänen und Vertrauensstellungen (https://go.microsoft.com/fwlink/?linkid=83470&clcid=0x407)
Planungstool für das Verstärken der Extranetsicherheit: Back-to-Back-Umkreis (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x407)
Verstärken der Sicherheit für die Veröffentlichung von Inhalten
Zum Veröffentlichen von Inhalt ist eine unidirektionale Kommunikation zwischen der Zentraladministrationswebsite der Quellserverfarm und der Zentraladministrationswebsite der Zielserverfarm erforderlich. Für das Verstärken der Sicherheit gelten die folgenden Anforderungen:
Die Portnummer, die für die Zentraladministrationswebsite der Zielserverfarm verwendet wird.
TCP 80 oder 443 ausgehend von der Quellfarm (für Simple Object Access-Protokoll (SOAP) und HTTP Post).
Beim Konfigurieren einer Inhaltbereitstellung in der Quellfarm geben Sie das Konto für die Authentifizierung bei der Zielfarm an. Eine Vertrauensstellung zwischen Domänen ist nicht erforderlich, um Inhalte aus einer Domäne in einer anderen zu veröffentlichen. Es gibt jedoch die folgenden zwei Kontooptionen zum Bereitstellen von Inhalt – eine davon erfordert eine Domänenvertrauensstellung:
Wenn das Anwendungspoolkonto der Quellfarm über Berechtigungen für die Zentraladministration der Zielfarm verfügt, wählen Sie die Option Anwendungspoolkonto verwenden. Hierfür ist eine unidirektionale Vertrauensstellung erforderlich, bei der die Domäne der Zielfarm der Domäne der Quellfarm vertraut.
Sie können auch manuell ein Konto auswählen, anstatt das Anwendungspoolkonto zu verwenden. In diesem Fall muss sich das Konto nicht in der Netzwerkdomäne der Quellfarm befinden. Normalerweise ist das Konto für die Zielfarm eindeutig. Das Konto kann die integrierte Windows-Authentifizierung oder die Standardauthentifizierung verwenden.
Verbindungen mit externen Servern
Verschiedene Features von Microsoft Office SharePoint Server 2007 können für den Zugriff auf Daten konfiguriert werden, die sich auf Servercomputern außerhalb der Serverfarm befinden. Wenn Sie den Zugriff auf Daten auf externen Servercomputern konfigurieren, sollten Sie sicherstellen, dass die Kommunikation zwischen den entsprechenden Computern aktiviert ist. In den meisten Fällen sind die verwendeten Ports, Protokolle und Dienste von der externen Ressource abhängig. Zum Beispiel:
Für Verbindungen mit Dateifreigaben wird der Datei- und Druckerfreigabedienst verwendet.
Für Verbindungen mit externen SQL Server-Datenbanken werden die standardmäßigen oder angepassten Ports für die SQL Server-Kommunikation verwendet.
Für Verbindungen mit Oracle wird normalerweise OLE DB verwendet.
Für Verbindungen mit Webdiensten werden sowohl HTTP als auch HTTPS verwendet.
In der folgenden Tabelle sind die Features aufgeführt, die für den Zugriff auf Daten, die sich auf Servercomputern außerhalb der Serverfarm befinden, konfiguriert werden können.
Feature | Beschreibung |
---|---|
Inhaltscrawling |
Sie können Crawlregeln für das Crawlen von Daten auf externen Ressourcen, einschließlich Websites, Dateifreigaben, öffentlichen Exchange-Ordnern und Branchenanwendungen konfigurieren. Beim Crawlen externer Datenquellen kommuniziert die Indexrolle direkt mit diesen externen Ressourcen. Weitere Informationen finden Sie unter Planen des Crawlens von Inhalten (Office SharePoint Server). |
Geschäftsdatenkatalog-Verbindungen |
Webserver und Anwendungsserver kommunizieren direkt mit Computern, die für Geschäftsdatenkatalog-Verbindungen konfiguriert sind. Weitere Informationen finden Sie unter Planen von Geschäftsdatenverbindungen mit dem Geschäftsdatenkatalog. |
Empfangen von Microsoft Office Excel-Arbeitsblättern |
Wenn Arbeitsmappen, die in Excel-Diensten geöffnet sind, eine Verbindung mit einer externen Datenquelle (z. B. Analysis Services und SQL Server) herstellen, müssen geeignete TCP/IP-Ports zum Verbinden mit dieser externen Datenquelle geöffnet werden. Weitere Informationen finden Sie unter Planen externer Datenverbindungen für Excel Services. Wenn UNC-Pfade (Universal Naming Convention) in Excel Services als vertrauenswürdige Websites konfiguriert sind, verwendet die Anwendungsrolle Dienste für Excel-Berechnungen die Protokolle und Ports des Datei- und Druckerfreigabediensts zum Empfangen von Office Excel-Arbeitsmappen über einen UNC-Pfad. Arbeitsmappen, die in Inhaltsdatenbanken gespeichert sind oder durch Benutzer auf Websites hochgeladen bzw. von Websites heruntergeladen werden, sind von dieser Kommunikation nicht betroffen. |
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Planung und Architektur für Office SharePoint Server 2007, Teil 2 (in englischer Sprache)
Planen einer Extranetumgebung für Office SharePoint Server (in englischer Sprache)
Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007