Planen des Verstärkens der Sicherheit von Extranetumgebungen

  • Artikel

Inhalt dieses Artikels:

  • Planungstool für das Verstärken der Extranetsicherheit

  • Netzwerktopologie

  • Domänenvertrauensstellungen

  • Kommunikation mit Serverfarmrollen

  • Kommunikation mit Infrastrukturserverrollen

  • Anforderungen für die Unterstützung von Dokumentkonvertierungen

  • Kommunikation zwischen Netzwerkdomänen

  • Verbindungen mit externen Servern

In diesem Artikel werden die Anforderungen für das Verstärken der Sicherheit einer Extranetumgebung beschrieben, in der sich eine Microsoft Office SharePoint Server 2007-Serverfarm innerhalb eines Umkreisnetzwerks befindet und Inhalte über das Internet oder das Firmennetzwerk verfügbar sind.

Weitere Informationen zu unterstützten Extranettopologien finden Sie unter Entwerfen einer Extranetfarmtopologie (Office SharePoint Server).

Planungstool für das Verstärken der Extranetsicherheit

Das folgende Planungstool ist für die Verwendung mit diesem Artikel verfügbar: Planungstool für das Verstärken der Extranetsicherheit: Back-to-Back-Umkreis (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=85533&clcid=0x407). Basierend auf der Back-to-Back-Umkreistopologie formuliert dieses Tool die Portanforderungen für jeden Computer, auf dem Microsoft Internet Security and Acceleration (ISA) Server ausgeführt wird, sowie für jeden Router oder jede Firewall. Bei diesem Tool handelt es sich um eine bearbeitbare Microsoft Office Visio-Datei, die Sie für Ihre Umgebung überarbeiten können. Sie haben die folgenden Möglichkeiten:

  • Hinzufügen benutzerdefinierter Portnummern, sofern zutreffend

  • Angeben der verwendeten Ports bei Verfügbarkeit mehrerer Protokolle oder Ports

  • Angeben der Ports, die in der Umgebung für die Datenbankkommunikation verwendet werden

  • Hinzufügen oder Entfernen der Anforderungen für Ports basierend auf folgenden Faktoren:

    • Konfigurieren Sie die E-Mail-Integration?

    • In welcher Ebene stellen Sie die Abfragerolle bereit?

    • Konfigurieren Sie eine Domänenvertrauensstellung zwischen der Umkreisdomäne und der Unternehmensdomäne?

Wenn Sie weitere Planungstools für andere unterstützte Extranettopologien sehen möchten, setzen Sie uns darüber in Kenntnis, indem Sie uns einen Kommentar zu diesem Artikel senden.

Netzwerktopologie

Die Anleitung zum Verstärken der Sicherheit in diesem Artikel kann auf viele verschiedene Extranetkonfigurationen angewendet werden. Im folgenden Diagramm einer Back-to-Back-Umkreistopologie wird ein Beispiel für eine Implementierung gezeigt, und die Server- und Clientrollen innerhalb einer Extranetumgebung werden veranschaulicht. Zweck des Diagramms ist die Darstellung aller möglichen Rollen und ihrer Beziehung zur gesamten Umgebung. Daher wird die Abfragerolle zweimal angezeigt. In einer realen Implementierung wird die Abfragerolle entweder auf Webservern oder als Anwendungsserver bereitgestellt, aber nicht beides gleichzeitig. Wenn die Abfragerolle den Webservern bereitgestellt wird, wird sie sämtlichen Webservern in einer Farm bereitgestellt. Zum Veranschaulichen der Anforderungen für das Verstärken der Sicherheit sind im Diagramm alle Möglichkeiten dargestellt. Die dargestellten Router können durch Firewalls ausgetauscht werden.

Diagramm zur Verstärkung der Extranetsicherheit

Domänenvertrauensstellungen

Die Notwendigkeit einer Domänenvertrauensstellung hängt von der Konfiguration der Serverfarm ab. In diesem Abschnitt werden zwei mögliche Konfigurationen erläutert.

Die Serverfarm befindet sich im Umkreisnetzwerk

Das Umkreisnetzwerk erfordert eine eigene Infrastruktur und Domäne für den Active Directory-Verzeichnisdienst. Normalerweise sind die Umkreisdomäne und die Firmendomäne nicht so konfiguriert, dass sie einander vertrauen. Für die Authentifizierung von Intranetbenutzern und Mitarbeitern an Remotestandorten, die ihre Domänenanmeldeinformationen verwenden (Windows-Authentifizierung), müssen Sie jedoch eine unidirektionale Vertrauensstellung konfigurieren, damit die Umkreisdomäne der Firmendomäne vertraut. Die Formularauthentifizierung und die Web-SSO erfordern keine Domänenvertrauensstellung.

Die Serverfarm ist zwischen Umkreisnetzwerk und Firmennetzwerk aufgeteilt

Wenn die Serverfarm zwischen dem Umkreis- und dem Firmennetzwerk aufgeteilt ist und sich die Datenbankserver innerhalb des Firmennetzwerks befinden, ist bei Verwendung von Windows-Konten eine Domänenvertrauensstellung erforderlich. In diesem Szenario muss das Umkreisnetzwerk dem Firmennetzwerk vertrauen. Bei Verwendung der SQL-Authentifizierung wird keine Domänenvertrauensstellung benötigt. In der folgenden Tabelle werden die Unterschiede zwischen diesen beiden Ansätzen dargestellt.

Windows-Authentifizierung SQL-Authentifizierung

Beschreibung

Firmendomänenkonten werden für alle Dienst- und Verwaltungskonten von Microsoft Office SharePoint Server 2007, einschließlich Anwendungspoolkonten, verwendet.

Es ist eine unidirektionale Vertrauensstellung erforderlich, bei der das Umkreisnetzwerk dem Firmennetzwerk vertraut.

Die Microsoft Office SharePoint Server 2007-Konten sind auf folgende Weise konfiguriert:

  • Die SQL-Authentifizierung wird für jede erstellte Datenbank verwendet.

  • Alle anderen Verwaltungs- und Dienstkonten werden als Domänenkonten im Umkreisnetzwerk erstellt.

  • Web- und Anwendungsserver werden mit dem Umkreisnetzwerk verbunden.

Eine Vertrauensstellung ist nicht erforderlich, kann jedoch zur Unterstützung der Clientauthentifizierung für einen internen Domänencontroller konfiguriert werden.

Hinweis

Wenn sich die Anwendungsserver in der Unternehmensdomäne befinden, ist eine unidirektionale Vertrauensstellung erforderlich, in der das Umkreisnetzwerk dem Firmennetzwerk vertraut.

Setup

Setup umfasst Folgendes:

  • In der Unternehmensdomäne werden Verwaltungs- und Dienstkonten für Microsoft Office SharePoint Server 2007 erstellt.

  • Web- und Anwendungsserver werden mit dem Umkreisnetzwerk verbunden.

  • Es wird eine Vertrauensstellung eingerichtet, bei der die Umkreisdomäne der Firmendomäne vertraut.

Setup umfasst Folgendes:

  • Alle Datenbankkonten müssen als SQL-Anmeldekonten in SQL Server 2000 Enterprise Manager oder in SQL Server 2005 Management Studio erstellt werden. Diese Konten müssen erstellt werden, *bevor* Microsoft Office SharePoint Server 2007-Datenbanken, einschließlich der Konfigurationsdatenbank und der AdminContent-Datenbank, erstellt werden.

  • Sie müssen das Psconfig-Befehlszeilentool verwenden, um die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank zu erstellen. Diese Datenbanken können nicht mit dem Konfigurations-Assistenten für SharePoint-Produkte und -Technologien erstellt werden. Zusätzlich zu den Parametern -user und -password für das Serverfarmkonto müssen Sie die Parameter -dbuser und -dbpassword verwenden, um SQL-Authentifizierungskonten anzugeben.

  • Sie können zusätzliche Inhaltsdatenbanken in der Zentraladministration erstellen, indem Sie die Option SQL-Authentifizierung auswählen. Allerdings müssen Sie zuerst die SQL-Anmeldekonten in SQL Server 2000 Enterprise Manager oder SQL Server 2005 Management Studio erstellen.

  • Sichern Sie die gesamte Kommunikation mit den Datenbankservern mithilfe von SSL.

  • Stellen Sie sicher, dass die für die Kommunikation mit SQL Server verwendeten Ports zwischen dem Umkreis- und dem Firmennetzwerk geöffnet bleiben.

Zusätzliche Informationen

Die unidirektionale Vertrauensstellung ermöglicht den Web- und Anwendungsservern, die mit den Konten in der Extranetdomäne verbunden sind, Konten in der Firmendomäne aufzulösen.

  • SQL-Anmeldekonten werden in der Registrierung der Web- und Anwendungsserver verschlüsselt.

  • Der Zugriff auf die Konfigurations- und die SharePoint_AdminContent-Datenbank erfolgt nicht über das Serverfarmkonto. Stattdessen werden die entsprechenden SQL-Anmeldekonten verwendet.

Bei den Angaben in der vorangehenden Tabelle wird Folgendes vorausgesetzt:

  • Sowohl die Web- als auch die Anwendungsserver befinden sich im Umkreisnetzwerk.

  • Alle Konten werden mit den geringsten erforderlichen Rechten erstellt. Dazu gehören folgende Empfehlungen:

    • Es werden separate Konten für alle Verwaltungs- und Dienstkonten erstellt.

    • Kein Konto ist Mitglied der Administratorgruppe. Dies gilt für alle Computer, einschließlich des Servercomputers, auf dem SQL Server ausgeführt wird.

Wenn Sie die SQL-Authentifizierung verwenden, müssen die folgenden SQL-Anmeldenamen mit den folgenden Berechtigungen erstellt werden:

  • Die SQL-Anmeldung für das Konto, das zum Ausführen des Psconfig-Befehlszeilentool verwendet wird Das Konto muss Mitglied der folgenden SQL-Rollen sein: dbcreator und securityadmin. Das Konto muss Mitglied der Gruppe Administratoren auf jedem Server sein, auf dem Setup ausgeführt wird (nicht auf dem Datenbankserver).

  • Die SQL-Anmeldung für das Serverfarmkonto Diese Anmeldung wird zum Erstellen der Konfigurationsdatenbank und der SharePoint AdminContent-Datenbank verwendet. Die Anmeldung muss die Rolle dbcreator enthalten. Die Anmeldung muss kein Mitglied der Rolle securityadmin sein. Der Benutzername muss mithilfe der SQL-Authentifizierung erstellt werden. Konfigurieren Sie das Serverfarmkonto für die Verwendung der SQL-Authentifizierung mit dem Kennwort, das bei der Erstellung der SQL-Anmeldung angegeben wird.

  • SQL-Anmeldung für alle anderen Datenbanken Die Anmeldung muss mithilfe der SQL-Authentifizierung erstellt werden. Die Anmeldung muss Mitglied der folgenden SQL-Rollen sein: dbcreator und securityadmin.

Weitere Informationen zu Microsoft Office SharePoint Server 2007-Konten finden Sie unter Planen administrativer Konten und Planen von Dienstkonten (Office SharePoint Server).

Weitere Informationen zum Erstellen von Datenbanken mithilfe des Befehlszeilentools Psconfig finden Sie unter Befehlszeilenreferenz für den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien (Office SharePoint Server).

Kommunikation mit Serverfarmrollen

Beim Konfigurieren einer Extranetumgebung ist es wichtig zu verstehen, wie die verschiedenen Serverrollen innerhalb der Serverfarm kommunizieren.

Kommunikation zwischen Serverrollen

In der folgenden Abbildung sind die Kommunikationskanäle innerhalb einer Serverfarm veranschaulicht. In der Tabelle direkt nach der Abbildung sind die Ports und Protokolle angegeben, die in der Abbildung dargestellt werden. Die schwarzen durchgezogenen Pfeile kennzeichnen die Serverrolle, die die Kommunikation initiiert. Beispielsweise initiiert die Rolle Dienste für Excel-Berechnungen die Kommunikation mit dem Datenbankserver. Der Datenbankserver initiiert keine Kommunikation mit der Rolle Dienste für Excel-Berechnungen. Ein roter punktierter Pfeil gibt an, dass beide Server die Kommunikation initiieren. Dies ist eine wichtige Information beim Konfigurieren der eingehenden und ausgehenden Kommunikation an einer Firewall.

Serverkommunikation zwischen Farmen

Legende Ports und Protokolle

1

Clientzugriff (einschließlich der Verwaltung von Informationsrechten (IRM) und Suchabfragen) – mindestens eine der folgenden Einstellungen:

  • TCP-Port 80

  • TCP-Port 443 (SSL)

  • Benutzerdefinierte Ports

2

Datei- und Druckerfreigabe – *eine* der folgenden Einstellungen:

  • Direkt gehosteter SMB (Server Message Block) (TCP/UDP 445) – empfohlene Einstellung

  • NetBIOS über TCP/IP (TCP/UDP-Ports 137, 138, 139) – bei Nichtverwendung deaktivieren

3

Office Server-Webdienste – *beides*:

  • TCP-Port 56737

  • TCP 56738 (SSL)

4

Datenbankkommunikation:

  • TCP/SSL-Port 1433 (Standard) für die Standardinstanz (anpassbar)

  • Willkürlich gewählter TCP/SSL-Port für benannte Instanzen (anpassbar)

5

Crawlvorgang der Suche: Je nachdem wie die Authentifizierung konfiguriert ist, werden SharePoint-Websites möglicherweise um eine zusätzliche Zone oder um eine IIS-Site (Internet Information Services) erweitert, damit die Indexkomponente auf den Inhalt zugreifen kann. Diese Konfiguration kann dazu führen, dass benutzerdefinierte Ports verwendet werden.

  • TCP 80

  • TCP 443 (SSL)

  • Benutzerdefinierte Ports

6

Dienst für einmaliges Anmelden – Jede Serverrolle, die den SSO-Dienst ausführt, muss mit dem Server für den Verschlüsselungschlüssel mithilfe von RPC (Remote Procedure Call, Remoteprozeduraufruf) kommunizieren können. Dies umfasst alle Webserver, die Rolle Dienste für Excel-Berechnungen und die Rolle Index. Wenn ein benutzerdefinierter Security Trimmer auf dem Abfrageserver installiert ist und dieser den Zugriff auf SSO-Daten erfordert, wird der SSO-Dienst für diese Serverrolle ebenfalls ausgeführt.

RPC erfordert TCP-Port 135 und *entweder*:

  • Statischer RPC – eingeschränkte hohe Ports (empfohlen)

  • Dynamischer RPC – zufällige hohe Ports im Bereich von 1024 – 65535/TCP

Weitere Informationen zum Server für den Verschlüsselungsschlüssel und zu den Serverrollen, die den SSO-Dienst erfordern, finden Sie unter Planen des einmaligen Anmeldens.

Webserver führen automatisch einen Lastenausgleich der Abfrageanforderungen auf verfügbare Abfrageserver aus. Wenn die Abfragerolle über Webservercomputer hinweg bereitgestellt wird, kommunizieren diese Server folglich über den Datei- und Druckerfreigabedienst und die Office Server-Webdienste miteinander. Die folgende Abbildung zeigt die Kommunikationskanäle zwischen diesen Servern.

Webserver an Abfrageserver

Kommunikation zwischen Verwaltungssites und Serverrollen

Zu den Verwaltungssites gehören die folgenden:

  • Zentraladministrationswebsite – Diese Website kann auf einem Anwendungsserver oder einem Webserver installiert werden.

  • Verwaltungssites der gemeinsamen Dienste – Diese Websites werden zwischen Webservern gespiegelt.

Dieser Abschnitt erläutert die Port- und Protokollanforderungen für die Kommunikation zwischen einer Administratorarbeitsstation und den Serverrollen innerhalb der Farm. Die Zentraladministrationswebsite kann auf jedem Webserver oder Anwendungsserver installiert werden. Konfigurationsänderungen, die über die Zentraladministrationswebsite vorgenommen werden, werden der Konfigurationsdatenbank mitgeteilt. Andere Serverrollen in der Farm übernehmen dann die Konfigurationsänderungen während ihrer Abrufzyklen aus der Konfigurationsdatenbank. Folglich stellt die Zentraladministrationswebsite keine neuen Kommunikationsanforderungen für andere Serverrollen in der Serverfarm.

Die folgende Abbildung zeigt die Kommunikationskanäle von einer Administratorarbeitsstation zu den Verwaltungssites und der Konfigurationsdatenbank.

Topologie der Websiteverwaltung durch den Administrator

In der folgenden Tabelle sind die Ports und Protokolle beschrieben, die in der obigen Abbildung dargestellt sind.

Legende Ports und Protokolle

A

Verwaltungssite der gemeinsamen Dienste – mindestens eine der folgenden Einstellungen:

  • TCP 80

  • TCP 443 (SSL)

  • Benutzerdefinierte Ports

B

Website für die SharePoint-Zentraladministration – mindestens eine der folgenden Einstellungen:

  • TCP 80

  • TCP 443 (SSL)

  • Benutzerdefinierte Ports

C

Datenbankkommunikation:

  • TCP/SSL-Port 1433 (Standard) für die Standardinstanz (anpassbar)

  • Willkürlich gewählter TCP/SSL-Port für benannte Instanzen (anpassbar)

Kommunikation mit Infrastrukturserverrollen

Beim Konfigurieren einer Extranetumgebung ist es wichtig zu verstehen, wie die verschiedenen Serverrollen zwischen den Servercomputern innerhalb der Infrastruktur kommunizieren.

Active Directory-Domänencontroller

In der folgenden Tabelle sind die Portanforderungen für eingehende Verbindungen zwischen den einzelnen Serverrollen und einem Active Directory-Domänencontroller aufgeführt.

Element Webserver Abfrage-server Index-server Dienste für Excel-Berechnungen Datenbankserver

TCP/UDP 445 (Verzeichnisdienste)

X

X

X

X

X

TCP/UDP 88 (Kerberos-Authentifizierung)

X

X

X

X

X

Standardmäßig LDAP/LDAPS-Ports 389/636 (Lightweight Directory Access-Protokoll), anpassbar

X

X

X

LDAP/LDAPS-Ports sind für Serverrollen basierend auf den folgenden Bedingungen erforderlich:

  • Webserver LDAP/LDAPS-Ports werden verwendet, wenn die LDAP-Authentifizierung konfiguriert ist.

  • Indexserver Die Rolle erfordert LDAP/LDAPS-Ports zum Importieren von Profilen von den Domänencontrollern, die als Profilimportquellen konfiguriert sind, unabhängig davon, wo sie sich befinden.

  • Dienste für Excel-Berechnungen LDAP/LDAPS-Ports werden nur dann verwendet, wenn Datenquellenverbindungen für die Authentifizierung mit LDAP konfiguriert sind.

DNS-Server

In der folgenden Tabelle sind die Portanforderungen für eingehende Verbindungen zwischen den einzelnen Serverrollen und einem DNS-Server aufgeführt. In vielen Extranetumgebungen dient ein einzelner Servercomputer als Host für den Active Directory-Domänencontroller und den DNS-Server.

Element Webserver Abfrageserver Indexserver Dienste für Excel-Berechnungen Datenbankserver

DNS, TCP/UDP 53

X

X

X

X

X

SMTP-Dienst

Für die E-Mail-Integration muss auf mindestens einem der Front-End-Webserver in der Serverfarm der SMTP-Dienst (Simple Mail Transport-Protokoll) unter Verwendung des TCP-Ports 25 verwendet werden. Der SMTP-Dienst ist für die eingehende E-Mail-Kommunikation (eingehende Verbindungen) erforderlich. Für ausgehende E-Mail-Nachrichten können Sie entweder den SMTP-Dienst verwenden oder die Nachrichten über einen dedizierten E-Mail-Server in Ihrem Unternehmen weiterleiten, z. B. einen Computer mit Microsoft Exchange Server.

Element Webserver Abfrageserver Indexserver Dienste für Excel-Berechnungen Datenbankserver

TCP-Port 25

X

Anforderungen für die Unterstützung von Dokumentkonvertierungen

Wenn Sie auf dem Server Dokumentkonverter verwenden, müssen die folgenden Dienste auf einem Anwendungsserver installiert und gestartet werden:

  • Startprogrammdienst für die Dokumentkonvertierung

  • Lastenausgleichsdienst für die Dokumentkonvertierung

Diese Dienste werden normalerweise auf dem gleichen Anwendungsserver oder auf separaten Anwendungsservern installiert, je nachdem, welche Topologie Ihre Anforderungen am besten erfüllt. Diese Dienste können bei Bedarf auch auf einem oder mehreren Webservern installiert werden. Wenn diese Dienste auf separaten Servern installiert sind, muss die Kommunikation zwischen diesen verschiedenen Servern möglich sein.

In der folgenden Tabelle sind die Port- und Protokollanforderungen für diese Dienste aufgeführt. Diese Anforderungen gelten nicht für Serverrollen in der Farm, für die keiner dieser Dienste installiert ist.

Dienst Anforderung

Startprogrammdienst für die Dokumentkonvertierung

TCP-Port 8082, für TCP oder SSL anpassbar

Lastenausgleichsdienst für die Dokumentkonvertierung

TCP-Port 8093, für TCP oder SSL anpassbar

Informationen zum Konfigurieren dieser Dienste in einer Serverfarm finden Sie unter Topologie zum Entwerfen von Dokumentkonvertierungen.

Kommunikation zwischen Netzwerkdomänen

Active Directory-Kommunikation

Damit die Active Directory-Kommunikation zwischen Domänen die Authentifizierung für einen Domänencontroller innerhalb des Firmennetzwerks unterstützt, muss mindestens eine unidirektionale Vertrauensstellung bestehen, bei der das Umkreisnetzwerk dem Firmennetzwerk vertraut.

Im Beispiel in der ersten Abbildung in diesem Artikel sind die folgenden Ports als eingehende Verbindungen zu ISA-Server B erforderlich, damit eine unidirektionale Vertrauensstellung unterstützt wird:

  • TCP/UDP 135 (RPC)

  • Standardmäßig TCP/UDP 389, anpassbar (LDAP)

  • Standardmäßig TCP 636, anpassbar (LDAP SSL)

  • TCP 3268 (LDAP GC)

  • TCP 3269 (LDAP GC SSL)

  • TCP/UDP 53 (DNS)

  • TCP/UDP 88 (Kerberos)

  • TCP/UDP 445 (Verzeichnisdienste)

  • TCP/UDP 749 (Kerberos-Adm)

  • TCP-Port 750 (Kerberos-IV)

Beim Konfigurieren des ISA-Servers B (oder eines anderen Geräts zwischen dem Umkreis- und dem Firmennetzwerk) muss für die Netzwerkbeziehung die Weiterleitung definiert sein. Definieren Sie die Netzwerkbeziehung nicht als Netzwerkadressübersetzung (Network Address Translation, NAT).

Weitere Informationen zu Anforderungen für das Verstärken der Sicherheit in Bezug auf Vertrauensstellungen finden Sie in den folgenden Ressourcen:

Verstärken der Sicherheit für die Veröffentlichung von Inhalten

Zum Veröffentlichen von Inhalt ist eine unidirektionale Kommunikation zwischen der Zentraladministrationswebsite der Quellserverfarm und der Zentraladministrationswebsite der Zielserverfarm erforderlich. Für das Verstärken der Sicherheit gelten die folgenden Anforderungen:

  • Die Portnummer, die für die Zentraladministrationswebsite der Zielserverfarm verwendet wird.

  • TCP 80 oder 443 ausgehend von der Quellfarm (für Simple Object Access-Protokoll (SOAP) und HTTP Post).

Beim Konfigurieren einer Inhaltbereitstellung in der Quellfarm geben Sie das Konto für die Authentifizierung bei der Zielfarm an. Eine Vertrauensstellung zwischen Domänen ist nicht erforderlich, um Inhalte aus einer Domäne in einer anderen zu veröffentlichen. Es gibt jedoch die folgenden zwei Kontooptionen zum Bereitstellen von Inhalt – eine davon erfordert eine Domänenvertrauensstellung:

  • Wenn das Anwendungspoolkonto der Quellfarm über Berechtigungen für die Zentraladministration der Zielfarm verfügt, wählen Sie die Option Anwendungspoolkonto verwenden. Hierfür ist eine unidirektionale Vertrauensstellung erforderlich, bei der die Domäne der Zielfarm der Domäne der Quellfarm vertraut.

  • Sie können auch manuell ein Konto auswählen, anstatt das Anwendungspoolkonto zu verwenden. In diesem Fall muss sich das Konto nicht in der Netzwerkdomäne der Quellfarm befinden. Normalerweise ist das Konto für die Zielfarm eindeutig. Das Konto kann die integrierte Windows-Authentifizierung oder die Standardauthentifizierung verwenden.

Verbindungen mit externen Servern

Verschiedene Features von Microsoft Office SharePoint Server 2007 können für den Zugriff auf Daten konfiguriert werden, die sich auf Servercomputern außerhalb der Serverfarm befinden. Wenn Sie den Zugriff auf Daten auf externen Servercomputern konfigurieren, sollten Sie sicherstellen, dass die Kommunikation zwischen den entsprechenden Computern aktiviert ist. In den meisten Fällen sind die verwendeten Ports, Protokolle und Dienste von der externen Ressource abhängig. Zum Beispiel:

  • Für Verbindungen mit Dateifreigaben wird der Datei- und Druckerfreigabedienst verwendet.

  • Für Verbindungen mit externen SQL Server-Datenbanken werden die standardmäßigen oder angepassten Ports für die SQL Server-Kommunikation verwendet.

  • Für Verbindungen mit Oracle wird normalerweise OLE DB verwendet.

  • Für Verbindungen mit Webdiensten werden sowohl HTTP als auch HTTPS verwendet.

In der folgenden Tabelle sind die Features aufgeführt, die für den Zugriff auf Daten, die sich auf Servercomputern außerhalb der Serverfarm befinden, konfiguriert werden können.

Feature Beschreibung

Inhaltscrawling

Sie können Crawlregeln für das Crawlen von Daten auf externen Ressourcen, einschließlich Websites, Dateifreigaben, öffentlichen Exchange-Ordnern und Branchenanwendungen konfigurieren. Beim Crawlen externer Datenquellen kommuniziert die Indexrolle direkt mit diesen externen Ressourcen.

Weitere Informationen finden Sie unter Planen des Crawlens von Inhalten (Office SharePoint Server).

Geschäftsdatenkatalog-Verbindungen

Webserver und Anwendungsserver kommunizieren direkt mit Computern, die für Geschäftsdatenkatalog-Verbindungen konfiguriert sind.

Weitere Informationen finden Sie unter Planen von Geschäftsdatenverbindungen mit dem Geschäftsdatenkatalog.

Empfangen von Microsoft Office Excel-Arbeitsblättern

Wenn Arbeitsmappen, die in Excel-Diensten geöffnet sind, eine Verbindung mit einer externen Datenquelle (z. B. Analysis Services und SQL Server) herstellen, müssen geeignete TCP/IP-Ports zum Verbinden mit dieser externen Datenquelle geöffnet werden. Weitere Informationen finden Sie unter Planen externer Datenverbindungen für Excel Services.

Wenn UNC-Pfade (Universal Naming Convention) in Excel Services als vertrauenswürdige Websites konfiguriert sind, verwendet die Anwendungsrolle Dienste für Excel-Berechnungen die Protokolle und Ports des Datei- und Druckerfreigabediensts zum Empfangen von Office Excel-Arbeitsmappen über einen UNC-Pfad.

Arbeitsmappen, die in Inhaltsdatenbanken gespeichert sind oder durch Benutzer auf Websites hochgeladen bzw. von Websites heruntergeladen werden, sind von dieser Kommunikation nicht betroffen.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007