Planen des Verstärkens der Sicherheit (SharePoint Server 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel wird das Verstärken der Sicherheit für die Webserver-, Anwendungsserver- und Datenbankserverrollen von Microsoft SharePoint Server 2010 beschrieben. Außerdem ist ein ausführlicher Leitfaden zu den speziellen Anforderungen für das Verstärken der Sicherheit von Ports, Protokollen und Diensten in Microsoft SharePoint 2010-Produkten enthalten.

Inhalt dieses Artikels:

Sichere Servermomentaufnahmen

In einer Serverfarmumgebung spielen die einzelnen Server bestimmte Rollen. Die Empfehlungen für die Verstärkung der Sicherheit dieser Server hängen von der jeweiligen Rolle der Server ab. Dieser Artikel enthält sichere Momentaufnahmen von zwei Kategorien von Serverrollen:

Die Momentaufnahmen sind in allgemeine Konfigurationskategorien unterteilt. Die für jede Kategorie definierten Merkmale stellen den optimal verstärkten Sicherheitsstatus für Microsoft SharePoint 2010-Produkte dar. Dieser Artikel enthält keine Anleitung zum Verstärken der Sicherheit für andere Software in der Umgebung.

Webserver- und Anwendungsserverrolle

In diesem Abschnitt werden Merkmale zur Verstärkung der Sicherheit für Webserver und Anwendungsserver beschrieben. Ein Teil des Leitfadens bezieht sich auf bestimmte Dienstanwendungen. In diesen Fällen müssen die entsprechenden Merkmale nur auf die Server angewendet werden, auf denen die den Dienstanwendungen zugeordneten Dienste ausgeführt werden.

Kategorie

Merkmal

Im MMC-Snap-In Dienste aufgeführte Dienste

Aktivieren Sie folgende Dienste:

  • Datei- und Druckerfreigabe

  • ASP.NET-Statusdienst (bei Verwendung von InfoPath Forms Services oder Microsoft Project Server 2010)

  • Ansichtstatusdienst (bei Verwendung von InfoPath Forms Services)

  • WWW-Publishingdienst

Stellen Sie sicher, dass diese Dienste nicht deaktiviert sind:

  • Forderungen an den Windows-Tokendienst

  • SharePoint 2010 Administration

  • SharePoint 2010 Timer

  • SharePoint 2010 Tracing

  • SharePoint 2010 VSS Writer

Stellen Sie sicher, dass diese Dienste auf den Servern mit den entsprechenden Rollen nicht deaktiviert sind:

  • SharePoint 2010 User Code Host

  • SharePoint Foundation Search V4

  • SharePoint Server Search 14

  • Die folgenden Dienste werden von der Benutzerprofildienst-Anwendung auf dem Server benötigt, die Profile aus dem Verzeichnisspeicher importiert:

    • Forefront Identity Manager

    • Forefront Identity Manager Synchronization

Ports und Protokolle

  • TCP 80, TCP 443 (SSL)

  • Benutzerdefinierte Ports für die Durchforstung bei der Suche, falls konfiguriert

  • Datei- und Druckerfreigabedienst – einer der folgenden, von Suchrollen verwendeten:

    • Direkt gehostetes SMB (TCP/UDP 445) – dies ist der empfohlene Port

    • NetBIOS über TCP/IP (NetBT) (TCP/UDP-Ports 137, 138, 139) – deaktivieren Sie diesen Port, wenn er nicht verwendet wird

  • Erforderliche Ports für die Kommunikation zwischen Webservern und Dienstanwendungen (Standard ist HTTP):

    • HTTP-Bindung: 32843

    • HTTPS-Bindung: 32844

    • net.tcp-Bindung: 32845 (nur wenn ein Drittanbieter diese Option für eine Dienstanwendung implementiert hat)

  • Erforderliche Ports für die Synchronisierung von Profilen zwischen SharePoint 2010-Produkten und Active Directory auf dem Server, auf dem der Verwaltungs-Agent für Forefront Identity Manager ausgeführt wird:

    • TCP/5725

    • TCP/UDP 389 (LDAP-Dienst)

    • TCP/UDP 88 (Kerberos)

    • TCP/UDP 53 (DNS)

    • UDP 464 (Kerberos – Kennwort ändern)

    Weitere Informationen zum Synchronisieren von Profilen mit anderen Verzeichnisspeichern finden Sie unter Anforderungen zum Verstärken der Sicherheit für den Benutzerprofildienst weiter unten in diesem Artikel.

  • UDP-Port 1434 und TCP-Port 1433 – Standardports für die SQL Server-Kommunikation. Falls diese Ports auf dem Computer mit SQL Server blockiert sind (empfohlen) und Datenbanken in einer benannten Instanz installiert sind, konfigurieren Sie einen SQL Server-Clientalias für die Verbindung mit der benannten Instanz.

  • TCP/IP 32846 für den Microsoft SharePoint Foundation-Benutzercodedienst (für Sandkastenlösungen) – Dieser Port muss auf allen Webservern für ausgehende Verbindungen geöffnet sein. Der Port muss für eingehende Verbindungen auf Webservern oder Anwendungsservern geöffnet sein, auf denen der Dienst aktiviert ist.

  • Stellen Sie sicher, dass Ports für Webanwendungen, auf die Benutzer zugreifen können, geöffnet bleiben.

  • Blockieren Sie den externen Zugriff auf den Port, der für die Website für die Zentraladministration verwendet wird.

  • TCP/25 (SMTP für E-Mail-Integration)

Registrierung

Keine zusätzlichen Hinweise

Überwachung und Protokollierung

Wenn Protokolldateien verschoben werden, stellen Sie sicher, dass die Speicherorte der Protokolldateien entsprechend aktualisiert werden. Aktualisieren Sie auch die Zugriffssteuerungslisten (ACLs) der Verzeichnisse.

Codezugriffssicherheit

Stellen Sie sicher, dass für die Webanwendung ein Mindestsatz Sicherheitsberechtigungen für den Codezugriff aktiviert ist. Das Element <trust> in der Datei Web.config für jede Webanwendung sollte auf WSS_Minimal festgelegt sein (für WSS_Minimal gelten die in 14\config\wss_minimaltrust.config oder durch Ihre eigene benutzerdefinierte Richtliniendatei definierten niedrigen Standardwerte mit minimalen Einstellungen).

Web.config

Folgen Sie diesen Empfehlungen für jede Datei Web.config, die nach der Ausführung des Setupprogramms erstellt wird:

  • Lassen Sie Kompilierung oder Skripting von Datenbankseiten über die PageParserPaths-Elemente nicht zu.

  • Stellen Sie sicher, dass Folgendes festgelegt ist: <SafeMode> CallStack=""false"" und AllowPageLevelTrace=""false""

  • Stellen Sie sicher, dass die Webpartlimits für maximale Steuerelemente pro Zone niedrig festgelegt sind.

  • Stellen Sie sicher, dass die Liste SafeControls auf die mindestens für die Websites benötigten Steuerelemente festgelegt ist.

  • Stellen Sie sicher, dass die Liste Workflow SafeTypes auf die mindestens benötigen SafeTypes festgelegt ist.

  • Stellen Sie sicher, dass customErrors aktiviert ist (<customErrors mode=""On""/>).

  • Berücksichtigen Sie gegebenenfalls die Webproxyeinstellungen (<system.net>/<defaultProxy>).

  • Legen Sie das Limit Upload.aspx auf die höchste Größe fest, die aller Wahrscheinlichkeit nach von Benutzern hochgeladen wird (der Standardwert ist 2 GB). Durch Uploads von mehr als 100 MB kann die Leistung beeinträchtigt werden.

Datenbankserverrolle

Die wichtigste Empfehlung für SharePoint 2010-Produkte lautet, die Kommunikation zwischen den Farmen durch Blockieren der Standardports für die Microsoft SQL Server-Kommunikation und Einrichten benutzerdefinierter Ports für diese Kommunikation zu sichern. Weitere Informationen zum Konfigurieren von Ports für die SQL Server-Kommunikation finden Sie unter Blockieren der standardmäßigen SQL Server-Ports weiter unten in diesem Artikel.

Kategorie

Merkmal

Ports

  • Blockieren Sie UDP-Port 1434.

  • Ziehen Sie das Blockieren von TCP-Port 1433 in Betracht.

Das Sichern von SQL Server wird in diesem Artikel nicht beschrieben. Weitere Informationen zum Sichern von SQL Server finden Sie unter Sichern von SQL Server (https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x407).

Leitfaden für bestimmte Ports, Protokolle und Dienste

Im Rest des Artikels werden die speziellen Anforderungen für das Verstärken der Sicherheit der SharePoint 2010-Produkte ausführlicher beschrieben.

Inhalt dieses Abschnitts:

Blockieren der standardmäßigen SQL Server-Ports

Die spezifischen Ports, die zum Herstellen einer Verbindung mit SQL Server verwendet werden, hängen davon ab, ob die Datenbanken in einer Standardinstanz von SQL Server oder in einer benannten Instanz von SQL Server installiert sind. Die Standardinstanz von SQL Server hört Clientanforderungen auf TCP-Port 1433 ab. Eine benannte Instanz von SQL Server hört eine zufällig zugewiesene Portnummer ab. Außerdem kann die Portnummer für eine benannte Instanz neu zugewiesen werden, wenn die Instanz neu gestartet wird (abhängig von der Verfügbarkeit der vorher zugewiesenen Portnummer).

Standardmäßig wird auf Clientcomputern, die eine Verbindung mit SQL Server herstellen, zuerst eine Verbindung mithilfe von TCP-Port 1433 hergestellt. Wenn diese Kommunikation nicht erfolgreich ist, fragen die Clientcomputer den UDP-Port 1434 lauschenden SQL Server-Auflösungsdienst ab, um den von der Datenbankinstanz abgehörten Port zu ermitteln.

Das Standardport-Kommunikationsverhalten von SQL Server führt zu verschiedenen Problemen, die sich auf die Verstärkung der Serversicherheit auswirken. Erstens handelt es sich bei den von SQL Server verwendeten Ports um allgemein veröffentlichte Ports, und der SQL Server-Auflösungsdienst ist Ziel von Pufferüberlaufangriffen und Denial-of-Service-Angriffen, beispielsweise durch den Wurmvirus "Slammer". Auch wenn SQL Server aktualisiert wird, um die Sicherheitsprobleme im SQL Server-Auflösungsdienst zu mindern, bleiben die allgemein veröffentlichten Ports ein Ziel. Zweitens wird, wenn Datenbanken in einer benannten Instanz von SQL Server installiert werden, der entsprechende Kommunikationsport zufällig zugewiesen und kann geändert werden. Dieses Verhalten kann möglicherweise in einer Umgebung mit verstärkter Sicherheit die Kommunikation zwischen Servern verhindern. Die Möglichkeit, zu steuern, welche TCP-Ports geöffnet sind oder blockiert werden, ist unerlässlich für den Schutz der Umgebung.

Daher sieht die Empfehlung für eine Serverfarm vor, benannten Instanzen von SQL Server statische Portnummern zuzuweisen und UDP-Port 1434 zu blockieren, um potenzielle Angreifer am Zugreifen auf den SQL Server-Auflösungsdienst zu hindern. Ziehen Sie es außerdem in Betracht, den von der Standardinstanz verwendeten Port neu zuzuweisen und TCP-Port 1433 zu blockieren.

Es gibt verschiedene Methoden, die Sie zum Blockieren von Ports verwenden können. Sie können die Ports mithilfe einer Firewall blockieren. Wenn Sie jedoch nicht sicher sind, dass keine weiteren Routen in das Netzwerksegment vorhanden sind und dass keine böswilligen Benutzer mit Zugriff auf das Netzwerksegment vorhanden sind, sollten Sie diese Ports direkt auf dem Server blockieren, auf dem SQL Server gehostet wird. Hierzu können Sie die Windows-Firewall in der Systemsteuerung verwenden.

Konfigurieren von SQL Server-Datenbankinstanzen zum Lauschen eines Nichtstandardports

In SQL Server können Ports, die von der Standardinstanz und benannten Instanzen verwendet werden, neu zugewiesen werden. In SQL Server 2005 und SQL Server 2008 weisen Sie Ports mithilfe des SQL Server-Konfigurations-Managers neu zu.

Konfigurieren von SQL Server-Clientaliasen

In einer Serverfarm sind alle Front-End-Webserver und Anwendungsserver SQL Server-Clientcomputer. Wenn Sie UDP-Port 1434 auf dem SQL Server-Computer blockieren oder den Standardport für die Standardinstanz ändern, müssen Sie auf allen Servern, die eine Verbindung mit dem Computer mit SQL Server herstellen, einen SQL Server-Clientalias konfigurieren.

Zum Herstellen einer Verbindung mit einer Instanz von SQL Server 2005 oder SQL Server 2008 installieren Sie die SQL Server-Clientkomponenten auf dem Zielcomputer und konfigurieren dann den SQL Server-Clientalias mithilfe des SQL Server-Konfigurations-Managers. Zum Installieren der SQL Server-Clientkomponenten führen Sie das Setup aus, und wählen Sie nur die folgenden Clientkomponenten für die Installation aus:

  • Konnektivitätskomponenten

  • Verwaltungstools (enthalten den SQL Server-Konfigurations-Manager)

Informationen zur Verstärkung der Sicherheit durch Blockieren der standardmäßigen SQL Server-Ports finden Sie unter Verstärken der Sicherheit von SQL Server für SharePoint-Umgebungen (SharePoint Server 2010).

Kommunikation zwischen Dienstanwendungen

Standardmäßig findet die Kommunikation zwischen Webservern und Dienstanwendungen in einer Farm über HTTP mit einer Bindung an Port 32843 statt. Beim Veröffentlichen einer Dienstanwendung können Sie entweder HTTP oder HTTPS mit folgenden Bindungen auswählen:

  • HTTP-Bindung: Port 32843

  • HTTPS-Bindung: Port 32844

Daneben können Drittanbieter, die Dienstanwendungen entwickeln, eine dritte Möglichkeit implementieren:

  • net.tcp-Bindung: Port 32845

Sie können die Protokoll- und Portbindung für jede Dienstanwendung ändern. Wählen Sie auf der Seite Dienstanwendungen in der Zentraladministration die Dienstanwendung aus, und klicken Sie dann auf Veröffentlichen.

Die Kommunikation zwischen Dienstanwendungen und SQL Server erfolgt über die standardmäßigen SQL Server-Ports oder die Ports, die Sie für die SQL Server-Kommunikation konfigurieren.

Dienstanforderungen für die Datei- und Druckerfreigabe

Verschiedene Kernfeatures hängen vom Datei- und Druckerfreigabedienst und den entsprechenden Protokollen und Ports ab. Dazu gehören beispielsweise die Folgenden:

  • Suchabfragen   Der Datei- und Druckerfreigabedienst ist für alle Suchabfragen erforderlich.

  • Durchforsten und Indizieren von Inhalten   Zum Durchforsten von Inhalten senden Server, die Durchforstungskomponenten enthalten, Anforderungen über den Front-End-Webserver. Der Front-End-Webserver kommuniziert direkt mit Inhaltsdatenbanken und sendet Ergebnisse zurück an die Server, die Durchforstungskomponenten enthalten. Für diese Kommunikation ist der Datei- und Druckerfreigabedienst erforderlich.

  • Indexverteilung   Wenn eine Suchdienstanwendung mit Durchforstungskomponenten und Abfragekomponenten, die auf mehrere Server verteilt sind, konfiguriert ist, werden von den Servern mit Durchforstungskomponenten Inhaltsindexdateien auf die Server mit Abfragekomponenten kopiert. Diese Aktion erfordert den Datei- und Druckerfreigabedienst und die entsprechenden Protokolle und Ports.

Für den Datei- und Druckerfreigabedienst ist die Verwendung von Named Pipes erforderlich. Named Pipes können mithilfe von direkt gehosteten SMB- oder NetBT-Protokollen kommunizieren. Für eine sichere Umgebung wird direkt gehostetes SMB anstelle von NetBT empfohlen. In den Empfehlungen für die Verstärkung der Sicherheit in diesem Artikel wird angenommen, dass SMB verwendet wird.

In der folgenden Tabelle werden die Anforderungen für die Verstärkung der Sicherheit beschrieben, die durch die Abhängigkeit vom Datei- und Druckerfreigabedienst entstehen.

Kategorie

Anforderungen

Hinweise

Dienste

Datei- und Druckerfreigabe

Erfordert die Verwendung von Named Pipes.

Protokolle

Named Pipes mit direkt gehostetem SMB

Deaktivieren Sie NetBT

Named Pipes können NetBT anstelle von direkt gehostetem SMB verwenden. NetBT gilt jedoch nicht als so sicher wie direkt gehostetes SMB.

Ports

Einer der folgenden:

  • Direkt gehostetes SMB (TCP/UDP 445) – empfohlen

  • NetBT (TCP/UDP-Ports 137, 138, 139)

Deaktivieren Sie NetBT (Ports 137, 138 und 139), falls es nicht verwendet wird

Weitere Informationen zum Deaktivieren von NetBT finden Sie im Microsoft Knowledge Base-Artikel 204279, Direktes Hosting von SMB über TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x407).

Anforderungen zum Verstärken der Sicherheit für den Benutzerprofildienst

Die Benutzerprofildienst-Anwendung synchronisiert mithilfe des Verwaltungs-Agents für Forefront Identity Manager Profile zwischen SharePoint 2010-Produkten und Active Directory oder einem LDAP-Verzeichnisdienst (Lightweight Directory Access-Protokoll). Der Verwaltungs-Agent für Forefront Identity Manager wird auf allen Servern in einer SharePoint-Farm installiert, ist jedoch nur auf dem Server erforderlich, der für die Synchronisierung mit dem Verzeichnisspeicher eingerichtet wurde.

Der Verwaltungs-Agent für Forefront Identity Manager enthält die folgenden beiden Dienste, die auf dem Server aktiviert bleiben müssen, der für die Durchforstung von Active Directory oder eines anderen Verzeichnisspeichers eingerichtet wurde:

  • Forefront Identity Manager-Dienst

  • Forefront Identity Manager-Synchronisierungsdienst

Zudem muss TCP-Port 5725 auf dem Server geöffnet sein, auf dem der Verwaltungs-Agent für Forefront Identity Manager ausgeführt wird und der für die Durchforstung eines Verzeichnisspeichers eingerichtet wurde.

In Active Directory-Umgebungen müssen die folgenden Ports für die Kommunikation zwischen dem Server mit SharePoint 2010-Produkten, der die Synchronisierung mit dem Verzeichnisspeicher ausführt, und dem Server, auf dem Active Directory ausgeführt wird, geöffnet sein:

  • TCP/UDP 389 (LDAP-Dienst)

  • TCP/UDP 88 (Kerberos)

  • TCP/UDP 53 (DNS)

  • UDP 464 (Kerberos – Kennwort ändern)

Weitere Informationen zu Anforderungen für das Verstärken der Sicherheit des Verwaltungs-Agents für Forefront Identity Manager und Portanforderungen für andere Verzeichnistypen finden Sie unter Ports, Rechte und Berechtigungen für die Kommunikation mit Verwaltungs-Agents (https://go.microsoft.com/fwlink/?linkid=186832&clcid=0x407).

Verbindungen mit externen Servern

Verschiedene Features von SharePoint Server 2010 können für den Zugriff auf Daten konfiguriert werden, die sich auf Servercomputern außerhalb der Serverfarm befinden. Wenn Sie den Zugriff auf Daten auf externen Servercomputern konfigurieren, sollten Sie sicherstellen, dass die Kommunikation zwischen den entsprechenden Computern aktiviert ist. In den meisten Fällen sind die verwendeten Ports, Protokolle und Dienste von der externen Ressource abhängig. Zum Beispiel:

  • Für Verbindungen mit Dateifreigaben wird der Datei- und Druckerfreigabedienst verwendet.

  • Bei Verbindungen mit externen SQL Server-Datenbanken werden die standardmäßigen oder angepassten Ports für die SQL Server-Kommunikation verwendet.

  • Für Verbindungen mit Oracle-Datenbanken wird normalerweise OLE DB verwendet.

  • Für Verbindungen mit Webdiensten werden sowohl HTTP als auch HTTPS verwendet.

In der folgenden Tabelle sind die Features aufgeführt, die für den Zugriff auf Daten, die sich auf Servercomputern außerhalb der Serverfarm befinden, konfiguriert werden können.

Feature

Beschreibung

Inhaltscrawling

Sie können Durchforstungsregeln für das Durchforsten von Daten auf externen Ressourcen, wie Websites, Dateifreigaben, öffentlichen Exchange-Ordnern und Branchenanwendungen, konfigurieren. Beim Durchforsten externer Datenquellen kommuniziert die Durchforstungsrolle direkt mit diesen externen Ressourcen.

Weitere Informationen finden Sie unter "Planen des Durchforstens von Inhalten (Office SharePoint Server)" [https://technet.microsoft.com/de-de/library/cc262926.aspx].

Business Data Connectivity-Verbindungen

Webserver und Anwendungsserver kommunizieren direkt mit Computern, die für Business Data Connectivity-Verbindungen konfiguriert sind.

Weitere Informationen finden Sie unter "Planen von Geschäftsdatenverbindungen mit dem Geschäftsdatenkatalog" [https://technet.microsoft.com/de-de/library/cc263252.aspx].

Empfangen von Microsoft Office Excel-Arbeitsblättern

Wenn Arbeitsmappen, die in der Excel Services-Anwendung geöffnet sind, eine Verbindung mit einer externen Datenquelle (z. B. Analysis Services und SQL Server) herstellen, müssen geeignete TCP/IP-Ports zum Verbinden mit dieser externen Datenquelle geöffnet werden. Weitere Informationen finden Sie unter "Planen externer Datenverbindungen für Excel Services" [https://technet.microsoft.com/de-de/library/cc262899.aspx].

Wenn UNC-Pfade (Universal Naming Convention) in der Excel Services-Anwendung als vertrauenswürdige Websites konfiguriert sind, verwendet die Anwendungsrolle Dienste für Excel-Berechnungen die Protokolle und Ports des Datei- und Druckerfreigabediensts zum Empfangen von Office Excel-Arbeitsmappen über einen UNC-Pfad.

Arbeitsmappen, die in Inhaltsdatenbanken gespeichert sind oder durch Benutzer auf Websites hochgeladen bzw. von Websites heruntergeladen werden, sind von dieser Kommunikation nicht betroffen.

Dienstanforderungen für die E-Mail-Integration

Für die E-Mail-Integration ist die Verwendung von zwei Diensten erforderlich:

SMTP-Dienst

Für die E-Mail-Integration muss auf mindestens einem der Front-End-Webserver in der Serverfarm der SMTP-Dienst (Simple Mail Transfer-Protokoll) verwendet werden. Der SMTP-Dienst ist für die eingehende E-Mail-Kommunikation erforderlich. Für ausgehende E-Mail-Nachrichten können Sie entweder den SMTP-Dienst verwenden oder die Nachrichten über einen dedizierten E-Mail-Server in Ihrem Unternehmen weiterleiten, z. B. einen Computer mit Microsoft Exchange Server.

Microsoft SharePoint-Verzeichnisverwaltungsdienst

Die SharePoint 2010-Produkte umfassen einen internen Dienst, den Microsoft SharePoint-Verzeichnisverwaltungsdienst, zum Erstellen von E-Mail-Verteilergruppen. Wenn Sie die E-Mail-Integration konfigurieren, haben Sie die Möglichkeit zur Aktivierung des Verzeichnisverwaltungsdienst-Features, mit dem Benutzer Verteilerlisten erstellen können. Wenn Benutzer eine SharePoint-Gruppe erstellen und die Option zum Erstellen einer Verteilerliste auswählen, erstellt der Microsoft SharePoint-Verzeichnisverwaltungsdienst die entsprechende Active Directory-Verteilerliste in der Active Directory-Umgebung.

In Umgebungen mit verstärkter Sicherheit wird empfohlen, den Zugriff auf den Microsoft SharePoint-Verzeichnisverwaltungsdienst durch Schützen der diesem Dienst zugeordneten Datei, SharePointEmailws.asmx, einzuschränken. Lassen Sie beispielsweise den Zugriff auf diese Datei nur für das Serverfarmkonto zu.

Darüber hinaus sind für diesen Dienst Berechtigungen in der Active Directory-Umgebung erforderlich, um Active Directory-Verteilerlistenobjekte zu erstellen. Es wird empfohlen, eine separate Organisationseinheit (OU) für Objekte der SharePoint 2010-Produkte in Active Directory einzurichten. Nur diese Organisationseinheit sollte Schreibzugriff auf das vom Microsoft SharePoint-Verzeichnisverwaltungsdienst verwendete Konto gewähren.

Dienstanforderungen für den Sitzungsstatus

Sowohl Project Server 2010 als auch InfoPath Forms Services behalten den Sitzungsstatus bei. Wenn Sie diese Features oder Produkte innerhalb der Serverfarm bereitstellen, sollten Sie den ASP.NET-Statusdienst nicht deaktivieren. Wenn Sie InfoPath Forms Services bereitstellen, sollten Sie den Dienst Ansichtstatus auch nicht deaktivieren.

Dienste der SharePoint 2010-Produkte

Deaktivieren Sie keinen der von SharePoint 2010-Produkten installierten Dienste (siehe Momentaufnahme weiter oben).

Wenn als lokales System ausgeführte Dienste in der Umgebung nicht zulässig sind, können Sie das Deaktivieren des Diensts SharePoint 2010 Administration in Betracht ziehen. Sie müssen jedoch die Konsequenzen kennen und sie umgehen können. Dieser Dienst ist ein Win32-Dienst, der als lokales System ausgeführt wird.

Dieser Dienst wird vom SharePoint 2010-Timerdienst zum Ausführen von Aktionen verwendet, für die Administratorberechtigungen auf dem Server erforderlich sind, beispielsweise Erstellen von IIS-Websites (Internetinformationsdienste), Bereitstellen von Code sowie Beenden und Starten von Diensten. Wenn Sie diesen Dienst deaktivieren, können Sie keine Aufgaben im Zusammenhang mit der Bereitstellung über die Website für die Zentraladministration ausführen. Sie müssen in Windows PowerShell das Start-SPAdminJob-Cmdlet verwenden (oder mit dem Befehlszeilentool Stsadm.exe den Vorgang execadminsvcjobs ausführen), um Bereitstellungen auf mehreren Servern für SharePoint 2010-Produkte abzuschließen und andere Aufgaben im Zusammenhang mit der Bereitstellung auszuführen.

Web.config (Datei)

In .NET Framework und insbesondere ASP.NET werden zum Konfigurieren von Anwendungen Konfigurationsdateien im XML-Format verwendet. In .NET Framework werden Konfigurationsdateien zum Definieren von Konfigurationsoptionen verwendet. Die Konfigurationsdateien sind textbasierte XML-Dateien. Auf einem einzigen System können sich mehrere Konfigurationsdateien befinden, und normalerweise ist dies auch der Fall.

Systemweite Konfigurationseinstellungen für .NET Framework werden in der Datei Machine.config definiert. Die Datei Machine.config befindet sich im Ordner %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Die Standardeinstellungen in der Datei Machine.config können geändert werden, um das Verhalten von Anwendungen auf dem gesamten System zu beeinflussen, die .NET Framework verwenden.

Sie können die ASP.NET-Konfigurationseinstellungen für eine einzelne Anwendung ändern, indem Sie eine Datei Web.config im Stammordner der Anwendung erstellen. Wenn Sie dies tun, werden durch die Einstellungen in der Datei Web.config die Einstellungen in der Datei Machine.config außer Kraft gesetzt.

Wenn Sie eine Webanwendung mithilfe der Zentraladministration erweitern, wird durch die SharePoint 2010-Produkte automatisch eine Datei Web.config für die Webanwendung erstellt.

In der Momentaufnahme für Webserver und Anwendungsserver weiter oben in diesem Artikel werden Empfehlungen für das Konfigurieren der Datei Web.config aufgelistet. Diese Empfehlungen gelten für jede erstellte Datei Web.config, einschließlich der Datei Web.config für die Website für die Zentraladministration.

Weitere Informationen zu ASP.NET-Konfigurationsdateien und zum Bearbeiten der Datei Web.config finden Sie unter ASP.NET-Konfiguration (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x407).