Komponenten einer logischen Architektur (SharePoint Server 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Es gibt eine Reihe von Möglichkeiten zur Anordnung von Komponenten im Entwurf für eine logische Architektur. Jede Komponente bietet verschiedene Möglichkeiten zur Freigabe und Isolation. Bevor Sie sich mit dem Entwurf für eine logische Architektur beschäftigen, sollte Folgendes der Fall sein:

  • Ihre Ziele für die Freigabe und Isolation sind klar festgelegt.

  • Die Vor- und Nachteile jeder einzelnen Entscheidung wurden genau abgewogen.

Jeder Abschnitt in diesem Artikel beschreibt eine bestimmte Komponente der logischen Architektur und erläutert folgende Punkte im Hinblick auf die Komponente: Kapazität, Freigabe und Isolation, konfigurierbare Elemente, Verwaltung und Planungsempfehlungen.

Inhalt dieses Artikels:

  • Serverfarmen

  • Dienstanwendungen

  • Anwendungspools

  • Webanwendungen

  • Zonen

  • Richtlinien für Webanwendungen

  • Inhaltsdatenbanken

  • Websitesammlungen

  • Websites

  • Websitesammlungen mit Hostnamen

  • Meine Websites

Serverfarmen

Eine Serverfarm stellt das Element der obersten Ebene im Entwurf dar. Einzelne Serverfarmen ermöglichen die physische Isolation.

Die Anzahl der erforderlichen Serverfarmen wird von einer Reihe von Faktoren beeinflusst, die von Ihrer Organisation bestimmt werden. Dazu gehören u. a. folgende Faktoren:

  • Bei der umfassenden Verwendung von Diensten kann es sich empfehlen, eine oder mehrere dedizierte Farmen für Dienste einzurichten.

  • Separate Geschäftsbereiche

  • Dedizierte Finanzierungsquellen

  • Separate Rechenzentrum-Speicherorte

  • Branchenanforderungen für die physische Isolation zwischen Websites

Viele Isolationsanforderungen können jedoch auch in einer einzelnen Serverfarm erfüllt werden. Beispielsweise können Sie verschiedene Anwendungspools für Internetinformationsdienste (IIS) mit unterschiedlichen Prozessidentitäten verwenden, um eine Isolation auf Prozessebene für Websites und Dienste zu erreichen.

Neben den Isolationsanforderungen, die möglicherweise mehrere Serverfarmen voraussetzen, kann eine Organisation mehrere Serverfarmen implementieren, um Leistungs- und Skalierungsziele zu erreichen, um Lizenzierungsanforderungen zu erfüllen oder um eine Veröffentlichungsumgebung zu betreiben.

Dienstanwendungen

Eine Dienstanwendung stellt eine Ressource dar, die von mehreren Websites in einer Farm gemeinsam verwendet werden kann. In einigen Fällen ist auch die gemeinsame Verwendung durch mehrere Farmen möglich.

In SharePoint Server 2010 sind Dienste nicht mehr in einem Anbieter für gemeinsame Dienste (Shared Services Provider, SSP) enthalten. Stattdessen befindet sich die Infrastruktur zum Hosten von Diensten in Microsoft SharePoint Foundation 2010, und die Konfiguration von Dienstangeboten bietet nun ein höheres Maß an Flexibilität. Die einzelnen Dienste können unabhängig voneinander konfiguriert werden, und Drittparteien können der Plattform Dienste hinzufügen.

Sie können in einer Farm nur die benötigten Dienste bereitstellen. Bereitgestellte Dienste werden als Dienstanwendungen bezeichnet.

Dienstanwendungen sind Webanwendungen zugeordnet. Jede Dienstanwendung kann anders konfiguriert werden:

  • Webanwendungen können so konfiguriert werden, dass nur die erforderlichen Dienste und nicht sämtliche bereitgestellten Dienste verwendet werden.

  • Sie können in einer Farm mehrere Instanzen desselben Diensts bereitstellen und den resultierenden Dienstanwendungen eindeutige Namen zuweisen.

  • Dienstanwendungen können von mehreren Webanwendungen in einer Farm gemeinsam verwendet werden.

  • Einige Dienstanwendungen können von mehreren Farmen gemeinsam verwendet werden.

Kapazität

Es gibt keine empfohlene Höchstgrenze für die Anzahl der Dienstanwendungen in einer Farm.

Freigabe und Isolation

Es gibt zwei Möglichkeiten, Dienstanwendungen freizugeben:

  • Sie können die Dienstanwendung und die Dienstdaten freigeben. Dies ist das Standardverhalten für Dienste, die von mehreren Webanwendungen gemeinsam verwendet werden. So werden beispielsweise Suchergebnisse von mehreren Webanwendungen gemeinsam verwendet, die dieselbe Suchanwendung nutzen.

  • Sie können nur die Dienstanwendung freigeben, jedoch die Daten isolieren, indem Sie den Dienst im partitionierten Modus bereitstellen. In einer gehosteten Umgebung können Sie Dienstanwendungen mit Windows PowerShell im partitionierten Modus bereitstellen. Die Daten der einzelnen Mandanten werden jeweils auf einer separaten Partition der Datenbank für den Dienst gespeichert. Anhand der Abonnement-ID eines Mandanten werden die Dienstdaten des betreffenden Mandanten seiner Website zugeordnet. Wenn Sie beispielsweise den Suchdienst im partitionierten Modus bereitstellen, werden für jeden Mandanten nur die Suchergebnisse für seine eigenen Inhalte angezeigt.

    Hinweis

    Die Partitionierung wird nicht von allen Dienstanwendungen unterstützt.

Ebenso gibt es zwei Möglichkeiten für die Isolierung von Dienstanwendungen:

  • Sie können mehrere Dienstanwendungen in separaten Anwendungspools bereitstellen, um die Prozessisolation von Diensten und Dienstdaten zu erreichen. Ein Finanzteam kann beispielsweise eine separate und dedizierte Business Data Connectivity-Anwendung benötigen.

  • Sie können Dienste im partitionierten Modus bereitstellen. Diese Vorgehensweise empfiehlt sich in gehosteten Umgebungen, in denen Mandanten ihre Dienstdaten nie gemeinsam verwenden. Weniger geeignet ist diese Möglichkeit in Umgebungen, in denen sowohl freigegebene als auch isolierte Dienstdaten benötigt werden.

Falls erforderlich, können Sie Dienstanwendungen weiter isolieren, indem Sie sie in separaten Anwendungspools bereitstellen, um Prozessisolation zu erreichen. Anwendungspools sind jedoch eine beschränkte Ressource, und die Leistung der Farm wird beeinträchtigt, wenn zu viele Anwendungspools verwendet werden. Weitere Informationen hierzu finden Sie im vorliegenden Artikel unter Application pools.

Konfigurierbare Elemente

In der folgenden Tabelle sind konfigurierbare Elemente für Freigabe und Isolation aufgeführt.

Element

Beschreibung

Standardgruppe

Standardmäßig sind alle Dienstanwendungen in der Standardgruppe enthalten. Sie können der Standardgruppe jederzeit Dienstanwendungen hinzufügen bzw. Dienstanwendungen aus der Standardgruppe entfernen, auch beim Erstellen von Dienstanwendungen.

Wenn Sie eine Webanwendung erstellen, können Sie die Standardgruppe auswählen, oder Sie können eine benutzerdefinierte Gruppe von Diensten erstellen. Sie können eine benutzerdefinierte Gruppe von Diensten erstellen, indem Sie nur die Dienstanwendungen auswählen, die von der Webanwendung verwendet werden sollen.

Verbindung (Proxy)

Beim Erstellen einer Dienstanwendung wird gleichzeitig eine Verbindung für die Dienstanwendung erstellt. Eine Verbindung ist eine virtuelle Entität, die Webanwendungen mit Dienstanwendungen verknüpft. Bei einigen Dienstanwendungen (z. B. beim verwalteten Metadatendienst) werden Einstellungen in den Verbindungen gespeichert. In Windows PowerShell werden Verbindungen als Proxys bezeichnet.

Berechtigungen für Dienstanwendungen

Sie können die Verwaltung von Dienstanwendungen an andere Benutzer delegieren, indem Sie Berechtigungen für eine oder mehrere Dienstanwendungen gewähren.

Vertrauenswürdige Hostspeicherorte für Meine Website

In Organisationen, in denen mehrere Benutzerprofildienstanwendungen bereitgestellt werden, stellt dieses Feature sicher, dass Benutzer Meine Website nur an dem Speicherort erstellen, der für ihr Profil vorgesehen ist. Dieses Feature verhindert, dass Benutzer mehrere eigene Websites in einer Organisation erstellen.

Verwaltung

Die Konfiguration und Verwaltung von Dienstanwendungen kann an Administratoren delegiert werden, die sich schwerpunktmäßig mit dem Verwalten einzelner Dienste beschäftigen, z. B. mit dem Suchdienst, dem Benutzerprofildienst oder einem verwalteten Metadatendienst.

In einer gehosteten Umgebung können Mandanten einige der Diensteinstellungen für ihre Organisation verwalten.

Planungsempfehlungen

Konfigurieren Sie Dienstanwendungen so, dass Ressourcen von mehreren Webanwendungen gemeinsam verwendet oder dass Inhalte isoliert werden.

Beispielsweise können mehrere Websites in unterschiedlichen Webanwendungen und Anwendungspools durch die Freigabe von Diensten in der Standardproxygruppe zusammengefasst werden, um Taxonomie, Inhalte und Profile in einem Intranet gemeinsam nutzen zu können. Dadurch werden die Personalisierung und die unternehmensweite Standardisierung für viele Websites und Anwendungen ermöglicht. Dies ist ein gutes Beispiel für das Abwägen zwischen der Isolation von Prozessen (durch Implementieren separater Webanwendungen und Anwendungspools) und Geschäftsanforderungen, nach denen Informationen gemeinsam verwendet und Profildaten anwendungsübergreifend genutzt werden müssen.

Sie können Dienstanwendungen auch zur Verbesserung der globalen Isolationsziele konfigurieren. Beispielsweise wird durch Verwenden einer dedizierten Gruppe von Diensten für die Partnerzusammenarbeit sichergestellt, dass Benutzer des Partners nicht auf vertrauliche Informationen in Ihrer Intranetumgebung zugreifen und diese durchsuchen können. Sie können einzelne Dienste für die weitere Isolation von Inhalten zwischen Websitesammlung konfigurieren. Sie können beispielsweise Folgendes ausführen:

  • Schränken Sie Suchbereiche auf einzelne Websitesammlungen ein.

  • Konfigurieren Sie den Benutzerprofildienst so, dass nur die Benutzer angezeigt werden, die Mitglieder derselben Organisationseinheit in Active Directory-Domänendienste (AD DS) sind.

  • Konfigurieren Sie die Personenauswahl mit dem Stsadm-Befehlszeilentool, um nur die Benutzer anzuzeigen, die Mitglied der Websitesammlung sind.

Berücksichtigen Sie bei der Planung Ihrer Strategie für Dienste in der Organisation die Möglichkeiten zur Konfiguration der einzelnen Dienste, um Ihre globalen Inhaltsfreigabe- oder Isolationsziele besser zu erreichen.

Bestimmen Sie beim Entwerfen einer Strategie für Dienste in einer Hostumgebungen, welche Dienste verfügbar und welche Dienste partitioniert sein sollen.

Anwendungspools

In IIS 7.0 (Internetinformationsdienste) ist ein Anwendungspool eine Gruppe von URLs, die von einem Arbeitsprozess oder mehreren Arbeitsprozessen bedient werden.

Beim Erstellen von Websitesammlungen und Diensten in SharePoint 2010-Produkten wählen Sie den gewünschten Anwendungspool aus, oder Sie können einen neuen Anwendungspool erstellen. Jeder Anwendungspool verfügt über einen eigenen Arbeitsprozess, und er kann über eine separate Identität (d. h. ein Sicherheitskonto) verfügen, die die Interaktion zwischen zwei Prozessen verhindert.

Kapazität

Der Speicheroverhead eines Anwendungspools beträgt zwischen 30 und 50 Megabyte (MB) zuzüglich des Speicherplatzes, der für die Anwendungen erforderlich ist, die im Prozessbereich des Anwendungspools ausgeführt werden. Die Anforderungen der verschiedenen Anwendungen führen i. d. R. schnell zu einer Speicherauslastung des Anwendungspools in Höhe von 800 MB oder mehr. Die Anzahl der Anwendungspools wird durch den verfügbaren Systemspeicher beeinflusst. Dies bedeutet, dass die Anzahl der Anwendungspools von zwei Faktoren bestimmt wird:

  • Verfügbarer Speicherplatz, der adressiert werden kann.

  • Menge an Speicherplatz, die von den im Anwendungspool ausgeführten Anwendungen belegt wird.

Die allgemeine Richtlinie für eine angemessene Leistung sieht maximal acht Anwendungspools vor.

Freigabe und Isolation

IIS-Anwendungspools ermöglichen das Ausführen mehrerer Websites auf einem Servercomputer, ohne dass diese auf einen eigenen Arbeitsprozess und eine eigene Identität verzichten müssen. Dadurch kann verhindert werden, dass Angreifer eine Sicherheitslücke auf einer Website ausnutzen, um Websites in verschiedenen Anwendungspools mittels bösartigem Code anzugreifen. Noch wichtiger ist, dass mit dieser Strategie Code isoliert werden kann, der Speicherprobleme oder sonstige Probleme verursacht, sodass der fehlerhafte Code nicht sämtliche Anwendungen beeinträchtigt.

Konfigurierbare Elemente

Es empfiehlt sich, aus Sicherheits- und Isolationsgründen ggf. eine eigene Identität für jeden Anwendungspool zu verwenden.

Verwaltung

Wenn für die einzelnen Anwendungspools separate Identitäten verwendet werden, muss jede Identität verwaltet werden.

Planungsempfehlungen

Folgende Gründe sprechen für den Einsatz separater Anwendungspools:

  • Trennen authentifizierter Inhalte von Inhalten, die im Wesentlichen anonym sind

  • Isolieren von Anwendungen mit Kennwörtern und Interaktion für externe Geschäftsanwendungen wie Business Data Connectivity-Verbindungen

Webanwendungen

Eine Webanwendung ist eine IIS-Website, die von SharePoint 2010-Produkten erstellt und verwendet wird. Eine Webanwendung kann bis zu vier Mal erweitert werden, um vier weitere Zonen für SharePoint 2010-Produkte zu erstellen. Dadurch erhalten Sie bis zu fünf IIS-Websites, die einer einzigen Webanwendung zugeordnet sind, wobei jede IIS-Website einer anderen Zone zugeordnet ist. Sie können jeder Webanwendung einen eindeutigen Domänennamen zuweisen. Weitere Informationen hierzu finden Sie im vorliegenden Artikel unter Zones.

Freigabe und Isolation

Jede Webanwendung hat einen eindeutigen Domänennamen, um websiteübergreifende Skriptangriffe zu verhindern.

Konfigurierbare Elemente

In der folgenden Tabelle sind konfigurierbare Elemente für Freigabe und Isolation aufgeführt.

Element

Beschreibung

Dienstanwendungen

Dienstanwendungen sind Webanwendungen zugeordnet. Beim Erstellen einer Webanwendung können Sie die Standardproxygruppe (die Standardgruppe von Dienstanwendungen) auswählen, oder Sie können eine benutzerdefinierte Gruppe von Dienstanwendungen für die Webanwendung angeben. Alle Websites innerhalb einer Webanwendung verwenden Dienste aus denselben Dienstanwendungen. Eine Dienstanwendung kann Dienste für mehrere Webanwendungen bereitstellen, sodass Inhalte und Profildaten von verschiedenen Webanwendungen gemeinsam verwendet werden können.

Zonen

Sie können bis zu fünf Zonen in einer Webanwendung erstellen. Mithilfe von Zonen können Sie unterschiedliche Zugriffs- und Richtlinienbedingungen für große Benutzergruppen erzwingen.

Richtlinie für Webanwendung

Erstellen Sie eine Richtlinie, um Berechtigungen für eine oder mehrere Zonen in einer Webanwendung zu erzwingen. Eine Richtlinie kann für einen bestimmten Benutzer oder für eine bestimmte Benutzergruppe erstellt werden. Weitere Informationen hierzu finden Sie in diesem Artikel unter Richtlinien für Webanwendungen.

Verwaltung

Die laufende Verwaltung von Webanwendungen ist nicht von Bedeutung.

Planungsempfehlungen

Dedizierte Webanwendungen werden im Allgemeinen für folgende Zwecke verwendet:

  • Trennen von Inhalten für anonyme Benutzer von Inhalten für authentifizierte Benutzer.

  • Isolieren von Benutzern. Beispielsweise können Sie durch Platzieren von Partnerwebsites in einer separaten Webanwendung sicherstellen, dass Partner keinen Zugriff auf Ihre Intranetinhalte haben.

  • Erzwingen von Berechtigungen durch Richtlinien. Beispielsweise können Sie eine Richtlinie erstellen und so einer oder mehreren Gruppen von Benutzern den Schreibzugriff explizit verweigern. Richtlinien für eine Webanwendung werden unabhängig von Berechtigungen für einzelne Websites oder Dokumente in der Webanwendung erzwungen.

  • Optimieren der Datenbankleistung. Die Leistung von Anwendungen kann verbessert werden, indem sie mit Anwendungen mit ähnlichen Merkmalen in Inhaltsdatenbanken zusammengefasst werden. Beispielsweise gehört zu den datenbezogenen Merkmalen von Meine Websites, dass es sich um eine große Anzahl kleiner Websites handelt. Teamwebsites hingegen umfassen in aller Regel eine kleinere Anzahl sehr großer Websites. Wenn Sie diese beiden unterschiedlichen Arten nun jeweils in einer eigenen Webanwendung ablegen, erhalten Sie zwei Datenbanken mit ähnlichen Leistungsmerkmalen und können die Datenbankleistung so optimieren.

  • Optimieren der Verwaltbarkeit. Durch das Erstellen separater Webanwendungen entstehen separate Websites und separate Datenbanken. Für den Papierkorb, den Ablauf und die Größe jeder Website können Sie eigene Grenzwerte implementieren; außerdem können Sie individuelle Vereinbarungen zum Servicelevel aushandeln. Beispielsweise können Sie mehr Zeit für das Wiederherstellen von Websites einräumen, die nicht von grundlegender Bedeutung für Ihr Unternehmen sind.

Zonen

Zonen stellen verschiedene logische Pfade (URLs) für den Zugriff auf die gleiche Webanwendung dar. Innerhalb jeder Webanwendung können Sie bis zu fünf Zonen mit einem der verfügbaren Zonennamen erstellen: Standard, Intranet, Internet, Benutzerdefiniert oder Extranet. Jeder Name kann pro Webanwendung nur einmal ausgewählt werden. Jede Zone wird in IIS durch eine andere Website dargestellt.

Die Standardzone ist die Zone, die nach dem Erstellen einer Webanwendung zuerst erstellt wird.

Kapazität

Sie können bis zu fünf Zonen in einer Webanwendung erstellen. Normalerweise werden Zonen anwendungsübergreifend koordiniert, sodass Zonen mit dem gleichen Namen für die gleichen Benutzer konfiguriert sind.

Freigabe und Isolation

Zonen ermöglichen das Aufteilen von Benutzern anhand folgender Kriterien:

  • Authentifizierungstyp: Jede Zone kann für einen anderen Authentifizierungsanbieter konfiguriert werden, sodass für mehrere Partnerunternehmen dieselben Inhalte freigegeben werden können.

  • Netzwerkzone: Jede Zone kann für Benutzer aus unterschiedlichen Netzwerkzonen wie Extranet oder Internet konfiguriert werden.

  • Richtlinienberechtigungen: Sie können den Lese- oder Schreibzugriff für die Inhalte einzelner Zonen anhand von Benutzer- oder Gruppenkonten explizit gewähren oder verweigern.

Konfigurierbare Elemente

In der folgenden Tabelle sind konfigurierbare Elemente für Freigabe und Isolation aufgeführt.

Element

Beschreibung

Authentifizierungsanbieter

Jede Zone kann für einen anderen Authentifizierungsanbieter konfiguriert werden.

Anonymer Zugriff

Der anonyme Zugriff kann für jede einzelne Zone aktiviert oder deaktiviert werden.

Secure Sockets Layer (SSL)

SSL kann für jede Zone aktiviert oder deaktiviert werden.

Öffentliche URL und alternative Zugriffszuordnung

Geben Sie den Domänennamen an, den Benutzer eingeben, um auf Inhalte der Webanwendung zuzugreifen. Sie können auch die alternative Zugriffszuordnung verwenden, um der Standard-URL (Servername und Port) für jede Zone benutzerfreundliche URLs oder zonenspezifische URLs zuzuordnen. Die alternative Zugriffszuordnung unterstützt die Off-Box-SSL-Beendigung. Dabei wird eine SSL-Anforderung von einem Proxyserver beendet und mit HTTP an einen Webserver weitergeleitet. In diesem Fall können alternative Zugriffszuordnungen zur Rückgabe dieser Anforderungen mit SSL konfiguriert werden, sodass eine sichere Kommunikation zwischen Client und Proxyserver gewährleistet wird.

Richtlinie für Webanwendung

Erstellen Sie einen eindeutigen Satz von Richtlinien für jede Zone innerhalb der Webanwendung. Wenn eine besondere Benutzergruppe Ausnahmen bezüglich der globalen Sicherheitsrichtlinie erfordert, können Sie eine separate Zone für diese Benutzer verwenden.

Verwaltung

Bedenken Sie bei der alternativen Zugriffszuordnung, dass DNS-Einträge (Domain Name System) für alle öffentlichen URLs erforderlich sind, um die öffentlichen URLs den IP-Adressen des Lastenausgleichs für die Farm zuzuordnen.

Planungsempfehlungen

Beim Entwerfen von Zonen sind mehrere Entscheidungen für den Erfolg der Bereitstellung von Bedeutung. Diese Entscheidungen betreffen u. a. den Entwurf und die Konfiguration für die folgenden Zonen:

  • Standardzone

  • Zonen für externen Zugriff

In den folgenden Abschnitten werden einige Planungsempfehlungen und Anforderungen für Zonen beschrieben, u. a. für die Standardzone.

  • Administrative E-Mails enthalten Hyperlinks für die Standardzone. Dazu gehören E-Mails an Websitebesitzer, deren Kontingentbegrenzungen bald erreicht sind. Benutzer, die administrative E-Mail-Nachrichten und Benachrichtigungen erhalten, müssen folglich über die Standardzone auf Hyperlinks zugreifen. Dies ist insbesondere für Websitebesitzer von Bedeutung.

  • Websitesammlungen mit Hostnamen sind nur über die Standardzone verfügbar. Benutzer, die auf Websitesammlungen mit Hostnamen zugreifen müssen, benötigen daher Zugriff über die Standardzone.

  • Die Standardzone muss die sicherste Zone sein. Denn für Benutzeranforderungen, die keiner Zone zugeordnet werden können, die Authentifizierung und die Richtlinien der Standardzone verwendet werden.

Der Gestaltung von Zonen in einer Extranetumgebung ist aus zwei Gründen mit Bedacht vorzunehmen:

  • Benutzeranforderungen können von mehreren unterschiedlichen Netzwerken initiiert werden, z. B. dem internen Netzwerk, einem Partnerfirmennetzwerk oder dem Internet.

  • Benutzer verwenden Inhalte von verschiedenen Webanwendungen. Beispielsweise kann eine Intranetumgebung Websites enthalten, die in verschiedenen Webanwendungen gehostet werden. Außerdem können Mitarbeiter möglicherweise sowohl auf das Intranet als auch auf Inhalte für die Zusammenarbeit zwischen Partnern zugreifen.

Folgende Entwurfsprinzipien sollten in einer Extranetumgebung beachtet werden:

  • Konfigurieren Sie Zonen für mehrere Webanwendungen als einheitliches Abbild voneinander. Die Konfiguration der Authentifizierung und der zulässigen Benutzer sollte einander entsprechen. Die mit einer Zone verbundenen Richtlinien können sich jedoch je nach Webanwendung unterscheiden. Beispielsweise sollten Sie sicherstellen, dass die Intranetzone über alle Webanwendungen hinweg von den gleichen Mitarbeitern verwendet wird. Konfigurieren Sie daher keine separate Intranetzone für interne und externe Mitarbeiter in unterschiedlichen Webanwendungen.

  • Konfigurieren Sie alternative Zugriffszuordnungen ordnungsgemäß und entsprechend der jeweiligen Zone und der jeweiligen Ressource.

Richtlinie für eine Webanwendung

Eine Richtlinie für eine Webanwendung erzwingt Berechtigungen für alle Inhalte einer Webanwendung, und Sie können die Sicherheitsrichtlinie für Benutzer auf Webanwendungsebene festlegen. Die Berechtigungen in einer Richtlinie überschreiben alle anderen Sicherheitseinstellungen, die für Websites und Inhalte konfiguriert wurden.

Sie können Richtlinien auf der Basis von Benutzern oder Benutzergruppen in Active Directory-Domänendiensten, nicht jedoch auf der Basis von SharePoint-Gruppen konfigurieren. Eine Richtlinie kann allgemein für eine Webanwendung oder speziell für eine bestimmte Zone definiert werden.

Kapazität

Es gibt keine Kapazitätseinschränkungen bezüglich Richtlinien für Webanwendungen.

Freigabe und Isolation

Eine Richtlinie für eine Webanwendung ermöglicht das Festlegen von Berechtigungen anhand von Benutzern und der Zone, über die diese auf den Inhalt zugreifen.

Richtlinien bieten Ihnen u. a. folgende Möglichkeiten:

  • Gewähren von Zugriff auf alle Inhalte für Helpdeskmitarbeiter

  • Verweigern von Schreibzugriff für Partner oder Händler

  • Verweigern des Zugriffs auf sichere Daten für eine Gruppe von Benutzern ungeachtet der Konfiguration von Berechtigungen durch den Websitebesitzer

  • Sicherstellen des Zugriffs auf den gesamten Inhalt für das Crawlkonto

Konfigurierbare Elemente

In der folgenden Tabelle sind konfigurierbare Elemente für Freigabe und Isolation aufgeführt.

Element

Beschreibung
   

Benutzerrichtlinien

Erstellen Sie eine Richtlinie, die auf Benutzer oder Benutzergruppen angewendet wird:

  • Die Richtlinie kann auf alle Zonen oder auf eine Zone angewendet werden.

  • Sie können Benutzernamen, Gruppennamen oder E-Mail-Adressen eingeben.

  • Geben Sie die Berechtigungen an, die auf die Richtlinie angewendet werden sollen.

Sie können die Standardberechtigungsebenen ändern oder neue Berechtigungsebenen erstellen, indem Sie beim Erstellen der Richtlinie in der Zentraladministration auf Berechtigungsrichtlinie klicken.

Richtlinie für anonymen Zugriff

Wenn für die Webanwendung oder eine bzw. mehrere Zonen der anonyme Zugriff aktiviert ist, können Sie eine Richtlinie erstellen, die auf alle anonymen Benutzer angewendet wird. Es gelten folgende Standardrichtlinieneinstellungen:

  • Keine: Keine Richtlinie

  • Schreiben verweigern: Kein Schreibzugriff

  • Alle verweigern: Kein Zugriff

Richtlinienebenen für anonyme Benutzer können nicht geändert werden.

Berechtigungsrichtlinie

Bearbeiten Sie die spezifischen Berechtigungen, die einer Standardberechtigungsebene zugeordnet sind, oder erstellen Sie eine neue Berechtigungsebene für die Richtlinie. Darüber hinaus können Sie die speziellen gewährten oder verweigerten Berechtigungen für Websitesammlungen oder Websites angeben.

Nachdem Sie die neue Richtlinienberechtigungsebene erstellt haben, können Sie eine Benutzerrichtlinie erstellen, die die Berechtigungsrichtlinie verwendet.

Verwaltung

Die laufende Verwaltung von Richtlinien für Webanwendungen ist nicht von Bedeutung.

Planungsempfehlungen

Da Richtlinien zentral verwaltet werden, empfehlen sich Richtlinien für die Verwaltung großer Benutzergruppen und nicht für die Verwaltung einzelner Benutzer.

Inhaltsdatenbanken

Der gesamte Inhalt einer Webanwendung wird standardmäßig in einer Inhaltsdatenbank gespeichert. Sie können Inhalte auf Websitesammlungsebene auf mehrere Inhaltsdatenbanken aufteilen. Eine Inhaltsdatenbank kann mehrere Websitesammlungen enthalten. Eine Websitesammlung kann nur eine Datenbank umfassen. Das Sichern und Wiederherstellen von Websites findet auf der Ebene der Inhaltsdatenbank statt.

Kapazität

Im Hinblick auf eine angemessene Leistung wird empfohlen, maximal 100 Inhaltsdatenbanken pro Webanwendung zu implementieren.

Freigabe und Isolation

Durch das Planen von Datenbanken können Sie die Effizienz (mehrere Websitesammlungen verwenden eine Datenbank) oder die Isolierung (eine Websitesammlung verwendet eine Datenbank) verbessern.

Durch das Verwalten von Datenbanken bis zur maximalen Zielgröße erreichen Sie eine hohe Effizienz. Sie konfigurieren Datenbankeinstellungen, um bestehenden Datenbanken neue Websitesammlungen hinzuzufügen, bis die maximale Anzahl der Websitesammlungen erreicht wurde. Die maximale Anzahl der Websitesammlungen errechnet sich aus der geschätzten durchschnittlichen oder maximalen Größe der Websitesammlungen im Verhältnis zur maximalen Zielgröße für die Datenbank. Diese Vorgehensweise eignet sich gut, wenn eine große Anzahl kleiner Websitesammlungen wie Meine Websites zu erwarten ist.

Durch das Beschränken einer Datenbank auf eine Websitesammlung erreichen Sie eine Isolation von Inhalten zwischen Teams oder Projekten. Auf diese Weise können Sie die Inhalte für die einzelnen Teams unabhängig voneinander verwalten. Beispielsweise können Sie die Datenbank jedes Teams für Sicherung, Wiederherstellung und Migration separat verwalten. Dies gibt Ihnen die Möglichkeit, verschiedene Vereinbarungen zum Servicelevel in Abhängigkeit vom betreffenden Projekt oder Team zu implementieren. Zudem können Sie so Inhalte für den Lebenszyklus von Projekten verwalten. Beispielsweise können Sie eine Datenbank archivieren, sobald ein Projekt abgeschlossen wurde.

Konfigurierbare Elemente

In der folgenden Tabelle sind konfigurierbare Elemente für Freigabe und Isolation aufgeführt.

Element

Beschreibung

Datenbankserver

Geben Sie den Computer mit SQL Server an, auf dem die Inhaltsdatenbank erstellt wird.

Failoverserver

Sie können eine Inhaltsdatenbank einem bestimmten Failoverserver zuordnen, der in Verbindung mit der SQL Server-Datenbankspiegelung verwendet wird.

Kapazitätseinstellungen

Sie können die Anzahl der Websites angeben, die erstellt werden können, bevor ein Warnereignis generiert wird. Außerdem können Sie die maximale Anzahl von Websites festlegen, die in den einzelnen Datenbanken erstellt werden können.

Verwaltung

Mit einem verwaltbaren Datenbankverwaltungsplan wird die Anzahl der Datenbanken mit den erforderlichen Ressourcen zum Verwalten der Datenbanken abgewogen.

Die Verwaltung von Datenbanken umfasst Folgendes:

  • Erstellen neuer Datenbanken für neue Teamwebsites oder Websitesammlungen, die dedizierte Datenbanken erfordern

  • Überwachen von Datenbankgrößen und Erstellen neuer Datenbanken beim Erreichen von Zielgrößen

  • Sichern und Wiederherstellen von Datenbanken

Planungsempfehlungen

Wählen Sie eine der folgenden Vorgehensweisen aus:

  • Legen Sie Zielgrößen für Inhaltsdatenbanken mit geeigneten Schwellenwerten für Größenwarnungen fest. Erstellen Sie neue Datenbanken, sobald diese Schwellenwerte erreicht werden. Bei diesem Ansatz werden Websitesammlungen den bestehenden Datenbanken automatisch und nur entsprechend den Zielwerten hinzugefügt.

  • Ordnen Sie Websitesammlungen bestimmten Inhaltsdatenbanken zu. Dieser Ansatz ermöglicht Ihnen, Websitesammlungen in einer dedizierten Datenbank zu platzieren, die unabhängig von anderen Datenbanken verwaltet werden können.

Wenn Sie Websitesammlungen bestimmten Inhaltsdatenbanken zuordnen möchten, können Sie dazu die folgenden Methoden verwenden:

  • Erstellen Sie mit Windows PowerShell eine Websitesammlung in einer neuen Datenbank.

  • Wenden Sie die folgenden Datenbank-Kapazitätseinstellungen auf der Seite Inhaltsdatenbankeigenschaften verwalten der Website für die SharePoint-Zentraladministration an:

    • Anzahl der Websites, bevor ein Warnungsereignis generiert wird = 0

    • Maximale Anzahl an Websites, die in dieser Datenbank erstellt werden können = 1

  • Führen Sie die folgenden Schritte aus, um einer dedizierten Datenbank eine Gruppe von Websitesammlungen hinzuzufügen:

    1. Fügen Sie eine Inhaltsdatenbank für die Webanwendung hinzu, und vergewissern Sie sich, dass der Datenbankstatus auf Bereit festgelegt ist.

    2. Legen Sie den Status aller anderen Datenbanken auf Offline fest. Solange die Inhaltsdatenbanken offline sind, können keine neuen Websitesammlungen erstellt werden. Der Lese- und Schreibzugriff auf vorhandene Websitesammlungen in Offlinedatenbanken ist jedoch weiterhin möglich.

    3. Erstellen Sie die Websitesammlungen. Diese werden Online-Datenbank automatisch hinzugefügt.

    4. Legen Sie den Status sämtlicher anderen Datenbanken auf Bereit fest.

Websitesammlungen

Eine Websitesammlung ist eine Reihe von Websites mit dem gleichen Besitzer und gemeinsamen Verwaltungseinstellungen. Jede Websitesammlung enthält eine Website auf höchster Ebene und kann mindestens eine Unterwebsite enthalten.

Kapazität

Die empfohlene Richtlinie für eine angemessene Leistung sieht die Implementierung von weniger als 50.000 Websitesammlungen pro Inhaltsdatenbank als maximalen Wert vor. Die Leistung kann jedoch bereits bei ca. 10.000 Websitesammlungen beeinträchtigt werden. Durch horizontales Skalieren und Aufteilen von Websitesammlungen auf mehrere Datenbankserver steigern Sie die Speicherkapazität und den Durchsatz.

Freigabe und Isolation

Websitesammlungen weisen verschiedene Freigabe- und Isolationsmöglichkeiten auf, die sich auf Berechtigungen, Navigation und die Bereitstellung von Features auswirken.

Die folgenden Elemente können innerhalb einer Websitesammlung, jedoch nicht über mehrere Websitesammlungen hinweg freigegeben werden (mit Ausnahme von Elementen, die in einem Dateisystem gespeichert sind, z. B. Features im Verzeichnis _layouts):

  • Gestaltungsvorlagen

  • Seitenlayouts

  • Bilder

  • Websitevorlagen

Berechtigungen und die Navigation werden darüber hinaus auf Websitesammlungsebene wie folgt isoliert:

  • Unterwebsites in einer Websitesammlung können Berechtigungen von der übergeordneten Website erben.

  • Websitesammlungen können keine Berechtigungen von anderen Websitesammlungen erben.

  • Eine integrierte Navigation zwischen Websitesammlungen liegt nicht vor.

Suchergebnisse werden von SharePoint Server 2010 schließlich über Websitesammlungen hinweg anhand der Berechtigungen von Benutzern und unabhängig von der Anzahl der Websitesammlungen oder Datenbanken (in Abhängigkeit vom Suchbereich) aggregiert.

Beachten Sie, dass auch wenn Berechtigungen für einzelne Websites erzwungen werden, diese weiterhin anfällig für websiteübergreifende Skriptangriffe von anderen Websites innerhalb der Domäne sind.

Konfigurierbare Elemente

In der folgenden Tabelle sind konfigurierbare Elemente für Freigabe und Isolation aufgeführt.

Element

Beschreibung

Websitesammlungsadministrator

Sie können einen Benutzer als primären Websitesammlungsadministrator angeben und einen Benutzer als sekundären Websitesammlungsadministrator. Das Angeben mehrerer Konten für diese Rollen in der Zentraladministration ist genauso wenig möglich wie das Angeben eines Gruppenkontos für diese Rollen.

Websitevorlage

Durch eine Websitevorlage wird bestimmt, welche Listen und Funktionen auf der neuen Website verfügbar sein werden. Viele Aspekte einer Website können nach deren Erstellung angepasst werden. Die Websitevorlage kann jedoch nach dem Erstellen der Website nicht mehr geändert werden.

Kontingentvorlage

Mit einer Kontingentvorlage können Sie die Ressourcen begrenzen, die für eine Websitesammlung verwendet werden. Folgende Vorlagen sind verfügbar:

  • Persönliche Website (100 MB)

  • Teamwebsites (2 GB)

Die folgende Tabelle enthält konfigurierbare Elemente in einer Websitesammlung für Freigabe und Isolation. Diese Einstellungen sind verfügbar, nachdem Sie die Websitesammlung mit den Einstellungen in der vorherigen Tabelle erstellt haben.

Element

Beschreibung

Websitesammlungsadministratoren

Sie können mehrere Benutzerkonten für Websitesammlungsadministratoren angeben. Sie können keine Gruppenkonten hinzufügen.

Berechtigungsstufe

Fügen Sie Websitesammlungen Benutzer- und Gruppenkonten hinzu, und geben Sie entsprechende Berechtigungsebenen an.

Verwaltung

Beim Erstellen von Websitesammlungen sind keine DNS-Einträge erforderlich (es sei denn, Sie erstellen Websitesammlungen mit Hostnamen). Der Erstellungsvorgang kann auf einfache Weise automatisiert oder an andere Benutzer delegiert werden. Sie können Websitesammlungen für die Teamwebsites zentral erstellen oder zulassen, dass Benutzer mithilfe der Self-Service-Site-Verwaltung eigene Websitesammlungen erstellen können.

Das Verwenden einer dedizierten Datenbank für eine Websitesammlung ermöglicht Sicherungs- und Wiederherstellungsvorgänge auf der Websitesammlungsebene.

Planungsempfehlungen

Websitesammlungen schließen die Lücke zwischen der logischen Architektur und der Informationsarchitektur. Berücksichtigen Sie beim Entwerfen Ihrer Websitesammlungen die folgenden beiden Punkte:

  • Entwerfen Sie konsistente URLs für die gesamte Organisation.

  • Erstellen Sie logische Inhaltsbereiche.

Nur wenn Sie Websitesammlungen mit Hostnamen verwenden, muss jede Webanwendung über eine einzelne Websitesammlung auf Stammebene verfügen. Dadurch wird ein einzelner URL-Pfad für die Websites in der Webanwendung bereitgestellt. Dies ist auch erforderlich, wenn Sie mehrere Zonen innerhalb einer Webanwendung implementieren. Weitere Informationen hierzu finden Sie im vorliegenden Artikel unter Host-named site collections.

Viele Organisationen möchten mehrere Websitesammlungen innerhalb einer Webanwendung für verschiedene Teams oder Abteilungen in der Organisation implementieren. Zu den allgemeinen Entwurfszielen gehören u. a. die folgenden:

  • Verwalten einer separaten und unabhängigen Websitesammlung für jedes Team

  • Erstellen einer eindeutigen URL für jedes Team

  • Isolieren von Inhalten zwischen Teams

Sie können zum Erreichen dieser Ziele mehrere Websitesammlungen der obersten Ebene mithilfe von verwalteten Pfaden in eine Webanwendung integrieren. Durch Festlegen von verwalteten Pfaden können Sie die Pfade im URL-Namespace einer Webanwendung angeben, die für Websitesammlungen verwendet werden. Sie können angeben, dass Websitesammlungen in einem bestimmten Pfad unterhalb der Website auf oberster Ebene vorhanden sind. Wenn Sie keine verwalteten Pfade verwenden, sind alle unterhalb der Websitesammlung auf oberster Ebene erstellten Websites Teil der Websitesammlung auf oberster Ebene.

Sie können folgende zwei Arten von verwalteten Pfaden erstellen:

  • Ausdrückliche Inklusion: Eine Websitesammlung mit der expliziten URL, die Sie zuweisen. Eine ausdrückliche Inklusion wird nur für eine Websitesammlung verwendet. Sie können die einzelnen Websitesammlungen unterschiedlichen Inhaltsdatenbanken zuordnen, um das Wachstum separat zu verwalten und die Sicherung und Wiederherstellung dieser Websites unabhängig voneinander zu ermöglichen. Eine Beispiel-URL für eine Websitesammlung, die mit dieser Methode erstellt wurde, ist http://fabrikam/hr. Websitesammlungen, die mit einer ausdrücklichen Inklusion erstellt wurden, sind auf ungefähr 100 Websitesammlungen innerhalb einer Webanwendung begrenzt (empfohlen werden jedoch 20 Websitesammlungen). Wenn Ihre Organisation eine größere Anzahl von Websitesammlungen erfordert, verwenden Sie stattdessen die Platzhalterinklusion.

  • Platzhalterinklusion: Ein Pfad, der der URL hinzugefügt wird. Dieser Pfad gibt an, dass alle Websites, die unmittelbar nach dem Pfadnamen angegeben werden, eindeutige Websitesammlungen sind. Diese Option wird in aller Regel zur Unterstützung von Self-Service Site Management wie Meine Websites oder für Websites verwendet, die für die Zusammenarbeit mit Partnern erstellt wurden. Beispiel-URLs für Websitesammlungen, die mit dieser Methode erstellt wurden, sind http://Partnerweb/Websites/Projekt1 und http://Partnerweb/Websites/Projekt2. Dabei steht http://Partnerweb für die Websitesammlung auf Stammebene, und /Websites steht für die Platzhalterinklusion.

Websites

Eine Website besteht aus verwandten Seiten sowie weiteren Elementen (z. B. Listen, Bibliotheken und Dokumenten), die in einer Websitesammlung gehostet werden.

Kapazität

Die Richtlinie für eine angemessene Leistung sieht die Implementierung von weniger als 250.000 Websites pro Websitesammlung vor. Sie können eine sehr große Gesamtzahl von Websites durch Schachteln von Unterwebsites erstellen. Eine große Anzahl von geschachtelten Unterwebsites kann jedoch dazu führen, dass das Upgrade der Websites sehr lange dauert. Mit 5.000 Websites in einer Websitesammlung ist jedoch eine gute Leistung gegeben.

Freigabe und Isolation

Websites weisen eine integrierte Navigation von einer Unterwebsite zu anderen Unterwebsites in der Websitesammlung auf. Eine integrierte Navigation zwischen Websitesammlungen liegt nicht vor.

Ebenso wie Websitesammlungen sind auch separate Websites anfällig für websiteübergreifende Skriptangriffe von anderen Websites in der Domäne.

Konfigurierbare Elemente

Sie können von jeder Website aus Benutzer- oder Benutzergruppenkonten für die Gruppe Besitzer dieser Website hinzufügen.

Verwaltung

Sie können eine Vielzahl von Tools verwenden, um einzelne Websites zu sichern und wiederherzustellen.

Websitesammlungen mit Hostnamen

Mithilfe von Websitesammlungen mit Hostnamen können Sie mehrere Websitesammlungen auf Stammebene innerhalb einer Webanwendung erstellen. Beispielsweise verwenden Administratoren für Hostorganisationen Websitesammlungen zum Erstellen von Websites mit Domänennamen.

Zum Erstellen von Websitesammlungen mit Hostnamen ist kein spezieller Modus (wie der Hostheadermodus) erforderlich. Sie können Websitesammlungen mit Hostnamen mithilfe von Windows PowerShell erstellen. Außerdem können Sie in Windows PowerShell verwaltete Pfade für Websitesammlungen mit Hostnamen verwenden (New-SPManagedPath –HostHeader).

Websitesammlungen mit Hostnamen bieten eine größere Kontrolle über URLs. Sie sind jedoch nur über die Standardzone verfügbar. Benutzerkonten, die für die Authentifizierung über andere Zonen konfiguriert wurden, können nicht auf Websitesammlungen mit Hostnamen zugreifen.

In SharePoint 2010-Produkten unterstützen Websitesammlungen mit Hostnamen die Off-Box-SSL-Beendigung. Es sind jedoch nur Off-Box-Änderungen des Protokollschemas möglich (http:// oder https://). Der Reverseproxyserver kann nicht den Hostnamen oder die Portnummer ändern (lediglich ein Wechsel vom SSL-Standardport zum HTTP-Standardport ist möglich).

Kapazität

Sie können bis zu 100.000 Websitesammlungen mit Hostnamen innerhalb einer einzigen IIS-Website erstellen.

Freigabe und Isolation

Die unabhängigen Domänennamen von Websitesammlungen mit Hostnamen tragen dazu bei, websiteübergreifende Skriptangriffe zwischen zwei Websites zu verhindern.

Verwaltung

Zu den Verwaltungsaufgaben für Websitesammlungen mit Hostnamen gehören u. a. die folgenden:

  • Hinzufügen von Websitesammlungen mit Hostnamen mithilfe von Windows PowerShell

  • Erstellen eines separaten DNS-Eintrags für jede Websitesammlung mit Hostnamen

Meine Websites

Meine Websites sind spezielle SharePoint-Websites, die für jeden einzelnen Benutzer personalisiert sind. Meine Websites sind standardmäßig im Rahmen des Benutzerprofildiensts aktiviert, und jeder Benutzer in einer Organisation kann eine eigene Website vom Typ Meine Website erstellen. Weitere Informationen zur Kapazität, Freigabe und Isolation sowie zur Verwaltung finden Sie unter Websites weiter oben in diesem Artikel.