Bewährte Methoden für Extranetumgebungen (SharePoint Server 2010)

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel werden Planungs- und Entwurfsempfehlungen für Extranetumgebungen basierend auf SharePoint Server beschrieben, bei denen Benutzern außerhalb des internen Netzwerks der Zugriff auf Websites erteilt wird. Dieser Artikel gehört zu einer Reihe von Artikeln über bewährte Methoden für Microsoft SharePoint Server 2010.

1. Erste Schritte mit dem Extranettopologien für SharePoint 2010-Produkte-Modell

Das Extranettopologien für SharePoint 2010-Produkte-Modell veranschaulicht die spezifischen Extranettopologien, die für SharePoint 2010-Produkte getestet wurden. Außerdem ermöglicht es einen Vergleich von Internet Security and Acceleration (ISA) Server, Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG), wenn sie als Firewall- oder Gatewayprodukt mit SharePoint 2010-Produkte verwendet werden.

Extranettopologien für SharePoint 2010-Produkte

Klicken Sie auf die Abbildung, um das Extranettopologien für SharePoint 2010-Produkte-Modell zu vergrößern

Laden Sie das Extranettopologien für SharePoint 2010-Produkte-Modell herunter (https://go.microsoft.com/fwlink/?LinkId=219527&clcid=0x407)

2. Auswählen der entsprechenden Serverlizenz

Die Lizenz oder Kombination von Lizenzen für Server hängt von mehreren Faktoren ab. Für SharePoint Server 2010 werden unter Planning for server farms (SharePoint Server 2010) die verschiedenen Überlegungen und Lizenzierungsoptionen für Extranetumgebungen behandelt.

3. Nutzen mehrerer Authentifizierungsmechanismen

Versuchen Sie nicht, für alle Benutzer standardmäßig einen einzigen Authentifizierungsmechanismus zu verwenden. Verwenden Sie den Authentifizierungsmechanismus, der für die jeweilige Benutzergruppe das beste Resultat liefert. Beispielsweise können bei Verwendung der anspruchsbasierten SAML-Authentifizierung für Partner diese Benutzer bestimmte Anmeldeinformationen verwenden. Nutzen Sie die Flexibilität von SharePoint Server für die Konfiguration der Authentifizierung, anstatt für alle Benutzer in einer Organisation einen einzigen Authentifizierungsmechanismus zu verwenden.

Ein Beispiel für einen Entwurf, bei dem mehrere Authentifizierungsmechanismen verwendet werden, finden Sie unter Entwurfsbeispiel: Bereitstellung im Unternehmen (SharePoint Server 2010)

4. Aufrechterhalten der Konsistenz bei der Benutzerauthentifizierung für Benutzer

Stellen Sie sicher, dass Benutzer dasselbe Konto und dieselben Anmeldeinformationen zum Anmelden bei Websites verwenden können, und zwar unabhängig davon, ob sie sich innerhalb oder außerhalb des internen Netzwerks befinden. Dies spielt eine wichtige Rolle, denn wenn Benutzer über zwei verschiedene Authentifizierungsanbieter eine Verbindung mit Websites herstellen, erstellt SharePoint Server zwei unterschiedliche Konten und Profile für jeden Benutzer.

Wenn Sie die Windows-Authentifizierung intern verwenden, gibt es mindestens zwei Optionen, um sicherzustellen, dass sich Benutzer mit demselben Konto intern und extern anmelden können:

• Verwendung der formularbasierten Authentifizierung für das Firewall- oder Gatewayprodukt zum Erfassen von Windows-Anmeldeinformationen, die an die SharePoint-Farm weitergeleitet werden. Diese Option ist für Umgebungen möglich, in denen der klassische Authentifizierungsmodus verwendet wird und in denen die formularbasierte Authentifizierung für SharePoint-Websites nicht unterstützt wird.

• Mithilfe von SSL (Secure Sockets Layer) Implementieren nur einer URL, die intern und extern verwendet werden kann. Das heißt, Mitarbeiter verwenden dieselbe Zone, die für SSL konfiguriert ist, unabhängig davon, wo sie sich befinden.

5. Konfigurieren von identischen Zonen für verschiedene Webanwendungen

In einer Extranetumgebung ist der Entwurf der Zonen von entscheidender Bedeutung. Stellen Sie sicher, dass die Konfiguration der Zonen die folgenden Anforderungen erfüllt:

• Konfigurieren Sie Zonen für mehrere Webanwendungen als einheitliches Abbild voneinander. Die Konfiguration der Authentifizierung, Zonen und Benutzer, die Zonen zugewiesen sind, sollte einander entsprechen. Die mit einer Zone verbundenen Richtlinien können sich jedoch je nach Webanwendung unterscheiden. Beispielsweise sollten Sie sicherstellen, dass die Intranetzone über alle Webanwendungen hinweg von den gleichen Mitarbeitern verwendet wird. Konfigurieren Sie daher keine separate Intranetzone für interne und externe Mitarbeiter in unterschiedlichen Webanwendungen.

• Konfigurieren Sie alternative Zugriffszuordnungen ordnungsgemäß und entsprechend der jeweiligen Zone und Ressource. Alternative Zugriffszuordnungen werden beim Erstellen der Zone automatisch erstellt. SharePoint Server kann jedoch so konfiguriert werden, dass Inhalte in externen Ressourcen durchforstet werden, z. B. einer Dateifreigabe. Links zu diesen externen Ressourcen müssen für jede Zone mithilfe alternativer Zugriffszuordnungen manuell erstellt werden.

6. Nutzen eines Reverseproxyservers

Schützen Sie Ihre Umgebung vor direkten Benutzeranforderungen mithilfe eines Reverseproxyservers, auf dem Anforderungsinspektionsregeln auf jede Benutzeranforderung angewendet werden können. Ein Reverseproxy kann die Weitergabe von Informationen zur Konfiguration eines internen Netzwerks verhindern. Außerdem können damit Client-SSL-Sitzungen auf sichere Weise beendet werden, um SSL-Mehraufwand auf den Webservern zu vermeiden.

Forefront Unified Access Gateway (UAG) ist ein Reverseproxyserver, der in Kombination mit SharePoint Server in Extranetumgebungen umfassende Funktionalität bietet. Weitere Informationen finden Sie in den folgenden Quellen:

• SharePoint publishing solution guide

• Why enable SharePoint extranet access with Forefront UAG?

7. Konfigurieren von firewallübergreifendem Zugriff und von Einstellungen für mobile Geräte

Eine firewallübergreifende Zugriffszone wird zum Generieren externer URLs für mobile Warnmeldungen verwendet. Außerdem können Benutzer damit auf die Schaltfläche Link per E-Mail versenden auf dem Menüband klicken, um eine extern verfügbare URL zu senden. Einige Konfigurationsschritte sind erforderlich, um sicherzustellen, dass der Zugriff auf SharePoint-Websites für mobile Geräte wie beispielsweise Windows Phone 7 möglich ist, wenn die Geräte außerhalb der Unternehmensfirewall verwendet werden.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Konfigurieren des externen Zugriffs für mobile Geräte (SharePoint Server 2010)

• Planung für mobile Geräte (SharePoint Server 2010)

8. Konfigurieren der Personenauswahl für mehrere Domänen

Extranetumgebungen können sich über mehrere Domänen erstrecken. Deshalb müssen Sie die Personenauswahl so konfigurieren, dass Benutzer, Gruppen und Ansprüche von den entsprechenden Domänen zurückgegeben werden.

Weitere Informationen finden Sie in den folgenden Quellen:

• Verwenden der Personenauswahl mit mehreren Gesamtstrukturen und Domänen

• Aktivieren von gesamtstrukturübergreifenden oder domänenübergreifenden Abfragen mit einer unidirektionalen Vertrauensstellung

9. Konfigurieren von Antiviruseinstellungen

SharePoint Server enthält einen Antivirusscanner, den Sie mithilfe der Zentraladministration oder mit dem Befehlszeilentool stsadm konfigurieren können.

10. Verwalten der Anmeldeinformationen für Dienste, die auf Back-End-Datenquellen zugreifen, mithilfe von Secure Store Service

Für Dienstanwendungen, die auf externe Datenquellen mithilfe einer delegierten Windows-Identität zugreifen (Excel Services, PerformancePoint-Dienste, InfoPath Forms Services und Visio Services), gelten zusätzliche Anforderungen an die Umgebung. Externe Datenquellen müssen sich entweder in derselben Domäne befinden wie die SharePoint-Farm, von welcher der Dienst gehostet wird, oder die Dienstanwendung muss so konfiguriert sein, dass Secure Store Service verwendet wird. Wenn Secure Store Service nicht verwendet wird und Farmserver auf zwei Domänen aufgeteilt sind, müssen sich die Anwendungsserver in derselben Domäne befinden wie die externen Datenquellen. Wenn sich externe Datenquellen nicht in derselben Domäne befinden, tritt bei der Authentifizierung bei den externen Datenquellen ein Fehler auf.

11. Konfigurieren von DNS für geteilte Back-to-Back-Topologien

Wenn Webserver zwischen dem internen Netzwerk und dem Umkreisnetzwerk aufgeteilt sind, müssen Sie sicherstellen, dass DNS mit den entsprechenden Datensätzen in jeder Netzwerkzone konfiguriert ist, um Datenverkehr an die entsprechenden Webserver weiterzuleiten.

Weitere Informationen zum Konfigurieren von DNS finden Sie unter "Zonen und URLs" im folgenden Artikel: Entwurfsbeispiel: Bereitstellung im Unternehmen (SharePoint Server 2010)

Das SharePoint Server 2010 Content Publishing-Team dankt den folgenden Kollegen für Ihre Beiträge zu diesem Artikel:

• Ali Mazaheri, Microsoft Consulting Services

• Bryan Porter, Microsoft Consulting Services

• Steve Walker, Microsoft SharePoint Customer Engineering

• Tajeshwar Singh, Microsoft Consulting Services