Share via

エクストラネット環境のセキュリティ強化を計画する

  • [アーティクル]

この記事の内容 :

  • エクストラネット強化計画ツール

  • ネットワーク トポロジ

  • ドメイン信頼関係

  • サーバー ファームの役割との通信

  • インフラストラクチャ サーバーの役割との通信

  • ドキュメント変換をサポートするための要件

  • ネットワーク ドメイン間の通信

  • 外部サーバーへの接続

この記事では、Microsoft Office SharePoint Server 2007 サーバー ファームが境界領域ネットワーク内に配置され、コンテンツをインターネットまたは企業ネットワークから利用できるエクストラネット環境の強化要件を説明します。

サポートされるエクストラネット トポロジの詳細については、「エクストラネット ファーム トポロジを設計する (Office SharePoint Server)」を参照してください。

エクストラネット強化計画ツール

次の強化計画ツールは、記事「Extranet hardening planning tool: back-to-back perimeter (英語)」(https://go.microsoft.com/fwlink/?linkId=85533&clcid=0x411) と一緒に使用できます。バックツーバックの境界トポロジに基づき、このツールでは、Microsoft Internet Security and Acceleration (ISA) Server を実行している各コンピュータおよび各ルーターやファイアウォールのポート要件が指定されています。このツールは、ユーザーの環境に合わせて修正できる、編集可能な Microsoft Office Visio ファイルです。たとえば、次の操作を実行できます。

  • 該当する場合は、カスタム ポート番号を追加する。

  • プロトコルやポートの選択肢がある場合に、使用するポートを指定する。

  • ユーザーの環境でデータベース通信に使用する特定のポートを指定する。

  • 次の条件に基づいてポートの要件を追加または削除します。

    • 電子メール統合を構成しているかどうか。

    • クエリの役割を展開する層。

    • 境界領域ドメインと企業ドメインとの間のドメイン信頼関係を構成している場合。

他のサポートされるエクストラネット トポロジの追加の計画ツールを確認したい場合は、この記事のコメントを送信してお知らせください。

ネットワーク トポロジ

この記事に示されている強化の指針は、多くの異なるエクストラネット構成に適用できます。次のバックツーバックの境界ネットワーク トポロジ図は、実装の例を示し、エクストラネット環境でのサーバーの役割とクライアントの役割を解説しています。この図の目的は、考えられる役割とその役割の環境全体に対する関係を示すことです。その結果、クエリの役割が 2 回示されています。実際の実装では、クエリの役割は Web サーバー上に展開されるか、アプリケーション サーバーとして展開されますが、これら両方に展開されることはありません。また、クエリの役割を Web サーバーに展開した場合、ファーム内のすべての Web サーバーに展開されます。セキュリティ強化要件を説明するために、図ではすべてのオプションを示しています。示されているルーターはファイアウォールに置き換えることができます。

エクストラネットのセキュリティ強化の図

ドメイン信頼関係

ドメイン信頼関係の要件はサーバー ファームの構成方法に応じて異なります。ここでは、考えられる 2 つの構成について説明します。

サーバー ファームが境界領域ネットワークに存在する

境界領域ネットワークは、それ自体の Active Directory ディレクトリ サービス インフラストラクチャおよびドメインを必要とします。一般に、境界領域ドメインと企業ドメインは互いに信頼するようには構成されません。ただし、自分のドメイン資格情報 (Windows 認証) を使用しているイントラネット ユーザーや社外で活動している従業員を認証するには、境界領域ドメインが企業ドメインを信頼する一方向の信頼関係を構成する必要があります。フォーム認証と Web SSO はドメイン信頼関係を必要としません。

サーバー ファームが境界領域ネットワークと企業ネットワークに分かれる

サーバー ファームが境界領域ネットワークと企業ネットワークに分かれ、企業ネットワーク内にデータベース サーバーが存在する場合に、Windows アカウントを使用するときはドメイン信頼関係が必要です。このシナリオでは、境界領域ネットワークが企業ネットワークを信頼する必要があります。SQL 認証を使用する場合、ドメイン信頼関係は不要です。以下の表は、これら 2 つの方法の違いを要約したものです。

Windows 認証 SQL 認証

説明

アプリケーション プール アカウントなど、すべての Office SharePoint Server 2007 サービスおよび管理アカウントに企業ドメイン アカウントを使用します。

境界領域ネットワークが企業ネットワークを信頼する一方向の信頼関係が必要です。

Office SharePoint Server 2007 アカウントは次のように構成されます。

  • 作成したすべてのデータベースに SQL 認証を使用します。

  • 他のすべての管理アカウントおよびサービス アカウントを境界領域ネットワークのドメイン アカウントとして作成します。

  • Web サーバーとアプリケーション サーバーを境界領域ネットワークに結合します。

信頼関係は不要ですが、内部ドメイン コントローラに対するクライアント認証をサポートするために信頼関係を構成することができます。

Note メモ
アプリケーション サーバーが企業ドメイン内にある場合は、境界領域ネットワークが企業ネットワークを信頼する一方向の信頼関係が必要です。

セットアップ

セットアップには、次が含まれます。

  • Office SharePoint Server 2007 管理アカウントおよびサービス アカウントを企業ドメイン内で作成します。

  • Web サーバーとアプリケーション サーバーを境界領域ネットワークに結合します。

  • 境界領域ドメインが企業ドメインを信頼する信頼関係を確立します。

セットアップには、次が含まれます。

  • すべてのデータベース アカウントを SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio の SQL ログイン アカウントとして作成する必要があります。これらのアカウントは、構成データベース、AdminContent データベースなど、Office SharePoint Server 2007 データベースの作成*前*に作成する必要があります。

  • Psconfig コマンド ライン ツールを使用して、構成データベースと SharePoint_AdminContent データベースを作成する必要があります。SharePoint 製品とテクノロジ構成ウィザードを使用してこれらのデータベースを作成することはできません。-user パラメータと -password パラメータを使用してサーバー ファーム アカウントを指定することに加え、-dbuser パラメータと -dbpassword パラメータを使用して SQL 認証アカウントを指定する必要があります。

  • [SQL 認証] オプションを選択することで、追加のコンテンツ データベースをサーバーの全体管理で作成できます。ただし、最初に SQL ログイン アカウントを SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio で作成する必要があります。

  • SSL を使用してデータベース サーバーとのすべての通信をセキュリティ保護します。

  • SQL Server との通信に使用されるポートが境界領域ネットワークと企業ネットワークの間で開かれていることを確認します。

追加情報

一方向信頼関係を使用すると、エクストラネット ドメインに結合される Web サーバーとアプリケーション サーバーは企業ドメインにあるアカウントを解決できます。

  • SQL ログイン アカウントは Web サーバーおよびアプリケーション サーバーのレジストリ内で暗号化されます。

  • サーバー ファーム アカウントは、構成データベースや SharePoint_AdminContent データベースへのアクセスには使用されません。代わりに、SQL ログイン アカウントが使用されます。

前記の表の情報は、以下を前提としています。

  • Web サーバーとアプリケーション サーバーの両方が境界領域ネットワーク内に存在する。

  • 次の推奨事項を含め、すべてのアカウントが最低限度必要な特権を使用して作成されている。

    • すべての管理アカウントおよびサービス アカウントについて個別のアカウントが作成されている。

    • どのアカウントも、SQL Server をホストするサーバー コンピュータなど、コンピュータの Administrators グループのメンバではない。

SQL 認証を使用している場合は、次の SQL ログインを以下の権限を使用して作成する必要があります。

  • Psconfig コマンド ライン ツールを実行するために使用するアカウントの SQL ログイン   このアカウントは、SQL の役割、dbcreator および securityadmin のメンバである必要があります。また、このアカウントはデータベース サーバー上のメンバではなく、セットアップが実行される各サーバー上の Administrators グループのメンバである必要があります。

  • サーバー ファーム アカウントの SQL ログイン   このログインは、構成データベースや SharePoint_AdminContent データベースの作成に使用されます。このログインは、dbcreator の役割を含む必要があります。このログインは、securityadmin の役割のメンバである必要はありません。このログインは、SQL 認証を使用して作成する必要があります。SQL ログインの作成時に指定したパスワードを使用して SQL 認証を使用するようにサーバー ファーム アカウントを構成します。

  • 他のすべてのデータベースの SQL ログイン   このログインは SQL 認証を使用して作成する必要があります。このログインは、SQL の役割、dbcreator および securityadmin のメンバである必要があります。

Office SharePoint Server 2007 アカウントの詳細については、「管理者アカウントとサービス アカウントを計画する (Office SharePoint Server)」を参照してください。

Psconfig コマンド ライン ツールを使用してデータベースを作成する手順の詳細については、「SharePoint 製品とテクノロジ構成ウィザード コマンドライン リファレンス (Office SharePoint Server)」を参照してください。

サーバー ファームの役割との通信

エクストラネット環境を構成するときは、サーバー ファーム内で種々のサーバーの役割が通信する方法を理解しておくことが重要です。

サーバーの役割間の通信

次の図は、サーバー ファーム内の通信チャネルを示します。図の後の表は、図に示されているポートとプロトコルを示します。黒の実線の矢印は、通信を開始するサーバーの役割を示します。たとえば、Excel Calculation Services の役割はデータベース サーバーとの通信を開始します。データベース サーバーは Excel Calculation Services の役割との通信を開始しません。赤の破線の矢印は、いずれかのサーバーが通信を開始することを示します。これは、ファイアウォール上で送受信される通信を構成するときに理解しておくことが重要です。

サーバーのファーム間通信

コールアウト ポートとプロトコル

1

次の 1 つ以上のクライアント アクセス (Information Rights Management (IRM) と検索クエリを含む)

  • TCP ポート 80

  • TCP ポート 443 (SSL)

  • カスタム ポート

2

ファイルとプリンタの共有サービス - 次の*いずれか*です。

  • 直接ホストされるサーバー メッセージ ブロック (SMB) (TCP/UDP 445) - 推奨

  • NetBIOS over TCP/IP (TCP/UDP ポート 137、138、139) - 使用しない場合は無効にします

3

Office Server Web Services — 次の*両方*のポート。

  • TCP ポート 56737

  • TCP 56738 (SSL)

4

データベース通信 :

  • 既定のインスタンスの TCP/SSL ポート 1433 (既定) (カスタマイズ可能)

  • 名前付きインスタンスの TCP/SSL の任意のポート (カスタマイズ可能)

5

検索クロール。認証がどのように構成されているかによって、インデックス コンポーネントがコンテンツにアクセスできるようにするため、ゾーンやインターネット インフォメーション サービス (IIS) のサイトを追加して SharePoint サイトを拡張する場合があります。これにより、カスタム ポートを構成できます。

  • TCP 80

  • TCP 443 (SSL)

  • カスタム ポート

6

シングル サインオン サービス - SSO サービスを実行しているサーバーの役割は、リモート プロシージャ コール (RPC) を使用して暗号化キー サーバーと通信できる必要があります。これには、すべての Web サーバー、Excel Calculation Services の役割、およびインデックスの役割が含まれます。加えて、カスタム セキュリティ トリマをクエリ サーバーにインストールし、そのセキュリティ トリマが SSO データへのアクセスを必要とする場合は、SSO サービスがこのサーバーの役割で実行されています。

RPC は TCP ポート 135 と次の*どちらか*を必要とします。

  • 静的 RPC - 制限付きの番号の大きいポート (推奨)

  • 動的 RPC - 1024 ~ 65535/TCP の番号の大きい任意のポート

暗号化キー サーバーおよび SSO サービスを必要とするサーバーの役割の詳細については、「シングル サインオンを計画する」を参照してください。

Web サーバーは、使用可能なクエリ サーバーへのクエリ要求を自動的に負荷分散します。したがって、クエリの役割を Web サーバー コンピュータ全体に展開すると、これらのサーバーはファイルとプリンタの共有サービスと Office Server Web Services を使用して互いに通信します。次の図は、これらのサーバー間の通信チャネルを示しています。

Web サーバーからクエリ サーバー

管理サイトとサーバーの役割間の通信

管理サイトには、次があります。

  • サーバーの全体管理サイト   このサイトは、アプリケーション サーバーまたは Web サーバー上にインストールできます。

  • 共有サービス管理サイト   これらサイトは Web サーバー間でミラー化されます。

ここでは、ファーム内の管理者ワークステーションとサーバーの役割間の通信ポートおよびプロトコルの要件について説明します。サーバーの全体管理サイトは、Web サーバーまたはアプリケーション サーバー上にインストールできます。サーバーの全体管理サイトに対して実行される構成変更は構成データベースに通知されます。ファーム内の他のサーバーの役割は、構成データベースに登録された構成変更をポーリング サイクル中に収集します。したがって、サーバーの全体管理サイトは新規の通信要件をサーバー ファーム内の他のサーバーの役割に適用しません。

次の図は、管理者ワークステーションから管理サイトおよび構成データベースへの通信チャネルを示します。

管理者サイトの管理トポロジ

次の表は、前の図で示したポートとプロトコルを示します。

コールアウト ポートとプロトコル

A

共有サービス管理サイト - 次の 1 つ以上のポートを使用します。

  • TCP 80

  • TCP 443 (SSL)

  • カスタム ポート

B

サーバーの全体管理サイト - 次の 1 つ以上のポートを使用します。

  • TCP 80

  • TCP 443 (SSL)

  • カスタム ポート

C

データベース通信 :

  • 既定のインスタンスの TCP/SSL ポート 1433 (既定) (カスタマイズ可能)

  • 名前付きインスタンスの TCP/SSL の任意のポート (カスタマイズ可能)

インフラストラクチャ サーバーの役割との通信

エクストラネット環境を構成するときは、インフラストラクチャ サーバー コンピュータ内で種々のサーバーの役割が通信する方法を理解しておくことが重要です。

Active Directory ドメイン コントローラ

次の表は、各サーバーの役割から Active Directory ドメイン コントローラへの受信接続のポート要件を示します。

項目 Web サーバー クエリサーバー インデックスサーバー Excel Calculation Services データベース サーバー

TCP/UDP 445 (ディレクトリ サービス)

X

X

X

X

X

TCP/UDP 88 (Kerberos 認証)

X

X

X

X

X

既定で LDAP (ライトウェイト ディレクトリ アクセス プロトコル)/LDAPS ポート 389/636、カスタマイズ可能

X

X

X

LDAP/LDAPS ポートは、次の条件を基にサーバーの役割で必要です。

  • Web サーバー   LDAP 認証が構成されている場合は、LDAP/LDAPS ポートを使用します。

  • インデックス サーバー   プロファイル インポート ソースとして構成されているドメイン コントローラが存在する場合、役割はこれらのドメイン コントローラからプロファイルをインポートするために LDAP/LDAPS ポートを必要とします。

  • Excel Calculation Services   LDAP を使用して認証するようにデータ ソース接続が構成されている場合のみ、LDAP/LDAPS ポートを使用します。

DNS サーバー

次の表は、各サーバーの役割からドメイン ネーム システム (DNS) サーバーへの受信接続のポート要件を示します。多くのエクストラネット環境では、1 台のサーバー コンピュータが Active Directory ドメイン コントローラと DNS サーバーの両方をホストします。

項目 Web サーバー クエリ サーバー インデックス サーバー Excel Calculation Services データベース サーバー

DNS、TCP/UDP 53

X

X

X

X

X

SMTP サービス

電子メール統合では、サーバー ファーム内の少なくとも 1 つのフロント エンド Web サーバー上で TCP ポート 25 を使用して、Simple Mail Transport Protocol (SMTP) サービスを利用する必要があります。SMTP サービスは受信電子メール (受信接続) に必要です。送信電子メールの場合は、SMTP サービスを使用するか、Microsoft Exchange Server を実行しているコンピュータなど、組織内のメール専用サーバーを介して送信電子メールをルーティングすることができます。

項目 Web サーバー クエリ サーバー インデックス サーバー Excel Calculation Services データベース サーバー

TCP ポート 25

X

ドキュメント変換をサポートするための要件

ドキュメント コンバータをサーバー上で使用している場合は、次のサービスをアプリケーション サーバーにインストールして開始する必要があります。

  • ドキュメント変換ランチャー サービス

  • ドキュメント変換ロード バランサ サービス

一般に、これらのサービスはユーザーのニーズに最適なトポロジに応じて、同一のアプリケーション サーバーや別々のアプリケーション サーバーにインストールされます。必要に応じて、これらのサービスを 1 つ以上の Web サーバーにインストールすることもできます。サービスを別々のサーバーにインストールした場合、サーバー間の通信でサービスを有効にし、互いに通信する必要があります。

次の表は、これらのサービスに対するポートとプロトコルの要件を示します。これらの要件は、サービスがインストールされていないファーム内のサーバーの役割には適用されません。

サービス 要件

ドキュメント変換ランチャー サービス

TCP ポート 8082、TCP または SSL に対してカスタマイズ可能

ドキュメント変換ロード バランサ サービス

TCP ポート 8093、TCP または SSL に対してカスタマイズ可能

サーバー ファームでこれらのサービスを構成する方法の詳細については、「ドキュメント変換トポロジを設計する」を参照してください。

ネットワーク ドメイン間の通信

Active Directory 通信

企業ネットワーク内のドメイン コントローラとの認証をサポートするドメイン間の Active Directory 通信は、少なくとも境界領域ネットワークが企業ネットワークを信頼する一方向の信頼関係を必要とします。

この記事の最初の図に示す例では、一方向の信頼関係をサポートするために ISA Server B への送信接続として次のポートが必要です。

  • TCP/UDP 135 (RPC)

  • 既定で TCP/UDP 389、カスタマイズ可能 (LDAP)

  • 既定で TCP 636、カスタマイズ可能 (LDAP SSL)

  • TCP 3268 (LDAP GC)

  • TCP 3269 (LDAP GC SSL)

  • TCP/UDP 53 (DNS)

  • TCP/UDP 88 (Kerberos)

  • TCP/UDP 445 (ディレクトリ サービス)

  • TCP/UDP 749 (Kerberos-Adm)

  • TCP ポート 750 (Kerberos-IV)

ISA Server B (または境界領域ネットワークと企業ネットワーク間の代替デバイス) を構成しているときは、ルーティングに従ってネットワーク関係を定義する必要があります。ネットワーク アドレス変換 (NAT) としてネットワーク関係を定義しないでください。

信頼関係に関連するセキュリティ強化要件の詳細については、次のリソースを参照してください。

コンテンツ発行のための強化

コンテンツ発行では、発行元サーバー ファーム上のサーバー管理サイトと、発行先サーバー ファーム上のサーバーの全体管理サイトとの間で一方向の通信を必要とします。強化要件は次のとおりです。

  • 発行先サーバー ファーム上のサーバーの全体管理サイトで使用されるポート番号。

  • TCP 80 または 443、発行元ファームからの送信 (Simple Object Access Protocol (SOAP) および HTTP Post 用)

発行元ファームでコンテンツ展開を構成するときは、発行先ファームとの認証に使用するアカウントを指定します。あるドメインから別のドメインにコンテンツを発行するには、ドメイン間の信頼関係は不要です。ただし、コンテンツの展開には、次の 2 つのアカウント オプションがあります。このオプションの 1 つはドメイン信頼関係を必要とします。

  • 発行元ファームのアプリケーション プール アカウントが発行先ファームのサーバーの全体管理に対する権限を持っている場合は、[アプリケーション プール アカウントを使用する] オプションを選択します。このためには、発行先ファームが発行元ファームのドメインを信頼する一方向の信頼関係が必要です。

  • 発行元のアプリケーション プール アカウントを使用して指定するよりも手動でアカウントを指定できます。この場合、アカウントは発行元ファームのネットワーク ドメインに存在する必要はありません。一般に、このアカウントは発行元ファームに対して一意です。また、統合 Windows 認証または基本認証を使用して認証できます。

外部サーバーへの接続

Office SharePoint Server 2007 の複数の機能を構成して、サーバー ファーム外のサーバー コンピュータ上に存在するデータにアクセスできます。外部サーバー コンピュータ上のデータへのアクセスを構成する場合は、該当するコンピュータ間で通信を有効にしていることを確認してください。ほとんどの場合、使用されるポート、プロトコル、およびサービスは外部リソースによって決まります。以下に例を示します。

  • ファイル共有への接続はファイルとプリンタの共有サービスを使用します。

  • 外部 SQL Server データベースへの接続は、SQL Server 通信の既定のポートまたはカスタマイズされたポートを使用します。

  • Oracle への接続は一般に OLE DB を使用します。

  • Web サービスへの接続は HTTP と HTTPS の両方を使用します。

次の表は、サーバー ファーム外のサーバー コンピュータ上に存在するデータにアクセスするように構成できる機能を示します。

機能 説明

コンテンツ クロール

クロール ルールを構成して、Web サイト、ファイル共有、Exchange パブリック フォルダ、ビジネス データ アプリケーションなどの外部リソース上に存在するデータをクロールすることができます。外部データ リソースをクロールするときは、インデックスの役割がこれらの外部リソースと直接通信します。

詳細については、「コンテンツのクロールを計画する (Office SharePoint Server)」を参照してください。

ビジネス データ カタログ接続

Web サーバーやアプリケーション サーバーは、ビジネス データ カタログ接続が構成されているコンピュータと直接通信します。

詳細については、「ビジネス データ カタログでビジネス データ接続を計画する」を参照してください。

Microsoft Office Excel ワークブックを受信する

Excel Services で開かれたワークブックが外部データ ソース (Analysis Services や SQL Server) に接続する場合は、これらの外部データ ソースに接続するために該当する TCP/IP ポートが開かれている必要があります。詳細については、「Excel Services の外部データ接続を計画する」を参照してください。

汎用名前付け規則 (UNC) パスを Excel Services の信頼される場所として構成した場合、Excel Calculation Services アプリケーションの役割はファイルとプリンタの共有サービスで使用されるプロトコルとポートを使用して、UNC パスを経由して Office Excel ワークブックを受信します。

ユーザーがコンテンツ データベースに格納するワークブックやサイトからアップロードまたはダウンロードするワークブックはこの通信の影響を受けません。

このブックをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。

入手できるすべてのブックの一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。