Share via

エクストラネット ファーム トポロジを設計する (Office SharePoint Server)

  • [アーティクル]

この記事の内容 :

  • エクストラネット環境について

  • エクストラネット環境を計画する

  • エッジ ファイアウォールのトポロジ

  • バックツーバック境界トポロジ

  • コンテンツ発行のあるバックツーバックの境界トポロジ

  • 静的コンテンツをホストするために最適化されたバックツーバックの境界トポロジ

  • スプリット バックツーバック トポロジ

この記事は、「モデル: Microsoft® Office SharePoint® Server 2007 エクストラネット トポロジ」(https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x411) と併せて使用できます。

エクストラネット環境について

エクストラネット環境とは、リモートの従業員、社外のパートナー、または顧客と組織情報やプロセスの一部を共有するために安全に拡張されたプライベート ネットワークのことです。エクストラネットを使用すると、Microsoft Office SharePoint Server 2007 でホストされている任意のコンテンツ タイプを共有できます。これには、以下が含まれます。

  • ブランド情報コンテンツ

  • ユーザー アカウントに基づいて個人設定を行ったコンテンツ

  • ドキュメント、リスト、ライブラリ、予定表、ブログ、wiki などの共同作業コンテンツ

  • ドキュメント リポジトリ

以下のテーブルは、エクストラネットが各グループに提供する利点を説明するものです。

リモートの従業員

リモートの従業員は仮想プライベート ネットワーク (VPN) がなくても、いつ、どこからでも企業情報と電子化されたリソースにアクセスできます。リモートの従業員には、以下が含まれます。

  • 出張中の販売担当者。

  • 社外または客先に出向している従業員。

  • 地理的に分散している仮想チーム。

社外のパートナー

社外のパートナーは、ビジネス プロセスに参加して社員と共同作業を行うことができます。エクストラネットを使用し、以下の方法でデータのセキュリティ強化に役立てられます。

  • パートナーおよび内部データを分離するため、適切なセキュリティとユーザー インターフェイス コンポーネントを適用する。

  • パートナーには、貢献内容に必要なサイトとデータのみを使用できる権限を付与する。

  • 他のパートナーのデータを表示できないように制限する。

パートナーとのグループ作業作業用のプロセスやサイトは、以下の方法で最適化できます。

  • 成果を促進するため、社員とパートナーの従業員がどちらの会社からもコンテンツを表示、変更、追加、削除できるようにする。

  • コンテンツが変更された際、またはワークフローの開始時にユーザーに通知されるように構成する。

顧客

パートナーや顧客にブランドのコンテンツや対象コンテンツを、以下の方法で発行します。

  • 製品ラインに基づいた対象コンテンツまたは顧客プロファイルごとの対象コンテンツ。

  • ファーム内に別のサイト コレクションを実装してコンテンツを分ける。

  • 対象ユーザーに基づいてコンテンツへのアクセスと検索結果を制限する。

Office SharePoint Server 2007 は、サイトに対するエクストラネットのアクセスを構成する柔軟なオプションを提供します。サーバー ファームにあるサイトのサブセットに対するインターネット用のアクセスを提供する、またはサーバー ファーム上にあるすべてのコンテンツに対するインターネット アクセスを可能にすることもできます。エクストラネットのコンテンツを企業ネットワークでホストしてエッジ ファイアウォール経由で使用可能にする、または境界領域ネットワーク内にサーバー ファームを分離することもできます。

エクストラネット環境を計画する

この記事の後半では、Office SharePoint Server 2007 でテストされた特定のエクストラネット トポロジについて説明します。この記事で説明するトポロジは、要件やトレードオフを含め、Office SharePoint Server 2007 で使用できるオプションを理解するのに役立ちます。

以下のセクションは、エクストラネット環境における追加アクティビティの計画に焦点を絞っています。

ネットワーク エッジ テクノロジを計画する

各トポロジに示されているネットワーク エッジのテクノロジは、Microsoft Forefront Edge スイート製品の Microsoft Internet Security and Acceleration (ISA) Server および Intelligent Application Gateway (IAG) 2007 の一方または両方です。これらの Microsoft Forefront Edge 製品の詳細については、以下のリソースを参照してください。

注意

別のネットワーク エッジのテクノロジに置き換えることもできます。

IAG サーバーの追加の機能は、以下のとおりです。

  • 情報漏洩防止 : クライアント コンピュータにいかなる情報も残されず、すべてのキャッシュ、一時ファイル、および Cookie が削除されます。

  • エンドポイントでの正常性ベースの認証 : 管理者は、ユーザーの ID および公開されている情報だけでなく、クライアント コンピュータの状況にも基づいたアクセス ポリシーを定義できます。

  • Outlook Web Access からの SharePoint サイトへのアクセス : ユーザーは、Outlook Web Access を介して電子メールで送信されたリンクから SharePoint サイトにアクセスできます。IAG により、内部 URL を参照するリンクのリンク変換が行われます。

  • 統合ポータル : ログオン時に、ユーザーが利用でき、許可されている SharePoint サイトと他のアプリケーションの一覧が IAG により各ユーザーに示されます。

以下の表は、サーバーの違いを要約したものです。

機能 ISA 2006 IAG 2007

HTTPS を使用した Web アプリケーションの公開

X

X

移動中のモバイル デバイスに内部モバイル アプリケーションを公開する

X

X

レイヤ 3 ファイアウォール

X

X*

送信シナリオのサポート

X

X*

アレイのサポート

X

グローバリゼーションと管理コンソールのローカライズ

X

SharePoint サイトと Exchange を公開するためのウィザードと定義済み設定

X

X

さまざまなアプリケーションを公開するためのウィザードと定義済み設定

X

Active Directory フェデレーション サービス (ADFS) のサポート

X

高度な認証 (ワンタイム パスワード、フォーム ベースのスマート カードなど)

X

X

アプリケーションの保護 (Web アプリケーションのファイアウォール)

基本

完全

エンドポイントの正常性の検出

X

情報の漏洩防止

X

詳細なアクセス ポリシー

X

統合ポータル

X

* IAG 2007 に含まれている ISA でサポートされています。

認証と論理アーキテクチャを計画する

エクストラネット トポロジの選択や設計のほか、内部ネットワーク外の対象ユーザーのアクセスを許可し、サーバー ファームにあるサイトとコンテンツをセキュリティ保護するため、認証の戦略と論理アーキテクチャを設計する必要があります。詳細については、以下のリソースを参照してください。

ドメインの信頼関係を計画する

サーバー ファームが境界領域ネットワーク内部にある場合、このネットワークは独自の Active Directory ディレクトリ サービス インフラストラクチャとドメインを必要とします。通常、境界領域ドメインと企業ドメインは互いを信頼するように構成されていません。ただし、信頼関係が必要となるシナリオもいくつかあります。以下のテーブルは、信頼関係の要件に影響するシナリオをまとめたものです。

シナリオ 説明

Windows 認証

境界領域のドメインが企業ネットワークのドメインを信頼する場合、企業ドメインの資格情報を使用して社内外にいる従業員を認証できます。

このシナリオの認証の戦略と論理アーキテクチャを設計する方法の詳細については、「論理アーキテクチャ モデル : 企業展開」を参照してください。

フォーム認証と Web シングル サインオン (SSO)

フォーム認証と Web SSO を使用し、内部の Active Directory 環境に対して社内外にいる従業員を認証できます。たとえば、Web SSO を使用して Active Directory フェデレーション サービス (ADFS) に接続できます。フォーム認証や Web SSO を使用するには、ドメイン間の信頼関係は必要*ありません*。

ただし、認証プロバイダによっては Office SharePoint Server 2007 の機能の一部が使用できなくなる可能性があります。フォーム認証または Web SSO の使用時に影響を受ける機能の詳細については、「Office SharePoint Server の Web アプリケーションの認証設定を計画する」を参照してください。

コンテンツ発行

あるドメインから別のドメインにコンテンツを発行するには、ドメイン間の信頼関係は必要*ありません*。信頼関係が必要となることを避けるには、必ずコンテンツ発行に適したアカウントを使用してください。詳細については、「エクストラネット環境のセキュリティ強化を計画する」にある「コンテンツ発行のセキュリティ強化」の項目を参照してください。

エクストラネット環境で一方向の信頼関係を構成する方法の詳細については、「エクストラネット環境のセキュリティ強化を計画する」を参照してください。

可用性を計画する

この記事で紹介するエクストラネット トポロジは、以下を説明することを目的としています。

  • ネットワーク全体におけるサーバー ファームの場所

  • エクストラネット環境における各サーバー ロールの場所

この記事は、どのサーバー ロールを展開する必要があるのか、または冗長性を実現するには各ロールに対して何台のサーバーを展開する必要があるのかを計画するのに役立つことを目的としていません。ユーザーの環境で必要とするサーバー ファームの数を決定した後で、次の記事を使用して各サーバー ファームのトポロジを計画してください :「冗長性を計画する (Office SharePoint Server)」。

セキュリティ強化を計画する

エクストラネット トポロジの設計後、セキュリティ強化を計画するために以下のリソースを使用してください。

エッジ ファイアウォールのトポロジ

この構成ではインターネットと企業ネットワーク間の境界において逆プロキシ サーバーを使用し、途中で要求を受信してから、イントラネット内にある適切な Web サーバーに要求を転送します。構成可能な一連のルールを使用し、プロキシ サーバーは要求された URL が要求元である領域に対して許可されているかどうかを確認します。その後、要求された URL は内部 URL に変換されます。以下の図は、エッジ ファイアウォールのトポロジを示しています。

エクストラネット ファーム トポロジ - エッジ ファイアウォール

長所

  • 最小のハードウェアと構成を要する最もシンプルなソリューションです。

  • サーバー ファーム全体が企業ネットワーク内にあります。

  • 単一のデータ ポイント :

    • データは信頼されたネットワーク内部にあります。

    • データのメンテナンスは 1 か所で発生します。

    • 内部および外部からの要求のどちらにも単一のファームが使用されるので、権限のあるすべてのユーザーに同じコンテンツが表示されます。

  • 内部ユーザーの要求はプロキシ サーバーを経由しません。

短所

  • 結果として、企業の内部ネットワークとインターネットを隔てるのは 1 つのファイアウォールだけになります。

バックツーバック境界トポロジ

次の図に示すように、バックツーバックの境界トポロジでは、サーバー ファームが個別の境界ネットワーク内に分離されます。

Office SharePoint Server ネットワーク - バックツーバック

このトポロジには、以下の特徴があります。

  • すべてのハードウェアとデータが境界領域ネットワークにあります。

  • サーバー ファーム ロールとネットワーク インフラストラクチャ サーバーは、複数の層に分けることができます。ネットワーク層を組み合わせることにより、複雑さとコストを削減できます。

  • それぞれの層を追加のルーターまたはファイアウォールで分けて、特定の層からの要求のみが許可されることを確実にします。

  • 内部ネットワークからの要求は内部用の ISA サーバーを経由するように方向付けるか、または境界領域ネットワークのパブリック インターフェイスを経由するようにルーティングできます。

この図では、すべてのアプリケーション サーバー ロールが専用のサーバーとして Layer 2 に配置されています。実際の展開においては、複数のアプリケーション サーバー ロールを単一のアプリケーション サーバーに含めることができます。一部のファームではクエリの役割を Layer 2 のアプリケーション サーバーではなく、Layer 1 の Web サーバーに展開した方が、より適切に最適化される場合もあります。

長所

  • コンテンツはエクストラネットにある単一のファームに分離され、イントラネットとエクストラネット全体にわたるコンテンツの共有とメンテナンスが容易になります。

  • 外部ユーザーのアクセスは、境界領域ネットワークに分離されます。

  • エクストラネットが危険にさらされた場合、被害は影響を受ける層または境界領域ネットワークに限定されます。

  • 個別の Active Directory インフラストラクチャを使用することにより、内部の企業ディレクトリに影響することなく外部ユーザーのアカウントを作成できます。

短所

  • 追加のネットワーク インフラストラクチャと構成が必要になります。

コンテンツ発行のあるバックツーバックの境界トポロジ

このトポロジは、バックツーバックの境界トポロジにコンテンツ発行を追加したものです。コンテンツ発行を追加することにより、企業ネットワーク内部で開発したサイトとコンテンツを境界領域ネットワーク内にあるサーバー ファームに発行できます。

以下の図は、コンテンツ発行のあるバックツーバックの境界トポロジを示します。

Office SharePoint Server エクストラネット ファーム トポロジ

このトポロジには、以下の特徴があります。

  • 2 つの独立したファームが必要になります。1 つは企業ネットワーク内、もう 1 つは境界領域ネットワーク内にあります。

  • 発行は一方向のみになります。境界領域ネットワーク内部で作成、変更されたコンテンツはすべて固有のコンテンツになります。

この図には、コンテンツのステージング ファームにあるサーバーの全体管理のサイトから展開先ファームにあるサーバーの全体管理サイトに対するコンテンツ展開のパスが示されています。サーバーの全体管理サイトは、通常、アプリケーション サーバーの 1 つにインストールされています。この図ではコンテンツ展開における役割を明示するため、サーバーの全体管理サイトを別に表記しています。

長所

  • 顧客向けのコンテンツとパートナー向けのコンテンツを別の境界領域ネットワークに分離します。

  • コンテンツ発行を自動化できます。

  • 境界領域ネットワーク内にあるコンテンツがインターネット アクセスにより、漏洩または破損した場合も企業ネットワーク内にあるコンテンツの整合性は保持されます。

短所

  • 2 つの独立したファームを維持するため、より多くのハードウェアが必要になります。

  • データ オーバーヘッドが大きくなります。コンテンツのメンテナンスと調整は、2 つの別々のファームとネットワークで行われます。

  • 境界領域ネットワークのコンテンツに対する変更は、企業ネットワークには反映されません。したがって、境界領域ドメインに対するコンテンツ発行はグループ作業のあるエクストラネット サイトに対しては実行できる選択肢になりません。

静的コンテンツをホストするために最適化されたバックツーバックの境界トポロジ

環境内にあるコンテンツが静的、またはほとんどが静的である場合、IAG 2007 または ISA Server 2006 のキャッシュ機能を実行することによりパフォーマンスを最適化できます。IAG または ISA キャッシュは、Office SharePoint Server 2007 のキャッシュ機能に加えて構成できます。

たとえば、ISA Server では、次の 2 種類のキャッシュが用意されています。

  • フォワード キャッシュ   フォワード キャッシュは、インターネットに Web 要求を送信した内部ユーザーにキャッシュされた Web オブジェクトを提供します。

  • リバース キャッシュ   リバース キャッシュは、ISA Server の発行する内部 Web サーバーに要求を送信した外部インターネット ユーザーにキャッシュされたコンテンツを提供します。

ISA キャッシュの詳細については、「ISA Server 2006 のキャッシュと CARP」(https://go.microsoft.com/fwlink/?linkid=86531&clcid=0x411) を参照してください。

IAG または ISA キャッシュは以下に該当する場合のみ、Office SharePoint Server 2007 キャッシュに加えて使用してください。

  • コンテンツが静的である。ページの一部がキャッシュされないキャッシュ後の置換は使用しない。URL は変更しない。

  • コンテンツが 100% 匿名である。

IAG または ISA キャッシュはパフォーマンスを改善し、Web サーバーがボトルネックとなるような単一のファームの限界を超えてスケール アウトできるようにします。Web サーバーの最大数に達した場合もパフォーマンスを改善したり、必要となる Web サーバーの数を減らしたりすることが可能になります。

以下の図では、コンテンツのキャッシュに複数の IAG または ISA サーバーを使用しています。

エクストラネット ファーム トポロジ - バックツーバック発行

この図は、以下の選択を示しています。

  • クエリの役割は、Web サーバーにインストールされています。

  • サーバーの全体管理サイトは、インデックス サーバーにインストールされています。

長所

  • 静的コンテンツ、大部分が静的なコンテンツをホストする際に、パフォーマンスを大幅に改善します。

  • Web サーバーとデータベースに対する要求の数を削減します。

  • エクストラネット ソリューションをスケール アウトする方法を提供します。

短所

  • ISA キャッシュは、動的コンテンツまたは頻繁に変更されるコンテンツを含む環境では全体的なパフォーマンスを低下させる可能性があります。

スプリット バックツーバック トポロジ

このトポロジは、境界領域ネットワークと企業ネットワーク間でファームを分割します。Microsoft SQL Server データベース ソフトウェアを実行するコンピュータは、企業ネットワーク内でホストされます。Web サーバーは境界領域ネットワーク内に設置されます。アプリケーション サーバー コンピュータは、境界領域ネットワークまたは企業ネットワークのどちらかでホストされます。

スプリット バックツーバック境界ネットワーク トポロジ

上の図は、以下を示しています。

  • アプリケーション サーバーは境界領域ネットワーク内でホストされています。このオプションは、破線に囲まれている青のサーバーで表されています。

  • アプリケーション サーバーをデータベース サーバーのある企業ネットワーク内に展開する選択もできます。このオプションは、破線に囲まれている灰色のサーバーで表されています。アプリケーション サーバーをデータベース サーバーのある企業ネットワーク内に展開する場合は、これらのサーバーをサポートする Active Directory 環境も必要となります (企業ネットワーク内の灰色のサーバーとして表示されています)。

サーバー ファームが境界領域ネットワークとデータベース サーバーのある企業ネットワークで分割され、SQL Server のアクセスに Windows アカウントを使用する場合はドメインの信頼関係が必要となります。このシナリオでは、境界領域ドメインが企業ドメインを信頼する必要があります。SQL 認証を使用する場合、ドメイン信頼関係は不要です。このトポロジのアカウントを構成する方法の詳細については、次の記事「エクストラネット環境のセキュリティ強化を計画する」にある「ドメインの信頼関係」の項目を参照してください。

検索のパフォーマンスとクロールを最適化するには、データベース サーバーのある企業ネットワーク内にアプリケーション サーバーを設置してください。また、企業ネットワーク内にあるインデックス サーバーに Web サーバー ロールを追加し、コンテンツのクロールを目的とするインデックス サーバーによる専用用途向けに Web サーバーを構成できます。ただし、ファーム内にある別のサーバーにクエリの役割がある場合は、インデックス サーバーにクエリの役割を追加しないでください。境界ネットワーク内に Web サーバーを設置し、企業ネットワーク内にアプリケーションサーバーを設置した場合、境界領域ネットワークのドメインが企業ネットワークのドメインを信頼する一方向の信頼関係を構成する必要があります。SQL Server に対するアクセスに Windows 認証または SQL 認証のどちらが使用されているかにかかわらず、このシナリオではファーム内にあるサーバー間の通信をサポートするために一方向の信頼関係が必要となります。

1 つ以上の Web サーバーを企業ネットワーク上に配置して、内部の要求を処理できます。この場合、Web サーバーは、境界領域ネットワークと企業ネットワーク間で分割されます。このような配置を行う場合は、インターネットからのトラフィックが境界領域ネットワーク上の Web サーバーに負荷分散され、企業ネットワーク内からのトラフィックが個別に企業ネットワーク上の Web サーバーに負荷分散されることを確認してください。また、ネットワーク セグメントごとに、異なる代替アクセス マッピング ゾーンとファイアウォールの公開ルールを設定する必要があります。

企業ネットワーク内にあるステージング ファームからエクストラネット (同じく、企業ネットワーク内にある) のコンテンツをホストするデータベース サーバーにコンテンツを発行する場合は、以下の理由から企業ネットワーク内部でサーバーの全体管理サイトを含むアプリケーション サーバーをホストすることによりファームを最適化できます。

  • コンテンツ発行のデータ ストリームは、ステージング ファームにあるサーバーの全体管理サイトから展開先ファームにあるサーバーの全体管理サイトに移動します。サーバーの全体管理サイトが企業ネットワーク内にあれば、コンテンツ発行のデータ ストリームは境界領域ネットワークと企業ネットワーク間にあるファイアウォールを通過することはありません。逆にサーバーの全体管理サイトが境界領域ネットワーク内にある場合は、データ ストリームは展開先ファームのコンテンツ データベースに到達する前に双方向でファイアウォールを通過します。

  • インデックス作成は、企業ネットワーク内で行われます。

以下の図は、コンテンツ発行に最適化されたスプリット バックツーバックのトポロジ環境を示しています。

SharePoint Services エクストラネット ファーム トポロジ

この図は、以下の選択を示しています。

  • クエリの役割は、境界ネットワーク内にある Web サーバーにインストールされています。

  • アプリケーション サーバーは、データベース サーバーのある企業ネットワーク内にあります。境界領域ドメインが企業ドメインを信頼する一方向の信頼関係が必要となります。

  • 展開元ファームのサーバーの全体管理サイトは、インデックス サーバーにインストールされています。

  • Web サーバー ロールは、インデックス サーバーにインストールされており、コンテンツのクロール専用になっています。

長所

  • SQL Server を実行するコンピュータは、境界領域ネットワーク内でホストされません。

  • 企業ネットワークと境界領域ネットワークのどちらでもファーム コンポーネントは、同じデータベースを共有できます。

  • コンテンツは企業ネットワーク内にある単一のファームに分離できます。これにより、企業ネットワークと境界領域ネットワーク全体のコンテンツの共有とメンテナンスが容易になります。

  • 個別の Active Directory インフラストラクチャにより、内部の企業ディレクトリに影響することなく外部ユーザーのアカウントを作成できます。

短所

  • ソリューションがより複雑になります。

  • 境界領域ネットワークのリソースを危険にさらす侵入者がサーバー ファームのアカウントを使用し、企業ネットワーク内に保存されたファームのコンテンツにアクセスする可能性があります。

  • ファーム間の通信は、通常、2 つのドメイン間で分離されます。

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

入手可能なドキュメントの詳細な一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。