Share via

エクストラネットのファーム トポロジを設計する (Windows SharePoint Services)

  • [アーティクル]

この記事の内容 :

  • エクストラネット環境について

  • エクストラネット環境を計画する

  • エッジ ファイアウォール トポロジ

  • バックツーバック境界トポロジ

  • スプリット バックツーバック トポロジ

この記事は、「Microsoft® Office SharePoint® Server 2007 エクストラネット トポロジ」(https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x411) のモデルで使用できます。

エクストラネット環境について

エクストラネット環境は、リモートの従業員、社外のパートナー、または顧客と組織の情報やプロセスの一部を共有するために、セキュリティで保護して拡張されたプライベート ネットワークです。エクストラネットを使用すると、ドキュメント、リスト、ライブラリ、予定表、ブログ、Wiki を含めて、Windows SharePoint Services 3.0 によってホストされるすべての種類のコンテンツを共有できます。

次の表では、エクストラネットによって各グループに提供される利点について説明します。

リモートの従業員

リモートの従業員は、時と場所を問わず任意の場所にある企業の情報と電子的なリソースにアクセスすることができ、仮想プライベート ネットワーク (VPN) を必要としません。リモートの従業員には、以下のユーザーが含まれます。

  • 出張中の営業の従業員

  • 自宅オフィスまたは顧客先で作業する従業員

  • 地理的に分散した仮想チーム

社外のパートナー

社外のパートナーはビジネス プロセスに参加し、組織の従業員とグループ作業を行うことができます。エクストラネットを使用して、以下の方法でデータのセキュリティの強化に役立てることができます。

  • パートナーおよび内部データを分離して、適切なセキュリティおよびユーザー インターフェイス コンポーネントを適用する。

  • パートナーの貢献が必要とされているサイトとデータだけを使用することをパートナーに許可する。

  • パートナーが他のパートナーのデータを表示することを制限する。

以下の方法で、パートナーとのグループ作業のためにプロセスとサイトを最適化できます。

  • 組織の従業員とパートナーの従業員がコンテンツの表示、変更、追加、および削除を行えるようにして、両方の企業にとって良い結果を得やすいようにする。

  • ユーザーにいつコンテンツの変更やワークフローの開始が行われたかを知らせる通知を構成する。

顧客

以下のために顧客がサイトを使用できるようにします。

  • 組織のビジネスに関する情報への匿名アクセスを提供する。

  • クライアントがログオンしてワークフローに参加することを許可する。

Windows SharePoint Services 3.0 には、サイトへのエクストラネット アクセスを構成するための柔軟なオプションが用意されています。サーバー ファーム上のサイトのサブセットにインターネットから直接アクセスできるようにすること、またはサーバー ファーム上のすべてのコンテンツにインターネットからアクセスできるようにすることができます。また、エクストラネット用のコンテンツを企業ネットワーク内にホストしてエッジ ファイアウォール経由で使用できるようにしたり、サーバー ファームを境界ネットワーク内に分離したりできます。

エクストラネット環境を計画する

この記事の残りの部分では、Windows SharePoint Services 3.0 でテスト済みの特定のエクストラネット トポロジについて説明します。ここで説明するトポロジによって、要件や交換条件を含めて、Windows SharePoint Services 3.0 で使用することができるオプションを理解しやすくなります。

以降のセクションでは、エクストラネット環境についての追加の計画作業に焦点を当てます。

ネットワーク エッジ テクノロジを計画する

各トポロジに示されているネットワーク エッジのテクノロジは、Microsoft Forefront Edge スイート製品の Microsoft Internet Security and Acceleration (ISA) Server および Intelligent Application Gateway (IAG) 2007 の一方または両方です。これらの Microsoft Forefront Edge 製品の詳細については、以下のリソースを参照してください。

注意

別のネットワーク エッジのテクノロジに置き換えることもできます。

IAG サーバーの追加の機能は、以下のとおりです。

  • 情報漏洩防止 : クライアント コンピュータにいかなる情報も残されず、すべてのキャッシュ、一時ファイル、および Cookie が削除されます。

  • エンドポイントでの正常性ベースの認証 : 管理者は、ユーザーの ID および公開されている情報だけでなく、クライアント コンピュータの状況にも基づいたアクセス ポリシーを定義できます。

  • Outlook Web Access からの SharePoint サイトへのアクセス : ユーザーは、Outlook Web Access を介して電子メールで送信されたリンクから SharePoint サイトにアクセスできます。IAG により、内部 URL を参照するリンクのリンク変換が行われます。

  • 統合ポータル : ログオン時に、ユーザーが利用でき、許可されている SharePoint サイトと他のアプリケーションの一覧が IAG により各ユーザーに示されます。

以下の表は、サーバーの違いを要約したものです。

機能 ISA 2006 IAG 2007

HTTPS を使用した Web アプリケーションの公開

移動中のモバイル デバイスに内部モバイル アプリケーションを公開する

レイヤ 3 ファイアウォール

X*

送信シナリオのサポート

X*

アレイのサポート

グローバリゼーションと管理コンソールのローカライズ

SharePoint サイトと Exchange を公開するためのウィザードと定義済み設定

さまざまなアプリケーションを公開するためのウィザードと定義済み設定

Active Directory フェデレーション サービス (ADFS) のサポート

高度な認証 (ワンタイム パスワード、フォーム ベースのスマート カードなど)

アプリケーションの保護 (Web アプリケーションのファイアウォール)

基本

完全

エンドポイントの正常性の検出

情報の漏洩防止

詳細なアクセス ポリシー

統合ポータル

* IAG 2007 に含まれている ISA でサポートされています。

認証と論理アーキテクチャを計画する

エクストラネット トポロジの選択や設計のほか、内部ネットワーク外の対象ユーザーのアクセスを許可し、サーバー ファームにあるサイトとコンテンツをセキュリティ保護するため、認証の戦略と論理アーキテクチャを設計する必要があります。詳細については、以下の記事を参照してください。

ドメインの信頼関係を計画する

サーバー ファームが境界ネットワーク内に存在する場合、このネットワークには独自の Active Directory ディレクトリ サービスのインフラストラクチャとドメインが必要です。一般的に、境界ドメインと企業ドメインが相互に信頼するようには構成しません。ただし、境界ドメインが企業ドメインを信頼する一方向の信頼を構成する場合は、企業ドメインの資格情報を利用することで、Windows 認証を使用して内部とリモートの両方の従業員を認証できます。もう 1 つのオプションは、フォーム認証または Web シングル サインオン (SSO) を使用して従業員を認証することです。これらの方法を使用して、内部ドメインのディレクトリ サービスに対して認証を行うこともできます。

次の表に、これらの認証オプションをまとめ、信頼関係が必要かどうかを示します。

シナリオ 説明

Windows 認証

境界ドメインが企業ネットワーク ドメインを信頼する場合、企業ドメインの資格情報を使用して内部とリモートの両方の従業員を認証できます。

フォーム認証と Web SSO

フォーム認証と Web SSO を使用すると、内部の Active Directory 環境を基準にして内部の従業員とリモートの従業員の両方を認証できます。たとえば、Web SSO を使用して Active Directory フェデレーション サービス (ADFS) に接続できます。フォーム認証や Web SSO を使用する場合、ドメイン間の信頼関係は必要ありません。**

ただし、認証プロバイダによっては、Windows SharePoint Services 3.0 の一部の機能を使用できない場合があります。フォーム認証または Web SSO の使用時に影響を受ける場合がある機能の詳細については、「Web アプリケーションの認証設定を計画する (Windows SharePoint Services)」を参照してください。

エクストラネット環境で一方向の信頼関係を構成することの詳細については、「エクストラネット環境のセキュリティ強化を計画する (Windows SharePoint Services)」を参照してください。

可用性を計画する

この記事で説明するエクストラネット トポロジの図は、以下の場所を示すことを目的としています。

  • サーバー ファームはネットワーク全体の中でどこに配置されるか。

  • それぞれのサーバー ロールはエクストラネット環境内のどこに配置されるか。

この記事は、どのサーバー ロールを展開する必要があるかを計画したり、冗長性を実現するためにサーバー ロールごとに何台のサーバーを展開する必要があるかを計画したりする場合に役立つものではありません。実際の環境に必要なサーバー ファームの数を特定したら、「冗長性を計画する (Windows SharePoint Services)」に従って各サーバー ファームのトポロジを計画します。

セキュリティ強化を計画する

エクストラネットのトポロジを設計したら、以下のリソースを参考にしてセキュリティの強化を計画します。

エッジ ファイアウォール トポロジ

この構成では、インターネットと企業ネットワーク間の境界上で逆プロキシ サーバーを使用して要求を途中で取得し、その要求を、イントラネット内に配置されている適切な Web サーバーに転送します。プロキシ サーバーは、構成可能な一連のルールを使用し、要求された URL が許可されることを、その要求の発信元の領域に基づいて確認します。その後、要求された URL は内部 URL に変換されます。次の図は、エッジ ファイアウォール トポロジを示しています。

エクストラネット ファーム トポロジ - エッジ ファイアウォール

利点

  • 必要とされるハードウェアと構成の量が最も少ない単純なソリューションです。

  • サーバー ファーム全体が企業ネットワーク内に配置されます。

  • データは単一の場所にあります。

    • データは、信頼できるネットワークの内部に置かれます。

    • データのメンテナンスは 1 か所で実施されます。

    • 内部の要求と外部の要求の両方に対して単一のファームが使用されるため、認証されたすべてのユーザーに同じコンテンツが表示されることが保証されます。

  • 内部のユーザー要求はプロキシ サーバーを通過しません。

欠点

  • 単一のファイアウォールでインターネットから企業の内部ネットワークを分けることになります。

バックツーバック境界トポロジ

次の図に示すように、バックツーバックの境界トポロジでは、サーバー ファームが個別の境界ネットワーク内に分離されます。

バックツーバック境界トポロジ

このトポロジには以下のような特徴があります。

  • すべてのハードウェアおよびデータは、境界ネットワーク内に配置されます。

  • サーバー ファームのロールとネットワーク インフラストラクチャ用のサーバーを、複数層にわたって分散させることができます。ネットワーク層を組み合わせることで、複雑さとコストを軽減することができます。

  • 各層は、特定の層からの要求のみが許可されるようにするルーターやファイアウォールを追加し、分離することができます。

  • 内部ネットワークからの要求は、内部に直接接続する ISA サーバー経由でルーティングするか、境界ネットワークのパブリック インターフェイス経由でルーティングできます。

利点

  • コンテンツはエクストラネット上の単一ファームに分離されるので、イントラネットとエクストラネットにまたがるコンテンツの共有とメンテナンスが簡素化されます。

  • 外部からのユーザー アクセスは、境界ネットワークに切り離されます。

  • エクストラネットのセキュリティに問題が発生した場合、損害を受けるおそれがある範囲は直接影響を受ける層または境界ネットワークに限られます。

  • 分離した Active Directory インフラストラクチャにより、内部の企業ディレクトリに影響を及ぼすことなく外部ユーザー アカウントを作成できます。

欠点

  • 追加のネットワーク インフラストラクチャおよび構成が必要です。

スプリット バックツーバック トポロジ

このトポロジでは、境界ネットワークと企業ネットワークの間でファームを分割します。Microsoft SQL Server データベース ソフトウェアを実行するコンピュータは、企業ネットワークの内側にホストされます。Web サーバーは、境界ネットワーク内に配置されます。検索サーバーは、境界ネットワークまたは企業ネットワークのどちらにもホストできます。

スプリット バックツーバック トポロジ

上の図では、以下のようになっています。

  • 検索サーバーは、境界ネットワークの内部にホストされています。このオプションは、破線で囲った青色のサーバーによって図に示されています。

  • 検索サーバーは、必要に応じて、データベース サーバーがある企業ネットワークの内側に展開できます。このオプションは、破線で囲った灰色のサーバーによって図に示されています。データベース サーバーがある企業ネットワークの内側に検索サーバーを展開する場合は、企業ネットワーク内に灰色のサーバーとして図に示されたサーバーをサポートするために、Active Directory 環境も用意する必要があります。

サーバー ファームが境界ネットワークと、データベース サーバーが内部に配置されている企業ネットワークとの間で分割されている場合、Windows アカウントを使用して SQL Server にアクセスするには、ドメインの信頼関係が必要です。このシナリオでは、境界ドメインが企業ドメインを信頼する必要があります。SQL 認証を使用する場合は、ドメインの信頼関係は必要ありません。このトポロジのためにアカウントを構成することの詳細については、「エクストラネット環境のセキュリティ強化を計画する (Windows SharePoint Services)」の「ドメインの信頼関係」を参照してください。

検索のパフォーマンスとクロールを最適化するには、データベース サーバーがある企業ネットワークの内側に検索サーバー ロールを配置します。また、企業ネットワーク内の検索サーバーに Web サーバー ロールを追加し、その Web サーバーをコンテンツのクロールを目的とした検索ロールのみに使用されるように構成することができます。境界ネットワークに Web サーバーを配置し、企業ネットワーク内に検索ロールを配置する場合は、境界ネットワークのドメインが企業ネットワークのドメインを信頼する一方向の信頼関係を構成する必要があります。このシナリオで、このような一方向の信頼関係が必要とされるのは、ファーム内のサーバー間の通信をサポートするためなので、Windows 認証と SQL 認証のどちらを使用して SQL Server にアクセスするかは無関係です。

利点

スプリット バックツーバック トポロジの利点には以下のことが含まれます。

  • SQL Server を実行するコンピュータが境界ネットワーク内でホストされません。

  • 企業ネットワーク内と境界ネットワーク内の両方のファーム コンポーネントが、同じデータベースを共有できます。

  • 個別の Active Directory インフラストラクチャを使用すれば、内部の企業ディレクトリに影響を与えないで、外部のユーザー アカウントを作成できます。

欠点

  • ソリューションが大幅に複雑になります。

  • 境界ネットワーク リソースのセキュリティを損なった侵入者がサーバー ファームのアカウントを使用して、企業ネットワーク内に格納されているファームのコンテンツにアクセスできるようになる可能性があります。

  • 一般的に、ファーム間の通信が 2 つのドメイン間で分割されます。

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。