Pianificare la protezione avanzata per ambienti Extranet
Contenuto dell'articolo:
Strumento di pianificazione per la protezione avanzata della Extranet
Topologia di rete
Relazioni di trust a livello di dominio
Comunicazione con i ruoli della server farm
Comunicazione con i ruoli del server dell'infrastruttura
Requisiti per il supporto delle conversioni di documenti
Comunicazione tra domini di rete
Connessioni a server esterni
In questo articolo vengono illustrati i requisiti di protezione avanzata per un ambiente Extranet caratterizzato da una server farm di Microsoft Office SharePoint Server 2007 posta all'interno di una rete perimetrale e da contenuto disponibile da Internet o dalla rete aziendale.
Per ulteriori informazioni sulle topologie di Extranet supportate, vedere Progettare la topologia di una farm Extranet (Office SharePoint Server).
Strumento di pianificazione per la protezione avanzata della Extranet
Lo strumento di pianificazione seguente è disponibile per l'utilizzo insieme a questo articolo: Strumento di pianificazione della protezione avanzata della Extranet: rete perimetrale back to back (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=85533&clcid=0x410) (informazioni in lingua inglese) . Sulla base della topologia di rete perimetrale back to back, questo strumento illustra i requisiti relativi alle porte per ogni computer che esegue Microsoft Internet Security and Acceleration (ISA) Server e per ogni router o firewall. Questo strumento è costituito da un file Microsoft Office Visio modificabile, che può essere adattato al proprio ambiente. È ad esempio possibile:
Aggiungere numeri di porta personalizzati, se applicabile.
Se è disponibile una scelta tra protocolli e porte, indicare quali porte verranno utilizzate.
Indicare le porte specifiche utilizzate per la comunicazione tra database nel proprio ambiente.
Aggiungere o rimuovere requisiti per le porte in base agli elementi seguenti:
Se si sta configurando l'integrazione della posta elettronica.
Il livello in cui si distribuisce il ruolo query.
Se si sta configurando una relazione di trust a livello di dominio tra il dominio perimetrale e il dominio aziendale.
Se si desidera visualizzare ulteriori strumenti di pianificazione per altre topologie di Extranet supportate, inviare un commento relativo a questo articolo.
Topologia di rete
Le informazioni aggiuntive sulla protezione avanzata contenute in questo articolo sono applicabili a molte configurazioni Extranet diverse. Nel diagramma seguente viene mostrata un'implementazione di esempio di una topologia di rete perimetrale back to back che illustra i ruoli del server e del client all'interno di un ambiente Extranet. Lo scopo del diagramma è indicare tutti i possibili ruoli con la rispettiva relazione con l'ambiente generale. Il ruolo query viene quindi visualizzato due volte. In una implementazione reale il ruolo query viene distribuito nei server Web o come un server applicazioni, ma non entrambi. Se inoltre il ruolo query viene distribuito nei server Web, verrà distribuito in tutti i server Web della farm. Ai fini della comunicazione dei requisiti per la protezione avanzata, nel diagramma vengono illustrate tutte le opzioni. I router illustrati possono essere sostituiti da firewall.
.gif "Diagramma di protezione avanzata della sicurezza della rete Extranet")
Relazioni di trust a livello di dominio
Il fatto che sia necessaria o meno una relazione di trust a livello di dominio dipende dalla configurazione della server farm. In questa sezione vengono illustrate due configurazioni possibili.
Server farm residente nella rete perimetrale
La rete perimetrale richiede un proprio dominio e una propria infrastruttura del servizio directory Active Directory. Il dominio perimetrale e il dominio aziendale in genere non sono configurati in modo da considerarsi reciprocamente attendibili. Per autenticare gli utenti Intranet e i dipendenti remoti che utilizzano le relative credenziali di dominio (autenticazione di Windows), è tuttavia necessario configurare una relazione di trust unidirezionale in cui il dominio perimetrale considera attendibile il dominio aziendale. L'autenticazione Forms e Web SSO non richiedono una relazione di trust a livello di dominio.
Server farm divisa tra la rete perimetrale e la rete aziendale
Se la server farm è divisa tra la rete perimetrale e la rete aziendale e i server database risiedono all'interno della rete aziendale, è necessaria una relazione di trust a livello di dominio in caso di utilizzo di account di Windows. In questo scenario la rete perimetrale deve considerare attendibile la rete aziendale. Se invece viene utilizzata l'autenticazione di SQL Server, non è necessaria una relazione di trust a livello di dominio. Nella tabella che segue sono riepilogate le differenze fra questi due approcci.
| Autenticazione di Windows | Autenticazione di SQL Server | |
|---|---|---|
Descrizione |
Gli account di dominio aziendale vengono utilizzati per tutti gli account di servizio e di amministrazione di Microsoft Office SharePoint Server 2007, inclusi gli account del pool di applicazioni. È necessaria una relazione di trust unidirezionale in cui la rete perimetrale considera attendibile la rete aziendale. |
Gli account di Microsoft Office SharePoint Server 2007 sono configurati nei modi seguenti:
Non è necessaria una relazione di trust, ma è possibile configurarla per supportare l'autenticazione client su un controller di dominio interno. Nota Se i server applicazioni risiedono nel dominio aziendale, è necessaria una relazione di trust unidirezionale in cui la rete perimetrale considera attendibile la rete aziendale. |
Impostazione |
L'impostazione prevede quanto segue:
|
L'impostazione prevede quanto segue:
|
Informazioni aggiuntive |
La relazione di trust unidirezionale consente ai server Web e ai server applicazioni aggiunti al dominio Extranet di risolvere gli account del dominio aziendale. |
|
Per le informazioni contenute nella tabella precedente si presuppone che:
Sia i server Web che i server applicazioni risiedano nella rete perimetrale.
Tutti gli account vengano creati con i privilegi minimi necessari, incluse le raccomandazioni seguenti:
È necessario creare account separati per tutti gli account amministrativi e di servizio.
Nessun account deve essere membro del gruppo Administrators in qualsiasi computer, incluso il computer server che ospita SQL Server.
Se si utilizza l'autenticazione SQL, è necessario creare gli account di accesso SQL seguenti con le autorizzazioni seguenti:
Account di accesso SQL per l'account utilizzato per eseguire lo strumento da riga di comando Psconfig L'account deve essere membro dei ruoli SQL dbcreator e securityadmin e deve essere membro del gruppo Administrators in ogni server in cui viene eseguito il programma di installazione, ma non nel server database.
Account di accesso SQL per l'account della server farm Questo account di accesso viene utilizzato per creare il database di configurazione e il database SharePoint_AdminContent. L'account di accesso deve includere il ruolo dbcreator e non deve necessariamente appartenere al ruolo securityadmin. È necessario creare l'account di accesso utilizzando l'autenticazione SQL. Configurare l'account della server farm per l'utilizzo dell'autenticazione SQL con la password specificata quando si crea l'account di accesso SQL.
Account di accesso SQL per tutti gli altri database È necessario creare l'account di accesso utilizzando l'autenticazione SQL e tale account di accesso deve essere membro dei ruoli SQL dbcreator e securityadmin.
Per ulteriori informazioni sugli account di Microsoft Office SharePoint Server 2007, vedere Pianificare gli account amministrativi e di servizio (Office SharePoint Server).
Per ulteriori informazioni sulla creazione di database mediante lo strumento da riga di comando Psconfig, vedere Informazioni di riferimento sulla riga di comando per la Configurazione guidata Prodotti e tecnologie SharePoint (Office SharePoint Server).
Comunicazione con i ruoli della server farm
Quando si configura un ambiente Extranet, è importante comprendere come i diversi ruoli del server comunichino all'interno della server farm.
Comunicazione tra i ruoli del server
Nella figura che segue vengono illustrati i canali di comunicazione all'interno di una server farm. Nella tabella dopo la figura sono riportati i protocolli e le porte rappresentati nella figura stessa. Le frecce nere indicano il ruolo del server che avvia la comunicazione. Ad esempio, il ruolo Servizi di calcolo Excel avvia la comunicazione con il server database, ma il server database non avvia la comunicazione con il ruolo Servizi di calcolo Excel. Una freccia rossa tratteggiata indica che entrambi i server possono avviare la comunicazione. Questo è un aspetto importante da considerare quando si configura la comunicazione in ingresso e in uscita in un firewall.
.gif "Comunicazione server tra farm")
| Callout | Porte e protocolli |
|---|---|
1 |
Accesso client, con query di ricerca e IRM (Information Rights Management). Una o più delle porte seguenti:
|
2 |
Servizio Condivisione file e stampanti. *Uno* dei protocolli seguenti:
|
3 |
Servizi Web di Office Server Web. *Entrambe le porte seguenti*:
|
4 |
Comunicazione database:
|
5 |
Ricerca per indicizzazione. A seconda della configurazione dell'autenticazione, i siti di SharePoint potrebbero venire estesi con un sito IIS (Internet Information Services) o un'area aggiuntiva per garantire che il componente di indicizzazione possa accedere al contenuto. Questa configurazione può comportare porte personalizzate.
|
6 |
Servizio Single Sign-on. Qualsiasi ruolo server con il servizio Single Sign-on in esecuzione deve essere in grado di comunicare con il server della chiave di crittografia tramite la chiamata di procedura remota (RPC). Ciò include tutti i server Web, il ruolo Servizi di calcolo Excel e il ruolo Indice. Se inoltre un trimmer di protezione personalizzato è installato nel server di query e tale trimmer di protezione necessita di accesso ai dati del servizio Single Sign-on, è necessario che il servizio servizio Single Sign-on sia in esecuzione anche in tale ruolo server. La chiamata di procedura remota (RPC) richiede la porta TCP 135 e *una delle porte seguenti*:
Per ulteriori informazioni sul server della chiave di crittografia e su quali ruoli del server necessitano del servizio Single Sign-on, vedere Pianificare l'utilizzo di Single Sign-on. |
I server Web eseguono automaticamente il bilanciamento del carico delle richieste di query nei server di query disponibili. Se pertanto il ruolo query viene distribuito nei computer server Web, tali server comunicano tra loro utilizzando il servizio Condivisione file e stampanti e i servizi Web di Office Server. Nella figura seguente sono illustrati i canali di comunicazione tra tali server.
.gif "Server Web e server di query")
Comunicazione tra siti amministrativi e ruoli server
I siti amministrativi includono:
Sito Amministrazione centrale Questo sito può essere installato in un server applicazioni o in un server Web.
Siti Amministrazione servizi condivisi Nei server Web viene eseguito il mirroring di questi siti.
In questa sezione vengono illustrati in modo dettagliato i requisiti a livello di porta e protocollo per la la comunicazione tra la workstation di un amministratore e i ruoli server all'interno della farm. Il sito Amministrazione centrale può essere installato in qualsiasi server Web o nel server applicazioni. Le modifiche di configurazione apportate tramite il sito Amministrazione centrale vengono comunicate al database di configurazione. Gli altri ruoli del server della farm acquisiscono le modifiche di configurazione registrate nel database di configurazione durante i relativi cicli di polling. Il sito Amministrazione centrale pertanto non impone nuovi requisiti di comunicazione per gli altri ruoli del server della server farm.
Nella figura seguente vengono illustrati i canali di comunicazione dalla workstation di un amministratore ai siti amministrativi e al database di configurazione.
.gif "Topologia amministrazione sito amministratore")
Nella tabella seguente vengono descritti i protocolli e le porte mostrati nella figura precedente.
| Callout | Porte e protocolli |
|---|---|
A |
Sito Amministrazione servizi condivisi. Una o più delle porte seguenti:
|
B |
Sito Amministrazione centrale. Una o più delle porte seguenti:
|
C |
Comunicazione database:
|
Comunicazione con i ruoli del server dell'infrastruttura
Quando si configura un ambiente Extranet, è importante comprendere come i diversi ruoli del server comunichino all'interno dei computer server dell'infrastruttura.
Controller di dominio di Active Directory
Nella tabella che segue sono riportate le porte necessarie per le connessioni in ingresso da ogni ruolo del server a un controller di dominio di Active Directory.
| Elemento | Server Web | QueryServer | IndiceServer | Servizi di calcolo Excel | Server database |
|---|---|---|---|---|---|
TCP/UDP 445 (servizi directory) |
X |
X |
X |
X |
X |
TCP/UDP 88 (autenticazione Kerberos) |
X |
X |
X |
X |
X |
Porte LDAP (Lightweight Directory Access Protocol)/LDAPS 389/636 per impostazione predefinita, personalizzabili |
X |
X |
X |
Le porte LDAP/LDAPS sono obbligatorie per i ruoli server in base alle condizioni seguenti:
Server Web Utilizzare le porte LDAP/LDAPS se l'autenticazione LDAP è configurata.
Server di indicizzazione Il ruolo necessita delle porte LDAP/LDAPS per l'importazione dei profili dai controller di dominio configurati come origini di importazione dei profili, dovunque si trovino.
Servizi di calcolo Excel Utilizza le porte LDAP/LDAPS solo se le connessioni alle origini dati sono configurate per l'autenticazione mediante LDAP.
Server DNS
Nella tabella che segue sono riportate le porte necessarie per le connessioni in ingresso da ogni ruolo del server a un server DNS (Domain Name System). In molti ambienti Extranet uno stesso computer server ospita sia il controller di dominio di Active Directory che il server DNS.
| Elemento | Server Web | Server di query | Server di indicizzazione | Servizi di calcolo Excel | Server database |
|---|---|---|---|---|---|
DNS, TCP/UDP 53 |
X |
X |
X |
X |
X |
Servizio SMTP
L'integrazione della posta elettronica richiede l'utilizzo del servizio SMTP (Simple Mail Transport Protocol) tramite la porta TCP 25 in almeno uno dei server Web front-end della server farm. Il servizio SMTP è necessario per la posta in arrivo (connessioni in ingresso). Per la posta in uscita, è possibile utilizzare il servizio SMTP oppure instradare la posta in uscita attraverso un server di posta elettronica dedicato nell'organizzazione, ad esempio un computer che esegue Microsoft Exchange Server.
| Elemento | Server Web | Server di query | Server di indicizzazione | Servizi di calcolo Excel | Server database |
|---|---|---|---|---|---|
Porta TCP 25 |
X |
Requisiti per il supporto delle conversioni di documenti
Se nel server si utilizzano convertitori di documenti, è necessario che i servizi seguenti siano installati e avviati nel server applicazioni:
Servizio di avvio per le conversioni di documenti
Servizio di bilanciamento del carico per la conversione di documenti
In genere, tali servizi sono installati nello stesso server applicazioni o in server applicazioni distinti, a seconda della topologia più appropriata per le proprie esigenze. Questi servizi possono essere installati anche in uno o più server Web, se necessario. Se questi servizi sono installati in server distinti, la comunicazione tra i server distinti deve consentire a tali servizi di comunicare tra loro.
Nella tabella seguente sono elencati i requisiti relativi a porte e protocolli per questi servizi. I requisiti non sono applicabili ai ruoli server nella farm in cui non sono installati questi servizi.
| Servizio | Requisito |
|---|---|
Servizio di avvio per le conversioni di documenti |
Porta TCP 8082, personalizzabile per TCP o SSL |
Servizio di bilanciamento del carico per la conversione di documenti |
Porta TCP 8093, personalizzabile per TCP o SSL |
Per informazioni su come configurare questi servizi in una server farm, vedere Progettare la topologia delle conversioni di documenti.
Comunicazione tra domini di rete
Comunicazione Active Directory
La comunicazione Active Directory tra domini per supportare l'autenticazione su un controller di dominio all'interno della rete aziendale richiede almeno una relazione di trust unidirezionale in cui la rete perimetrale considera attendibile la rete aziendale.
Nell'esempio illustrato nella prima figura di questo articolo le porte seguenti sono necessarie come connessioni in ingresso su ISA Server B per supportare una relazione di trust unidirezionale:
TCP/UDP 135 (RPC)
TCP/UDP 389 per impostazione predefinita, personalizzabile (LDAP)
TCP 636 per impostazione predefinita, personalizzabile (LDAP SSL)
TCP 3268 (LDAP GC)
TCP 3269 (LDAP GC SSL)
TCP/UDP 53 (DNS)
TCP/UDP 88 (Kerberos)
TCP/UDP 445 (servizi directory)
TCP/UDP 749 (Kerberos-Adm)
Porta TCP 750 (Kerberos-IV)
Quando si configura ISA Server B o un dispositivo alternativo tra la rete perimetrale e la rete aziendale, la relazione di rete deve essere definita come instradata. Non definire la relazione di rete come NAT (Network Address Translation).
Per ulteriori informazioni sui requisiti di protezione avanzata correlati alle relazioni di trust, vedere le risorse seguenti:
Come configurare un firewall per domini e trust (https://go.microsoft.com/fwlink/?linkid=83470&clcid=0x410).
Active Directory in reti segmentate da firewall (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x410) (informazioni in lingua inglese)
Protezione avanzata per la pubblicazione di contenuto
Per la pubblicazione di contenuto è necessaria una comunicazione unidirezionale tra il sito Amministrazione centrale nella server farm di origine e il sito Amministrazione centrale nella server farm di destinazione. Di seguito sono elencati i requisiti per la protezione avanzata:
Numero di porta utilizzato per il sito Amministrazione centrale nella server farm di destinazione.
Porta TCP 80 o 443 in uscita dalla farm di origine (per protocollo Simple Object Access Protocol (SOAP) e HTTP POST).
Quando si configura la distribuzione di contenuto nella farm di origine, si specifica l'account da utilizzare per l'autenticazione con la farm di destinazione. Una relazione di trust tra i domini non è necessaria per la pubblicazione di contenuto da un dominio all'altro. Per la distribuzione di contenuto sono tuttavia previste le due opzioni seguenti relative all'account, una delle quali necessita di una relazione di trust tra i domini:
Se l'account del pool di applicazioni della farm di origine dispone di autorizzazioni per Amministrazione centrale nella farm di destinazione, selezionare l'opzione Connetti con l'account del pool di applicazioni. Questa opzione necessita di una relazione di trust unidirezionale in cui il dominio della farm di destinazione ritiene attendibile il dominio della farm di origine.
È possibile specificare manualmente un account, invece di utilizzare l'account del pool di applicazioni. In tale caso, non è necessario che l'account esista nel dominio di rete della farm di origine. In genere, l'account è univoco per la farm di destinazione. L'account può eseguire l'autenticazione mediante l'autenticazione integrata di Windows o l'autenticazione di base.
Connessioni a server esterni
È possibile configurare varie caratteristiche di Microsoft Office SharePoint Server 2007 per l'accesso a dati memorizzati in computer server all'esterno della server farm. Se si configura l'accesso a dati in server esterni, assicurarsi di consentire le comunicazioni tra i computer appropriati. Nella maggior parte dei casi, le porte, i protocolli e i servizi utilizzati dipendono dalla risorsa esterna. Ad esempio:
Per le connessioni a condivisioni file viene utilizzato il servizio Condivisione file e stampanti.
Per le connessioni a database di SQL Server esterni si utilizzano le porte predefinite o personalizzate per le comunicazioni con SQL Server.
Per le connessioni a Oracle si utilizza in genere OLE DB.
Per le connessioni a servizi Web si utilizzano i protocolli HTTP e HTTPS.
Nella tabella seguente sono elencate le caratteristiche che è possibile configurare per l'accesso a dati memorizzati in computer server all'esterno della server farm.
| Caratteristica | Descrizione |
|---|---|
Ricerca per indicizzazione del contenuto |
È possibile configurare regole di ricerca per indicizzazione per eseguire la ricerca per indicizzazione di dati che risiedono in risorse esterne, inclusi siti Web, condivisioni file, cartelle pubbliche di Exchange e applicazioni per dati business. Quando si esegue la ricerca per indicizzazione di origini dati esterne, il ruolo indice comunica direttamente con tali risorse esterne. Per ulteriori informazioni, vedere Pianificare la ricerca per indicizzazione di contenuto (Office SharePoint Server). |
Connessioni al Catalogo dati business |
I server Web e i server applicazioni comunicano direttamente con i computer configurati per le connessioni al Catalogo dati business. Per ulteriori informazioni, vedere Pianificare le connessioni dei dati business al Catalogo dati business. |
Ricezione di cartelle di lavoro di Microsoft Office Excel |
In presenza di cartelle di lavoro aperte in Excel Services che si connettono a origini dati esterne, ad esempio Analysis Services e SQL Server, è necessario aprire le porte TCP/IP appropriate per consentire la connessioni a tali origini dati esterne. Per ulteriori informazioni, vedere Pianificare le connessioni a dati esterni per Excel Services. Se i percorsi UNC (Universal Naming Convention) sono configurati come percorsi attendibili in Excel Services, il ruolo applicazione Servizi di calcolo Excel utilizza i protocolli e le porte utilizzate dal servizio Condivisione file e stampanti per la ricezione delle cartelle di lavoro di Office Excel su un percorso UNC. Le cartelle di lavoro archiviate in database del contenuto oppure caricate o scaricate dai siti dagli utenti non sono interessate da queste comunicazioni. |
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Pianificazione di un ambiente Extranet per Office SharePoint Server (informazioni in lingua inglese)
Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).