Progettare la topologia di una farm Extranet (Office SharePoint Server)

Contenuto dell'articolo:

• Informazioni sugli ambienti Extranet

• Pianificazione per gli ambienti Extranet

• Topologia firewall di confine

• Topologia perimetrale back to back

• Topologia perimetrale back to back con pubblicazione di contenuto

• Topologia perimetrale back to back ottimizzata per l'hosting di contenuto statico

• Topologia back to back suddivisa

Questo articolo può essere utilizzato con il modello Topologie Extranet per Prodotti e tecnologie SharePoint (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x410) (informazioni in lingua inglese) .

Informazioni sugli ambienti Extranet

Un ambiente Extranet è una rete privata che viene estesa in modo protetto per condividere parte delle informazioni o dei processi di un'organizzazione con i dipendenti remoti, i partner esterni o i clienti. Mediante una rete Extranet è possibile condividere qualsiasi tipo di contenuto ospitato da Microsoft Office SharePoint Server 2007, tra cui:

• Contenuto informativo personalizzato.

• Contenuto personalizzato basato su account utente.

• Contenuto per la collaborazione, tra cui documenti, elenchi, raccolte, calendari, blog e wiki.

• Archivi di documenti.

Nella tabella seguente vengono illustrati i vantaggi presentati dall'ambiente Extranet per ogni gruppo.

Dipendenti remoti	I dipendenti remoti possono accedere alle risorse elettroniche e alle informazioni aziendali in qualsiasi luogo, in qualsiasi momento e in qualsiasi posizione senza che sia necessaria una rete VPN (Virtual Private Network). I dipendenti remoti includono: Agenti di vendita in viaggio per lavoro. Dipendenti che lavorano da casa o presso clienti dell'organizzazione. Team virtuali distribuiti in aree geografiche diverse.
Partner esterni	I partner esterni possono partecipare ai processi aziendali e collaborare con i dipendenti dell'organizzazione. È possibile utilizzare un ambiente Extranet per aumentare il grado di protezione dei dati nei modi seguenti: Applicare componenti di protezione e di interfaccia utente appropriati per isolare i partner e separare i dati interni. Autorizzare i partner a utilizzare solo i siti e i dati necessari per le loro attività. Impedire ai partner di visualizzare i dati di altri partner. È possibile ottimizzare i processi e i siti per la collaborazione con i partner nei modi seguenti: Consentire ai dipendenti dell'organizzazione e ai dipendenti dell'azienda partner di visualizzare, modificare, aggiungere ed eliminare contenuto allo scopo di ottenere risultati positivi per entrambe le società. Configurare avvisi per segnalare agli utenti quando cambia il contenuto o quando avviare un flusso di lavoro.
Clienti	Pubblicare contenuto personalizzato e assegnato a partner e clienti nei modi seguenti: Assegnare contenuto in base alla linea di prodotto o al profilo del cliente. Segmentare il contenuto mediante implementazione di raccolte siti distinte all'interno di una farm. Limitare l'accesso al contenuto e i risultati della ricerca in base ai gruppi di destinatari.

Microsoft Office SharePoint Server 2007 garantisce opzioni flessibili per la configurazione dell'accesso Extranet ai siti. È possibile fornire accesso a Internet a un sottoinsieme di siti di una server farm o rendere accessibile da Internet tutto il contenuto di una server farm. È possibile ospitare contenuto Extranet all'interno della rete aziendale e renderlo disponibile tramite un firewall di confine, oppure isolare la server farm all'interno di una rete perimetrale.

Pianificazione per gli ambienti Extranet

Di seguito nel presente articolo vengono descritte topologie Extranet specifiche verificate con Microsoft Office SharePoint Server 2007. Le topologie descritte in questo articolo possono aiutare a comprendere le opzioni disponibili con Microsoft Office SharePoint Server 2007, inclusi i requisiti e i compromessi necessari.

Nelle sezioni seguenti vengono illustrate ulteriori attività di pianificazione per un ambiente Extranet.

Pianificare la tecnologia di rete

In ogni topologia la tecnologia di rete illustrata rappresenta uno o entrambi dei prodotti seguenti della famiglia Microsoft Forefront Edge: Microsoft Internet Security and Acceleration (ISA) Server e Intelligent Application Gateway (IAG) 2007. Per ulteriori informazioni su questi prodotti Microsoft Forefront Edge, vedere le risorse seguenti:

• Home page ISA Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=86495&clcid=0x410) (informazioni in lingua inglese)

• Concetti di rete in ISA Server 2006 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=86497&clcid=0x410) (informazioni in lingua inglese)

• Progettare una topologia di farm Extranet (Windows SharePoint Services)

• Raccolta di documentazione tecnica Intelligent Application Gateway 2007 (informazioni in lingua inglese)

IAG Server include tre caratteristiche aggiuntive:

• Prevenzione dalla divulgazione indesiderata di informazioni: nel computer client non rimangono informazioni e tutta la cache, i file temporanei e i cookie vengono eliminati.

• Autorizzazione dell'endpoint basata sull'integrità: gli amministratori possono definire un criterio di accesso basato non solo sull'identità dell'utente e le informazioni esposte, ma anche sulla condizione del computer client.

• Accesso ai siti di SharePoint da Outlook Web Access: gli utenti possono accedere ai siti di SharePoint da collegamenti inviati in messaggi di posta elettronica tramite Outlook Web Access. IAG garantisce la conversione dei collegamenti che fanno riferimento a URL interni.

• Portale unificato: all'accesso a ogni utente viene presentato l'elenco dei siti di SharePoint e di altre applicazioni disponibili e autorizzati per tale utente.

Nella tabella seguente sono riepilogate le differenze tra i server.

Capacità	ISA 2006	IAG 2007
Pubblicazione di applicazioni Web mediante HTTPS	X	X
Pubblicazione di applicazioni mobili su dispositivi mobili di roaming	X	X
Firewall livello 3	X	X*
Supporto di scenari in uscita	X	X*
Supporto di array	X
Globalizzazione e localizzazione della console di amministrazione	X
Procedure guidate e impostazioni predefinite per la pubblicazione di siti di SharePoint ed Exchange	X	X
Procedure guidate e impostazioni predefinite per la pubblicazione di diverse applicazioni		X
Supporto di ADFS (Active Directory Federation Services)		X
Autenticazione avanzata, ad esempio password monouso, basata su form, smart card	X	X
Protezione delle applicazioni con firewall dell'applicazione Web	Di base	Full
Rilevamento dell'integrità dell'endpoint		X
Prevenzione dalla divulgazione indesiderata di informazioni		X
Criterio di accesso granulare		X
Portale unificato		X

* Supporto garantito da ISA, incluso in IAG 2007.

Pianificare l'autenticazione e l'architettura logica

Oltre alla scelta o alla progettazione di una topologia Extranet, sarà necessario progettare una strategia di autenticazione e un'architettura logica per consentire l'accesso agli utenti previsti al di fuori della rete interna e garantire la protezione dei siti e del contenuto della server farm. Per ulteriori informazioni, vedere le risorse seguenti:

• Pianificare l'autenticazione (Office SharePoint Server)

• Modello di architettura logica: distribuzione aziendale

Pianificare relazioni di trust a livello di dominio

Se la server farm si trova all'interno di una rete perimetrale, quest'ultima deve disporre di un dominio e di un'infrastruttura di servizi directory Active Directory propri. In genere la configurazione di un dominio perimetrale e di un dominio aziendale non prevede che i domini vengano considerati reciprocamente attendibili. Sono tuttavia presenti diversi scenari in cui potrebbe essere necessaria una relazione di trust. Nella tabella seguente sono riepilogati gli scenari con requisiti per una relazione di trust.

Scenario	Descrizione
Autenticazione di Windows	Se il dominio perimetrale considera attendibile il dominio di rete aziendale, sarà possibile autenticare sia i dipendenti interni che quelli remoti utilizzando le relative credenziali di dominio aziendale. Per informazioni sulla progettazione di una strategia di autenticazione e di un'architettura logica per questo scenario, vedere Modello di architettura logica: distribuzione aziendale.
Autenticazione Forms e Single Sign-on Web	È possibile utilizzare l'autenticazione Forms e SSO Web per autenticare sia i dipendenti interni che quelli remoti in un ambiente Active Directory interno. È ad esempio possibile utilizzare SSO Web per connettersi ad ADFS (Active Directory Federation Services). Con l'autenticazione Forms o SSO Web *non* è richiesta una relazione di trust tra i domini. Numerose caratteristiche di Microsoft Office SharePoint Server 2007 potrebbero tuttavia non essere disponibili, in base al provider di autenticazione. Per ulteriori informazioni sulle caratteristiche che potrebbero essere influenzate dall'utilizzo dell'autenticazione Forms piuttosto che SSO Web, vedere Pianificare le impostazioni di autenticazione per le applicazioni Web in Office SharePoint Server.
Pubblicazione di contenuto	Una relazione di trust tra domini *non* è necessaria per la pubblicazione di contenuto da un dominio a un altro. Per evitare la necessità di una relazione di trust, verificare che per la pubblicazione di contenuto venga utilizzato l'account appropriato. Per ulteriori informazioni, vedere la sezione relativa alla protezione avanzata per la pubblicazione di contenuto in Pianificare la protezione avanzata per ambienti Extranet.

Per ulteriori informazioni sulla configurazione di una relazione di trust unidirezionale in un ambiente Extranet, vedere Pianificare la protezione avanzata per ambienti Extranet

Pianificare la disponibilità

Le topologie Extranet descritte in questo articolo hanno lo scopo di illustrare:

• Se una server farm si trova all'interno di una rete generale.

• Se ognuno dei ruoli del server si trova all'interno di un ambiente Extranet.

Questo articolo non ha lo scopo di aiutare a pianificare i ruoli server necessari per la distribuzione o il numero di server da distribuire per ogni ruolo per ottenere la ridondanza. Dopo aver determinato il numero di server farm necessario per l'ambiente in uso, consultare l'articolo seguente per pianificare la topologia di ogni server farm: Pianificare la ridondanza (Office SharePoint Server).

Pianificare la protezione avanzata

Dopo aver progettato la topologia Extranet, utilizzare le risorse seguenti per pianificare la protezione avanzata:

• Pianificare la protezione avanzata per i ruoli del server in una server farm (Office SharePoint Server)

• Pianificare la protezione avanzata per ambienti Extranet

Topologia firewall di confine

In questa configurazione viene utilizzato un server proxy inverso al confine tra Internet e la rete aziendale per intercettare e quindi inoltrare le richieste al server Web appropriato della rete Intranet. Mediante un insieme di regole configurabili, il server proxy verifica che gli URL richiesti siano consentiti in base all'area da cui ha origine la richiesta. Gli URL richiesti vengono quindi convertiti in URL interni. Nella figura seguente è illustrata una topologia firewall di confine.

Vantaggi

• È la soluzione più semplice che richiede configurazione e hardware minimi.

• L'intera server farm si trova all'interno della rete aziendale.

• Singolo punto di dati:

  • I dati si trovano all'interno della rete attendibile.

  • La manutenzione dei dati si svolge in un'unica posizione.

  • L'utilizzo di una sola farm sia per le richieste interne che per quelle esterne garantisce che tutti gli utenti autorizzati visualizzino lo stesso contenuto.

• Le richieste degli utenti interni non passano attraverso un server proxy.

Svantaggi

• Un solo firewall che separa la rete interna aziendale da Internet.

Topologia perimetrale back to back

In una topologia perimetrale back to back la server farm viene isolata in una rete perimetrale separata, come illustrato nella figura seguente.

Questa topologia presenta le caratteristiche seguenti:

• Tutto l'hardware e i dati risiedono nella rete perimetrale.

• I ruoli della server farm e i server dell'infrastruttura di rete possono essere separati in più livelli. Combinando i livelli di rete è possibile ridurre la complessità e il costo.

• Ogni livello può essere separato da router o firewall aggiuntivi per garantire che vengano consentite solo le richieste provenienti da livelli specifici.

• Le richieste provenienti dalla rete interna possono essere indirizzate tramite il computer ISA Server interno oppure tramite l'interfaccia pubblica della rete perimetrale.

Nella figura tutti i ruoli del server applicazioni che si trovano al livello 2 vengono mostrati come server dedicati. In una distribuzione reale in un solo server applicazioni possono essere presenti più ruoli del server applicazioni. L'ottimizzazione di alcune farm inoltre può essere ottenuta in modo più efficace distribuendo il ruolo query nei server Web del livello 1, anziché come server applicazioni all'interno del livello 2.

Vantaggi

• Il contenuto è isolato in una singola farm nell'ambiente Extranet, semplificando la condivisione e la manutenzione del contenuto nella rete Intranet ed Extranet.

• L'accesso degli utenti esterni è isolato nella rete perimetrale.

• Se l'ambiente Extranet viene compromesso, il danno è potenzialmente limitato al livello interessato o alla rete perimetrale.

• Utilizzando un'infrastruttura di Active Directory separata, è possibile creare account utente esterni senza incidere sull'elenco in linea aziendale interno.

Svantaggi

• Richiede configurazione e infrastrutture di rete aggiuntive.

Topologia perimetrale back to back con pubblicazione di contenuto

In questa topologia, alla topologia perimetrale back to back si aggiunge la pubblicazione di contenuto, pertanto i siti e il contenuto sviluppati all'interno della rete aziendale possono essere pubblicati nella server farm che si trova nella rete perimetrale.

Nella figura seguente viene illustrata la topologia perimetrale back to back con pubblicazione di contenuto.

Tenere presenti le caratteristiche seguenti di questa topologia:

• Richiede due farm distinte, ovvero una nella rete aziendale e l'altra nella rete perimetrale.

• La pubblicazione è unidirezionale. Il contenuto creato o modificato nella rete perimetrale è univoco.

Nella figura viene illustrato il percorso di distribuzione del contenuto dalla farm di gestione temporanea del contenuto nel sito Amministrazione centrale alla farm di destinazione nel sito Amministrazione centrale. Il sito Amministrazione centrale viene in genere installato in uno dei server applicazioni. Nella figura viene mostrato inoltre separatamente il sito Amministrazione centrale per illustrarne il ruolo nella distribuzione del contenuto.

Vantaggi

• Consente di isolare il contenuto pubblico e il contenuto rivolto ai partner in una rete perimetrale distinta.

• È possibile automatizzare la pubblicazione di contenuto.

• Se il contenuto nella rete perimetrale viene compromesso o danneggiato in seguito all'accesso a Internet, l'integrità del contenuto della rete aziendale è garantita.

Svantaggi

• Richiede più componenti hardware per la gestione di due farm distinte.

• Il sovraccarico di dati è maggiore. Il contenuto viene gestito e coordinato in due farm e due reti distinte.

• Le modifiche apportate al contenuto nella rete perimetrale non vengono riflesse nella rete aziendale, di conseguenza la pubblicazione di contenuto nel dominio perimetrale non rappresenta una scelta idonea per i siti Extranet che prevedono la collaborazione.

Topologia perimetrale back to back ottimizzata per l'hosting di contenuto statico

Negli ambienti in cui il contenuto è sempre o prevalentemente statico, è possibile ottimizzare le prestazioni mediante l'implementazione delle caratteristiche di memorizzazione nella cache di IAG 2007 o ISA Server 2006. La memorizzazione nella cache di IGA o ISA Server può essere configurata in aggiunta alle caratteristiche di memorizzazione nella cache di Microsoft Office SharePoint Server 2007.

ISA Server comprende ad esempio i due tipi di memorizzazione nella cache seguenti:

• Memorizzazione diretta nella cache Con la memorizzazione diretta nella cache vengono garantiti gli oggetti Web agli utenti interni che eseguono richieste Web su Internet.

• Memorizzazione inversa nella cache Con la memorizzazione inversa nella cache viene fornito il contenuto memorizzato nella cache ai client Internet esterni che eseguono le richieste ai server Web interni con pubblicazione mediante ISA Server.

Per ulteriori informazioni sulla memorizzazione nella cache in ISA Server, vedere Memorizzazione nella cache e protocollo CARP in ISA Server 2006 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=86531&clcid=0x410) (informazioni in lingua inglese) .

Utilizzare la memorizzazione nella cache di IAG o di ISA Server oltre a quella di Microsoft Office SharePoint Server 2007 solo nelle situazioni seguenti:

• Il contenuto è statico. Non viene utilizzata la sostituzione post-cache, in cui parti di una pagina non vengono memorizzate nella cache. Gli URL non vengono modificati.

• Il contenuto è completamente anonimo.

La memorizzazione nella cache di IAG o di ISA Server consente una scalabilità orizzontale oltre i limiti di una farm singola, garantendo un miglioramento delle prestazioni dove i server Web potrebbero rappresentare un collo di bottiglia. Questa condizione consente di migliorare le prestazioni nel caso in cui sia stato raggiunto il numero massimo di server Web o di ridurre il numero di server Web necessari.

Nella figura seguente sono mostrati più server IAG o ISA Server utilizzati per memorizzare contenuto nella cache.

Nella figura sono illustrate le scelte seguenti:

• Il ruolo query è installato nei server Web.

• Il sito Amministrazione centrale è installato nel server di indicizzazione.

Vantaggi

• Notevole miglioramento delle prestazioni in caso di hosting di contenuto totalmente o quasi totalmente statico.

• Riduzione del numero di richieste ai server Web e ai server database.

• Metodo idoneo per garantire la scalabilità orizzontale della soluzione Extranet.

Svantaggi

• La memorizzazione nella cache di ISA Server può ridurre le prestazioni globali in ambienti con contenuto dinamico o che cambia frequentemente.

Topologia back to back suddivisa

Con questa topologia la farm viene suddivisa tra il perimetro e le reti aziendali. I computer che eseguono il software di database Microsoft SQL Server sono ospitati all'interno della rete aziendale. I server Web si trovano nella rete perimetrale. I computer dei server applicazioni possono essere ospitati nella rete perimetrale o nella rete aziendale.

Nella figura precedente:

• I server applicazioni sono ospitati all'interno della rete perimetrale. Questa opzione è illustrata dai server di colore blu all'interno della linea tratteggiata.

• I server applicazioni possono facoltativamente essere distribuiti all'interno della rete aziendale con i server database. Questa opzione è illustrata dai server di colore grigio all'interno della linea tratteggiata. Se i server applicazioni vengono distribuiti all'interno della rete aziendale con i server database, è necessario disporre di un ambiente Active Directory che supporti questi server, rappresentati da server di colore grigio all'interno della rete aziendale.

Se la server farm è suddivisa tra la rete perimetrale e la rete aziendale e i server database si trovano all'interno della rete aziendale, è necessaria una relazione di trust a livello di dominio se per accedere a SQL Server vengono utilizzati account di Windows. In questo scenario il dominio perimetrale deve considerare attendibile il dominio aziendale. Se invece viene utilizzata l'autenticazione di SQL Server, non è necessaria una relazione di trust a livello di dominio. Per ulteriori informazioni sulla configurazione degli account per questa topologia, vedere la sezione relativa alle relazioni di trust a livello dominio nell'articolo seguente: Pianificare la protezione avanzata per ambienti Extranet.

Per ottimizzare le prestazioni della ricerca ed eseguire la ricerca per indicizzazione, inserire i server applicazioni all'interno della rete aziendale con i server database. È inoltre possibile aggiungere il ruolo di server Web al server di indicizzazione all'interno della rete aziendale e configurare il server Web per l'utilizzo dedicato da parte del server di indicizzazione per la ricerca di contenuto per indicizzazione. Non aggiungere tuttavia il ruolo query al server di indicizzazione se il ruolo query si trova anche in altri server della farm. Se i server Web vengono inseriti nella rete perimetrale e i server applicazioni all'interno della rete aziendale, è necessario configurare una relazione di trust unidirezionale in cui il dominio della rete perimetrale considera attendibile il dominio della rete aziendale. Questa relazione di trust unidirezionale è necessaria in questo scenario per supportare la comunicazione tra server all'interno della farm, indipendentemente dall'utilizzo dell'autenticazione di Windows o dell'autenticazione SQL per l'accesso a SQL Server.

È possibile posizionare uno o più server Web nella rete aziendale per le richieste interne. In questo modo i server Web vengono divisi tra la rete perimetrale e la rete aziendale. In questo caso verificare che il traffico proveniente da Internet sia con carico bilanciato per i server Web della rete perimetrale e che il traffico proveniente dalla rete aziendale sia con carico bilanciato in modo indipendente per i server Web della rete aziendale. È inoltre necessario configurare aree di mapping di accesso alternativo e regole di pubblicazione del firewall diverse per ogni segmento di rete.

Se si prevede di pubblicare contenuto da una farm di gestione temporanea all'interno della rete aziendale nei server di database che ospitano contenuto per la rete Extranet, che a sua volta si trova all'interno della rete aziendale, è possibile ottimizzare la farm ospitando i server applicazioni, incluso il sito Amministrazione centrale, all'interno della rete aziendale per i motivi seguenti:

• Il flusso di dati per la pubblicazione di contenuto passa dal sito Amministrazione centrale della farm di gestione temporanea al sito Amministrazione centrale della farm di destinazione. Se il sito Amministrazione centrale si trova all'interno della rete aziendale, il flusso di dati per la pubblicazione di contenuto non passa attraverso il firewall tra la rete perimetrale e la rete aziendale. Al contrario, se il sito Amministrazione centrale si trova all'interno della rete perimetrale, il flusso di dati passa attraverso il firewall in entrambe le direzioni prima di raggiungere i database del contenuto della farm di destinazione.

• L'indicizzazione viene eseguita all'interno della rete aziendale.

Nella figura seguente è illustrato un ambiente di topologia back to back suddivisa ottimizzato per la pubblicazione di contenuto.

Nella figura sono illustrate le scelte seguenti:

• Il ruolo query è installato nei server Web nella rete perimetrale.

• I server applicazioni si trovano nella rete aziendale con i server database. Questa condizione richiede una relazione di trust unidirezionale in cui il domino perimetrale considera attendibile il dominio aziendale.

• Il sito Amministrazione centrale della farm di produzione è installato nel server di indicizzazione.

• Il ruolo di server Web è installato nel server di indicizzazione ed è dedicato alla ricerca per indicizzazione.

Vantaggi

• I computer che eseguono SQL Server non sono ospitati all'interno della rete perimetrale.

• I componenti della farm sia all'interno della rete aziendale che di quella perimetrale possono condividere gli stessi database.

• Il contenuto può essere isolato in una sola farm all'interno della rete aziendale, semplificando la condivisione e la gestione di contenuto tra la rete aziendale e la rete perimetrale.

• Con un'infrastruttura di Active Directory separata, è possibile creare account utente esterni senza incidere sull'elenco in linea aziendale interno.

Svantaggi

• La complessità della soluzione aumenta considerevolmente.

• Gli eventuali intrusi che dovessero compromettere le risorse della rete perimetrale potrebbero accedere al contenuto della farm archiviato nella rete aziendale mediante account della server farm.

• La comunicazione tra farm in genere è divisa in due domini.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

• Pianificazione di un ambiente Extranet per Office SharePoint Server (informazioni in lingua inglese)

Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese)