Pianificare una protezione avanzata per gli ambienti Extranet (Windows SharePoint Services)

  • Articolo

Contenuto dell'articolo:

  • Topologia di rete

  • Relazioni di trust a livello di dominio

  • Comunicazione con i ruoli della server farm

  • Comunicazione con i ruoli del server dell'infrastruttura

  • Comunicazione Active Directory tra i domini di rete

In questo articolo vengono illustrati i requisiti di protezione avanzata per un ambiente Extranet caratterizzato da una server farm di Microsoft Windows SharePoint Services 3.0 posta all'interno di una rete perimetrale e da siti disponibili da Internet o dalla rete aziendale.

Topologia di rete

Le indicazioni per la protezione avanzata contenute in questo articolo sono applicabili a molte configurazioni Extranet diverse. Nella figura che segue viene mostrata un'implementazione di esempio di una topologia di rete perimetrale back-to-back che illustra i ruoli del server e del client all'interno di un ambiente Extranet.

Esempio di protezione avanzata della sicurezza dell'ambiente Extranet

Lo scopo della figura è indicare tutti i possibili ruoli con la rispettiva relazione con l'ambiente generale. Il sito Amministrazione centrale può essere installato in un server Web o nel server di ricerca, mostrato in figura. I router illustrati possono essere sostituiti da firewall.

Relazioni di trust a livello di dominio

Il fatto che sia necessaria o meno una relazione di trust a livello di dominio dipende dalla configurazione della server farm. In questa sezione vengono illustrate due configurazioni possibili.

Server farm residente nella rete perimetrale

La rete perimetrale richiede un proprio dominio e una propria infrastruttura del servizio directory Active Directory. Il dominio perimetrale e il dominio aziendale in genere non sono configurati in modo da considerarsi reciprocamente attendibili. Per autenticare gli utenti Intranet e i dipendenti remoti che utilizzano le relative credenziali di dominio (autenticazione di Windows), è tuttavia necessario configurare una relazione di trust unidirezionale in cui il dominio perimetrale considera attendibile il dominio aziendale. L'autenticazione Forms e Web SSO non richiedono una relazione di trust a livello di dominio.

Server farm divisa tra la rete perimetrale e la rete aziendale

Se la server farm è divisa tra la rete perimetrale e la rete aziendale e i server database risiedono all'interno della rete aziendale, è necessaria una relazione di trust a livello di dominio in caso di utilizzo di account di Windows. In questo scenario la rete perimetrale deve considerare attendibile la rete aziendale. Se invece viene utilizzata l'autenticazione di SQL Server, non è necessaria una relazione di trust a livello di dominio. Nella tabella che segue sono riepilogate le differenze fra questi due approcci.

Autenticazione di Windows Autenticazione di SQL Server

Descrizione

Gli account di dominio aziendale vengono utilizzati per tutti gli account di servizio e di amministrazione di Microsoft Windows SharePoint Services 3.0, inclusi gli account del pool di applicazioni.

È necessaria una relazione di trust unidirezionale in cui la rete perimetrale considera attendibile la rete aziendale.

Gli account di Microsoft Windows SharePoint Services 3.0 sono configurati nei modi seguenti:

  • Per ogni database creato viene utilizzata l'autenticazione di SQL Server.

  • Tutti gli altri account di amministrazione e di servizio vengono creati come account di dominio nella rete perimetrale.

  • I server Web e i server di ricerca vengono aggiunti alla rete perimetrale.

Non è necessaria una relazione di trust, ma è possibile configurarla per supportare l'autenticazione client su un controller di dominio interno.

Nota

Se i server di ricerca risiedono nel dominio aziendale, è necessaria una relazione di trust unidirezionale in cui la rete perimetrale considera attendibile la rete aziendale.

Impostazione

L'impostazione prevede quanto segue:

  • Gli account di amministrazione e di servizio di Microsoft Windows SharePoint Services 3.0 vengono creati nel dominio aziendale.

  • I server Web e i server applicazioni vengono aggiunti alla rete perimetrale.

  • Viene stabilita una relazione di trust in cui il dominio perimetrale considera attendibile il dominio aziendale.

L'impostazione prevede quanto segue:

  • Tutti gli account di database devono essere creati come account di accesso SQL in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati *prima* della creazione di qualsiasi database di Microsoft Windows SharePoint Services 3.0, inclusi il database di configurazione e il database SharePoint_AdminContent.

  • È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database AdminContent. Per la creazione di questi database non è infatti possibile utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Oltre a utilizzare i parametri -user e -password per specificare l'account della server farm, è necessario utilizzare i parametri -dbuser e -dbpassword per specificare gli account di autenticazione di SQL Server.

  • È possibile creare ulteriori database del contenuto in Amministrazione centrale selezionando l'opzione Autenticazione di SQL Server . È tuttavia necessario prima creare gli account di accesso SQL in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio.

  • Proteggere tutte le comunicazioni con i server database con SSL.

  • Fare in modo che le porte utilizzate per la comunicazione con SQL Server rimangano aperte tra la rete perimetrale e la rete aziendale.

Informazioni aggiuntive

La relazione di trust unidirezionale consente ai server Web e ai server applicazioni aggiunti al dominio Extranet di risolvere gli account del dominio aziendale.

  • Gli account di accesso SQL sono crittografati nel Registro di sistema dei server Web e dei server applicazioni.

  • L'account della server farm non viene utilizzato per accedere al database di configurazione e al database SharePoint_AdminContent. Vengono invece utilizzati gli account di accesso SQL corrispondenti.

Per le informazioni contenute nella tabella precedente si presuppone che:

  • Sia i server Web che i server applicazioni risiedano nella rete perimetrale.

  • Tutti gli account vengano creati con i privilegi minimi necessari, incluse le raccomandazioni seguenti:

    • È necessario creare account separati per tutti gli account amministrativi e di servizio.

    • Nessun account deve essere membro del gruppo Administrators in qualsiasi computer, incluso il computer server che ospita SQL Server.

Per ulteriori informazioni sugli account di Microsoft Windows SharePoint Services 3.0, vedere Pianificare gli account amministrativi e di servizio (Windows SharePoint Services).

Per ulteriori informazioni sulla creazione di database mediante lo strumento da riga di comando Psconfig, vedere Informazioni di riferimento sulla riga di comando per la Configurazione guidata Prodotti e tecnologie SharePoint (Windows SharePoint Services).

Comunicazione con i ruoli della server farm

Quando si configura un ambiente Extranet, è importante comprendere come i diversi ruoli del server comunichino all'interno della server farm.

Comunicazione tra i ruoli del server

Nella figura che segue vengono illustrati i canali di comunicazione all'interno di una server farm. Nella tabella dopo la figura sono riportati i protocolli e le porte rappresentati nella figura stessa. Le frecce indicano il ruolo del server che avvia la comunicazione. Il server Web ad esempio avvia la comunicazione con il server database. Quest'ultimo invece non avvia la comunicazione con il server Web. Questo è un aspetto importante da considerare quando si configura la comunicazione in ingresso e in uscita in un router o in un firewall.

Windows SharePoint Services - comunicazione tra farm

Callout Porte e protocolli

1

Accesso client, con query di ricerca e IRM (Information Rights Management). Una o più delle porte seguenti:

  • Porta TCP 80

  • Porta TCP/SSL 443

  • Porte personalizzate

2

Servizio Condivisione file e stampanti. *Uno* dei protocolli seguenti:

  • SMB (Server Message Block) con hosting diretto (TCP/UDP 445). Consigliato

  • NetBIOS su TCP/IP (porte TCP/UDP 137, 138, 139). Da disattivare se non utilizzato

3

Ricerca per indicizzazione. A seconda della configurazione dell'autenticazione, i siti di SharePoint potrebbero venire estesi con un sito IIS (Internet Information Services) o un'area aggiuntiva per garantire che il componente di indicizzazione possa accedere al contenuto. Questa configurazione può comportare porte personalizzate.

  • Porta TCP 80

  • Porta TCP/SSL (Secure Sockets Layer) 443

  • Porte personalizzate

4

Comunicazione database:

  • Porta TCP/SSL 1433 (predefinita) per l'istanza predefinita (personalizzabile)

  • Porta casuale TCP/SSL per le istanze denominate (personalizzabile)

Comunicazione tra le workstation di amministrazione e Amministrazione centrale

Il sito Amministrazione centrale può essere installato in qualsiasi server Web o nel server di ricerca. Le modifiche di configurazione apportate tramite il sito Amministrazione centrale vengono comunicate al database di configurazione. Gli altri ruoli del server della farm acquisiscono le modifiche di configurazione registrate nel database di configurazione durante i relativi cicli di polling. Il sito Amministrazione centrale pertanto non impone nuovi requisiti di comunicazione per gli altri ruoli del server della server farm. Tuttavia, a seconda del server in cui viene distribuito il sito Amministrazione centrale, ricordarsi di consentire l'accesso dalle workstation di amministrazione.

Nella figura che segue viene illustrata la comunicazione da una workstation di amministrazione al sito Amministrazione centrale e al database di configurazione.

WSS - esempio di comunicazione tra farm

Nella tabella che segue sono riportati i protocolli e le porte necessari per la comunicazione verso e dal sito Amministrazione centrale.

Callout Porte e protocolli

1

Sito Amministrazione centrale. Una o più delle porte seguenti:

  • Porta TCP 80

  • Porta TCP/SSL 443

  • Porte personalizzate

4

Comunicazione database:

  • Porta TCP/SSL 1433 (predefinita) per l'istanza predefinita (personalizzabile)

  • Porta casuale TCP/SSL per le istanze denominate (personalizzabile)

Comunicazione con i ruoli del server dell'infrastruttura

Quando si configura un ambiente Extranet, è importante comprendere come i diversi ruoli del server comunichino all'interno dei computer server dell'infrastruttura.

Controller di dominio di Active Directory

Nella tabella che segue sono riportate le porte necessarie per le connessioni in ingresso da ogni ruolo del server a un controller di dominio di Active Directory.

Elemento Server Web RicercaServer Server database

TCP/UDP 445 (servizi directory)

X

X

X

TCP/UDP 88 (autenticazione Kerberos)

X

X

X

Porte LDAP (Lightweight Directory Access Protocol)/LDAPS 389/636 per impostazione predefinita, personalizzabili

X

I server Web richiedono l'utilizzo di porte LDAP/LDAPS solo se è configurata l'autenticazione LDAP.

Server DNS

Nella tabella che segue sono riportate le porte necessarie per le connessioni in ingresso da ogni ruolo del server a un server DNS (Domain Name System). In molti ambienti Extranet uno stesso computer server ospita sia il controller di dominio di Active Directory che il server DNS.

Elemento Server Web Server di ricerca Server database

DNS, TCP/UDP 53

X

X

X

Servizio SMTP

L'integrazione della posta elettronica richiede l'utilizzo del servizio SMTP (Simple Mail Transport Protocol) tramite la porta TCP 25 in almeno uno dei server Web front-end della server farm. Il servizio SMTP è necessario per la posta in arrivo (connessioni in ingresso). Per la posta in uscita, è possibile utilizzare il servizio SMTP oppure instradare la posta in uscita attraverso un server di posta elettronica dedicato nell'organizzazione, ad esempio un computer che esegue Microsoft Exchange Server.

Elemento Server Web Server di ricerca Server database

Porta TCP 25

X

Comunicazione Active Directory tra i domini di rete

La comunicazione Active Directory tra domini per supportare l'autenticazione su un controller di dominio all'interno della rete aziendale richiede almeno una relazione di trust unidirezionale in cui la rete perimetrale considera attendibile la rete aziendale.

Nell'esempio illustrato nella prima figura di questo articolo le porte seguenti sono necessarie come connessioni in ingresso su ISA Server B per supportare una relazione di trust unidirezionale:

  • TCP/UDP 135 (RPC)

  • TCP/UDP 389 per impostazione predefinita, personalizzabile (LDAP)

  • TCP 636 per impostazione predefinita, personalizzabile (LDAP SSL)

  • TCP 3268 (LDAP GC)

  • TCP 3269 (LDAP GC SSL)

  • TCP/UDP 53 (DNS)

  • TCP/UDP 88 (Kerberos)

  • TCP/UDP 445 (servizi directory)

  • TCP/UDP 749 (Kerberos-Adm)

  • Porta TCP 750 (Kerberos-IV)

Quando si configura ISA Server B o un dispositivo alternativo tra la rete perimetrale e la rete aziendale, la relazione di rete deve essere definita come instradata. Non definire la relazione di rete come NAT (Network Address Translation).

Per ulteriori informazioni sui requisiti di protezione avanzata correlati alle relazioni di trust, vedere le risorse seguenti:

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).