Projetar uma topologia de farm de extranet (Windows SharePoint Services)
Atualizado em: 2009-04-23
Neste artigo:
Sobre os ambientes de extranet
Planejamento para ambientes de extranet
Topologia de firewall de borda
Topologia de perímetro back-to-back
Topologia back-to-back dividida
Este artigo pode ser usado com o modelo de topologias de extranet para Produtos e Tecnologias do SharePoint (em inglês) (https://go.microsoft.com/fwlink/?linkid=73153\&clcid=0x416) (em inglês).
Sobre os ambientes de extranet
Um ambiente de extranet é uma rede privada estendida de maneira segura para compartilhar parte das informações ou processos de uma organização com funcionários remotos, parceiros externos ou clientes. Usando uma extranet, você pode compartilhar qualquer tipo de conteúdo hospedado pelo Windows SharePoint Services 3.0, incluindo documentos, listas, bibliotecas, calendários, blogs e wikis.
A tabela a seguir descreve os benefícios que a extranet oferece para cada grupo.
Funcionários remotos |
Os funcionários remotos podem acessar informações corporativas e recursos eletrônicos em qualquer lugar, a qualquer hora, sem exigir uma rede virtual privada (VPN). Os funcionários remotos são:
|
Parceiros externos |
Os parceiros externos podem participar de processos comerciais e colaborar com os funcionários de sua organização. Você pode usar uma extranet para ajudar a melhorar a segurança dos dados das seguintes maneiras:
Você pode otimizar os processos e sites para colaboração de parceiros das seguintes maneiras:
|
Clientes |
Disponibiliza os sites aos clientes:
|
O Windows SharePoint Services 3.0 fornece opções flexíveis para configurar o acesso externo aos sites. Você pode oferecer acesso de contato com a Internet a um subconjunto de sites de um farm de servidores ou tornar todo o conteúdo de um farm de servidores acessível pela Internet. É possível hospedar o conteúdo da extranet em sua rede corporativa e disponibilizá-lo por um firewall de borda ou isolar o farm de servidores em uma rede de perímetro.
Planejamento para ambientes de extranet
O restante deste artigo trata de topologias de extranet específicas que foram testadas com o Windows SharePoint Services 3.0. As topologias tratadas podem ajudá-lo a entender as opções disponíveis com o Windows SharePoint Services 3.0, incluindo requisitos e concessões.
As seções a seguir destacam atividades de planejamento adicionais para um ambiente de extranet.
Planejar a tecnologia de borda de rede
Em cada topologia, a tecnologia de borda de rede ilustrada corresponde a um ou aos dois dos seguintes produtos do conjunto de produtos Microsoft Forefront Edge: Servidor ISA (Microsoft Internet Security and Acceleration) e IAG (Intelligent Application Gateway) 2007. Para obter mais informações sobre esses produtos Microsoft Forefront Edge, consulte os seguintes recursos:
Home page do ISA Server (em inglês) (https://go.microsoft.com/fwlink/?linkid=86495\&clcid=0x416) (em inglês)
Conceitos de rede no ISA Server 2006 (em inglês) (https://go.microsoft.com/fwlink/?linkid=86497\&clcid=0x416) (em inglês)
Biblioteca técnica do Intelligent Application Gateway 2007 (em inglês)
Dica
Você pode substituir uma tecnologia de borda de rede diferente.
O servidor IAG oferece estes recursos adicionais:
Prevenção contra vazamento de informações: nenhum resíduo é deixado no computador cliente e todo o cache, os arquivos temporários e os cookies são excluídos.
Ponto de extremidade, autorização baseada em integridade: os administradores podem definir uma diretiva de acesso que seja baseada não apenas na identidade do usuário e nas informações que são expostas, mas também na condição do computador cliente.
Acesso a sites do SharePoint do Outlook Web Access: os usuários podem acessar sites do SharePoint de links enviados em email via Outlook Web Access. O IAG fornece a conversão de links para links que se refiram a URLs internas.
Portal unificado: ao fazer logon, o IAG apresenta a cada usuário a lista de sites do SharePoint e de outros aplicativos disponíveis e autorizados para esse usuário.
A tabela a seguir resume a diferença entre os servidores.
| Recurso | ISA 2006 | IAG 2007 |
|---|---|---|
Publicar aplicativos Web, usando HTTPS |
X |
X |
Publicar aplicativos móveis internos em dispositivos móveis em roaming |
X |
X |
Firewall de camada 3 |
X |
X* |
Suporte a cenários de saída |
X |
X* |
Suporte a matriz |
X |
|
Localização do console de globalização e administração |
X |
|
Assistentes e configurações predefinidas para publicar sites do SharePoint e do Exchange |
X |
X |
Assistentes e configurações predefinidas para publicar vários aplicativos |
X |
|
Suporte ao ADFS (Serviços de Federação do Active Directory) |
X |
|
Autenticação avançada (por exemplo, senha de uma única vez, baseada em formulários, cartão inteligente) |
X |
X |
Proteção de aplicativo (firewall de aplicativo Web) |
Basic |
Completa |
Detecção de integridade do ponto de extremidade |
X |
|
Prevenção contra vazamento de informações |
X |
|
Diretiva de acesso granular |
X |
|
Portal unificado |
X |
* Com suporte do ISA, que está incluído no IAG 2007.
Planejar-se para autenticação e arquitetura lógica
Além de escolher ou criar uma topologia de extranet, você precisará criar uma estratégia de autenticação e uma arquitetura lógica para habilitar o acesso de usuários fora da rede interna e proteger sites e conteúdo no farm de servidores. Para obter mais informações, consulte os seguintes artigos:
Planejar relações de confiança de domínio
Quando o farm de servidores estiver localizado em uma rede de perímetro, esta exigirá a própria infraestrutura e domínio do serviço de diretório Active Directory. Normalmente, um domínio de perímetro e um domínio corporativo não são configurados para que confiem entre si. Entretanto, se você configurar uma relação de confiança unidirecional, em que o domínio de perímetro confia no domínio corporativo, poderá usar a autenticação do Windows para autenticar os funcionários internos e remotos usando credenciais de domínio corporativo. Outra alternativa é autenticar os funcionários usando autenticação de formulários ou logon único (SSO) na Web. Também é possível usar esses métodos para autenticar com base em um serviço de diretório de domínio interno.
A tabela a seguir resume essas opções de autenticação e indica se é necessária uma relação de confiança.
| Cenário | Descrição |
|---|---|
Autenticação do Windows |
Se o domínio de perímetro confiar no domínio de rede corporativo, você poderá autenticar tanto funcionários internos quanto remotos usando suas credenciais de domínio corporativas. |
Autenticação de formulários e SSO na Web |
Você pode usar autenticação de formulários e Web SSO para autenticar tanto funcionários internos quanto remotos em um ambiente do Active Directory interno. Por exemplo, é possível usar o Web SSO para se conectar aos Serviços de Federação do Active Directory (ADFS). O uso da autenticação de formulários ou do Web SSO não exige uma relação de confiança entre os domínios. Entretanto, vários recursos do Windows SharePoint Services 3.0 podem não estar disponíveis, dependendo do provedor de autenticação. Para obter mais informações sobre os recursos que podem ser afetados ao usar a autenticação de formulários ou o Web SSO, consulte Planejar configurações de autenticação para aplicativos Web (Windows SharePoint Services). |
Para obter mais informações sobre como configurar uma relação de confiança unidirecional em um ambiente de extranet, consulte Planejar configuração de segurança para ambientes de extranet (Windows SharePoint Services).
Planejar-se para a disponibilidade
As topologias de extranet descritas neste artigo servem para ilustrar:
Onde um farm de servidores está localizado em uma rede geral.
Onde cada uma das funções de servidor está localizada em um ambiente de extranet.
O objetivo deste artigo não é ajudá-lo a planejar quais funções de servidor é necessário implantar ou quantos servidores para cada função é necessário implantar para garantir redundância. Após determinar quantos farms de servidores são necessários em seu ambiente, planeje a topologia de cada farm de servidores consultando Plano de redundância (Windows SharePoint Services).
Planejar-se para proteção da segurança
Após projetar sua topologia de extranet, use os seguintes recursos para se planejar para proteção da segurança:
Topologia de firewall de borda
Esta configuração usa um servidor proxy reverso na borda entre a Internet e a rede corporativa para interceptar e encaminhar solicitações feitas ao servidor Web apropriado na intranet. Usando um conjunto de regras configuráveis, o servidor proxy verifica se as URLs solicitadas têm permissão com base na zona de origem da solicitação. As URLs solicitadas são convertidas para URLs internas. A ilustração a seguir mostra uma topologia de firewall de borda.
.gif "Topologia de farms de Extranet - firewall de borda")
Vantagens
Solução mais simples que exige o mínimo em hardware e configuração.
Todo o farm de servidores está localizado na rede corporativa.
Único ponto de dados:
Os dados estão localizados na rede confiável.
A manutenção dos dados ocorre em um único local.
O uso de um único farm para solicitações internas e externas garante que todos os usuários autorizados exibam o mesmo conteúdo.
As solicitações de usuários internas não são passadas por um servidor proxy.
Desvantagens
- Resultados em um único firewall que separa a rede interna corporativa da Internet.
Topologia de perímetro back-to-back
Uma topologia de perímetro back-to-back isola o farm de servidores em uma rede de perímetro separada, conforme mostra a ilustração a seguir.
.gif "Topologia de perímetro back-to-back")
Essa topologia tem as seguintes características:
Todos os dados e hardware residem na rede de perímetro.
As funções de farm de servidores e os servidores de infraestrutura de rede podem ser separados em várias camadas. A combinação das camadas de rede pode reduzir a complexidade e o custo.
Cada camada pode ser separada por roteadores ou firewalls adicionais para garantir que sejam permitidas somente as solicitações de camadas específicas.
As solicitações da rede interna podem ser direcionadas através do servidor ISA interno ou roteadas através da interface pública da rede de perímetro.
Vantagens
O conteúdo é isolado a um único farm na extranet, simplificando o compartilhamento e a manutenção do conteúdo na intranet e extranet.
O acesso de usuários externos é isolado à rede de perímetro.
Se a extranet ficar comprometida, os danos serão possivelmente limitados à camada atingida ou à rede de perímetro.
Usando uma infraestrutura separada do Active Directory, as contas de usuários externos podem ser criadas sem prejudicar o diretório corporativo interno.
Desvantagens
- Requer configuração e infraestrutura de rede adicionais.
Topologia back-to-back dividida
Esta topologia divide o farm entre as redes de perímetro e corporativas. Os computadores que executam o software de banco de dados do Microsoft SQL Server são hospedados na rede corporativa. Os servidores Web ficam localizados na rede de perímetro. Os servidores de pesquisa podem ser hospedados tanto na rede de perímetro quanto na corporativa.
.gif "Topologia back-to-back dividida")
Na ilustração anterior:
O servidor de pesquisa é hospedado na rede de perímetro. Esta opção é ilustrada pelo servidor azul na linha tracejada.
Os servidores de pesquisa podem ser implantados na rede corporativa, com os servidores de banco de dados. Esta opção é ilustrada pelo servidor cinza na linha tracejada. Se você implantar os servidores de pesquisa na rede corporativa com os servidores de banco de dados, também precisará ter um ambiente do Active Directory para oferecer suporte a esses servidores (ilustrados como servidores cinza na rede corporativa).
Se o farm de servidores for dividido entre a rede de perímetro e a rede corporativa com os servidores de banco de dados localizados nesta última, será necessária uma relação de confiança de domínio se as contas do Windows forem usadas para acessar o SQL Server. Nessa situação, o domínio de perímetro precisa confiar no domínio corporativo. Se for usada a autenticação SQL, será necessária uma relação de confiança de domínio. Para obter mais informações sobre configuração de contas para essa topologia, consulte a seção sobre relações de confiança de domínio no artigo: Planejar configuração de segurança para ambientes de extranet (Windows SharePoint Services).
Para otimizar o desempenho da pesquisa e o rastreamento, coloque a função de servidor de pesquisa na rede corporativa com os servidores de banco de dados. Você também pode adicionar a função de servidor Web a um servidor de pesquisa na rede corporativa e configurar esse servidor Web para uso dedicado pela função de pesquisa no rastreamento de conteúdo. Se você colocar os servidores Web na rede de perímetro e a função de pesquisa na rede corporativa, precisará configurar uma relação de confiança unidirecional em que o domínio da rede de perímetro confia no domínio da rede corporativa. Essa relação de confiança unidirecional é necessária nesse cenário para oferecer suporte à comunicação entre servidores com o farm, independentemente de você estar usando a autenticação do Windows ou do SQL para acessar o SQL Server.
Vantagens
Entre as vantagens da topologia back-to-back dividida estão:
Computadores que executam o SQL Server não são hospedados na rede de perímetro.
Componentes do farm tanto na rede corporativa quanto na rede de perímetro podem compartilhar os mesmos bancos de dados.
Com uma infraestrutura separada do Active Directory, contas de usuário externas podem ser criadas sem afetar o diretório corporativo interno.
Desvantagens
Complexidade da solução aumenta consideravelmente.
Intrusos que comprometem os recursos da rede de perímetro podem obter acesso ao conteúdo do farm armazenado na rede corporativa usando as contas do farm de servidores.
A comunicação entre farms em geral é dividida entre dois domínios.
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Parte 2 do material sobre planejamento e arquitetura do Windows SharePoint Services 3.0 (em inglês)
Planejando um ambiente de extranet para o Windows SharePoint Services (em inglês)
Consulte a lista completa de manuais disponíveis na página de download de manuais do Windows SharePoint Services (em inglês).