Share via

Создание топологии фермы экстрасети (Office SharePoint Server)

  • Статья

Содержание:

  • О средах экстрасети

  • Планирование среды экстрасети

  • Топология с пограничным межсетевым экраном

  • Топология демилитаризованной зоны с двумя межсетевыми экранами

  • Топология демилитаризованной зоны с двумя межсетевыми экранами с публикацией содержимого

  • Топология демилитаризованной зоны с двумя межсетевыми экранами, оптимизированная для размещения статического содержимого

  • Разделение топологии с двумя межсетевыми экранами

Эту статью можно использовать со следующей моделью: Топологии экстрасети для продуктов и технологий SharePoint (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x419) (на английском языке).

О средах экстрасети

Среда экстрасети — это частная сеть, безопасно расширенная в общий сегмент данных и процессов организации, к которому имеют удаленный доступ сотрудники, внешние партнеры или клиенты. С помощью экстрасети можно распределить любой тип контента, размещенного приложением Microsoft Office SharePoint Server 2007, включая следующее:

  • содержимое с фирменной информацией;

  • содержимое личных настроек на основе учетных записей пользователей;

  • содержимое для совместной работы, включая документы, списки, библиотеки, календари, блоги и вики-страницы;

  • репозитории документов.

В следующей таблице описаны преимущества, которые предоставляет экстрасеть для каждой группы.

Удаленные сотрудники

Удаленные сотрудники могут обращаться к корпоративной информации и электронным ресурсам отовсюду, в любое время и из любого места без запроса виртуальной частной сети. К удаленным относятся следующие сотрудники.

  • Сотрудники по сбыту, находящиеся в поездке.

  • Сотрудники, работающие из дома или с сайтов клиентов.

  • Распределенные географически виртуальные группы.

Внешние партнеры

Внешние партнеры могут участвовать в бизнес-процессах и общей работе с сотрудниками организации. Экстрасеть можно использовать для улучшения безопасности данных следующими способами.

  • Применять соответствующие компоненты безопасности и пользовательского интерфейса для изолирования партнеров и разделения внешних данных.

  • Авторизовать партнеров только для тех сайтов и данных, которые необходимы для их участия.

  • Ограничивать просмотр партнерами данных других партнеров.

Можно оптимизировать процессы и сайты для совместной работы с партнерами следующими способами.

  • Разрешить сотрудникам организации и сотрудникам партнера просматривать, изменять, добавлять и удалять содержимое, чтобы продвигать успешные результаты для обеих организаций.

  • Настроить предупреждения, уведомляющие пользователей, когда вносятся изменения в содержимое или запускается рабочий процесс.

Заказчики

Публикация фирменного, целевого содержимого для партнеров и клиентов следующими способами.

  • Размещать содержимое с учетом линии продуктов или профиля клиента.

  • Разделять содержимое, реализуя отдельные семейства сайтов в ферме.

  • Ограничивать доступ к содержимому и результатам поиска на основе аудитории.

Приложение Office SharePoint Server 2007 содержит гибкие параметры для настройки доступа из экстрасети к сайтам. Можно предоставить доступ из Интернета к подгруппам сайтов или ко всему содержимому в ферме серверов. Можно разместить содержимое экстрасети внутри корпоративной сети и сделать его доступным через пограничный брандмауэр, или можно изолировать ферму серверов внутри демилитаризованной зоны.

Планирование среды экстрасети

В оставшейся части этой статьи обсуждаются отдельные топологии экстрасети, протестированные с помощью приложения Office SharePoint Server 2007. Рассматриваемые здесь топологии помогут понять параметры, доступные в приложении Office SharePoint Server 2007, включая обязательные и компромиссные варианты.

Следующие разделы посвящены дополнительным действиям при планировании среды экстрасети.

Планирование технологии пограничной области сети

В каждой топологии представленная технология пограничной области сети представляет один или оба следующих продукта из набора Microsoft Forefront Edge: Microsoft Internet Security and Acceleration (ISA) Server и Intelligent Application Gateway (IAG) 2007. Дополнительные сведения об этих продуктах Microsoft Forefront Edge см. в следующих ресурсах:

Примечание

Можно использовать другую технологию пограничной области сети.

IAG Server предоставляет следующие дополнительные возможности.

  • Предотвращение утечки данных — на клиентском компьютере не остается никаких данных, удаляется весь кэш, временные файлы и файлы cookie.

  • Проверка подлинности конечных точек на основе состояния — администраторы могут определить политику доступа, основанную не только на идентификации пользователя и представленных данных, но и на состоянии клиентского компьютера.

  • Доступ к сайтам SharePoint из клиента Outlook Web Access — пользователи могут обращаться к сайтам SharePoint, используя отправленные через клиент Outlook Web Access ссылки. IAG выполняет преобразование ссылок, ведущих на внутренние URL-адреса.

  • Унифицированный портал — в зависимости от входа в систему IAG представляет каждому пользователю список сайтов SharePoint и других приложений, которые доступны и прошли проверку подлинности для этого пользователя.

В следующей таблице обобщаются различия между серверами.

Возможность ISA 2006 IAG 2007

Публикация веб-приложений с помощью HTTPS

X

X

Публикация внутренних мобильных приложений в мобильных устройствах

X

X

Межсетевой экран уровня 3

X

X*

Поддержка сценариев для исходящего трафика

X

X*

Поддержка массивов

X

Глобализация и локализация консоли администрирования

X

Мастеры и предопределенные параметры для публикации сайтов SharePoint и Exchange

X

X

Мастеры и предопределенные параметры для публикации различных приложений

X

Поддержка служб федерации Active Directory (ADFS)

X

Широкие возможности проверки подлинности (например, однократный пароль, проверка на основе форм, смарт-карты)

X

X

Защита приложений (брандмауэр веб-приложений)

Обычная проверка подлинности

Полная проверка подлинности

Проверка состояния конечных точек

X

Предотвращение утечки данных

X

Политика детального доступа

X

Унифицированный портал

X

* Поддерживается ISA, входящим в состав IAG 2007.

Планирование проверки подлинности и логической архитектуры

Кроме выбора или конструирования топологии экстрасети необходимо создать стратегию проверки подлинности и логическую архитектуру, чтобы предоставить внешним пользователям доступ к внутренней сети, безопасным сайтам и содержимому в ферме серверов. Дополнительные сведения см. на следующих ресурсах:

Планирование отношений доверия доменов

Если ферма серверов размещена в демилитаризованной зоне, для этой зоны требуется собственная инфраструктура службы каталогов Active Directory и домен. Как правило, между доменом демилитаризованной зоны и доменом организации отношение доверия не настраивается. Однако существует несколько сценариев, в которых может потребоваться отношение доверия. В следующей таблице приведены сценарии, для которых требуется отношение доверия.

Сценарий Описание

Проверка подлинности Windows

Если домен демилитаризованной зоны доверяет сетевому домену организации, проверку подлинности внутренних и удаленных сотрудников можно выполнять с помощью их учетных данных в корпоративном домене.

Сведения о создании стратегии проверки подлинности и логической архитектуры для этого сценария см. в разделе Модель логической архитектуры: корпоративное развертывание.

Проверка подлинности на основе форм и единый вход

Для проверки подлинности и внутренних, и удаленных сотрудников можно использовать проверку подлинности на основе форм или единый вход, вместо внутренней среды Active Directory. Например, можно использовать единый вход для подключения к службам федерации Active Directory (ADFS). Использование проверки подлинности на основе форм или единого входа *не*требует отношения доверия между доменами.

Однако, некоторые возможности Office SharePoint Server 2007 могут быть недоступны, в зависимости от поставщика проверки подлинности. Дополнительные сведения о возможностях, на которые может влиять использование проверки подлинности на основе форм или единый вход, см. в разделе Планирование параметров проверки подлинности веб-приложений в Office SharePoint Server.

Публикация содержимого

Отношение доверия между доменами *не* требуется для публикации содержимого из одного домена в другой. Чтобы избежать требования отношения доверия между доменами, убедитесь, что используется соответствующая учетная запись для публикации содержимого. Дополнительные сведения см. в главе "Усиление безопасности для публикации содержимого" в разделе Планирование усиления безопасности для сред экстрасети.

Дополнительные сведения о настройке одностороннего отношения доверия в среде экстрасети см. в разделе Планирование усиления безопасности для сред экстрасети.

Планирование доступности

Топологии экстрасети, описанные в этой статье, призваны проиллюстрировать следующее:

  • местоположение фермы серверов в общей сети;

  • местоположение каждой серверной роли в среде экстрасети.

Эта статья не предназначена для планирования, какие серверные роли требуется развернуть или сколько серверов для каждой роли требуется развернуть, чтобы достигнуть избыточности. После определения количества серверов, требуемых для развертывания, используйте следующую статью для планирования топологии каждой фермы серверов: Планирование избыточности (Office SharePoint Server).

Планирование усиления безопасности

После создания топологии экстрасети используйте следующие ресурсы для планирования усиления безопасности:

Топология с пограничным межсетевым экраном

В этой конфигурации используется обратный прокси-сервер на границе между Интернетом и корпоративной сетью, чтобы перехватить и затем передать дальше запросы на соответствующий веб-сервер, расположенный в интрасети. С помощью набора настраиваемых правил прокси-сервер проверяет наличие разрешения для запрошенных URL-адресов на основе зоны, из которой исходил запрос. Запрошенные URL-адреса затем преобразуются во внутренние URL-адреса. На следующем рисунке показана топология с пограничным межсетевым экраном.

Топология фермы экстрасети — пограничный межсетевой экран

Достоинства

  • Самое простое решение, требующее меньше всего оборудования и настроек.

  • Вся ферма серверов расположена в корпоративной сети.

  • Единая точка данных:

    • Данные расположены в надежной сети.

    • Обслуживание данных происходит в одном месте.

    • Использование одной фермы как для внутренних, так и для внешних запросов гарантирует, что все авторизованные пользователи просматривают то же содержимое.

  • Внутренние запросы пользователей не проходят через прокси-сервер.

Недостатки

  • Используется один сетевой экран, отделяющий корпоративную внутреннюю сеть от Интернета.

Топология демилитаризованной зоны с двумя межсетевыми экранами

В топологии демилитаризованной зоны с двумя межсетевыми экранами ферма серверов изолируется в отдельной демилитаризованной зоне, как показано на следующем рисунке.

Сеть Office SharePoint Server — два межсетевых крана

Эта топология имеет следующие характеристики.

  • Все оборудование и все данные размещаются в демилитаризованной зоне.

  • Роли фермы серверов и серверы инфраструктуры сети могут быть разделены на несколько уровней. Объединение уровней сети может упростить процесс и снизить затраты.

  • Каждый уровень может быть разделен дополнительными маршрутизаторами или брандмауэрами, чтобы разрешить запросы только с отдельных уровней.

  • Запросы из внутренней сети могут быть направлены через внутренний ISA-сервер или маршрутизированы через публичный интерфейс демилитаризованной зоны.

На рисунке показаны все роли серверов приложений, размещенные на уровне 2 как отдельные серверы. В реальном развертывании, несколько серверов приложений могут размещаться на одном сервере приложений. Также некоторые фермы лучше оптимизированы посредством развертывания сервера запросов на веб-серверах на уровне 1, а не как серверы приложений внутри уровня 2.

Достоинства

  • Содержимое изолировано в одной ферме в экстрасети, что упрощает распределение и поддержку содержимого в интрасети и экстрасети.

  • Доступ внешних пользователей ограничен демилитаризованной зоной.

  • Если экстрасеть подвергается атаке, повреждение потенциально ограничивается затронутым уровнем или демилитаризованной зоной.

  • Используя отдельную инфраструктуру Active Directory, учетные записи внешних пользователей можно создавать без влияния на внутренний корпоративный каталог.

Недостатки

  • Требуется дополнительная инфраструктура сети и настройка.

Топология демилитаризованной зоны с двумя межсетевыми экранами с публикацией содержимого

В этой топологии добавляется публикация содержимого к топологии демилитаризованной зоны с двумя межсетевыми экранами. Путем добавления публикации содержимого, сайты и содержимое, разработанное в корпоративной сети, могут быть добавлены в ферму серверов, расположенную в демилитаризованной зоне с двумя межсетевыми экранами.

На следующем рисунке показана топология демилитаризованной зоны с двумя межсетевыми экранами с публикацией содержимого.

Топология фермы экстрасети Office SharePoint Server

Обратите внимание на следующие характеристики этой топологии.

  • Требуются две отдельные фермы: одна в корпоративной сети, и другая — в демилитаризованной зоне.

  • Публикация является односторонней. Любое содержимое, созданное или измененное в демилитаризованной зоне, является уникальным.

На рисунке показан путь развертывания контента с сайта центра администрирования промежуточной фермы на сайт центра администрирования целевой фермы. Центр администрирования, как правило, установлен на одном из серверов приложений. На рисунке отдельно изображен вызов с сайта центра администрирования, чтобы показать роль этого сайта в развертывании контента.

Достоинства

  • Изоляция содержимого клиентов и партнеров в отдельной демилитаризованной зоне.

  • Возможна автоматическая публикация содержимого.

  • Если содержимое в демилитаризованной зоне подверглось атаке или повреждено в результате доступа из Интернета, целостность содержимого в корпоративной сети сохраняется.

Недостатки

  • Требуется дополнительное оборудование для поддержки двух отдельных ферм.

  • Увеличивается объем служебных данных. Содержимое поддерживается и согласовывается в двух разных фермах и сетях.

  • Изменения в содержимом демилитаризованной зоны не отражаются в корпоративной сети. Поэтому публикация содержимого в демилитаризованном домене не подходит для сайтов экстрасети, предназначенных для совместной работы.

Топология демилитаризованной зоны с двумя межсетевыми экранами, оптимизированная для размещения статического содержимого

В средах со статическим или по большей части статическим содержимым можно оптимизировать производительность, применив возможности кэширования IAG 2007 или ISA Server 2006. Кэширование IAG или ISA можно настроить дополнительно к возможностям кэширования в приложении Office SharePoint Server 2007.

Например, ISA Server поддерживает следующие два типа кэширования.

  • Прямое кэширование   Прямое кэширование предоставляет кэшированные веб-объекты внутренним пользователям, отправляющим веб-запросы в Интернет.

  • Обратное кэширование   Обратное кэширование предоставляет содержимое внешним клиентам Интернета, отправляющим запросы на внутренние веб-серверы, опубликованные сервером ISA Server.

Дополнительные сведения об ISA-кэшировании см. в статье Caching and CARP in ISA Server 2006 (на английском языке) (https://go.microsoft.com/fwlink/?linkid=86531&clcid=0x419) (на английском языке).

Используйте IAG- или ISA-кэширование дополнительно к кэшированию Office SharePoint Server 2007 только при выполнении следующих условий.

  • Содержимое является статическим. Подстановка после кэширования, в которой части страницы не кэшированы, не используется. URL-адреса не изменяются.

  • 100% содержимого является анонимным.

IAG- и ISA-кэширование позволяют выполнять горизонтальное масштабирование сверх ограничений одной фермы, улучшая производительность там, где веб-серверы могут быть "узким местом". Таким образом можно повысить производительность в местах, где используется максимальное число веб-серверов, или снизить число требуемых веб-серверов.

На следующем рисунке показаны несколько IAG- или ISA-серверов, используемых для кэширования содержимого.

Топология фермы экстрасети — публикация в демилитаризованной зоне с двумя межсетевыми экранами

На рисунке отображены следующие варианты:

  • Сервер запросов установлен на веб-серверах.

  • Сайт центра администрирования установлен на сервере индексирования.

Достоинства

  • Значительное улучшение производительности при размещении статического или частично статического содержимого.

  • Снижение числа требуемых веб-серверов или серверов базы данных.

  • Поддержка метода горизонтального масштабирования решения экстрасети.

Недостатки

  • ISA-кэширование может снизить общую производительность в средах с динамическим или часто изменяемым содержимым.

Разделение топологии с двумя межсетевыми экранами

В этой топологии ферма разделена между демилитаризованной зоной и корпоративными сетями. Компьютеры, работающие под управлением программы базы данных Microsoft SQL Server, размещаются внутри корпоративной сети. Веб-серверы находятся в демилитаризованной зоне. Серверы приложения могут размещаться и в демилитаризованной зоне, и в корпоративной сети.

Разделенная топология демилитаризованной зоны с двумя межсетевыми экранами

На предыдущем рисунке:

  • Серверы приложений размещены в демилитаризованной зоне. Эти компьютеры отображены синим цветом внутри пунктирной линии.

  • Серверы приложений дополнительно можно развернуть внутри корпоративной сети с серверами базы данных. Этот вариант отображен компьютерами серого цвета внутри пунктирной линии. Если серверы приложений разворачиваются внутри корпоративной сети с серверами базы данных, также потребуется среда Active Directory для поддержки этих серверов (показана компьютерами серого цвета внутри корпоративной сети).

Если ферма серверов разделена между демилитаризованной зоной и корпоративной сетью с серверами базы данных, размещенными внутри корпоративной сети, требуется отношение доверия доменов, если для доступа к серверу SQL используются учетные записи Windows. В этом сценарии домен демилитаризованной зоны должен доверять корпоративному домену. Если используется проверка подлинности SQL, отношение доверия доменов не требуется. Дополнительные сведения о настройке учетных записей для этой топологии см. в главе "Отношения доверия доменов" в статье: Планирование усиления безопасности для сред экстрасети.

Чтобы оптимизировать производительность поиска и обход, поместите серверы приложений внутри корпоративной сети с серверами базы данных. Можно также добавить роль веб-сервера к серверу индексирования внутри корпоративной сети и настроить этот веб-сервер как отдельный сервер индексирования для обхода контента. Однако не добавляйте сервер запросов к серверу индексирования, если сервер запросов также размещен на других серверах в ферме. Если веб-серверы размещаются в демилитаризованной зоне, и серверы приложений — внутри корпоративной сети, необходимо настроить одностороннее отношение доверия, в котором домен демилитаризованной зоны доверяет домену корпоративной сети. Одностороннее отношение доверия требуется в данном сценарии для поддержки связи между серверами внутри фермы, независимо от того, используется проверка подлинности Windows или SQL для доступа на сервер SQL.

Можно разместить один или несколько веб-серверов внутри корпоративной сети для обработки внутренних запросов. Это приведет к разделению веб-серверов между демилитаризованной зоной и корпоративной сетью. В этом случае необходимо обеспечить балансировку нагрузки по входящему трафику из Интернета на веб-серверах в демилитаризованной зоне, а по исходящему трафику из корпоративной сети — независимую балансировку нагрузки на веб-серверах вне корпоративной сети. Кроме того, для каждого сегмента сети необходимо настроить различные зоны альтернативного сопоставления доступа и правила публикации брандмауэра.

Если планируется публиковать содержимое из промежуточной фермы внутри корпоративной сети на серверы базы данных, на которых размещено содержимое для экстрасети (также размещенное внутри корпоративной сети), можно оптимизировать ферму, разместив серверы приложений, включая сайт центра администрирования, внутри корпоративной сети по следующим причинам.

  • Поток данных для публикации содержимого проходит с сайта центра администрирования промежуточной фермы к сайту центра администрирования целевой фермы. Если сайт центра администрирования находится внутри корпоративной сети, поток данных публикации содержимого не проходит через межсетевой экран между демилитаризованной зоной и корпоративной сетью. С другой стороны, если сайт центра администрирования находится внутри демилитаризованной зоны, поток данных проходит через межсетевой экран в обоих направлениях перед тем, как достигнуть баз данных контента целевой фермы.

  • Индексирование размещается внутри корпоративной сети.

На следующем рисунке показана среда топологии с двумя межсетевыми экранами, оптимизированная для публикации содержимого.

Службы SharePoint — топология фермы экстрасети

На рисунке отображены следующие варианты:

  • Сервер запросов установлен на веб-серверах в демилитаризованной зоне.

  • Серверы приложений размещаются в корпоративной сети с серверами базы данных. Эта конфигурация требует одностороннего отношения доверия, в котором домен демилитаризованной зоны доверяет корпоративному домену.

  • Сайт центра администрирования рабочей фермы установлен на сервере индексирования.

  • Роль веб-сервера установлена на сервере индексирования и предназначена для обхода контента.

Достоинства

  • Компьютеры, работающие под управлением SQL Server, не размещены внутри демилитаризованной зоны.

  • Компоненты фермы внутри корпоративной сети и в демилитаризованной зоне могут распределять одни и те же базы данных.

  • Содержимое можно изолировать в одной ферме внутри корпоративной сети, что упрощает распределение и поддержку содержимого в масштабе корпоративной сети и демилитаризованной зоны.

  • Благодаря отдельной инфраструктуре Active Directory, внешние учетные записи пользователей можно создавать без влияния на внутренний корпоративный каталог.

Недостатки

  • Значительно возрастает сложность решения.

  • Злоумышленники, атакующие ресурсы демилитаризованной зоны, могут получить доступ к содержимому фермы, хранящемуся в корпоративной сети, с помощью учетных записей фермы серверов.

  • Связи внутри фермы, как правило, разделены на два домена.

Загрузка этой книги

Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:

См. полный список доступных книг на веб-сайте Загружаемые книги для Office SharePoint Server 2007