逻辑体系结构模型:企业部署
本文内容:
关于模型
总体设计目标
服务器场
用户、区域和身份验证
SSP
管理网站
应用程序池
Web 应用程序
网站集
内容数据库
区域和 URL
区域策略
本文介绍如何在实际中实施逻辑体系结构组件,以获得可行的设计。本文旨在结合使用以下模型设计示例(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=82151&clcid=0x804)(该链接可能指向英文页面)。
该模型展示了 Microsoft Office SharePoint Server 2007 的常规企业部署,还应用了几乎所有的逻辑体系结构组件,并说明了如何在整体设计中结合这些组件。本文介绍模型的设计目标并说明如何使用模型所示逻辑体系结构组件实现这些目标。
关于模型
该模型展示了名为 Fabrikam, Inc 的一个虚构公司的企业部署。部署包括两个服务器场。一个服务器场承载企业的 Intranet 和合作伙伴网站,另一个服务器场承载公司网站 (www.fabrikam.com)。
Intranet
企业 Intranet 包含下面的应用程序:
发布的 Intranet 内容(如 HRweb)
协作工作组网站
我的网站
这些都是员工将在日常工作中使用的内容和协作网站。每个应用程序均表示一种不同类型的内容。每种内容都:
强调 Office SharePoint Server 2007 的不同功能。
承载具有不同数据特征的数据。
适用于不同的使用情况配置文件。
需要不同的权限管理策略。
因此,每个应用程序的设计选择都是为了优化该应用程序的性能和安全性。
使用单个共享服务提供程序 (SSP) 可将这三个应用程序结合在一起,以提供:
应用程序之间的导航。
企业范围内的搜索。
共享的配置文件数据。
下图显示了组成企业 Intranet 的三个应用程序。
.jpg "公司模型的逻辑体系结构")
合作伙伴网站
合作伙伴 Web 应用程序承载可供外部使用的网站,以便与合作伙伴公司的员工实现安全的协作。此应用程序旨在帮助员工简便地创建用来安全协作的网站。影响该应用程序的设计选择的关键因素包括:
内容隔离 不允许合作伙伴访问服务器场上承载的其他类型的内容。此外,可使用专用 SSP 进一步隔离内容,具体方式包括:
将搜索的范围限制在网站级别。
不允许跨网站集导航。
不跨网站集提供配置文件数据。
独立的合作伙伴帐户身份验证 合作伙伴帐户通过表单身份验证进行管理。合作伙伴帐户未添加到企业目录。
权限管理 各网站所有者管理自己网站的权限,只邀请必要的参与者参加协作。
在该模型中,合作伙伴 Web 应用程序由承载 Intranet 内容的同一个服务器场承载。
公司 Internet 网站
公司 Internet 网站是公司在 Internet 上的窗口。通过为匿名访问配置只读权限,来向客户提供内容。影响该应用程序的设计选择的关键因素包括:
内容隔离 客户不能访问服务器场上承载的任何其他类型的内容。
有针对性的管理 为管理网站的员工提供已验证的访问,包括管理任务和创作任务。
安全的内容创作和发布 在合作伙伴 Web 应用程序中的场 A 上承载单独的网站集,用于创作和暂存。这样可在内部员工和远程员工以及专业从事网站开发或内容创作的编辑合作伙伴之间实现安全协作和内容开发。内容发布配置为自动将内容从创作网站集发布到暂存网站集(在场 A 中),并从场 A 中的暂存网站集发布到场 B 中的生产网站集。下图显示了发布的过程。
.jpg "逻辑场体系结构 - 发布模型")
总体设计目标
该模型说明 Office SharePoint Server 2007 功能在几种常见应用程序中的实际实施。本文讨论了每个单独应用程序的设计实现方案。该模型的主要设计目标包括:
使用数量最少的服务器场承载公司所需的最常见网站类型:Intranet、Extranet 和 Internet 网站。
创建一个可以增长的环境设计框架。具体应用程序的设计决策并不妨碍添加其他应用程序。例如,初始部署可能只包括协作工作组网站或组成 Intranet 的三个应用程序(工作组网站、“我的网站”和发布的 Intranet 内容)。通过使用类似的逻辑体系结构设计,可以在不影响初始应用程序设计的情况下向解决方案添加应用程序。换句话说,设计并不包含限制环境使用的设计选择。
在不破坏各应用程序中的内容安全性的情况下,为几个类别的用户提供访问权限。来自不同的网络区域(内部和外部)且使用不同身份验证提供程序的用户都可以参与协作。而且,用户只能访问他们应可以访问的内容。通过遵循类似的逻辑体系结构设计,您可以有机会为处在多个位置且具有不同目标的用户提供访问权限。例如,您最初的设计可能仅用于内部员工访问。但是,通过使用类似的设计,可以有机会允许远程员工、合作伙伴员工和客户进行访问。
确保设计可用于 Extranet 环境。可做出特别的设计选择,以确保服务器场可安全地部署在外围网络中。
本文的其余部分讨论该模型中的每个逻辑组件(从上到下)并讨论应用于该模型的设计选择。这种方法旨在演示基于应用程序配置逻辑体系结构组件所使用的不同方式。
服务器场
该模型使用两个服务器场。本节介绍影响企业环境中所需服务器场数量的授权要求并说明了该模型展示的服务器场拓扑结构。
授权要求
备注
以前的授权要求指定至少需要两台服务器来承载 Intranet 内容和 Internet 网站(一台服务器用于承载所有类型的许可证)。这个要求现已废除。本节已更新,以反映 2008 年 9 月实施的新授权要求。
有两种服务器许可证可供 Office SharePoint Server 2007 使用。这两种许可证不能在同一台服务器计算机上或同一个服务器场中结合使用:
Microsoft Office SharePoint Server 2007 服务器许可证 该许可证适用于 Intranet 内容。该许可证还要求使用客户端访问许可证 (CAL)。如果要创建用于合作伙伴协作的网站,则必须确保为合作伙伴员工购买必需数量的 CAL。
用于 Internet 网站的 Microsoft Office SharePoint Server 2007 该许可证只用于面向 Internet 的网站。该许可证不要求使用 CAL。如果要创建用于合作伙伴协作的网站,您无需购买额外的 CAL。但是,不能创建由您的员工专用的网站。
如果您计划为您的组织部署内部内容,并为同一服务器场中的非员工部署面向 Internet 的内容,则必须为该服务器场购买这两种许可证类型。为适应可能的部署方案,希望将其 Office SharePoint Server 2007 需求合并到单个部署下的客户可以获取这两种产品的许可证,并将这些许可证分配给同一服务器,然后依据这两个许可证同时使用软件的同一运行实例。但是,客户必须依据 Office SharePoint Server 2007 的使用权利根据需要获取 CAL,以便用户和设备可以采用 Office SharePoint Server 2007(面向 Internet 网站)使用权利不允许的任何方式访问内容。
有关授权要求对所需服务器场数量有何影响的详细信息,请参阅规划服务器场。
尽管只需要一个服务器场,但该模型仍介绍了两个服务器场的用法:一个用于内部内容,另一个用于面向客户的内容。如果选择实施两个单独的服务器场,最重要的设计选择是决定由哪个服务器场承载合作伙伴 Web 应用程序。在该模型中,服务器场 A 承载 Intranet 内容,服务器场 B 承载公司 Internet 网站。根据许可条款,任何一个服务器场均可承载合作伙伴网站。
根据选择的场,确定哪个场应承载合作伙伴 Web 应用程序的常规设计指南具体如下:
协作的性质 如果合作伙伴 Extranet 网站的主要目的是安全地向许多合作伙伴传达信息,则 Internet 服务器场是最经济的选择。另一方面,如果主要目的是与少数几个合作伙伴员工协作,则 Intranet 服务器场可能是更好的选择。选择的选项应使您可以根据其预期角色来优化场(即,协作或只读内容)。
合作伙伴员工的数量 如果您要与许多合作伙伴员工协作,且最大限度降低成本对您很重要,则可以在具有 Internet 网站许可证的、面向 Internet 的场上安全地承载协作内容和匿名内容。
在该模型中,合作伙伴网站旨在同合作伙伴公司开展密切协作,包括公司 Internet 网站的开发和暂存。将合作伙伴网站置于场 A 上,可便于组织根据其预期用途(协作与只读内容)分别优化两个场。
有关为组织选择适当数量的服务器场的详细信息,包括有关授权要求的详细信息,请参阅规划服务器场。
服务器场的拓扑结构
该模型中的每个服务器场由使用以下拓扑结构的五个服务器组成:
两个前端 Web 服务器
一个应用程序服务器
两个群集数据库服务器或镜像数据库服务器
该模型通过展示以下项目说明了 Office SharePoint Server 2007 的逻辑体系结构:
所有网站都在前端 Web 服务器间进行镜像。
管理中心网站安装在应用程序服务器上,以防止用户直接访问。
事实上,除了根据需要提高容量和性能外,服务器计算机的数量和服务器场的拓扑结构对逻辑体系结构并不重要。逻辑体系结构可独立于服务器场拓扑结构进行设计。性能和容量规划过程将帮助您设计服务器场的规模,以实现性能和容量目标。有关详细信息,请参阅性能和容量规划 (Office SharePoint Server)。
用户、区域和身份验证
该模型说明五种不同类别的用户,每个类别都分配到不同的区域。在每个 Web 应用程序中最多可以创建五个区域,同时使用以下可用的区域名称之一:默认区域、Intranet 区域、Internet 区域、自定义区域或 Extranet 区域。承载多个 Web 应用程序的服务器场能够支持来自五个以上网络区域的用户请求(每个 Web 应用程序最多支持五个区域)。但是,该模型只显示五个区域。
用户和身份验证
该模型显示来自不同网络区域的用户,如果是管理员,则显示权限要求有很大区别的用户。该模型演示如何对所有用户应用身份验证。下表列出了对每个区域的用户进行身份验证的方式。
| 区域 | 用户 | 身份验证 |
|---|---|---|
自定义 |
管理员 |
Kerberos(集成的 Windows) |
Intranet |
内部员工 |
NTLM(集成的 Windows) |
默认 |
远程员工 |
NTLM(集成的 Windows)或使用轻型目录访问协议 (LDAP) 的表单身份验证。 |
Extranet |
合作伙伴员工 |
表单身份验证 |
Internet |
客户 |
匿名 |
在该模型中,并非所有用户都被授予访问这两个服务器场的权限。因此,两个场都不使用所有五个区域。
管理员
自定义区域用于对网站的安全管理访问。这种方法提供了以下机会:
实施一组独立的 URL 和策略。例如,管理员可使用与自定义区域关联的 URL,根据该区域的策略执行管理任务。管理员可以使用 Intranet URL,根据为构成 Intranet 的应用程序配置的策略执行所有其他任务。这种方法用于隔离两种环境并确保策略权限不发生冲突。
为管理员实施更安全的身份验证方法。这样可为整个解决方案提供更高的安全性。
在由外部供应商提供网站支持的方案中,通过不同的提供程序执行身份验证。
该模型假定管理员是 Fabrikam 的员工,对网络具有内部访问权限。该模型结合了面向管理员的集成 Windows 身份验证(即,Kerberos 身份验证或 NTLM 身份验证)。
内部员工
Intranet 区域用于内部员工访问。使用集成 Windows 身份验证。
远程员工
默认区域用于远程员工访问。该模型的设计目标是:
通过内部 Active Directory 目录服务环境进行身份验证。
为内部员工和远程员工使用 Windows 身份验证可简化权限管理。这一目标很重要,原因是:如果用户通过两个不同的身份验证提供程序连接到网站,则 Office SharePoint Server 2007 会为每个用户创建两个不同的帐户并且其中每个帐户都必须具有权限。
该模型介绍了对远程员工进行身份验证的两个不同选项。通过第一个选项(使用 NTLM 的集成 Windows 身份验证),两个设计目标均可实现。第二个选项(表单身份验证)可实现第一个目标,但不能实现第二个目标。因此,第一个选项是首选方法。
下表总结了这两种方法之间的差别。
| 身份验证方法 | 使用 NTLM 的集成 Windows 身份验证 | 使用 LDAP 提供程序的表单身份验证 |
|---|---|---|
工作原理 |
此方法依赖于使用 Internet Security and Acceleration (ISA) Server 2006 或 Intelligent Application Gateway (IAG 2007) 来验证用户身份,然后将用户凭据发送到 Office SharePoint Server 2007。这些服务器使用表单身份验证以针对 Active Directory 环境验证用户身份。然后,它们将 Windows 凭据转发到 Office SharePoint Server 2007。有关详细信息,请参阅以下资源:
由于该区域是默认区域,因此 NTLM 身份验证用于满足索引组件的要求。有关详细信息,请参阅下文“默认区域的配置要求”。 |
Office SharePoint Server 2007 结合使用 LDAP 提供程序和表单身份验证,通过内部 Active Directory 环境验证远程员工的身份。 如果选择此方法,应确保索引组件可通过其他区域验证身份。有关详细信息,请参阅下文“默认区域的配置要求”。 |
优点 |
Office SharePoint Server 2007 不会为在内部和远程工作的用户创建两个不同的帐户。这样可极大地简化权限管理。 |
不需要使用代理服务器验证用户身份并转发凭据。 |
缺点 |
要求 ISA Server 2006 或其他代理服务器产品进行额外的协调并进行配置。 |
如果用户需要在内部和远程连接到 Office SharePoint Server 2007,则会在 Office SharePoint Server 2007 中创建两个不同的用户帐户。结果,这两个帐户都需要对网站和文档具有一定权限。员工有可能会创建两个“我的网站”。如果员工希望既可以通过内部网络工作又可以远程工作,则需要为两个用户帐户管理对其自己的网站和文档的权限。 |
合作伙伴员工
合作伙伴员工通过 Extranet 区域访问网络,并使用表单身份验证进行身份验证。这要求一个单独的目录和提供程序,如 Microsoft SQL Server 数据库和提供程序,以存储 Extranet 中的合作伙伴帐户。此方法的优点是,可单独管理合作伙伴帐户,并且您无需向内部员工目录添加合作伙伴帐户。
或者,也可以使用 Web 单一登录 (SSO),针对合作伙伴自己的目录进行身份验证。但是,这种方法要求为每个合作伙伴目录提供一个单独的区域。
因为该模型假定 Fabrikam 在同一合作伙伴应用程序中与几个不同公司的合作伙伴进行合作,所以使用表单身份验证。未指定目录和提供程序。
客户
Internet 区域用于客户访问。此区域配置为允许具有只读权限的匿名访问。
区域
设计区域时,有几个关键决策对于成功部署至关重要。这些决策包括对以下区域的设计和配置决策:
默认区域。
用于外部访问的区域。
以下各节描述该模型中采用的决策。
默认区域的配置要求
最需要关注的区域就是默认区域。Office SharePoint Server 2007 对默认区域的配置有以下要求:
当用户请求无法与区域关联时,就会应用默认区域的身份验证和策略。因此,默认区域必须是最安全的区域。
索引组件至少需要通过一个区域访问内容才能对内容进行爬网。默认情况下,索引组件使用 NTLM 身份验证。SSP 管理员可以将爬网规则配置为对特定的一系列 URL 进行爬网时使用基本身份验证或客户端证书。因此,若要对内容进行爬网,必须至少将一个区域配置为使用 NTLM 身份验证、基本身份验证或证书。此外,爬网程序在遇到可以通过其身份验证的区域之前,将按以下顺序对各区域进行轮询:默认区域、Intranet 区域、Internet 区域、自定义区域、Extranet 区域。但是,如果爬网程序首先遇到的区域已配置为使用 Kerberos 身份验证,则爬网程序不会进行身份验证,也不会尝试访问下一个区域。因此,请确保使用 Kerberos 身份验证的区域的配置不会阻止索引组件对内容进行爬网。有关与内容爬网相关的身份验证要求的详细信息,请参阅规划身份验证方法 (Office SharePoint Server)。
可以从默认区域发送含有链接的管理电子邮件。其中包括发往接近配额限制的网站所有者的电子邮件。因此,收到这种电子邮件和通知的用户必须能够通过默认区域访问链接。这一点对网站的所有者尤为重要。
只能通过默认区域使用以主机命名的网站集。要访问以主机命名的网站集的所有用户都必须能通过默认区域进行访问。
在该模型中,默认区域用于远程员工进行访问,具体原因如下:
无论位于何处,员工均可访问管理电子邮件中的链接。
当无法确定与用户请求关联的区域时,可防止泄露内部服务器名称和 URL。因为默认区域已经配置为用于远程员工,所以应用该区域时,URL 不会泄露敏感数据。
配置 Extranet 环境的区域
在 Extranet 环境中,出于以下两个原因,区域的设计至关重要:
可从多个不同的网络发起用户请求。在该模型中,用户可从内部网络、Internet 和合作伙伴公司发起请求。
用户可使用多个 Web 应用程序中的内容。在该模型中,Intranet 由三个不同 Web 应用程序组成。此外,内部和外部员工有可能向所有这些 Web 应用程序提供内容并管理其中的内容:Intranet、合作伙伴网站和企业 Internet 网站。
在 Extranet 环境中,确保遵循以下设计原则:
配置跨多个 Web 应用程序的区域,使这些区域互为镜像。身份验证的配置以及目标用户应相同。但是,与区域关联的策略在 Web 应用程序之间可以不同。例如,确保 Intranet 区域在所有 Web 应用程序中都用于同一个员工。换句话说,不要在一个 Web 应用程序中为内部员工配置 Intranet 区域,而在另一个 Web 应用程序中为远程员工配置 Intranet 区域。
为每个区域和每个资源准确配置相应的备用访问映射。
在该模型中,每个 Web 应用程序的默认区域对于远程员工访问的配置完全相同。此外,Intranet 区域在所有 Web 应用程序中对内部员工访问权限的配置也完全相同。Extranet 区域和 Internet 区域只配置用于一个 Web 应用程序。
在创建区域时,将自动创建备用访问映射。但是,Office SharePoint Server 2007 可以配置为对外部资源中的内容进行爬网(例如,文件共享)。必须使用替代访问映射为每个区域手动创建指向这些外部资源的链接。例如,文件共享可以使用内部 URL (file://) 向内部用户公开。相同的文件共享可以作为 FTP 链接 (ftp://) 向外部用户公开。这样可确保根据其区域的上下文向用户提供这些资源。当用户在搜索结果中收到指向这些资源的链接时,这些链接是可访问的。
如果各 Web 应用程序中的区域不互相镜像,并且指向外部资源的链接不适用,则会产生如下风险:
可能会将服务器名称、域名系统 (DNS) 名称和 IP 地址泄露到内部网络之外。
用户可能无法访问网站和其他资源。
SSP
SSP 向 Web 应用程序及其关联网站的逻辑分组提供了一组常用的服务和服务数据。这些服务和服务数据包括:
个性化服务
访问群体
业务数据目录
Excel Services
Office SharePoint Server 搜索
门户使用率报告
确定逻辑体系结构中是否需要多个 SSP 的最重要的条件是,您是否需要隔离内容。例如,如果服务器场为多类用户承载应用程序,则单独的 SSP 有助于在这些多类用户之间创建隔离。
该模型包含用于下列每个应用程序的单独 SSP:
Intranet
合作伙伴网站
客户 Internet 网站
.gif "公司部署的 SSP 模型")
Intranet
组成 Intranet 的三个单独应用程序 — 发布的 Intranet 内容、“我的网站”和工作组网站 — 是通过一个 SSP 结合在一起的。该模型中展示的 Intranet 应用程序提供了一个示例,可以很好地平衡安全隔离与在所有应用程序间共享信息并利用配置文件数据的业务要求。
各个应用程序由 Web 应用程序和应用程序池隔离。单独的应用程序池提供进程隔离。专用的 Web 应用程序提供为每种类型的内容实施不同权限策略的机会。
在一个 SSP 下统一三个应用程序,可供在所有应用程序中进行个性化设置和企业范围搜索。
.jpg "共享服务提供程序体系结构")
合作伙伴网站
为合作伙伴 Web 应用程序使用一个单独的 SSP 可确保合作伙伴用户不能搜索或访问您的 Intranet 环境中的敏感信息。SSP 可接收配置,以进一步隔离网站集之间的内容,具体方式包括:
将搜索范围限制到具体网站集。
使用访问群体将目标内容指定给特定的用户组。
使用 Stsadm 命令行工具配置人员选取器,以显示作为网站集成员的用户。在这种配置中,如果您知道用户名称,则可以添加目录中的任何用户;但是,只有已添加到网站集的用户才显示在人员选取器中。这样可防止合作伙伴用户通过人员选取器浏览您的用户目录。
使用下面的命令打开此配置:
Stsadm.exe -o setproperty –url https://server –pn “peoplepicker-onlysearchwithinsitecollection” –pv yes
使用下面的命令关闭此配置:
Stsadm.exe -o setproperty –url https://server –pn “peoplepicker-onlysearchwithinsitecollection” –pv no
除了通过配置 SSP 内的服务来实现隔离外,可以考虑按以下方式配置权限:
将对网站的访问权限限制到特定的用户或组。
使用 SharePoint 组授予对内容的访问权限。
公司 Internet 网站
在该模型中,公司 Internet 网站可供匿名用户使用。供匿名用户使用的网站应始终与经过身份验证的用户所使用的网站隔离。该模型为公司 Internet 网站使用下列隔离方法:
单独的应用程序池确保进程隔离。
单独的 Web 应用程序提供了设定目标策略的机会。
专用的 SSP 确保搜索结果仅限于匿名应用程序。
管理网站
在该模型中,每个管理网站都驻留在一个专用应用程序池和 Web 应用程序中。以下列表介绍了每个管理网站的具体情况:
共享服务管理网站 该模型为每个 SSP 介绍了一个专用的管理网站。共享服务管理网站不能在单个服务器或服务器组上隔离。这些网站将在所有前端 Web 服务器间进行自动镜像。
管理中心网站 在该模型中,每个服务器场的管理中心网站都驻留在应用程序服务器上。这样可防止用户直接联系该网站。如果性能瓶颈或安全漏洞影响到前端 Web 服务器的可用性,管理中心网站仍然可用。
该模型或本文并未详述管理网站的负载平衡 URL。建议采取以下措施:
如果管理 URL 中使用端口号,则使用非标准的端口。端口号默认包含在 URL 中。尽管端口号通常不用于面向客户的 URL,但为管理网站使用端口号可将对这些网站的访问权限限制到非标准端口,以提高安全性。
只允许从管理域访问管理网站。
为管理网站创建单独的 DNS 项。
除了这些建议之外,您还可以选择在多个应用程序服务器之间为管理中心网站设置负载平衡,以实现冗余。
应用程序池
通常会实施单独的 Internet Information Services (IIS) 应用程序池,以在不同内容间实现进程隔离。应用程序池提供了一种可供多个网站在同一台服务器计算机上运行的方式,但它们仍拥有自己的工作进程和标识。这样可减弱其中某个网站受到的攻击,进而避免攻击者在服务器上注入代码攻击其他网站。
从实际角度来说,可以考虑在下列每种情况下使用专用的应用程序池:
需要将经过身份验证的内容与匿名内容分开。
需要隔离为外部业务应用程序存储密码并与之进行交互的应用程序(例如,业务数据目录连接)。
需要隔离用户可以非常自由地创建和管理网站并开展内容协作时所使用的应用程序。
该模型以下列方式使用应用程序池:
每个管理网站都驻留在一个专用应用程序池中。这是 Office SharePoint Server 2007 的一项要求。
Intranet 内容划分到两个不同应用程序池中。协作内容(“我的网站”和工作组网站)驻留在一个应用程序池中。发布的 Intranet 内容驻留在一个单独的应用程序池中。这种配置可为更有可能使用业务数据连接的已发布 Intranet 内容提供进程隔离。例如,许多人力资源 (HR) 网站都使用业务数据连接,以便员工能够访问其个人数据。
合作伙伴 Web 应用程序驻留在一个专用应用程序池中。
公司 Internet 网站驻留在场 B 上的一个专用应用程序池中。如果该服务器场同时承载用于合作伙伴协作的内容,这两种类型的内容(Internet 和合作伙伴)还将位于两个不同的应用程序池。
Web 应用程序
Web 应用程序是通过 SharePoint 产品和技术创建和使用的 IIS 网站。每个 Web 应用程序都表现为 IIS 中一个不同的网站。应为每个 Web 应用程序分配一个唯一的域名,这将有助于防止跨网站脚本攻击。
一般来说,专用 Web 应用程序的用途是:
将匿名内容与经过身份验证的内容分开。在该模型中,公司 Internet 网站驻留在一个专用 Web 应用程序和应用程序池中。
隔离用户。在该模型中,合作伙伴网站驻留在一个专用的 Web 应用程序和应用程序池中,以确保合作伙伴无法访问 Intranet 内容。
强制实施权限。通过专用的 Web 应用程序,可以使用管理中心的“Web 应用程序的策略”页来按策略强制实施权限。例如,可以在公司 Internet 网站上创建一个策略,明确拒绝一个或多个用户组的写入访问。强制实施 Web 应用程序的策略时不考虑对 Web 应用程序中单独的网站或文档配置的权限。
优化性能。如果应用程序所处的 Web 应用程序中有数据特征相似的其他应用程序,则应用程序会获得更好的性能。例如,“我的网站”的数据特征包含大量小型网站。相比之下,工作组网站通常包含少量极大型网站。通过将这两种不同类型的网站分别放置在单独的 Web 应用程序中,生成的数据库就会由特征相似的数据组成,从而优化数据库性能。在该模型中,“我的网站”和工作组网站没有特殊的数据隔离要求 — 它们共享同一应用程序池。但是,“我的网站”和工作组网站分别位于单独的 Web 应用程序中,以优化性能。
优化可管理性。由于创建单独的 Web 应用程序会产生单独的网站和数据库,因此可以实施不同的网站限制(回收站、有效期和大小),并协商不同的服务级别协议。例如,如果“我的网站”内容并非组织中最重要的内容类型,则可以延长还原“我的网站”内容的时间。这样,您便可以在还原“我的网站”内容之前,还原更加重要的内容。在该模型中,“我的网站”位于单独的 Web 应用程序中,以便管理员能够将其与其他应用程序区别对待,更加严格地管理内容的增长。
网站集
网站集在逻辑体系结构和信息体系结构之间建立了一座桥梁。该模型中的网站集的设计目标是,满足 URL 设计的要求并从逻辑上划分内容。
为了满足 URL 设计的要求,每个 Web 应用程序都包括一个单一的根级别网站集。管理路径用来合并第二层的首要网站集。有关 URL 的要求以及使用管理路径的详细信息,请参阅下文中的“区域和 URL”。在第二层的网站集之下,每个网站都是一个子网站。
下图显示了工作组网站的网站层次结构。
.jpg "协作网站的逻辑体系结构")
考虑到根级别网站集的要求,设计决策的核心是第二层的网站集。该模型根据应用程序的性质选择各个选项。
发布的 Intranet 内容
对于发布的 Intranet 内容应用程序,需假定公司内部有多个部门要承载发布的内容。在该模型中,每个部门的内容都驻留在单独的网站集中。这样做的优点包括:
每个部门均可对其内容独立地进行管理并设置权限。
每个部门的内容都可以存储在专用的数据库中。
使用多个网站集的缺点包括:
不能在各网站集间共享母版页、页面布局、模板、Web 部件和导航。
需要做更多工作,来协调各网站集的自定义项和导航。
根据 Intranet 应用程序的信息体系结构和设计,发布的内容可以作为一个无缝应用程序呈现给用户。每个网站集也可以显示为一个单独的网站。
我的网站
“我的网站”具有不同的特征,有关部署“我的网站”的建议非常简单明了。在该模型中,“我的网站”应用程序包含一个首要网站集,其 URL 为 http://my。创建的第一个首要网站集使用“我的网站宿主”模板。这里使用了一个管理路径(通过使用通配符包含),从而使用户创建的网站不受数量限制。管理路径下的所有网站都是独立的网站集,这些网站集都沿用“我的网站宿主”模板。用户名附在 URL 后面,具体形式为 http://my personal/用户名。下图显示了“我的网站”的示意图。
.jpg "“我的网站”逻辑网络体系结构")
有关设计“我的网站”应用程序的详细信息,请参阅设计“我的网站”体系结构。
工作组网站
您可以使用下列两种方法之一设计工作组网站应用程序中的网站集:
允许团队通过创建自助式网站来创建网站集。此方法的优点是,团队可以根据需要轻松创建网站,无需管理员提供帮助。但是,这种方法有许多缺点,包括:
您没有机会实现精心设计的分类。
应用程序可能会很难管理。
网站很容易被丢弃。
无法在原本可以共享网站集的项目或团队之间共享模板和导航。
根据组织的运作方式,为您的组织创建数量有限的网站集。由 SharePoint 管理员通过这种方法创建网站集。创建网站集之后,各团队可以根据其需要在网站集中创建网站。通过这种方法可以实现精心设计的分类;而这种分类可为工作组网站的管理和增长模式提供结构框架。还可以有更多机会在共享网站集的项目和团队之间共享模板和导航。
该模型采用了第二种方法,这会使工作组网站具有与发布的 Intranet 内容类似的网站集层次结构。信息架构师面临的挑战是如何创建适合组织的第二层网站集。
| 组织类型 | 建议的网站集分类法 |
|---|---|
产品开发 |
|
研发 |
|
高等教育机构 |
|
国家立法机关 |
|
企业法务部门 |
|
制造企业 |
|
合作伙伴网站
合作伙伴网站用于与外部合作伙伴针对具有固定范围或固定期限的项目开展协作。在设计上,合作伙伴 Web 应用程序中的网站相互没有关联。合作伙伴网站的要求包括确保实现以下目标:
项目所有者可以方便地创建合作伙伴协作网站。
合作伙伴和其他参与方只能访问其参与的项目。
权限由网站的所有者管理。
在一个项目中搜索结果不会透露其他项目的内容。
管理员可以方便地确定不再使用的网站并删除这些网站。
为了满足这些要求,该模型为每个项目使用了一个网站集。这种方式有以下好处:
各个网站集可在项目间提供适当级别的隔离。
可实现自助式网站创建。
由于合作伙伴 Web 应用程序同时还承载用于开发公司 Internet 网站内容的网站集,因此可以创建用于创作和暂存的单独网站集。
公司 Internet 网站
公司 Internet 网站包含一个单独的根级别网站集。此网站集下的所有网站都是子网站。这种结构可简化网站内的网页的 URL。下图显示了公司 Internet 网站的体系结构。
.jpg "逻辑部署体系结构")
内容数据库
可以使用下面的两种方法在设计中结合使用内容数据库(该模型就采用了这两种方法):
根据相应的大小警告阈值确立内容数据库的目标大小。在达到大小警告阈值时创建新数据库。利用此方法,可以仅根据目标大小将网站集自动添加到一个或多个可用的数据库。
将网站集与特定的内容数据库关联。利用此方法可以将一个或多个网站集放置到可以独立于其他数据库进行管理的专用数据库中。
如果选择将网站集与特定的内容数据库关联,则可以使用以下方法实现这一点:
使用 Stsadm 命令行工具在特定的数据库中创建网站集。
应用下列数据库容量设置,使某个数据库专用于单独一个网站集:
生成警告事件之前允许的最大网站数量 = 1
此数据库中允许创建的最大网站数量 = 1
通过执行下列步骤,向专用数据库添加一组网站集:
在 Web 应用程序中,创建数据库并将数据库状态设置为“就绪”。
将所有其他数据库的状态设置为“脱机”。内容数据库脱机时,不能创建新网站集。但是,仍可访问脱机数据库中的现有网站集,以进行读取和写入操作。
创建网站集。这些网站集将自动添加到数据库。
将所有其他数据库的状态设置回“就绪”。
发布的 Intranet 内容
对于发布的 Intranet 内容,该模型为每个部门网站集使用了一个专用数据库。
此方法使每个部门都能够独立管理其内容。
我的网站
对于“我的网站”,该模型通过管理数据库使其达到最大目标大小,以实现规模效率。为实现此目标,对下列设置进行了配置:
网站最大存储空间为 该设置在管理中心的“配额模板”页上配置,可限制个人网站的大小。
第二阶段回收站 该设置在“Web 应用程序常规设置”页上配置,可确定为第二阶段回收站所分配的额外空间。
此数据库中允许创建的最多网站数 该设置在创建数据库时配置。使用为前两个值指定的数字计算网站允许的总大小。然后,根据每个数据库的大小目标,确定数据库可容纳的网站数。
基于 100 GB 的目标数据库大小和 500 MB 的目标“我的网站”大小,该模型提供了下列示例大小设置:
每个网站的网站大小限制 = 500 MB
数据库的目标大小 = 100 GB
最大网站数量 = 200
网站级警告 = 150
当达到网站级警告时,会创建一个新数据库。创建新数据库后, 新建的“我的网站”将交替添加到新数据库和现有数据库,直至其中一个数据库到达最大网站数为止。
有关为“我的网站”设计数据库设置的详细信息,请参阅设计“我的网站”体系结构。
工作组网站
对于工作组网站,该模型为每个工作组网站集使用了一个专用数据库。这种方法使您能够独立管理每个团队的数据库的备份、还原和迁移。而且当项目完成时,您可以方便地存档与项目关联的数据库。
合作伙伴网站
与“我的网站”类似,合作伙伴网站通过管理数据库使其达到最大目标大小,以实现规模效率。但在该模型中,合作伙伴网站还要承载公司 Internet 网站的创作和暂存网站集。因此,数据库的设计同时采用了两种方法:
创作和暂存网站集分别驻留在一个专用数据库中。
配置数据库和大小设置,以管理所有其他网站和数据库。
因为合作伙伴网站驻留在专用 Web 应用程序中,所以您可以创建更适合所创建大小类型的大小限制。该模型提供了下列示例大小设置:
数据库的目标大小 = 100 GB
每个网站的存储配额 = 5 GB
最大网站数量 = 20
创作和暂存网站集驻留在专用数据库中
公司 Internet 网站
通过在公司 Internet 网站的设计中使用单个网站集,您可以为此 Web 应用程序使用单个数据库。
区域和 URL
该模型说明了如何跨企业部署中的多个应用程序协调 URL。
设计目标
以下目标会影响 URL 的设计决策:
URL 规则不限制可通过其访问内容的区域。
可在模型中的所有应用程序中使用标准 HTTP 和 HTTPS 端口(80 和 443)。
URL 中不包含端口号。在实践中,端口号通常不用于生产环境中。
设计原则
为了实现这些设计目标,应遵循以下设计原则:
不使用以主机命名的网站集。请注意,以主机命名的网站集不同于 IIS 主机标头。以主机命名的网站集不能使用备用访问映射功能。通过多个域 URL 访问相同内容时要求使用备用访问映射功能。因此,使用以主机命名的网站时,只能通过默认区域访问这些网站。备用访问映射功能还可支持外部安全套接字层 (SSL) 终止,这便于在远程员工访问及合作伙伴访问的情况下使用 SSL (HTTPS)。
每个应用程序都包含一个根网站集。这是使用备用访问映射的要求。如果 Web 应用程序中要求使用多个根网站集并且您希望只使用默认区域实现用户访问,以主机命名的网站集是一个不错的选择。
对于包含多个高级别网站集的应用程序,其中的每个网站集都表示一个顶级团队或项目(例如,工作组网站),该模型采用了管理路径。管理路径有助于在更大程度上控制这些类型的网站的 URL。
设计折衷
满足设计目标需要做出一些折衷,具体如下:
URL 会加长。
不使用以主机命名的网站集。
设计负载平衡的 URL
创建 Web 应用程序时,必须选择要分配给该应用程序的负载平衡 URL。此外,您还必须为 Web 应用程序内创建的每个区域创建负载平衡 URL。如果使用负载平衡 URL,则其中会包括协议、方案、主机名和端口。负载平衡 URL 必须在所有 Web 应用程序和区域中都是唯一的。因此,每个应用程序以及每个应用程序内的每个区域都要求在模型中使用唯一的 URL。
Intranet
组成 Intranet 的三个应用程序都要求使用唯一的 URL。在该模型中,Intranet 内容的目标访问群体是内部员工和远程员工。下表列出了内部员工和远程员工访问每个应用程序时使用的 URL。
| 应用程序 | 内部员工 URL | 远程员工 URL |
|---|---|---|
发布的 Intranet 内容 |
http://fabrikam |
https://intranet.fabrikam.com |
工作组网站 |
http://teams |
https://teams.fabrikam.com |
我的网站 |
http://my |
https://my.fabrikam.com |
合作伙伴网站
在该模型中,合作伙伴网站可供内部员工、远程员工和合作伙伴员工访问。尽管远程员工和合作伙伴员工都使用 SSL (HTTPS) 从外部访问合作伙伴网站,但他们需要不同的 URL,以实现使用单独的区域的好处 — 即,不同的身份验证方法和不同的区域策略。下表列出了内部员工、远程员工和合作伙伴用来访问合作伙伴网站的 URL。
| 区域 | URL |
|---|---|
内部员工 URL |
http://partnerweb |
远程员工 URL |
https://remotepartnerweb.fabrikam.com |
合作伙伴 URL |
https://partnerweb.fabrikam.com |
公司 Internet 网站
公司 Internet 网站是一个公共网站,任何用户均可使用默认的 URL (https://www.microsoft.com/zh/cn/default.aspx 访问。这里应用的是 Internet 区域的策略(即,匿名访问且拒绝写入)。
但是,为了支持公共网站上的管理和创作任务,该模型还包含为内部员工和远程员工提供的 URL。这些区域的策略将比读取访问权限高的权限限制到目标安全组。下表列出了每个区域的 URL。
| 区域 | URL |
|---|---|
内部员工 URL |
http://fabrikamsite |
远程员工 URL |
https://fabrikamsite.fabrikam.com |
客户 URL |
http://www.fabrikam.com |
为 URL 路径使用显式包含和通配符包含
通过定义管理路径,可以指定 Web 应用程序的 URL 命名空间中哪些路径用于网站集。可以指定根网站下个别路径中存在一个或多个网站集。如果不存在管理路径,则根网站集下创建的所有网站都是根网站集的一部分。
可以创建以下两种类型的管理路径:
显式包含 具有所分配的显式 URL 的网站集。显式包含仅应用于一个网站集。可在根网站集下创建许多显式包含。使用此方法创建的网站集的示例 URL 为 http://fabrikam/hr。
通配符包含 添加到 URL 的路径。此路径表示直接在路径名称之后指定的所有网站都是唯一网站集。此选项通常用于支持自助式网站创建操作的应用程序,例如“我的网站”。使用此方法创建的网站集的示例 URL 为 http://my/personal/user1。
如以下部分所述,该模型同时采用了这两种类型。
显式包含:工作组网站和发布的 Intranet 内容
在该模型中,工作组网站应用程序和发布的 Intranet 内容应用程序均采用显式包含。
工作组网站
在工作组网站应用程序中,每个工作组网站集都使用显式包含。对于使用显式包含创建的网站集的规模限制大约为 100 个网站。作为一种最佳管理方案,建议您将顶级工作组网站的数量限制在可管理的范围内。此外,工作组网站的分类应在逻辑上符合企业运作的方式。100 个网站的建议适用于很多组织。如果您的组织需要为工作组网站设计更大的规模,请改用通配符包含。
在该模型中,使用显式包含将生成下表列出的 URL。
| 内部员工(Intranet 区域) | 远程员工(默认区域) |
|---|---|
http://team/Team1 |
https://team.fabrikam.com/Team1 |
http://team/Team2 |
https://team.fabrikam.com/Team2 |
http://team/Team3 |
https://team.fabrikam.com/Team3 |
在本示例中,根网站集 http://team 不一定要承载用户的内容。
发布的 Intranet 内容
在发布的 Intranet 内容应用程序中,显式包含用于每个子网站:人力资源、设施和采购等子网站。这样可以独立管理这些网站。如有必要,这些网站集均可与不同的内容数据库相关联,以管理增长情况并提供单独备份和还原这些网站的机会。
在该模型中,使用显式包含将生成下表列出的 URL。
| 内部员工(Intranet 区域) | 远程员工(默认区域) |
|---|---|
http://fabrikam |
https://intranet.fabrikam.com |
http://fabrikam/hr |
https://intranet.fabrikam.com/hr |
http://fabrikam/facilities |
https://intranet.fabrikam.com/facilities |
http://fabrikam/purchasing |
https://intranet.fabrikam.com/purchasing |
在本示例中,根网站集 http://fabrikam 表示 Intranet 的默认主页。该网站旨在承载用户的内容。
通配符包含:合作伙伴网站和我的网站
合作伙伴网站和“我的网站”都采用通配符包含。通配符包含适用于允许用户创建自己的网站集的应用程序。通配符包含表示,通配符之后下一个项是网站集的根网站。
我的网站
“我的网站”提供自助式网站创建功能。当浏览 Intranet 的用户第一次单击“我的网站”时,会为该用户自动创建“我的网站”。在该模型中,“我的网站”包含一个名为 /personal (http://my/personal) 的通配符包含。“我的网站”功能可在该 URL 后自动添加用户名。
这将生成下表所列格式的 URL。
| 内部(Intranet 区域) | 远程员工(默认区域) |
|---|---|
http://my/sites/user1 |
https://my.fabrikam.com/personal/user1 |
http://my/sites/user2 |
https://my.fabrikam.com/personal/user2 |
http://my/sites/user3 |
https://my.fabrikam.com/personal/user3 |
合作伙伴网站
合作伙伴网站在设计上允许员工方便地创建安全的网站,以便与外部合作伙伴开展协作。为了实现这一目标,允许创建自助式网站。
在该模型中,合作伙伴网站包括一个名为 /sites (http://partnerweb/sites) 的通配符。这将生成下表所列格式的 URL。
| 内部员工(Intranet 区域) | 远程员工(默认区域) |
|---|---|
http://partnerweb/sites/project1 |
https://remotepartnerweb.fabrikam.com/sites/project1 |
http://partnerweb/sites/project2 |
https://remotepartnerweb.fabrikam.com/sites/project2 |
http://partnerweb/sites/project3 |
https://remotepartnerweb.fabrikam.com/sites/project3 |
参与协作的合作伙伴员工可以使用下表中列出的 URL 访问合作伙伴网站。
| 合作伙伴(Extranet 区域) |
|---|
https://partnerweb.fabrikam.com/sites/project1 |
https://partnerweb.fabrikam.com/sites/project2 |
https://partnerweb/fabrikam.com/sites/project3 |
如该模型所示,合作伙伴网站有两个例外的网站集,这两个网站集专门用来创作和暂存公司 Internet 网站的内容。对于这两个网站集,使用了显式包含。所提供的这个示例在同一 Web 应用程序中同时使用显式包含和通配符包含。
管理 URL
下表列出了服务器场所承载的每个应用程序的管理区域 URL。
| 应用程序 | URL |
|---|---|
发布的 Intranet 内容 |
http://fabrikam.admin |
工作组网站 |
http://teams.admin |
我的网站 |
http://my.admin |
合作伙伴网站 |
http://partnerweb.admin |
公司 Internet 网站 |
http://fabrikamsite.admin |
该模型假定管理员具有对企业网络的内部访问权限。
区域策略
您可以为 Web 应用程序创建策略,以强制实施 Web 应用程序级别的权限。可以为 Web 应用程序定义通用策略,也可以只为特定区域定义策略。策略将对 Web 应用程序或区域内的所有内容执行权限。为网站和内容配置的所有其他安全设置都将被策略权限替代。可以根据用户或用户组配置策略,但不能根据 SharePoint 组配置策略。
该模型提供了几个策略示例,来实现以下目标:
允许管理员访问所有内容。
拒绝对已发布内容的写入访问权限。
确保作者和测试人员对已发布的内容具有适当访问权限。
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍