为 Extranet 环境规划安全强化
本文内容:
Extranet 强化规划工具
网络拓扑
域信任关系
与服务器场角色的通信
与基础结构服务器角色的通信
支持文档转换所需满足的要求
网络域之间的通信
与外部服务器的连接
本文详细介绍这样一种 Extranet 环境的强化要求:Microsoft Office SharePoint Server 2007 服务器场放在外围网络中,并且可从 Internet 或企业网络访问内容。
有关支持的 Extranet 拓扑的详细信息,请参阅设计 Extranet 场拓扑 (Office SharePoint Server)。
Extranet 强化规划工具
以下规划工具可与本文一起使用:Extranet 强化规划工具:后端到后端外围网络(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=85533&clcid=0x804)(该链接可能指向英文页面)。此工具基于后端到后端外围拓扑结构,为每个运行 Microsoft Internet Security and Acceleration (ISA) Server 的计算机和每个路由器或防火墙统一制订端口要求。此工具是一个可编辑的 Microsoft Office Visio 文件,您可以针对您的环境加以修订。例如,您可以:
添加自定义端口号(如果适用)。
在可选择协议或端口的情况下,指明您将使用哪些端口。
指定用于在环境中进行数据库通信的特定端口。
根据以下条件添加或移除端口要求:
您是否在配置电子邮件集成。
您将查询角色部署到哪一层。
您是否在外围域和企业域之间配置域信任关系。
如果您希望了解其他支持的 Extranet 拓扑的附加规划工具,请提交对本文的意见来告知我们。
网络拓扑
本文中的强化指南可以应用到许多不同的 Extranet 配置。下图展示一个后端到后端外围网络拓扑的实现示例,并说明 Extranet 环境中的服务器和客户端角色。此图旨在表达清楚每个可能 的角色以及它们与整体环境的关系。因此该查询角色将出现两次。在真实的实现中,查询角色将部署在 Web 服务器上或作为应用程序服务器部署,但不会同时为两者。并且,如果将查询角色部署到 Web 服务器,它将部署到场中的所有 Web 服务器。为了满足通信安全强化要求,该图展示了所有选项。图中所示的路由器可换为防火墙。
.gif "Extranet 安全性强化图表")
域信任关系
对域信任关系的要求取决于服务器场的配置方式。本节讨论两种可能的配置。
服务器场驻留在外围网络
外围网络需要有自己的 Active Directory 目录服务基础结构和域。通常,外围域和企业域没有配置为相互信任。但是,若要对使用其域凭据的 Intranet 用户和远程员工进行身份验证(Windows 身份验证),则必须配置外围域信任企业域的单向信任关系。表单身份验证和 Web SSO 不需要域信任关系。
在外围网络和企业网络之间拆分服务器场
如果在外围网络和企业网络之间拆分服务器场,并且数据库服务器驻留在企业网络内,那么,倘若使用 Windows 帐户,就需要域信任关系。在这种方案下,外围网络必须信任企业网络。如果使用 SQL 身份验证,则不需要域信任关系。下表总结了这两种方法之间的差别。
| Windows 身份验证 | SQL 身份验证 | |
|---|---|---|
说明 |
企业域帐户用于所有 Office SharePoint Server 2007 服务帐户和管理帐户,包括应用程序池帐户。 需要单向信任关系,在此关系中外围网络信任企业网络。 |
Office SharePoint Server 2007 帐户是按以下方式配置的:
不需要信任关系,但可配置此关系以支持依据内部域控制器进行的客户端身份验证。 备注 如果应用程序服务器驻留在企业域中,则需要外围网络信任企业网络的单向信任关系。 |
设置 |
设置包括以下工作:
|
设置包括以下工作:
|
其他信息 |
单向信任关系允许加入到 Extranet 域的 Web 服务器和应用程序服务器解析企业域中的帐户。 |
|
上面表中的信息假定以下几点:
Web 服务器和应用程序服务器均驻留在外围网络中。
所有帐户都创建为具有所需的最小特权,包括以下建议:
为所有的管理帐户和服务帐户创建单独的帐户。
没有帐户是任何计算机(包括承载 SQL Server 的服务器计算机)上的 Administrators 组的成员。
如果使用 SQL 身份验证,必须创建具有以下权限的如下 SQL 登录名:
用于运行 Psconfig 命令行工具的帐户的 SQL 登录名 该帐户必须是以下 SQL 角色的成员:dbcreator 和 securityadmin。该帐户必须是运行安装程序的每台服务器(而不是数据库服务器)上 Administrators 组的成员。
服务器场帐户的 SQL 登录名 此登录名用于创建配置数据库和 SharePoint_AdminContent 数据库,它必须包括 dbcreator 角色。该登录名不需要是 securityadmin 角色的成员。必须使用 SQL 身份验证来创建它。请配置服务器场帐户以使用 SQL 身份验证(具有在创建 SQL 登录名时指定的密码)。
所有其他数据库的 SQL 登录名 必须使用 SQL 身份验证创建该登录名。该登录名必须是以下 SQL 角色的成员:dbcreator 和 securityadmin。
有关 Office SharePoint Server 2007 帐户的详细信息,请参阅规划管理帐户和服务帐户 (Office SharePoint Server)。
有关通过使用 Psconfig 命令行工具来创建数据库的详细信息,请参阅SharePoint 产品和技术配置向导的命令行参考 (Office SharePoint Server)。
与服务器场角色的通信
配置 Extranet 环境时,了解服务器场中的各个服务器角色如何通信很重要。
服务器角色之间的通信
下图描绘了服务器场中的信道。图后面的表说明图中表示的端口和协议。黑色实心箭头指示哪个服务器角色发起通信。例如,Excel Calculation Services 角色发起与数据库服务器的通信。数据库服务器不会发起与 Excel Calculation Services 角色的通信。红色点状箭头指示任一台服务器发起通信。在防火墙上配置入站和出站通信时,知道这一点很重要。
.gif "场间服务器通信")
| 标注 | 端口和协议 |
|---|---|
1 |
客户端访问(包括信息权限管理 (IRM) 和搜索查询),以下一个或多个端口:
|
2 |
文件和打印机共享服务 — 以下两者之一:
|
3 |
Office Server Web 服务 — 两者:
|
4 |
数据库通信:
|
5 |
搜索爬网 — 取决于身份验证的配置方式,可能用额外的区域或 Internet Information Services (IIS) 网站扩展 SharePoint 网站,以确保索引组件可访问内容。此配置可能生成自定义端口。
|
6 |
单一登录服务 — 运行 SSO 服务的任何服务器角色都必须能够使用远程过程调用 (RPC) 与加密密钥服务器通信。此角色包括所有 Web 服务器、Excel Calculation Services 角色以及索引角色。此外,如果在查询服务器上安装了自定义安全修整程序,并且此安全修整程序需要访问 SSO 数据,则 SSO 服务也运行在此服务器角色上。 RPC 需要 TCP 端口 135,及以下任意 端口:
有关加密密钥服务器以及哪些服务器角色需要 SSO 服务的详细信息,请参阅规划单一登录。 |
Web 服务器会自动对可用查询服务器的查询请求进行负载平衡。因此,如果跨 Web 服务器计算机部署了查询角色,这些服务器会使用文件和打印机共享服务以及 Office Server Web 服务相互通信。下图展示了这些服务器之间的信道。
.gif "查询服务器的 Web 服务器")
管理网站和服务器角色之间的通信
管理网站包括:
“管理中心”网站 可以将此网站安装在应用程序服务器或 Web 服务器上。
共享服务管理网站 这些网站跨 Web 服务器镜像。
本节详细介绍场内管理员工作站和服务器角色之间的通信的端口和协议要求。“管理中心”网站可以安装在任何 Web 服务器或应用程序服务器上。通过“管理中心”网站所做的配置更改被传递到配置数据库。场中的其他服务器角色在其轮询周期期间获取在配置数据库中注册的配置更改。因此,“管理中心”网站未为服务器场中的其他服务器角色引起任何新的通信要求。
下图演示从管理员工作站到管理网站和配置数据库的信道。
.gif "管理员网站管理拓扑")
下表描述上图中演示的端口和协议。
| 标注 | 端口和协议 |
|---|---|
A |
共享服务管理网站 — 以下一个或多个:
|
B |
“管理中心”网站 — 以下一个或多个:
|
C |
数据库通信:
|
与基础结构服务器角色的通信
配置 Extranet 环境时,了解基础结构服务器计算机中的各种服务器角色如何通信很重要。
Active Directory 域控制器
下表列出了从每个服务器角色到 Active Directory 域控制器的入站连接的端口要求。
| 项 | Web 服务器 | 查询服务器 | 索引服务器 | Excel Calculation Services | 数据库服务器 |
|---|---|---|---|---|---|
TCP/UDP 445(目录服务) |
X |
X |
X |
X |
X |
TCP/UDP 88(Kerberos 身份验证) |
X |
X |
X |
X |
X |
默认的轻型目录访问协议 (LDAP)/LDAPS 端口 389/636,可自定义 |
X |
X |
X |
取决于以下条件,服务器角色需要 LDAP/LDAPS 端口:
Web 服务器 如果配置了 LDAP 身份验证,则使用 LDAP/LDAPS 端口。
索引服务器 角色需要 LDAP/LDAPS 端口,用于从配置为配置文件导入源的域控制器中导入配置文件,不管这些配置文件位于何处。
Excel Calculation Services 只有在将数据源连接配置为使用 LDAP 进行身份验证时,才使用 LDAP/LDAPS 端口。
DNS 服务器
下表列出从每个服务器角色到域名系统 (DNS) 服务器的入站连接的端口要求。在许多 Extranet 环境中,一台服务器计算机同时承载 Active Directory 域控制器和 DNS 服务器。
| 项 | Web 服务器 | 查询服务器 | 索引服务器 | Excel Calculation Services | 数据库服务器 |
|---|---|---|---|---|---|
DNS,TCP/UDP 53 |
X |
X |
X |
X |
X |
SMTP 服务
电子邮件集成要求使用简单邮件传输协议 (SMTP) 服务,此服务在服务器场中至少一台前端 Web 服务器上使用 TCP 端口 25。传入电子邮件(入站连接)必须使用 SMTP 服务。对于传出的电子邮件,既可以使用 SMTP 服务,也可以通过组织中专用的电子邮件服务器(例如运行 Microsoft Exchange Server 的计算机)路由传出的电子邮件。
| 项 | Web 服务器 | 查询服务器 | 索引服务器 | Excel Calculation Services | 数据库服务器 |
|---|---|---|---|---|---|
TCP 端口 25 |
X |
支持文档转换所需满足的要求
如果您在服务器上使用文档转换器,则必须在应用程序服务器上安装并启动以下服务:
文档转换启动器服务
文档转换负载平衡器服务
通常,这些服务安装在同一应用程序服务器或单独的应用程序服务器上,具体情况取决于最适合于您的需求的拓扑。这些服务也可以安装在一台或多台 Web 服务器上(如果需要)。如果这些服务安装在单独的服务器上,则这些单独服务器之间的通信必须能够使这些服务相互通信。
下表列出了这些服务的端口和协议要求。这些要求不适用于未安装这些服务的场中的服务器角色。
| 服务 | 要求 |
|---|---|
文档转换启动器服务 |
TCP 端口 8082,对于 TCP 或 SSL 可自定义 |
文档转换负载平衡器服务 |
TCP 端口 8093,对于 TCP 或 SSL 可自定义 |
有关如何在服务器场中配置这些服务的信息,请参阅设计文档转换拓扑。
网络域之间的通信
Active Directory 通信
为支持与企业网络中的域控制器进行身份验证,域之间要进行 Active Directory 通信,而此通信需要至少一种单向信任关系,在此关系中外围网络信任企业网络。
在本文第一幅图描绘的示例中,需要下列端口来实现到 ISA 服务器 B 的入站连接,以便支持单向信任关系:
TCP/UDP 135 (RPC)
默认的 TCP/UDP 389,可自定义 (LDAP)
默认的 TCP 636,可自定义 (LDAP SSL)
TCP 3268 (LDAP GC)
TCP 3269 (LDAP GC SSL)
TCP/UDP 53 (DNS)
TCP/UDP 88 (Kerberos)
TCP/UDP 445(目录服务)
TCP/UDP 749 (Kerberos-Adm)
TCP 端口 750 (Kerberos-IV)
在配置 ISA 服务器 B(或外围网络和企业网络之间的备用设备)时,必须将网络关系定义为路由。不要将网络关系定义为网络地址转换 (NAT)。
有关与信任关系相关的安全强化要求的详细信息,请参阅以下资源:
如何为域和信任关系配置防火墙(https://go.microsoft.com/fwlink/?linkid=83470&clcid=0x804)。
防火墙分段网络中的 Active Directory(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x804)(该链接可能指向英文页面)
内容发布的强化
内容发布需要源服务器场上的“管理中心”网站和目标服务器场上的“管理中心”网站之间进行单向通信。强化要求包括:
用于目标服务器场上“管理中心”网站的端口号。
来自源场的 TCP 80 或 443 出站(用于简单对象访问协议 (SOAP) 和 HTTP Post)。
在源场上配置内容部署时,您指定要用于向目标场进行身份验证的帐户。将内容从一个域发布到另一个域时,不需要域之间的信任关系。但是,有以下两个用于部署内容的帐户选项,其中一个确实需要域信任关系:
如果源场的应用程序池帐户对目标场上的“管理中心”具有权限,请选择“使用应用程序池帐户”选项。这需要一个单向信任关系,在该关系中,目标场的域信任源场的域。
您可以手动指定帐户,而不是使用源应用程序池帐户。在这种情况下,帐户不必存在于源场的网络域中。通常,该帐户对于目标场是唯一的。该帐户可使用集成 Windows 身份验证或基本身份验证来进行身份验证。
与外部服务器的连接
可以配置 Office SharePoint Server 2007 的若干功能,以便访问位于服务器场外部的服务器计算机上的数据。如果配置对外部服务器计算机上的数据的访问,请确保启用相应计算机之间的通信。大多数情况下,所使用的端口、协议和服务取决于外部资源。例如:
与文件共享的连接使用文件和打印机共享服务。
与外部 SQL Server 数据库的连接使用默认端口或自定义端口进行 SQL Server 通信。
与 Oracle 的连接通常使用 OLE DB。
与 Web 服务的连接同时使用 HTTP 和 HTTPS。
下表列出了一些功能,可对这些功能进行配置,以便访问位于服务器场外部的服务器计算机上的数据。
| 功能 | 说明 |
|---|---|
内容爬网 |
您可以配置爬网规则,以便对位于外部资源(包括网站、文件共享、Exchange 公共文件夹和业务数据应用程序)上的数据进行爬网。在对外部数据源进行爬网时,索引角色直接与这些外部资源通信。 有关详细信息,请参阅规划内容爬网 (Office SharePoint Server)。 |
业务数据目录连接 |
Web 服务器和应用程序服务器与为业务数据目录连接配置的计算机直接通信。 有关详细信息,请参阅规划业务数据与业务数据目录的连接。 |
接收 Microsoft Office Excel 工作簿 |
如果在 Excel Services 上打开的工作簿连接到任何外部数据源(例如,Analysis Services 和 SQL Server),则需要开放适当的 TCP/IP 端口,用于连接到这些外部数据源。有关详细信息,请参阅规划 Excel Services 的外部数据连接。 如果将通用命名约定 (UNC) 路径配置为 Excel Services 中的受信任位置,则 Excel Calculation Services 应用程序角色使用文件和打印机共享服务所使用的协议和端口,通过 UNC 路径接收 Office Excel 工作簿。 存储在内容数据库中的工作簿或者用户在网站中上载或下载的工作簿不受此通信影响。 |
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍