设计 Extranet 场拓扑 (Office SharePoint Server)
本文内容:
关于 Extranet 环境
规划 Extranet 环境
边缘防火墙拓扑
后端到后端外围拓扑
带有内容发布功能的后端到后端外围拓扑
为承载静态内容而优化的后端到后端外围拓扑
拆分后端到后端拓扑
本文可用于以下模型:SharePoint 产品和技术的 Extranet 拓扑(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x804)(该链接可能指向英文页面)。
关于 Extranet 环境
Extranet 环境是经过安全扩展的专用网络,用于与远程员工、外部合作伙伴或客户共享部分组织信息或流程。通过使用 Extranet,您可以共享 Microsoft Office SharePoint Server 2007 承载的任何类型的内容,包括:
标记的信息内容。
基于用户帐户的个性化内容。
协作内容,包括文档、列表、库、日历、博客和 Wiki。
文档存储库。
下表描述了 Extranet 为各方带来的好处。
远程员工 |
远程员工可以随时随地访问企业信息和电子资源,而不需要虚拟专用网络 (VPN)。远程员工包括:
|
外部合作伙伴 |
外部合作伙伴可以参与业务流程并与您组织中的员工进行协作。您可以通过以下方法,使用 Extranet 提高数据安全性:
通过以下方法,您可以优化流程和网站来与合作伙伴进行协作:
|
客户 |
通过以下方法,向合作伙伴和客户发布具有特定目标用户的标记内容:
|
Office SharePoint Server 2007 中具有灵活的选项,用于配置从 Extranet 对网站进行访问。您可以允许对服务器场中的部分网站进行面向 Internet 的访问,或允许通过 Internet 访问服务器场中的所有内容。您可以在企业网络内部承载 Extranet 内容并通过边缘防火墙允许对其进行访问,也可以隔离外围网络中的服务器场。
规划 Extranet 环境
本文其余部分将讨论经过 Office SharePoint Server 2007 测试的特定 Extranet 拓扑。本文讨论的拓扑可帮助您了解 Office SharePoint Server 2007 中提供的选项,包括要求和优缺点。
以下部分将重点介绍 Extranet 环境的其他规划活动。
规划网络边缘技术
在每种拓扑中,所介绍的网络边缘技术是以下 Microsoft Forefront Edge 套件产品中的一种或两种:Microsoft Internet Security and Acceleration (ISA) Server 和 Intelligent Application Gateway (IAG) 2007。有关这些 Microsoft Forefront Edge 产品的详细信息,请参阅以下资源:
ISA Server 主页(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=86495&clcid=0x804)(该链接可能指向英文页面)
ISA Server 2006 中的网络概念(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=86497&clcid=0x804)(该链接可能指向英文页面)
备注
您也可以用其他的网络边缘技术来替代。
IAG Server 还具有以下功能:
防止信息泄露:客户端计算机上不留下任何残留信息,删除所有缓存、临时文件和 Cookie。
基于健康的端点授权:管理员可以定义基于用户标识和公开的信息以及客户端计算机的条件的访问策略。
通过 Outlook Web Access 来访问 SharePoint 网站:用户可使用 Outlook Web Access 通过电子邮件中发送的链接访问 SharePoint 网站。IAG 为指向内部 URL 的链接提供链接转换。
统一门户:一旦登录,IAG 就可为每个用户提供经授权可用于该用户的 SharePoint 网站和其他应用程序的列表。
下面的表格概述了服务器之间的区别。
| 功能 | ISA 2006 | IAG 2007 |
|---|---|---|
使用 HTTPS 发布 Web 应用程序 |
X |
X |
将内部移动应用程序发布到漫游移动设备 |
X |
X |
第 3 层防火墙 |
X |
X* |
出站方案支持 |
X |
X* |
数组支持 |
X |
|
全球化和管理控制台本地化 |
X |
|
用于发布 SharePoint 网站和 Exchange 的向导和预定义设置 |
X |
X |
用于发布各种应用程序的向导和预定义设置 |
X |
|
Active Directory 联合身份验证服务 (ADFS) 支持 |
X |
|
多种身份验证方法(例如,一次性密码、基于表单、智能卡) |
X |
X |
应用程序保护(Web 应用程序防火墙) |
基础 |
完全 |
端点健康检测 |
X |
|
防止信息泄露 |
X |
|
精细的访问策略 |
X |
|
统一门户 |
X |
* 由 ISA 支持,IAG 2007 中包含此功能。
规划身份验证和逻辑体系结构
除了选择或设计 Extranet 拓扑,您还需要设计身份验证策略和逻辑结构,从而使内部网络以外的目标用户可以进行访问,并保证服务器场上网站和内容的安全。有关详细信息,请参阅以下主题:
规划域信任关系
当服务器场位于外围网络内部时,则该网络需要自己的 Active Directory 目录服务基础结构和域。通常,外围域和企业域没有配置为相互信任。但是在某些应用场景下可能需要信任关系。下表汇总了影响信任关系要求的应用场景。
| 应用场景 | 说明 |
|---|---|
Windows 身份验证 |
如果外围域信任企业网络域,您可以通过使用内部和远程员工的公司域凭据来验证其身份。 有关为此应用场景设计身份验证策略和逻辑结构的信息,请参阅逻辑体系结构模型:企业部署。 |
表单身份验证和 Web 单一登录 (SSO) |
您可以使用表单身份验证和 Web SSO 针对内部 Active Directory 环境对内部员工和远程员工进行身份验证。例如您可以使用 Web SSO 连接到 Active Directory 联合身份验证服务 (ADFS)。使用表单身份验证或 Web SSO 不 需要域之间的信任关系。 但 Office SharePoint Server 2007 的几项功能可能无法使用,具体取决于身份验证提供程序。有关在使用表单身份验证或 Web SSO 时可能受到影响的功能的详细信息,请参阅在 Office SharePoint Server 中规划 Web 应用程序的身份验证设置。 |
内容发布 |
将内容从一个域发布到另一个域时,不 需要域之间的信任关系。为了避免对信任关系的需求,请确保使用适当的帐户来发布内容。有关详细信息,请参阅为 Extranet 环境规划安全强化中的“内容发布强化”。 |
有关在 Extranet 环境中配置单向信任关系的详细信息,请参阅为 Extranet 环境规划安全强化。
规划可用性
本文中所描述的 Extranet 拓扑旨在说明:
服务器场在整个网络中所处的位置。
每个服务器角色在 Extranet 环境中的位置。
本文的目的并非帮助您规划需要部署哪些服务器角色或需要对每个角色部署多少个服务器以实现冗余。在确定了您的环境需要多少个服务器场后,可借助以下文章来规划每个服务器场的拓扑:规划冗余 (Office SharePoint Server)。
规划安全强化
设计完 Extranet 拓扑之后,请使用以下资源来规划安全强化:
边缘防火墙拓扑
这种配置在 Internet 和企业网络之间的边界采用反向代理服务器,用来截取请求并将其转发到位于 Intranet 中的适当的 Web 服务器。通过使用一组可配置规则,代理服务器将验证是否已根据发出请求的区域允许了请求的 URL。然后,所请求的 URL 将被转换为内部 URL。下图说明了边缘防火墙拓扑。
.gif "Extranet 场拓扑 - 边缘防火墙")
优点
最简单的解决方案,所需的硬件和配置最少。
整个服务器场都位于企业网络内部。
单个数据点:
数据位于受信任网络内部。
在一个位置进行数据维护。
内部和外部请求使用一个服务器场,这确保所有授权的用户都查看相同的内容。
不通过代理服务器传递内部用户请求。
缺点
- 导致单个防火墙将企业内部网络与 Internet 隔离。
后端到后端外围拓扑
后端到后端外围拓扑将服务器场隔离到单独的外围网络中,如下图所示。
.gif "Office SharePoint Server 网络 - 后端到后端")
这种拓扑具有以下特点:
所有硬件和数据都位于外围网络中。
服务器场角色和网络基础结构服务器可以分别位于多个层。将网络层合并可降低复杂性和成本。
可以通过其他路由器或防火墙分隔每一层,从而确保只允许发自特定层的请求。
可以将来自内部网络的请求指向通过面向内部的 ISA 服务器或通过外围网络的公共接口传送。
图中显示了第 2 层中用作专用服务器的所有应用程序服务器角色。在实际部署中,多个应用程序服务器角色可以驻留在一个应用程序服务器上。另外,通过在第 1 层中的 Web 服务器上部署查询角色(而不是将其部署为第 2 层内的应用程序服务器),可更好地优化某些服务器场。
优点
内容被隔离到 Extranet 上的单个场中,简化了 Intranet 和 Extranet 的内容共享和维护。
外部用户访问被隔离到外围网络。
如果 Extranet 受到威胁,损坏可能仅限于受影响的层或外围网络。
通过使用单独的 Active Directory 基础结构,可以在不影响内部企业目录的情况下创建外部用户帐户。
缺点
- 需要额外的网络基础结构和配置。
带有内容发布功能的后端到后端外围拓扑
这种拓扑在后端到后端外围拓扑中增加了内容发布功能。通过添加内容发布功能,可以将在企业网络内部开发的网站和内容发布到外围网络中的服务器场。
下图显示了带有内容发布功能的后端到后端外围拓扑。
.gif "Office SharePoint Server Extranet 场拓扑")
请注意此拓扑具有以下特点:
需要两个单独的场,分别位于企业网络和外围网络中。
发布是单向的。任何在外围网络中创建或修改的内容都是唯一的。
图中显示了从内容暂存场上的管理中心网站到目标场上的管理中心网站的内容部署路径。管理中心网站通常安装在其中一台应用程序服务器上。图中单独标注了管理中心网站以说明该网站在内容部署中的角色。
优点
将面向客户和面向合作伙伴的内容隔离到单独的外围网络中。
可以自动执行内容发布。
如果外围网络中的内容因 Internet 访问而受到威胁或损坏,企业网络中内容将保持完整。
缺点
需要更多硬件来维护两个单独的场。
数据开销加大。在两个不同的场和网络中维护和协调内容。
外围网络中内容的更改不会反映在企业网络中。因此,将内容发布到外围域并不适用于协作型的 Extranet 网站。
为承载静态内容而优化的后端到后端外围拓扑
在内容为静态或大多为静态的环境中,可以通过实现 IAG 2007 或 ISA Server 2006 的缓存功能来优化性能。除了 Office SharePoint Server 2007 中的缓存功能,还可以配置 IAG 或 ISA 缓存。
例如,ISA 服务器提供以下两种类型的缓存:
正向缓存 正向缓存为向 Internet 提出 Web 请求的内部用户提供缓存的 Web 对象。
反向缓存 反向缓存为外部 Internet 客户端提供缓存的内容,这些客户端向 ISA 服务器发布的内部 Web 服务器提出请求。
有关 ISA 缓存的详细信息,请参阅 ISA Server 2006 中的缓存和 CARP(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=86531&clcid=0x804)(该链接可能指向英文页面)。
只有满足了以下条件,才可以在使用 Office SharePoint Server 2007 缓存以外使用 IAG 或 ISA 缓存:
内容为静态。不使用缓存后替换(在缓存后替换中,不会缓存页面的某些部分)。未修改 URL。
内容为 100% 匿名。
借助 IAG 和 ISA 缓存,您可以通过对 Web 服务器可能出现瓶颈问题的地方改善性能,突破单个场的限制。这使您可以在达到 Web 服务器最大数量时提高性能,或减少所需 Web 服务器的数量。
下图显示用来缓存内容的多个 IAG 或 ISA 服务器。
.gif "Extranet 场拓扑 - 后端到后端发布")
图中显示了以下选项:
查询角色安装在 Web 服务器上。
管理中心网站安装在索引服务器上。
优点
承载静态或接近静态的内容时极大地提高了性能。
减少了 Web 服务器和数据库服务器上的请求数。
提供了一种扩展 Extranet 解决方案的方法。
缺点
- ISA 缓存可以降低具有动态或频繁变化内容的环境中的整体性能。
拆分后端到后端拓扑
这种拓扑将拆分外围网络和企业网络之间的场。运行 Microsoft SQL Server 数据库软件的计算机位于企业网络内部。Web 服务器位于外围网络中。应用程序服务器计算机可以位于外围网络或企业网络中。
.gif "拆分后端到后端的外围网络拓扑")
在上面的图中:
应用程序服务器位于外围网络内。此选项用虚线内的蓝色服务器表示。
可以选择在企业网络内部部署应用程序服务器,与数据库服务器一起。此选项用虚线内的灰色服务器表示。如果在企业网络内部与数据库服务器一起部署应用程序服务器,您还必须具有 Active Directory 环境以支持这些服务器(表示为企业网络内的灰色服务器)。
如果在外围网络和企业网络之间拆分服务器场,并且数据库服务器位于企业网络内,则如果使用 Windows 帐户访问 SQL Server,就需要域信任关系。在这种应用场景下,外围域必须信任企业域。如果使用 SQL 身份验证,则不需要域信任关系。有关为这种拓扑配置帐户的详细信息,请参阅为 Extranet 环境规划安全强化一文中的“域信任关系”。
若要优化搜索性能和爬网,请将应用程序服务器与数据库服务器一起放置在企业网络内。您还可以将 Web 服务器角色添加到企业网络内部的索引服务器,并将该 Web 服务器配置为专供索引服务器进行内容爬网。但是,如果查询角色也位于场中的其他服务器上,则不要将查询角色添加到索引服务器。如果将 Web 服务器放在外围网络中并将应用程序服务器放在企业网络内部,您必须配置一个单向信任关系,其中外围网络域信任企业网络域。这种应用场景下需要此单向信任关系来支持场中的服务器间通信,而不管您是使用 Windows 身份验证还是 SQL 身份验证来访问 SQL Server。
您可以在企业网络内放置一台或多台 Web 服务器以处理内部请求。但这样会将外围网络与企业网络之间的 Web 服务器分开。如果这样做,请确保将 Internet 流量负载平衡到外围网络中的 Web 服务器,将企业网络内的流量单独负载平衡到企业网络内的 Web 服务器。此外,您还必须为每个网络段设置不同的备用访问映射区域和防火墙发布规则。
如果您打算将企业网络内暂存场中的内容发布到为 Extranet 承载内容的数据库服务器(也位于企业网络内),您可以通过在企业网络内部承载应用程序服务器(包括管理中心网站)来优化场,这样做出于以下原因:
内容发布数据流从暂存场上的管理中心网站传输到目标场上的管理中心网站。如果管理中心网站位于企业网络内部,则内容发布数据流不经过外围网络和企业网络之间的防火墙。另一方面,如果管理中心网站位于外围网络内部,则数据流先在两个方向上都经过防火墙,然后才到达目标场的内容数据库。
索引在企业网络内部进行。
下图显示了为内容发布而优化的拆分后端到后端拓扑环境。
.gif "SharePoint Services Extranet 场拓扑")
图中显示了以下选项:
查询角色安装在外围网络中的 Web 服务器上。
应用程序服务器与数据库服务器一起驻留在企业网络中。这需要单向信任关系,其中外围域信任企业域。
生产场的管理中心网站安装在索引服务器上。
Web 服务器角色安装在索引服务器上,并且专用于内容爬网。
优点
运行 SQL Server 的计算机不位于外围网络内部。
企业网络和外围网络中的场组件可以共享相同的数据库。
可以将内容隔离到企业网络内部的单个场中,这样可简化企业网络和外围网络的内容共享和维护。
通过单独的 Active Directory 基础结构,可以在不影响企业内部目录的情况下创建外部用户帐户。
缺点
极大地增加了解决方案的复杂程度。
破坏外围网络资源的入侵者可能通过使用服务器场帐户,访问到企业网络中存储的场内容。
通常在两个域之间拆分服务器场间通信。
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍