規劃外部網路環境的安全性堅固

發行項
06/12/2012

本文內容：

外部網路強化規劃工具
網路拓撲
網域信任關聯
與伺服器陣列角色的通訊
與基礎結構伺服器角色的通訊
支援文件轉換的需求
網路網域之間的通訊
外部伺服器連線

本文詳述外部網路環境的強化需求，在此環境中，Microsoft Office SharePoint Server 2007 伺服器陣列位在周邊網路內，且內容來自網際網路或公司網路。

如需所支援之外部網路拓撲的詳細資訊，請參閱＜設計外部網路伺服器陣列拓撲 (Office SharePoint Server)＞。

外部網路強化規劃工具

下列規劃工具可以與本文搭配使用：外部網路強化規劃工具：後端對後端周邊 (英文) (https://go.microsoft.com/fwlink/?linkid=85533&clcid=0x404) 。根據後端對後端周邊拓撲，此工具會將每部執行 Microsoft Internet Security and Acceleration (ISA) Server 的電腦和每部路由器或防火牆的連接埠需求相連結。此工具是可以針對您環境修訂的可編輯之 Microsoft Office Visio 檔案。例如，您可以：

視情況新增自訂連接埠號碼。
提供通訊協定或連接埠的選擇時，指出將使用的連接埠。
指出用於環境中資料庫通訊的特定連接埠。
新增或移除連接埠的需求，其根據為：
- 是否設定電子郵件整合。
- 部署查詢角色所在的層級。
- 設定周邊網域與公司網域之間的網域信任關聯。

如果您想要查看其他所支援之外部網路拓撲的額外規劃工具，請在本文送出意見。

網路拓撲

本文的強化準則適用於許多不同的外部網路設定。下列後端對後端周邊網路拓撲圖會顯示實作範例，並說明跨外部網路環境的伺服器和用戶端角色。本圖的目的是連接每個「可能」**角色，以及它們與整體環境的關聯。因此，查詢角色會出現兩次。在實際實作中，查詢角色會部署在網頁伺服器上，或部署為應用程式伺服器，但不會同時部署為兩者。而且，如果查詢角色已部署至網頁伺服器，就會部署至伺服器陣列中的所有網頁伺服器。基於通訊安全性強化需求，本圖說明所有選項。說明的路由器可以針對防火牆進行交換。

外部網路安全性加強圖表

網域信任關聯

網域信任關聯的需求取決於伺服器陣列的設定方式。本節討論兩種可能的設定。

伺服器陣列位在周邊網路中

周邊網路需要它自己的 Active Directory 目錄服務基礎結構和網域。通常，周邊網域和公司網路不會設定成彼此信任。不過，若要驗證內部網路使用者以及使用其網域認證 (Windows 驗證) 的遠端員工，則必須設定周邊網域信任公司網域的單向信任關聯。表單驗證和 Web SSO 則不需要網域信任關聯。

伺服器陣列在周邊網路與公司網路之間進行分割

如果伺服器陣列在周邊網路與公司網路 (資料庫伺服器位在此公司網路內) 之間進行分割，則在使用 Windows 帳戶時需要網域信任關聯。在此情況下，周邊網路必須信任公司網路。如果使用 SQL 驗證，則不需要網域信任關聯。下表摘要說明這兩種方式的差異。

	Windows 驗證	SQL 驗證
描述	公司網域帳戶會用於所有 Office SharePoint Server 2007 服務和管理帳戶 (包括應用程式集區帳戶)。需要周邊網路信任公司網路的單向信任關聯。	Office SharePoint Server 2007 帳戶使用下列方法進行設定： SQL 驗證用於每個建立的資料庫。其他所有管理和服務帳戶都會建立為周邊網路中的網域帳戶。網頁伺服器和應用程式伺服器會加入周邊網路。信任關聯並不是必要項目，但可以設定為根據內部網域控制站支援用戶端驗證。注意如果應用程式伺服器位在公司網域內，則需要周邊網路信任公司網路的單向信任關聯。
設定	設定包括下列項目：在公司網路中建立 Office SharePoint Server 2007 管理和服務帳戶。網頁伺服器和應用程式伺服器會加入周邊網路。建立周邊網域信任公司網路的信任關聯。	設定包括下列項目：所有資料庫帳戶必須建立為 SQL Server 2000 Enterprise Manager 或 SQL Server 2005 Management Studio 中的 SQL 登入帳戶。在建立任何 Office SharePoint Server 2007 資料庫 (包括設定資料庫和 AdminContent 資料庫)「之前」，必須建立這些帳戶。您必須使用 Psconfig 命令列工具來建立設定資料庫和 SharePoint_AdminContent 資料庫。但不能使用 SharePoint 產品及技術設定精靈來建立這些資料庫。除了使用 -user 和 -password 參數指定伺服器陣列帳戶之外，還必須使用 -dbuser 和 -dbpassword** 參數來指定 SQL 驗證帳戶。您可以選取 [SQL 驗證] 選項，以在管理中心內建立其他內容資料庫。不過，您必須先在 SQL Server 2000 Enterprise Manager 或 SQL Server 2005 Management Studio 中建立 SQL 登入帳戶。使用 SSL 保護與資料庫伺服器的所有通訊安全。確保周邊網路與公司網路之間持續開啟用於與 SQL Server 之通訊的連接埠
其他資訊	單向信任關聯允許加入外部網路網域的網頁伺服器和應用程式伺服器，可解析公司網域中的帳戶。	SQL 登入帳戶在網頁伺服器和應用程式伺服器的登錄中會加密。伺服器陣列帳戶不會用來存取設定資料庫和 SharePoint_AdminContent 資料庫。請改用對應的 SQL 登入帳戶。

描述

公司網域帳戶會用於所有 Office SharePoint Server 2007 服務和管理帳戶 (包括應用程式集區帳戶)。

需要周邊網路信任公司網路的單向信任關聯。

Office SharePoint Server 2007 帳戶使用下列方法進行設定：

SQL 驗證用於每個建立的資料庫。
其他所有管理和服務帳戶都會建立為周邊網路中的網域帳戶。
網頁伺服器和應用程式伺服器會加入周邊網路。

信任關聯並不是必要項目，但可以設定為根據內部網域控制站支援用戶端驗證。

注意

如果應用程式伺服器位在公司網域內，則需要周邊網路信任公司網路的單向信任關聯。

設定

設定包括下列項目：

在公司網路中建立 Office SharePoint Server 2007 管理和服務帳戶。
網頁伺服器和應用程式伺服器會加入周邊網路。
建立周邊網域信任公司網路的信任關聯。

設定包括下列項目：

所有資料庫帳戶必須建立為 SQL Server 2000 Enterprise Manager 或 SQL Server 2005 Management Studio 中的 SQL 登入帳戶。在建立任何 Office SharePoint Server 2007 資料庫 (包括設定資料庫和 AdminContent 資料庫)「之前」**，必須建立這些帳戶。
您必須使用 Psconfig 命令列工具來建立設定資料庫和 SharePoint_AdminContent 資料庫。但不能使用 SharePoint 產品及技術設定精靈來建立這些資料庫。除了使用 -user 和 -password 參數指定伺服器陣列帳戶之外，還必須使用 -dbuser 和 -dbpassword 參數來指定 SQL 驗證帳戶。
您可以選取 [SQL 驗證] 選項，以在管理中心內建立其他內容資料庫。不過，您必須先在 SQL Server 2000 Enterprise Manager 或 SQL Server 2005 Management Studio 中建立 SQL 登入帳戶。
使用 SSL 保護與資料庫伺服器的所有通訊安全。
確保周邊網路與公司網路之間持續開啟用於與 SQL Server 之通訊的連接埠

其他資訊

單向信任關聯允許加入外部網路網域的網頁伺服器和應用程式伺服器，可解析公司網域中的帳戶。

SQL 登入帳戶在網頁伺服器和應用程式伺服器的登錄中會加密。
伺服器陣列帳戶不會用來存取設定資料庫和 SharePoint_AdminContent 資料庫。請改用對應的 SQL 登入帳戶。

上一張表格中的資訊假設下列項目：

網頁伺服器和應用程式伺服器皆位於周邊網路中。
建立的所有帳戶都具有必要的最低權限 (包括下列建議)：
- 為所有系統管理和服務帳戶建立不同的帳戶。
- 沒有帳戶是任何電腦上的管理員群組成員 (包括主控 SQL Server 的伺服器電腦)。

如果您使用 SQL 驗證，則必須建立具有下列權限的以下 SQL 登入：

用來執行 Psconfig 命令列工具之帳戶的 SQL 登入 帳戶必須是下列 SQL 角色的成員：dbcreator 和 securityadmin。帳戶必須是每部執行安裝程式之伺服器 (不是資料庫伺服器) 的管理員群組成員。
伺服器陣列帳戶的 SQL 登入 此登入可用來建立設定資料庫和 SharePoint_AdminContent 資料庫。此登入必須包括 dbcreator 角色，但不需要是 securityadmin 角色的成員。此登入必須使用 SQL 驗證予以建立。請設定伺服器陣列帳戶在使用 SQL 驗證時，使用建立 SQL 登入時所指定的密碼。
其他所有資料庫的 SQL 登入 此登入必須使用 SQL 驗證予以建立，也必須是下列 SQL 角色的成員：dbcreator 和 securityadmin。

如需 Office SharePoint Server 2007 帳戶的詳細資訊，請參閱＜規劃管理者帳戶和服務帳戶 (Office SharePoint Server)＞。

如需使用 Psconfig 命令列工具建立資料庫的詳細資訊，請參閱＜SharePoint 產品及技術設定精靈的命令列參照 (Office SharePoint Server)＞。

與伺服器陣列角色的通訊

設定外部網路環境時，務必要瞭解伺服器陣列內各種伺服器角色的通訊方式。

伺服器角色之間的通訊

下圖說明伺服器陣列內的通訊通道。而緊接在本圖後的表格則會指出本圖中所呈現的連接埠和通訊協定。黑色實心箭號指出啟動通訊的伺服器角色。例如，Excel Calculation Services 角色啟動了與資料庫伺服器的通訊。而資料庫伺服器並不會啟動與 Excel Calculation Services 角色的通訊。紅色虛線箭號指出是由任一伺服器啟動通訊。在設定防火牆的傳入和傳出通訊時必須知道上述資訊。

伺服器陣列之間的伺服器通訊

圖說文字	連接埠和通訊協定
1	用戶端存取 (包括資訊版權管理 (IRM) 和搜尋查詢)，下列一或多項： TCP 連接埠 80 TCP 連接埠 443 (SSL) 自訂連接埠
2	檔案和印表機共用服務 - 下列「任一項」**：直接主控的伺服器訊息區塊 (SMB) (TCP/UDP 445) - 建議 NetBIOS over TCP/IP (TCP/UDP 連接埠 137、138、139) - 若未用請停用
3	Office Server Web Services - 下列兩者**： TCP 連接埠 56737 TCP 56738 (SSL)
4	資料庫通訊：預設執行個體的 TCP/SSL 連接埠 1433 (預設值) (可自訂) 具名執行個體的 TCP/SSL 隨機連接埠 (可自訂)
5	搜尋編目 - 根據驗證的設定方式，SharePoint 網站可能會擴充一個額外區域或網際網路資訊服務 (IIS) 網站，以確保索引元件可以存取內容。這個設定可產生自訂連接埠。 TCP 80 TCP 443 (SSL) 自訂連接埠
6	單一登入服務 - 任何執行 SSO 服務的伺服器角色，都必須可以使用遠端程序呼叫 (RPC) 來與加密金鑰伺服器進行通訊。這包括所有網頁伺服器、Excel Calculation Services 角色和索引角色。此外，如果查詢伺服器上已安裝自訂安全性修剪器，而且這個安全性修剪器需要存取 SSO 資料，則 SSO 服務也會以這個伺服器角色執行。 RPC 需要 TCP 連接埠 135 和下列任一項**：靜態 RPC - 限制的高連接埠 (建議) 動態 RPC - 1024–65535/TCP 範圍內的隨機高連接埠如需加密金鑰伺服器以及哪些伺服器角色需要 SSO 服務的詳細資訊，請參閱＜規劃單一登入＞。

網頁伺服器會將查詢要求自動負載平衡至可用的查詢伺服器。因此，如果跨網頁伺服器電腦部署查詢角色，則這些伺服器會使用「檔案及印表機共用」服務和 Office Server Web 服務彼此通訊。下圖說明這些伺服器之間的通訊通道。

查詢伺服器的網頁伺服器

系統管理網站與伺服器角色之間的通訊

系統管理網站包括：

管理中心網站 這個網站可以安裝在應用程式伺服器或網頁伺服器上。
共用服務管理網站 這些網站會跨網頁伺服器鏡像。

本節詳述管理員工作站與伺服器陣列內伺服器角色之間通訊的連接埠與通訊協定需求。管理中心網站可以安裝在任何網頁伺服器或應用程式伺服器上。透過管理中心網站進行的設定變更會傳送至設定資料庫。伺服器陣列中的其他伺服器角色，會取得在其輪詢循環期間於設定資料庫中登錄的設定變更。因此，管理中心網站不會對伺服器陣列中的其他伺服器角色引進任何新的通訊需求。

下圖說明從管理員工作站到系統管理網站以及設定資料庫的通訊通道。

管理員網站管理拓撲

下表說明上圖所說明的連接埠和通訊協定。

圖說文字	連接埠和通訊協定
A	共用服務管理網站 - 下列其中一或多項： TCP 80 TCP 443 (SSL) 自訂連接埠
B	管理中心網站 - 下列其中一或多項： TCP 80 TCP 443 (SSL) 自訂連接埠
C	資料庫通訊：預設執行個體的 TCP/SSL 連接埠 1433 (預設值) (可自訂) 具名執行個體的 TCP/SSL 隨機連接埠 (可自訂)

共用服務管理網站 - 下列其中一或多項：

TCP 80
TCP 443 (SSL)
自訂連接埠

管理中心網站 - 下列其中一或多項：

TCP 80
TCP 443 (SSL)
自訂連接埠

資料庫通訊：

預設執行個體的 TCP/SSL 連接埠 1433 (預設值) (可自訂)
具名執行個體的 TCP/SSL 隨機連接埠 (可自訂)

與基礎結構伺服器角色的通訊

設定外部網路環境時，務必要瞭解基礎結構伺服器電腦內各種伺服器角色的通訊方式。

Active Directory 網域控制站

下表列出從每部伺服器角色到 Active Directory 網域控制站之傳入連線的連接埠需求。

項目	網頁伺服器	查詢伺服器	索引伺服器	Excel Calculation Services	資料庫伺服器
TCP/UDP 445 (目錄服務)	X	X	X	X	X
TCP/UDP 88 (Kerberos 驗證)	X	X	X	X	X
輕量型目錄存取通訊協定 (LDAP)/LDAPS 連接埠 389/636 (預設值，可自訂)	X		X	X

根據下列條件，伺服器角色需要有 LDAP/LDAPS 連接埠：

網頁伺服器 如果設定 LDAP 驗證，請使用 LDAP/LDAPS 連接埠。
索引伺服器 角色需要 LDAP/LDAPS 連接埠，以從設定為設定檔匯入來源的網域控制站 (不論其所在位置) 匯入設定檔。
Excel Calculation Services 只有在資料來源連線設定成使用 LDAP 進行驗證時，才使用 LDAP/LDAPS 連接埠。

DNS 伺服器

下表列出從每部伺服器角色到網域名稱系統 (DNS) 伺服器之傳入連線的連接埠需求。在許多外部網路環境中，一部伺服器電腦可以同時主控 Active Directory 網域控制站和 DNS 伺服器。

項目	網頁伺服器	查詢伺服器	索引伺服器	Excel Calculation Services	資料庫伺服器
DNS、TCP/UDP 53	X	X	X	X	X

SMTP 服務

電子郵件整合至少需要在伺服器陣列的一部前端網頁伺服器上，使用利用 TCP 連接埠 25 的簡易郵件傳送通訊協定 (SMTP) 服務。內送電子郵件需要有 SMTP 服務 (傳入連線)。如果是外寄電子郵件，則可以使用 SMTP 服務或透過組織的專用電子郵件伺服器 (如執行 Microsoft Exchange Server 的電腦)，路由外寄電子郵件。

項目	網頁伺服器	查詢伺服器	索引伺服器	Excel Calculation Services	資料庫伺服器
TCP 連接埠 25	X

支援文件轉換的需求

如果您在伺服器上使用文件轉換程式，則必須在應用程式伺服器上安裝和啟動下列服務：

文件轉換啟動器服務
文件轉換負載平衡器服務

通常，這些服務會安裝在相同的應用程式伺服器上，也可能會安裝在不同的應用程式伺服器上 (視最適合您需求的拓撲而定)。這些服務也可以視需要安裝在一或多部網頁伺服器上。如果這些服務安裝在不同的伺服器上，則這些不同伺服器之間的通訊必須啟用這些服務才能彼此通訊。

下表列出這些服務的連接埠和通訊協定需求。這些需求不適用於伺服器陣列中未安裝這些服務的伺服器角色。

服務	需求
文件轉換啟動器服務	TCP 連接埠 8082 (可針對 TCP 或 SSL 進行自訂)。
文件轉換負載平衡器服務	TCP 連接埠 8093 (可針對 TCP 或 SSL 進行自訂)。

如需如何在伺服器陣列中設定這些服務的資訊，請參閱＜設計文件轉換拓撲＞。

網路網域之間的通訊

Active Directory 通訊

支援向公司網路內網域控制站進行驗證之網域間的 Active Directory 通訊，至少需要周邊網路信任公司網路的單向信任關聯。

在本文第一張圖說明的範例中，到 ISA Server B 的傳入連線支援單向信任關聯時，需要下列連接埠：

TCP/UDP 135 (RPC)
TCP/UDP 389 (預設值，可自訂) (LDAP)
TCP 636 (預設值，可自訂) (LDAP SSL)
TCP 3268 (LDAP GC)
TCP 3269 (LDAP GC SSL)
TCP/UDP 53 (DNS)
TCP/UDP 88 (Kerberos)
TCP/UDP 445 (目錄服務)
TCP/UDP 749 (Kerberos-Adm)
TCP 連接埠 750 (Kerberos-IV)

設定 ISA Server B (或周邊網路與公司網路之間的替代裝置) 時，必須將網路關聯定義為路由傳送。請勿將網路關聯定義為網路位址轉譯 (NAT)。

如需與信任關聯相關之安全性強化需求的詳細資訊，請參閱下列資源：

內容發佈強化

內容發佈需要來源伺服器陣列上管理中心網站與目的地伺服器陣列上管理中心網站之間的單向通訊。強化需求如下：

用於目的地伺服器陣列上管理中心網站的連接埠號碼。
從來源伺服器陣列的 TCP 80 或 443 傳出 (適用於簡單物件存取通訊協定 (SOAP) 和 HTTP Post)。

當您在來源伺服器陣列上設定內容部署時，請指定用來對目的地伺服器陣列進行驗證的帳戶。不需要網域之間的信任關聯，就可以將內容從某個網域發佈至另一個網域。不過，有下列兩種帳戶選項可用來部署內容，而其中一項需要網域信任關聯：

如果來源伺服器陣列的應用程式集區帳戶具有目的地伺服器陣列上管理中心的權限，請選取[使用應用程式集區帳戶]**** 選項。這需要目的地伺服器陣列之網域信任來源伺服器陣列之網域的單向信任關聯。
您可以手動指定帳戶，而不要使用來源應用程式集區帳戶。在此情況下，帳戶不需要存在於來源伺服器陣列的網路網域中。通常，在目的地伺服器陣列中，此帳戶是唯一的。此帳戶可以使用整合式 Windows 驗證或基本驗證進行驗證。

外部伺服器連線

Office SharePoint Server 2007 中有數項功能，可設定為存取位於伺服器陣列外之伺服器電腦上的資料。如果您設定存取外部伺服器電腦上的資料，請確定啟用適當電腦之間的通訊。在大多數情況下，使用的連接埠、通訊協定及服務會視外部資源而定。例如：

檔案共用的連線會使用檔案及印表機共用服務。
外部 SQL Server 資料庫的連線會使用預設或自訂的連接埠來進行 SQL Server 通訊。
Oracle 的連線一般使用 OLE DB。
Web 服務的連線使用 HTTP 和 HTTPS。

下表列出的功能可用來存取位於伺服器陣列外之伺服器電腦中的資料。

功能	描述
內容編目	您可以將編目規則設定為對位於外部資源上的資料進行編目，這些外部資源包含網站、檔案共用、Exchange 公用資料夾及商務資料應用程式。在編目外部資料來源時，索引角色會直接與這些外部資源通訊。如需詳細資訊，請參閱＜規劃編目內容 (Office SharePoint Server)＞。
商務資料目錄連線	網頁伺服器及應用程式伺服器會直接與設定商務資料目錄連線的電腦通訊。如需詳細資訊，請參閱＜規劃商務資料與商務資料目錄的連線＞。
接收 Microsoft Office Excel 活頁簿	如果 Excel Services 上開啟的活頁簿連接至任何外部資料來源 (例如 Analysis Services 和 SQL Server)，則需要開啟適當的 TCP/IP 連接埠，才能連接至這些外部資料來源。如需詳細資訊，請參閱＜規劃 Excel Services 的外部資料連線＞。如果通用命名慣例 (UNC) 路徑在 Excel Services 中設定為信任的位置，Excel Calculation Services 應用程式角色便會使用「檔案及印表機共用」服務所使用的通訊協定及連接埠，透過 UNC 路徑接收 Office Excel 活頁簿。儲存在內容資料庫內的活頁簿，或使用者從網站上載或下載的活頁簿，都不會受到這個通訊的影響。

內容編目

您可以將編目規則設定為對位於外部資源上的資料進行編目，這些外部資源包含網站、檔案共用、Exchange 公用資料夾及商務資料應用程式。在編目外部資料來源時，索引角色會直接與這些外部資源通訊。

如需詳細資訊，請參閱＜規劃編目內容 (Office SharePoint Server)＞。

商務資料目錄連線

網頁伺服器及應用程式伺服器會直接與設定商務資料目錄連線的電腦通訊。

如需詳細資訊，請參閱＜規劃商務資料與商務資料目錄的連線＞。

接收 Microsoft Office Excel 活頁簿

如果 Excel Services 上開啟的活頁簿連接至任何外部資料來源 (例如 Analysis Services 和 SQL Server)，則需要開啟適當的 TCP/IP 連接埠，才能連接至這些外部資料來源。如需詳細資訊，請參閱＜規劃 Excel Services 的外部資料連線＞。

如果通用命名慣例 (UNC) 路徑在 Excel Services 中設定為信任的位置，Excel Calculation Services 應用程式角色便會使用「檔案及印表機共用」服務所使用的通訊協定及連接埠，透過 UNC 路徑接收 Office Excel 活頁簿。

儲存在內容資料庫內的活頁簿，或使用者從網站上載或下載的活頁簿，都不會受到這個通訊的影響。

下載本書

本主題隨附於下列可下載的叢書中，以便於閱讀與列印：

請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單