伺服器陣列的安全性考量 (FAST Search Server 2010 for SharePoint)
適用版本: FAST Search Server 2010
上次修改主題的時間: 2011-01-21
在規劃 Microsoft FAST Search Server 2010 for SharePoint 系統時,請考量下列伺服器陣列安全性問題:
憑證
FAST Search Server 伺服器陣列與 SharePoint 伺服器陣列之間的通訊
保護管理介面
保護伺服器陣列中的通訊
Proxy 設定
防毒設定
必要的使用者帳戶
使用者驗證
如需 FAST Search Server 2010 for SharePoint 專屬的項目層級安全性調整,請參閱<編製索引時的安全性考量 (FAST Search Server 2010 for SharePoint)>。
憑證
FAST Search Server 2010 for SharePoint 會將憑證用於:
驗證及加密
FAST Search Server 2010 for SharePoint 與 Microsoft SharePoint Server 之間的 Secure Sockets Layer (SSL) 通訊
多伺服器 FAST Search Server 2010 for SharePoint 環境中伺服器之間的通訊
FAST Search Server 2010 for SharePoint 系統中的每部伺服器最多可以有三個憑證,以滿足下列功能:
一般用途 FAST Search 憑證:用於內部通訊、管理服務及提供資料給 SharePoint Server。一般用途 FAST Search 憑證也必須要有密碼保護。您將會在 FAST Search Server 2010 for SharePoint 部署期間選擇密碼。
宣告憑證:啟用從 SharePoint Server 搜尋應用程式至 FAST Search Server 2010 for SharePoint 的查詢
伺服器特有憑證:例如,協助保護使用 HTTPS 的查詢流量 (選用)
重要
當您安裝 FAST Search Server 2010 for SharePoint 時,會建立自我簽署憑證。此預設一般用途憑證的效期為一年,而且僅適用於測試環境。在實際執行環境中,您應將自我簽署憑證更換成一般憑證授權單位簽署的憑證。如需詳細資訊,請參閱<管理憑證 (FAST Search Server 2010 for SharePoint)>。
FAST Search Server 伺服器陣列與 SharePoint 伺服器陣列之間的通訊
FAST Search Server 2010 for SharePoint 伺服器陣列中的所有內部通訊,都是使用網際網路通訊協定安全性 (IPsec)。您可以在 <FASTSearchFolder>\Install_Info.txt 檔 (其中 <FAST Search 資料夾> 是安裝 FAST Search Server 2010 for SharePoint 的資料夾路徑,例如 C:\FASTSearch) 中,找到在 FAST Search Server 2010 for SharePoint 伺服器陣列與 Search Service 應用程式 (SSA) 之間通訊所需之開放式連接埠及通訊協定的詳細資料。
根據預設,從 FAST Search 查詢 Search Service 應用程式 (SSA) 到 FAST Search Server 2010 for SharePoint 伺服器陣列的所有查詢流量,都是透過 HTTP 進行傳送。這種非加密資訊傳送得比 HTTPS 快。然而,若要為機密內容的查詢提供較高的安全性,您可以啟用採用 SSL 憑證的 HTTPS 通訊通道。如需詳細資訊,請參閱<啟用 Microsoft SharePoint Server 的查詢 (FAST Search Server 2010 for SharePoint)>。
保護管理介面
根據預設,設定 FAST Search Server 2010 for SharePoint 的管理服務會搭配 HTTP 使用 Windows Communication Foundation (WCF)。若要提供較多的保護,您可以為此流量使用 HTTPS。如需詳細資訊,請參閱<啟用 HTTPS 上的管理服務 (FAST Search Server 2010 for SharePoint)>。
管理介面 (例如「新增首選」) 的預設驗證會使用獨創的 NTLM。如果您想要其他層級的安全性,可以將此變更為 Kerberos 驗證。如需詳細資訊,請參閱<規劃 Kerberos 驗證 (SharePoint Server 2010)>。
保護伺服器陣列中的通訊
根據預設,FAST Search Server 2010 for SharePoint 伺服器陣列中的所有內部通訊,都是使用「無」加密的網際網路通訊協定安全性 (IPsec)。為協助保護機密內容,您可以在內部介面上啟用 IPsec 加密。
Proxy 設定
HTTP 通訊用於多伺服器 FAST Search Server 2010 for SharePoint 伺服器陣列中,以及從 FAST Search 查詢 Search Service 應用程式 (SSA) 到 FAST Search Server 2010 for SharePoint 伺服器陣列的查詢流量之間。所有伺服器之間都必須啟用 HTTP 通訊,而每部伺服器上的網路 Proxy 設定都必須正確設定。如需詳細資訊,請參閱<檢閱硬體及軟體需求 (FAST Search Server 2010 for SharePoint)>。
防毒設定
當您在已安裝防毒軟體的伺服器上安裝 FAST Search Server 2010 for SharePoint 時,應排除病毒掃描 <FAST Search 資料夾> 目錄。如需詳細資訊,請參閱<檢閱硬體及軟體需求 (FAST Search Server 2010 for SharePoint)>。
必要的使用者帳戶
FAST Search Server 2010 for SharePoint 的多伺服器安裝需要特定使用者帳戶的憑證,才可安裝、管理及操作 FAST Search Server 2010 for SharePoint。請規劃下列權限:
執行必要條件安裝程式及 FAST Search Server 2010 for SharePoint 安裝程式的使用者,必須是管理員群組成員。
經驗證的網域使用者必須執行 FAST Search Server 2010 for SharePoint。此使用者不應該是本機系統管理員或網站管理員。
FAST Search Server 2010 for SharePoint 使用者必須要有 Microsoft SQL Server 的 dbcreator 權限,才可存取 FAST Search Server 2010 for SharePoint 管理資料庫。如需詳細資訊,請參閱<設定獨立部署或多部伺服器部署 (FAST Search Server 2010 for SharePoint)>。
如需詳細資訊,請參閱<檢閱硬體及軟體需求 (FAST Search Server 2010 for SharePoint)>。
使用者驗證
FAST Search Authorization (FSA) 藉由實作安全性調整為 FAST Search Server 2010 for SharePoint 系統提供項目層級安全性。然而,FSA 並不會驗證使用者。驗證是由 SharePoint Server 搜尋前端執行。如需詳細資訊,請參閱<規劃驗證方法 (SharePoint Server 2010)>。
See Also
Concepts
編製索引時的安全性考量 (FAST Search Server 2010 for SharePoint)
管理憑證 (FAST Search Server 2010 for SharePoint)
啟用 Microsoft SharePoint Server 的查詢 (FAST Search Server 2010 for SharePoint)
啟用 HTTPS 上的管理服務 (FAST Search Server 2010 for SharePoint)
檢閱硬體及軟體需求 (FAST Search Server 2010 for SharePoint)
設定獨立部署或多部伺服器部署 (FAST Search Server 2010 for SharePoint)