Planen des Verstärkens der Sicherheit für Extranetumgebungen (Windows SharePoint Services)

Inhalt dieses Artikels:

• Netzwerktopologie

• Domänenvertrauensstellungen

• Kommunikation mit Serverfarmrollen

• Kommunikation mit Infrastrukturserverrollen

• Active Directory-Kommunikation zwischen Netzwerkdomänen

In diesem Artikel werden die Anforderungen für das Verstärken der Sicherheit in einer Extranetumgebung erläutert, in der eine Windows SharePoint Services 3.0-Serverfarm innerhalb eines Umkreisnetzwerks platziert wird und Websites über das Internet oder über das Firmennetzwerk zur Verfügung gestellt werden.

Netzwerktopologie

Die in diesem Artikel aufgeführten Hinweise zum Verstärken der Sicherheit können auf viele verschiedene Extranetkonfigurationen angewendet werden. Die folgende Abbildung zeigt ein Beispiel für die Implementierung einer Back-to-Back-Umkreisnetzwerktopologie mit den Server- und Clientrollen in einer Extranetumgebung.

Die Abbildung soll jede der möglichen Rollen und ihre Beziehung zur gesamten Umgebung veranschaulichen. Die Website für die SharePoint-Zentraladministration kann entweder auf einem Webserver oder auf dem Suchserver installiert werden (siehe Abbildung). Die abgebildeten Router können durch Firewalls ersetzt werden.

Domänenvertrauensstellungen

Die Notwendigkeit einer Domänenvertrauensstellung hängt von der Konfiguration der Serverfarm ab. In diesem Abschnitt werden zwei mögliche Konfigurationen erläutert.

Die Serverfarm befindet sich im Umkreisnetzwerk

Das Umkreisnetzwerk erfordert eine eigene Infrastruktur und Domäne für den Active Directory-Verzeichnisdienst. Normalerweise sind die Umkreisdomäne und die Firmendomäne nicht so konfiguriert, dass sie einander vertrauen. Für die Authentifizierung von Intranetbenutzern und Mitarbeitern an Remotestandorten, die ihre Domänenanmeldeinformationen verwenden (Windows-Authentifizierung), müssen Sie jedoch eine unidirektionale Vertrauensstellung konfigurieren, damit die Umkreisdomäne der Firmendomäne vertraut. Die Formularauthentifizierung und die Web-SSO erfordern keine Domänenvertrauensstellung.

Die Serverfarm ist zwischen Umkreisnetzwerk und Firmennetzwerk aufgeteilt

Wenn die Serverfarm zwischen dem Umkreis- und dem Firmennetzwerk aufgeteilt ist und sich die Datenbankserver innerhalb des Firmennetzwerks befinden, ist bei Verwendung von Windows-Konten eine Domänenvertrauensstellung erforderlich. In diesem Szenario muss das Umkreisnetzwerk dem Firmennetzwerk vertrauen. Bei Verwendung der SQL-Authentifizierung wird keine Domänenvertrauensstellung benötigt. In der folgenden Tabelle werden die Unterschiede zwischen diesen beiden Ansätzen dargestellt.

	Windows-Authentifizierung	SQL-Authentifizierung
Beschreibung	Firmendomänenkonten werden für alle Dienst- und Verwaltungskonten von Windows SharePoint Services 3.0 einschließlich Anwendungspoolkonten verwendet. Es ist eine unidirektionale Vertrauensstellung erforderlich, bei der das Umkreisnetzwerk dem Firmennetzwerk vertraut.	Windows SharePoint Services 3.0-Konten werden folgendermaßen konfiguriert: Die SQL-Authentifizierung wird für jede erstellte Datenbank verwendet. Alle anderen Verwaltungs- und Dienstkonten werden als Domänenkonten im Umkreisnetzwerk erstellt. Web- und Suchserver werden mit dem Umkreisnetzwerk verbunden. Eine Vertrauensstellung ist nicht erforderlich, kann jedoch zur Unterstützung der Clientauthentifizierung für einen internen Domänencontroller konfiguriert werden. Hinweis Wenn das Firmennetzwerk Suchserver enthält, ist eine unidirektionale Vertrauensstellung erforderlich, bei der das Umkreisnetzwerk dem Firmennetzwerk vertraut.
Setup	Das Setup umfasst Folgendes: Die Verwaltungs- und Dienstkonten von Windows SharePoint Services 3.0 werden in der Firmendomäne erstellt. Web- und Anwendungsserver werden mit dem Umkreisnetzwerk verbunden. Es wird eine Vertrauensstellung eingerichtet, bei der die Umkreisdomäne der Firmendomäne vertraut.	Das Setup umfasst Folgendes: Alle Datenbankkonten müssen in SQL Server 2000 Enterprise Manager oder SQL Server 2005 Management Studio als SQL-Anmeldekonten erstellt werden. Diese Konten müssen *vor* Windows SharePoint Services 3.0-Datenbanken erstellt werden (einschließlich der Konfigurations- und der SharePoint_AdminContent-Datenbank. Zum Erstellen der Konfigurations- und der AdminContent-Datenbank müssen Sie das Befehlszeilentool Psconfig verwenden. Diese Datenbanken können nicht mit dem Konfigurations-Assistenten für SharePoint-Produkte und -Technologien erstellt werden. Das Serverfarmkonto wird mithilfe der Parameter -user und -password angegeben, und zum Angeben der SQL-Authentifizierungskonten werden die Parameter -dbuser und -dbpassword verwendet. Sie können zusätzliche Inhaltsdatenbanken in der Zentraladministration erstellen, indem Sie die Option SQL-Authentifizierung auswählen. Allerdings müssen Sie zuerst die SQL-Anmeldekonten in SQL Server 2000 Enterprise Manager oder SQL Server 2005 Management Studio erstellen. Sichern Sie die gesamte Kommunikation mit den Datenbankservern unter Verwendung von SSL. Stellen Sie sicher, dass die zur Kommunikation mit SQL Server verwendeten Ports zwischen dem Umkreis- und dem Firmennetzwerk geöffnet bleiben.
Zusätzliche Informationen	Die unidirektionale Vertrauensstellung ermöglicht den Web- und Anwendungsservern, die mit den Konten in der Extranetdomäne verbunden sind, Konten in der Firmendomäne aufzulösen.	SQL-Anmeldekonten werden in der Registrierung der Web- und Anwendungsserver verschlüsselt. Der Zugriff auf die Konfigurations- und die SharePoint_AdminContent-Datenbank erfolgt nicht über das Serverfarmkonto. Stattdessen werden die entsprechenden SQL-Anmeldekonten verwendet.

Bei den Angaben in der vorangehenden Tabelle wird Folgendes vorausgesetzt:

• Sowohl die Web- als auch die Anwendungsserver befinden sich im Umkreisnetzwerk.

• Alle Konten werden mit den geringsten erforderlichen Rechten erstellt. Dazu gehören folgende Empfehlungen:

  • Es werden separate Konten für alle Verwaltungs- und Dienstkonten erstellt.

  • Kein Konto ist Mitglied der Administratorgruppe. Dies gilt für alle Computer, einschließlich des Servercomputers, auf dem SQL Server ausgeführt wird.

Weitere Informationen zu Windows SharePoint Services 3.0-Konten finden Sie unter Planen von Administrator- und Dienstkonten (Windows SharePoint Services).

Weitere Informationen zum Erstellen von Datenbanken mithilfe des Befehlszeilentools Psconfig finden Sie unter Befehlszeilenreferenz für den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien (Windows SharePoint Services).

Kommunikation mit Serverfarmrollen

Beim Konfigurieren einer Extranetumgebung ist es wichtig zu verstehen, wie die verschiedenen Serverrollen innerhalb der Serverfarm kommunizieren.

Kommunikation zwischen Serverrollen

Die folgende Abbildung veranschaulicht die Kommunikationskanäle innerhalb einer Serverfarm. In der Tabelle unterhalb der Abbildung werden die in der Abbildung verwendeten Ports und Protokolle beschrieben. Die Pfeile geben an, von welcher Serverrolle die Kommunikation ausgeht. Beispielsweise initiiert der Webserver die Kommunikation mit dem Datenbankserver. Die Kommunikation mit dem Webserver hingegen geht nicht vom Datenbankserver aus. Dieses Wissen ist beim Konfigurieren der ein- und ausgehenden Kommunikation für einen Router oder eine Firewall relevant.

Legende	Ports und Protokolle
1	Clientzugriff (einschließlich der Verwaltung von Informationsrechten (IRM) und Suchabfragen) – mindestens eine der folgenden Einstellungen: TCP-Port 80 TCP/SSL-Port 443 Benutzerdefinierte Ports
2	Datei- und Druckerfreigabe – *Eine* der folgenden Einstellungen: Direkt gehosteter SMB (Server Message Block) (TCP/UDP 445): empfohlene Einstellung NetBIOS über TCP/IP (TCP/UDP-Ports 137, 138, 139): Bei Nichtverwendung deaktivieren!
3	Crawlvorgang der Suche: Je nachdem wie die Authentifizierung konfiguriert ist, werden SharePoint-Websites möglicherweise um eine zusätzliche Zone oder um eine IIS-Site (Internet Information Services) erweitert, damit die Indexkomponente auf den Inhalt zugreifen kann. Diese Konfiguration kann dazu führen, dass benutzerdefinierte Ports verwendet werden. TCP-Port 80 TCP/SSL-Port (Secure Sockets Layer) 443 Benutzerdefinierte Ports
4	Datenbankkommunikation: TCP/SSL-Port 1433 (Standard) für die Standardinstanz (anpassbar) Willkürlich gewählter TCP/SSL-Port für benannte Instanzen (anpassbar)

Kommunikation zwischen Administratorarbeitsstationen und Zentraladministration

Die Website für die SharePoint-Zentraladministration kann auf einem beliebigen Webserver oder auf dem Suchserver installiert werden. Über die Website für die SharePoint-Zentraladministration vorgenommene Konfigurationsänderungen werden an die Konfigurationsdatenbank übermittelt. Andere Serverrollen in der Farm kopieren in der Konfigurationsdatenbank registrierte Konfigurationsänderungen im Rahmen ihrer Abrufzyklen. Aus diesem Grund führt die Website für die SharePoint-Zentraladministration keine neuen Kommunikationsanforderungen für andere Serverrollen in der Serverfarm ein. Je nachdem, auf welchem Server die Website für die SharePoint-Zentraladministration bereitgestellt wird, muss jedoch der Zugriff von Administratorarbeitsstationen aktiviert werden.

Die folgende Abbildung enthält die Kommunikation einer Administratorarbeitsstation mit der Website für die SharePoint-Zentraladministration und der Konfigurationsdatenbank.

Die folgende Tabelle beschreibt die Ports und Protokolle, die für Kommunikation zur und von der Website für die SharePoint-Zentraladministration erforderlich sind.

Legende	Ports und Protokolle
1	Website für die SharePoint-Zentraladministration – mindestens eine der folgenden Einstellungen: TCP-Port 80 TCP/SSL-Port 443 Benutzerdefinierte Ports
4	Datenbankkommunikation: TCP/SSL-Port 1433 (Standard) für die Standardinstanz (anpassbar) Willkürlich gewählter TCP/SSL-Port für benannte Instanzen (anpassbar)

Kommunikation mit Infrastrukturserverrollen

Beim Konfigurieren einer Extranetumgebung ist es wichtig zu verstehen, wie die verschiedenen Serverrollen zwischen den Servercomputern innerhalb der Infrastruktur kommunizieren.

Active Directory-Domänencontroller

In der folgenden Tabelle sind die Portanforderungen für eingehende Verbindungen zwischen den einzelnen Serverrollen und einem Active Directory-Domänencontroller aufgeführt.

Element	Webserver	Such-server	Datenbankserver
TCP/UDP 445 (Verzeichnisdienste)	X	X	X
TCP/UDP 88 (Kerberos-Authentifizierung)	X	X	X
Standardmäßig LDAP/LDAPS-Ports 389/636 (Lightweight Directory Access-Protokoll), anpassbar	X

Die Webserver erfordern die Verwendung von LDAP/LDAPS-Ports nur, wenn die LDAP-Authentifizierung konfiguriert ist.

DNS-Server

In der folgenden Tabelle sind die Portanforderungen für eingehende Verbindungen zwischen den einzelnen Serverrollen und einem DNS-Server aufgeführt. In vielen Extranetumgebungen dient ein einzelner Servercomputer als Host für den Active Directory-Domänencontroller und den DNS-Server.

Element	Webserver	Suchserver	Datenbankserver
DNS, TCP/UDP 53	X	X	X

SMTP-Dienst

Für die E-Mail-Integration muss auf mindestens einem der Front-End-Webserver in der Serverfarm der SMTP-Dienst (Simple Mail Transport-Protokoll) unter Verwendung des TCP-Ports 25 verwendet werden. Der SMTP-Dienst ist für die eingehende E-Mail-Kommunikation (eingehende Verbindungen) erforderlich. Für ausgehende E-Mail-Nachrichten können Sie entweder den SMTP-Dienst verwenden oder die Nachrichten über einen dedizierten E-Mail-Server in Ihrem Unternehmen weiterleiten, z. B. einen Computer mit Microsoft Exchange Server.

Element	Webserver	Suchserver	Datenbankserver
TCP-Port 25	X

Active Directory-Kommunikation zwischen Netzwerkdomänen

Damit die Active Directory-Kommunikation zwischen Domänen die Authentifizierung für einen Domänencontroller innerhalb des Firmennetzwerks unterstützt, muss mindestens eine unidirektionale Vertrauensstellung bestehen, bei der das Umkreisnetzwerk dem Firmennetzwerk vertraut.

Im Beispiel in der ersten Abbildung in diesem Artikel sind die folgenden Ports als eingehende Verbindungen zu ISA-Server B erforderlich, damit eine unidirektionale Vertrauensstellung unterstützt wird:

• TCP/UDP 135 (RPC)

• Standardmäßig TCP/UDP 389, anpassbar (LDAP)

• Standardmäßig TCP 636, anpassbar (LDAP SSL)

• TCP 3268 (LDAP GC)

• TCP 3269 (LDAP GC SSL)

• TCP/UDP 53 (DNS)

• TCP/UDP 88 (Kerberos)

• TCP/UDP 445 (Verzeichnisdienste)

• TCP/UDP 749 (Kerberos-Adm)

• TCP port 750 (Kerberos-IV)

Beim Konfigurieren des ISA-Servers B (oder eines anderen Geräts zwischen dem Umkreis- und dem Firmennetzwerk) muss für die Netzwerkbeziehung die Weiterleitung definiert sein. Definieren Sie die Netzwerkbeziehung nicht als Netzwerkadressübersetzung (Network Address Translation, NAT).

Weitere Informationen zu Anforderungen zum Verstärken der Sicherheit in Bezug auf Vertrauensstellungen finden Sie in den folgenden Ressourcen:

• Konfigurieren einer Firewall für Domänen und Vertrauensstellungen (https://go.microsoft.com/fwlink/?linkid=83470&clcid=0x407).

• Active Directory in durch Firewalls segmentierten Netzwerken (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x407)

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

• Planung und Architektur für Windows SharePoint Services 3.0, Teil 2 (in englischer Sprache)

• Planen einer Extranetumgebung für Windows SharePoint Services (in englischer Sprache)

• Sicherheit für Windows SharePoint Services 3.0 (in englischer Sprache)

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services (in englischer Sprache).