为 Extranet 环境规划安全强化措施 (Windows SharePoint Services)
本文内容:
网络拓扑
域信任关系
与服务器场角色的通信
与基础结构服务器角色的通信
网络域之间的 Active Directory 通信
本文详细介绍这样一种 Extranet 环境的强化要求:Windows SharePoint Services 3.0 服务器场放在外围网络中,并且可从 Internet 或企业网络访问网站。
网络拓扑
本文中的强化指南可以应用到许多不同的 Extranet 配置。下图展示一个后端到后端外围网络拓扑的实现示例,以说明 Extranet 环境中的服务器和客户端角色。
此图旨在表达清楚每个可能的角色以及它们与整体环境的关系。“管理中心”网站可安装到 Web 服务器或搜索服务器(如图所示)。图中所示的路由器可换为防火墙。
域信任关系
对域信任关系的要求取决于如何配置服务器场。本节讨论两种可能的配置。
服务器场驻留在外围网络
外围网络需要有自己的 Active Directory 目录服务基础结构和域。通常,外围域和企业域没有配置为相互信任。但是,若要对使用其域凭据的 Intranet 用户和远程员工进行身份验证(Windows 身份验证),必须配置外围域信任企业域的单向信任关系。表单身份验证和 Web SSO 不需要域信任关系。
在外围网络和企业网络之间拆分服务器场
如果在外围网络和企业网络之间拆分服务器场,并且数据库服务器驻留在企业网络内,则倘若使用 Windows 帐户,就需要域信任关系。在这种方案下,外围网络必须信任企业网络。如果使用 SQL 身份验证,则不需要域信任关系。下表总结了这两种方法之间的差别。
Windows 身份验证 | SQL 身份验证 | |
---|---|---|
说明 |
企业域帐户用于所有 Windows SharePoint Services 3.0 服务帐户和管理帐户,包括应用程序池帐户。 需要单向信任关系,在此关系中外围网络信任企业网络。 |
按以下方式配置 Windows SharePoint Services 3.0 帐户:
不需要信任关系,但可配置此关系以支持依据内部域控制器进行的客户端身份验证。 备注 如果搜索服务器驻留在企业域中,则需要外围网络信任企业网络的单向信任关系。 |
设置 |
设置包括以下工作:
|
设置包括以下工作:
|
其他信息 |
单向信任关系允许加入到 Extranet 域的 Web 服务器和应用程序服务器解析企业域中的帐户。 |
|
上面表中的信息假定以下几点:
Web 服务器和应用程序服务器均驻留在外围网络中。
所有帐户都创建为具有所需的最小特权,包括以下建议:
为所有的管理帐户和服务帐户创建单独的帐户。
没有帐户是任何计算机(包括承载 SQL Server 的服务器计算机)上的 Administrators 组的成员。
有关 Windows SharePoint Services 3.0 帐户的详细信息,请参阅规划管理帐户和服务帐户 (Windows SharePoint Services)。
有关通过使用 Psconfig 命令行工具来创建数据库的详细信息,请参阅SharePoint 产品和技术配置向导的命令行参考 (Windows SharePoint Services)。
与服务器场角色的通信
配置 Extranet 环境时,了解服务器场中的各个服务器角色如何通信很重要。
服务器角色之间的通信
下图描绘了服务器场中的信道。图后面的表说明图中表示的端口和协议。箭头指示哪个服务器角色启动通信。例如,Web 服务器启动与数据库服务器的通信。数据库服务器未启动与 Web 服务器的通信。在路由器或防火墙上配置入站和出站通信时,知道这一点很重要。
标注 | 端口和协议 |
---|---|
1 |
客户端访问(包括信息权限管理 (IRM) 和搜索查询),以下一个或多个端口:
|
2 |
文件和打印机共享服务 — 以下两者之一:
|
3 |
搜索爬网 — 取决于如何配置身份验证,可能用额外的区域或 Internet Information Services (IIS) 网站扩展 SharePoint 网站,以确保索引组件可访问内容。这种配置可能会导致自定义端口。
|
4 |
数据库通信:
|
管理员工作站和“管理中心”之间的通信
“管理中心”网站可以安装在任何 Web 服务器或搜索服务器上。通过“管理中心”网站所做的配置更改被传递到配置数据库。服务器场中的其他服务器角色在其轮询周期期间获取在配置数据库中注册的配置更改。因此,“管理中心”网站未为服务器场中的其他服务器角色引起任何新的通信要求。但是,请务必允许从管理员工作站进行的访问,具体视在哪台服务器上部署“管理中心”网站而定。
下图包含从管理员工作站到“管理中心”网站和配置数据库的通信。
下表说明与“管理中心”网站进行双向通信所需的端口和协议。
标注 | 端口和协议 |
---|---|
1 |
“管理中心”网站 — 以下一个或多个:
|
4 |
数据库通信:
|
与基础结构服务器角色的通信
配置 Extranet 环境时,了解基础结构服务器计算机中的各种服务器角色如何通信很重要。
Active Directory 域控制器
下表列出从每个服务器角色到 Active Directory 域控制器的入站连接的端口要求。
项目 | Web 服务器 | 搜索服务器 | 数据库服务器 |
---|---|---|---|
TCP/UDP 445(目录服务) |
X |
X |
X |
TCP/UDP 88(Kerberos 身份验证) |
X |
X |
X |
默认的轻型目录访问协议 (LDAP)/LDAPS 端口 389/636,可自定义 |
X |
仅当配置了 LDAP 身份验证时,Web 服务器才需要使用 LDAP/LDAPS 端口。
DNS 服务器
下表列出从每个服务器角色到域名系统 (DNS) 服务器的入站连接的端口要求。在许多 Extranet 环境中,一台服务器计算机同时承载 Active Directory 域控制器和 DNS 服务器。
项目 | Web 服务器 | 搜索服务器 | 数据库服务器 |
---|---|---|---|
DNS,TCP/UDP 53 |
X |
X |
X |
SMTP 服务
电子邮件集成要求使用简单邮件传输协议 (SMTP) 服务,此服务在服务器场中至少一台前端 Web 服务器上使用 TCP 端口 25。传入电子邮件(入站连接)必须使用 SMTP 服务。对于传出的电子邮件,既可以使用 SMTP 服务,也可以通过组织中专用的电子邮件服务器(例如运行 Microsoft Exchange Server 的计算机)路由传出的电子邮件。
项目 | Web 服务器 | 搜索服务器 | 数据库服务器 |
---|---|---|---|
TCP 端口 25 |
X |
网络域之间的 Active Directory 通信
为支持与企业网络中的域控制器进行身份验证,域之间要进行 Active Directory 通信,而此通信需要至少一种单向信任关系,在此关系中外围网络信任企业网络。
在本文第一幅图描绘的示例中,需要下列端口来实现到 ISA 服务器 B 的入站连接,以便支持单向信任关系:
TCP/UDP 135 (RPC)
默认的 TCP/UDP 389,可自定义 (LDAP)
默认的 TCP 636,可自定义 (LDAP SSL)
TCP 3268 (LDAP GC)
TCP 3269 (LDAP GC SSL)
TCP/UDP 53 (DNS)
TCP/UDP 88 (Kerberos)
TCP/UDP 445(目录服务)
TCP/UDP 749 (Kerberos-Adm)
TCP 端口 750 (Kerberos-IV)
在配置 ISA 服务器 B(或外围网络和企业网络之间的备用设备)时,必须将网络关系定义为路由。不要将网络关系定义为网络地址转换 (NAT)。
有关与信任关系相关的安全强化要求的详细信息,请参阅以下资源:
如何为域和信任关系配置防火墙(https://go.microsoft.com/fwlink/?linkid=83470&clcid=0x804)。
由防火墙分段的网络中的 Active Directory(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x804)(该链接可能指向英文页面)
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Windows SharePoint Services 的可下载书籍(该链接可能指向英文页面)。