共用方式為

設計外部網路伺服器陣列拓撲 (Office SharePoint Server)

  • 發行項

本文內容:

  • 關於外部網路環境

  • 規劃外部網路環境

  • 邊緣防火牆拓撲

  • 背對背式周邊拓撲

  • 具有內容發佈的背對背式周邊拓撲

  • 最佳化背對背式周邊拓撲以架設靜態內容

  • 分割背對背式拓撲

本文可以與下列模型搭配使用:SharePoint 產品及技術的外部網路拓撲 (英文) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x404) 。

關於外部網路環境

外部網路環境是私人網路,可以安全擴充與遠端員工、外部合作夥伴或客戶共用部分的組織資訊或程序。使用外部網路可以共用 Microsoft Office SharePoint Server 2007 所架設的任何類型內容,包括:

  • 加商標的資訊內容。

  • 根據使用者帳戶的個人化內容。

  • 共同作業的內容 (包括文件、清單、文件庫、行事曆、部落格和 Wiki)。

  • 文件存放庫。

下表描述提供給每個群組的外部網路優點。

遠端員工

不需要虛擬私人網路 (VPN),遠端員工便可以在任何位置、任何時間、以及任何地點存取公司資訊和電子資源。遠端員工包括:

  • 出差銷售員工。

  • 在住家辦公室或客戶場所工作的員工。

  • 地理區隔的虛擬小組。

外部合作夥伴

外部合作夥伴可以參與商務程序,以及與組織員工共同作業。您可以透過下列方法,使用外部網路協助加強資料安全性:

  • 套用適當的安全性和使用者介面元件,以隔離合作夥伴以及單獨分開的內部資料。

  • 授權合作夥伴,只使用他們參與時所需的網站和資料。

  • 限制合作夥伴檢視其他合作夥伴的資料。

您可以透過下列方法,最佳化合作夥伴共同作業的程序和網站:

  • 讓組織員工和合作夥伴員工可以檢視、變更、新增和刪除內容,以提升這兩家公司的成功結果。

  • 設定提醒,以在內容變更或開始工作流程時通知使用者。

客戶

使用下列方法,將加商標的目標內容發佈給合作夥伴和客戶:

  • 根據產品線或客戶設定檔來提供內容。

  • 伺服器陣列內實作不同網站集合將內容分割。

  • 根據對象來限制內容存取和搜尋結果。

Office SharePoint Server 2007 可以提供彈性選項供設定網站的外部網路存取。您可以提供網際網路存取伺服器陣列上的網站子集,或使網際網路可以存取伺服器陣列上的所有內容。您可以架設公司網路內的外部網路內容,並使邊緣防火牆可以獲得此內容,或可以隔離周邊網路內的伺服器陣列。

規劃外部網路環境

本文的其餘部分討論已使用 Office SharePoint Server 2007 測試的特定外部網路拓撲。在本文內討論的拓撲可以協助您瞭解 Office SharePoint Server 2007 可用的選項 (包括需求和取捨)。

下列各節醒目提示外部網路環境的其他規劃活動。

規劃網路邊緣技術

在每種拓撲中,所述的網路邊緣技術係指下列 Microsoft Forefront Edge 產品系列之一或兩者:Microsoft Internet Security and Acceleration (ISA) Server 與 Intelligent Application Gateway (IAG) 2007。如需這些 Microsoft Forefront Edge 產品的詳細資訊,請參閱下列資源:

注意

您可以改用其他網路邊緣技術。

IAG Server 提供下列額外功能:

  • 防止資訊洩漏:用戶端電腦上不會留下任何殘餘資料,而且所有快取、暫存檔及 Cookie 都將遭到刪除。

  • 以端點、健康情況為主的驗證:在定義存取原則時,系統管理員不僅可根據使用者的身分識別和公開的資訊,還可以根據用戶端電腦的狀況來定義。

  • 從 Outlook Web Access 存取 SharePoint 網站:使用者可透過 Outlook Web Access 電子郵件中的連結存取 SharePoint 網站。IAG 可對參考內部 URL 的連結進行轉譯。

  • 整合的入口網站:登入時,IAG 即會向每位使用者提供 SharePoint 網站清單,和該名使用者可用且具有權限的其他應用程式清單。

下表摘要說明各伺服器之間的差異:

功能 ISA 2006 IAG 2007

使用 HTTPS 發佈 Web 應用程式

X

X

發佈內部行動應用程式至漫遊行動裝置

X

X

第 3 層防火牆

X

X*

傳出案例支援

X

X*

陣列支援

X

全球化和管理主控台當地語系化

X

用以發佈 SharePoint 網站和 Exchange 的精靈和預先定義之設定

X

X

用以發佈不同應用程式的精靈和預先定義之設定

X

Active Directory Federation Services (ADFS) 支援

X

多元化驗證 (例如,單次密碼、表單型驗證、智慧卡)

X

X

應用程式保護 (Web 應用程式防火牆)

基本

完整

端點健康情況偵測

X

資訊洩露防止

X

更精細的存取原則

X

整合的入口網站

X

* 由 IAG 2007 附隨之 ISA 提供支援。

規劃驗證和邏輯架構

除了選擇或設計外部網路技術之外,您還需要設計驗證策略和邏輯架構,以啟用內部網路外的預定使用者存取權,以及保護伺服器陣列上的網站和內容。如需詳細資訊,請參閱下列資源:

規劃網域信任關聯

伺服器陣列位在周邊網路內部時,這個網路需要有它自己的 Active Directory 目錄服務架構和網域。通常,周邊網域和公司網路不會設定成彼此信任。不過,有數種案例是需要信任關聯。下表摘要說明會影響信任關係需求的案例。

案例 描述

Windows 驗證

如果周邊網域信任公司網路網域,您可以使用公司網域認證來驗證內部和遠端員工。

如需設計這個案例的驗證策略和邏輯架構的詳細資訊,請參閱<邏輯架構模型:公司部署>。

表單驗證和網頁單一登入 (SSO)

您可以使用表單驗證和網頁 SSO,根據內部 Active Directory 環境來驗證內部員工和遠端員工。例如,您可以使用網頁 SSO 連線至 Active Directory Federation Services (ADFS)。使用表單驗證或網頁 SSO 並「不」**需要網域之間的信任關係。

不過,Office SharePoint Server 2007 的數個功能可能無法使用 (這是取決於驗證提供者)。如需使用表單驗證或網頁 SSO 時會受影響功能的詳細資訊,請參閱<規劃 Office SharePoint Server 中的 Web 應用程式的驗證設定>。

內容發佈

「不」**需要網域之間的信任關係就可以在不同網域之間發佈內容。若要避免需要信任關係,請確定使用發佈內容的適當帳戶。如需詳細資訊,請參閱<規劃外部網路環境的安全性堅固>中的<內容發佈強化>。

如需在外部網路環境中設定單向信任關係的詳細資訊,請參閱<規劃外部網路環境的安全性堅固>。

規劃可用性

本文所述的外部網路拓撲說明如下:

  • 伺服器陣列在整體網路的位置。

  • 每部伺服器角色位在外部網路環境的何處。

本文的目的不是要協助您規劃需要部署的伺服器角色,或您需要為每個角色部署多少部伺服器進行備援工作。決定環境所需的伺服器陣列數目之後,請使用下文來規劃每個伺服器陣列的拓撲:<規劃備援 (Office SharePoint Server)>。

強化安全性規劃

設計外部網路拓撲之後,請使用下列資源進行強化安全性規劃:

邊緣防火牆拓撲

這個設定是在網際網路與公司網路之間的邊界上使用反向 Proxy 伺服器,以便攔截及轉送要求至位於內部網路的適當網頁伺服器。Proxy 伺服器可以透過利用一組可設定的規則,驗證是否根據要求來源的區域以允許要求的 URL。要求的 URL 然後轉換成內部 URL。下列圖例顯示邊緣防火牆拓撲。

外部網路伺服器陣列拓撲 - 邊緣防火牆

優點

  • 最簡單解決方案需要最少的硬體和設定量。

  • 整個伺服器陣列是位在公司網路內。

  • 單一資料點:

    • 資料是位在信任的網路內。

    • 在一個位置進行資料維護。

    • 用於內部和外部要求的單一伺服器陣列要能夠確定所有授權的使用者都檢視相同的內容。

  • 內部使用者要求不會通過 Proxy 伺服器。

缺點

  • 導致單一防火牆使公司內部網路與網際網路分離。

背對背式周邊拓撲

背對背式周邊拓撲可區隔不同周邊網路中的伺服器陣列 (如下列圖例所示)。

Office SharePoint Server 網路 - 背對背式

這種拓撲有下列特性:

  • 所有硬體和資料都在周邊網路中。

  • 伺服器陣列角色和網路基礎結構伺服器可以跨多層區隔。合併網路層可以降低複雜性和成本。

  • 透過其他路由器或防火牆可以區隔每層,確保只允許來自特定層的要求。

  • 可以透過內部面向的 ISA 伺服器來導向或透過周邊網路的公用介面來路由傳送內部網路的要求。

這個圖例將位在第 2 層的所有應用程式伺服器角色顯示為專用的伺服器。在實際部署中,多個應用程式伺服器角色都可以位在單一應用程式伺服器上。而且,第 1 層的網頁伺服器 (而不是第 2 層內的應用程式伺服器) 上部署查詢角色可以適當地最佳化部分伺服器陣列。

優點

  • 內容是與外部網路的單一伺服器陣列隔離,簡化跨內部網路和外部網路的內容共用和維護。

  • 隔離周邊網路的外部使用者存取。

  • 如果危害外部網路,則損壞可能會限制在受影響的層級或周邊網路。

  • 使用不同的 Active Directory 基礎結構,可以在不會影響內部公司目錄下,就可以建立外部使用者帳戶。

缺點

  • 需要其他網路基礎結構和設定。

具有內容發佈的背對背式周邊拓撲

這個拓撲會將內容發佈新增至背對背式周邊拓撲。使用透過新增內容發佈,公司網路內開發的網站和內容就可以發佈至位在周邊網路中的伺服器陣列。

下列圖例顯示含有內容發佈的背對背式周邊拓撲。

Office SharePoint Server 外部網路伺服器陣列拓撲

注意,下列是這個拓撲的特性:

  • 需要兩個不同的伺服器陣列;一個是在公司網路中,而另一個是在周邊網路中。

  • 發佈是單向。任何在周邊網路中建立或修改的內容都是唯一的。

這個圖例顯示從內容執行伺服器陣列上的管理中心網站到目的地伺服器陣列上的管理中心網站的內容部署路徑。管理中心網站通常是安裝於其中一部應用程式伺服器上。這個圖例會單獨呼叫管理中心網站,以顯示這個在內容部署中的網站角色。

優點

  • 將客戶和合作夥伴的內容與單獨的周邊網路隔離。

  • 可以自動化內容發佈。

  • 如果因網際網路存取而危害或損毀周邊網路中的內容,則會保留公司網路中的內容完整性。

缺點

  • 需要其他硬體來維護兩個不同的伺服器陣列。

  • 資料負荷較大。可以在兩個不同的伺服器陣列和網路中維護及協調內容。

  • 公司網路不會反映周邊網路的內容變更。因此,發佈至周邊網域的內容不適用於可共同作業的外部網路網站。

最佳化背對背式周邊拓撲以架設靜態內容

在內容是靜態或幾近靜態的環境中,您可以實作 IAG 2007 或 ISA Server 2006 的快取功能,以最佳化效能。除了 Office SharePoint Server 2007 的快取功能之外,還可以設定 IAG 或 ISA 快取。

例如,ISA Server 提供下列兩種類型的快取:

  • 正向快取   正向快取會將快取的網頁物件提供給對網際網路的進行網頁要求的內部使用者。

  • 反向快取   反向快取會將快取的內容提供給外部網際網路用戶端 (這些用戶端是對 ISA Server 發佈的內部網頁伺服器進行要求)。

如需 ISA 快取的詳細資訊,請參閱 ISA Server 2006 中的快取和 CARP (英文) (https://go.microsoft.com/fwlink/?linkid=86531&clcid=0x404) 。

只有符合下列情況時,才可以使用除了 Office SharePoint Server 2007 快取之外的 IAG 或 ISA 快取:

  • 內容是靜態的。不會使用快取後置替換 (不會快取頁面的一部分)。也不會修改 URL。

  • 內容是 100% 匿名。

IAG 和 ISA 快取可以讓您的儲存規模超過單一伺服器陣列的限制,改善可能由網頁伺服器造成瓶頸的效能。這點可以讓您改善到達最大網頁伺服器數目的效能,或讓您減少需要的網頁伺服器數目。

下列圖例說明用來快取內容的多個 IAG 或 ISA 伺服器。

外部網路伺服器陣列拓撲 - 背對背式發佈

這個圖例顯示下列選項:

  • 查詢角色是安裝於網頁伺服器。

  • 管理中心網站是安裝於索引伺服器。

優點

  • 大幅改善架設靜態或幾近靜態內容時的效能。

  • 減少網頁伺服器和資料庫伺服器上的要求數目。

  • 提供擴展外部網路解決方案的方法。

缺點

  • ISA 快取會降低動態或頻繁變更內容環境的整體效能。

分割背對背式拓撲

這個拓撲會分割周邊與公司網路之間的伺服器陣列。執行 Microsoft SQL Server 資料庫軟體的電腦是架設於公司網路內。網頁伺服器是位於周邊網路。應用程式伺服器電腦可以架設於周邊網路或公司網路。

分割背對背式周邊網路拓撲

在先前的圖例中:

  • 應用程式伺服器是架設於周邊網路內。這個選項是以虛線內的藍色伺服器來說明。

  • 應用程式伺服器可以選擇性地部署於具有資料庫伺服器的公司網路內。這個選項是以虛線內的灰色伺服器來說明。如果您在具有資料庫伺服器的公司網路內部署應用程式伺服器,則也必須具有 Active Directory 環境,才可以支援這些伺服器 (如公司網路內的灰色伺服器所述)。

如果伺服器陣列是在周邊網路與公司網路 (資料庫伺服器位在公司網路內) 之間進行分割,則在使用 Windows 帳戶存取 SQL Server 時需要網域信任關係。在這個情況下,周邊網域必須信任公司網域。如果使用 SQL 驗證,則不需要網域信任關聯。如需設定這個拓撲帳戶的詳細資訊,請參閱下列文章:<規劃外部網路環境的安全性堅固>中的<網域信任關係>。

若要最佳化搜尋效能和編目,請將應用程式伺服器配置在具有資料庫伺服器的公司網路內。您也可以將網頁伺服器角色新增至公司網路內的索引伺服器,以及設定內容編目的索引伺服器專用的這部網頁伺服器。不過,如果查詢角色也位在伺服器陣列的其他伺服器上,則請勿將查詢角色新增至索引伺服器。如果您將網頁伺服器配置在周邊網路,以及公司網路內的應用程式伺服器,則必須設定周邊網路網域信任公司網路網域的單向信任關係。這個案例需要這個單向信任關係,才可以支援伺服器陣列內的伺服器間的通訊,不論您是否使用 Windows 驗證或 SQL 驗證來存取 SQL Server。

您可以在公司網路內放置一或多部網頁伺服器,以服務內部要求。這會導致分割周邊網路與公司網路之間的網頁伺服器。若要執行這項操作,請確定來自網際網路的流量已負載平衡至周邊網路中的網頁伺服器,而來自公司網路的流量則是單獨負載平衡至公司網路內的網頁伺服器。您也必須為每個網路區段設定不同的備用存取對應區域和防火牆發佈規則。

如果您規劃將內容從公司網路內的執行伺服器陣列發佈至架設外部網路內容的資料庫伺服器 (也位在公司網路內),則基於下列理由,可以在公司網路內架設應用程式伺服器 (包括管理中心網站),如此可以最佳化伺服器陣列:

  • 用於內容發佈的資料流會從執行伺服器陣列的管理中心網站流向目的地伺服器陣列的管理中心網站。如果管理中心網站是在公司網路內,則內容發佈資料流不會流經周邊網路與公司網路之間的防火牆。而另一方面,如果管理中心網站是在周邊網路內,則資料流會在到達目的地伺服器陣列的內容資料庫之前,這個資料流會以雙向流經防火牆。

  • 編製索引會在公司網路內進行。

下列圖例顯示為了內容發佈而最佳化的分割背對背式拓撲環境。

SharePoint Services 外部網路伺服器陣列拓撲

這個圖例顯示下列選項:

  • 查詢角色安裝於周邊網路的網頁伺服器。

  • 應用程式伺服器位在具有資料庫伺服器的公司網路中。這需要周邊網域信任公司網域的單向信任關係。

  • 實際執行伺服器陣列的管理中心網站是安裝於索引伺服器。

  • 網頁伺服器角色是安裝於索引伺服器,而且專用於編目內容。

優點

  • 執行 SQL Server 的電腦不會架設於周邊網路內。

  • 公司網路和周邊網路內的伺服器陣列元件都可以共用相同的資料庫。

  • 內容可以與公司網路內的單一伺服器陣列隔離,如此可以簡化跨公司網路和周邊網路的內容共用和維護。

  • 使用不同的 Active Directory 基礎結構,就可以建立外部使用者帳戶,而不會影響內部公司目錄。

缺點

  • 解決方案的複雜性大幅提高。

  • 危害周邊網路資源的入侵者,可能使用伺服器陣列帳戶來獲得對公司網路中儲存的伺服器陣列內容的存取權。

  • 伺服器陣列間通訊通常是跨兩個網域進行分割。

下載本書

本主題隨附於下列可下載的叢書中,以便於閱讀與列印:

請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單