設計外部網路伺服器陣列拓撲 (Windows SharePoint Services)

本文內容：

• 關於外部網路環境

• 規劃外部網路環境

• 邊緣防火牆拓撲

• 背對背式周邊拓撲

• 分割背對背式拓撲

本文可以與下列模型搭配使用：SharePoint 產品及技術的外部網路拓撲 (英文) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x404) 。

關於外部網路環境

外部網路環境是私人網路，可以安全擴充與遠端員工、外部合作夥伴或客戶共用部分的組織資訊或程序。透過外部網路，您可以共用 Windows SharePoint Services 3.0 主控的任何類型的內容，包括文件、清單、文件庫、行事曆、部落格和 Wiki。

下表描述提供給每個群組的外部網路優點。

遠端員工	不需要虛擬私人網路 (VPN)，遠端員工便可以在任何位置、任何時間、以及任何地點存取公司資訊和電子資源。遠端員工包括： 出差銷售員工。 在住家辦公室或客戶場所工作的員工。 地理區隔的虛擬小組。
外部合作夥伴	外部合作夥伴可以參與商務程序，以及與組織員工共同作業。您可以透過下列方法，使用外部網路協助加強資料安全性： 套用適當的安全性和使用者介面元件，以隔離合作夥伴以及單獨分開的內部資料。 授權合作夥伴，只使用他們參與時所需的網站和資料。 限制合作夥伴檢視其他合作夥伴的資料。 您可以透過下列方法，最佳化合作夥伴共同作業的程序和網站： 讓組織員工和合作夥伴員工可以檢視、變更、新增和刪除內容，以提升這兩家公司的成功結果。 設定提醒，以在內容變更或開始工作流程時通知使用者。
客戶	提供網站給客戶使用： 提供您商務資訊的匿名存取。 允許客戶登入及參與工作流程。

Windows SharePoint Services 3.0 提供彈性選項以設定外部網路存取網站。您可以提供網際網路對向存取伺服器陣列上的網站子集，或者將伺服器陣列上的所有內容設定成可從網際網路存取。您可以架設公司網路內的外部網路內容，並使邊緣防火牆可以獲得此內容，或可以隔離周邊網路內的伺服器陣列。

規劃外部網路環境

本文的其餘部分將告訴您已使用 Windows SharePoint Services 3.0 測試的特定外部網路拓撲。在本文內討論的拓撲可以協助您瞭解 Windows SharePoint Services 3.0 可用的選項 (包括需求和取捨)。

下列各節醒目提示外部網路環境的其他規劃活動。

規劃邊緣網路技術

邊緣網路技術在每個拓撲中會描述成下列一或兩個 Microsoft Forefront Edge 套件產品：Microsoft Internet Security and Acceleration (ISA) Server 和 Intelligent Application Gateway (IAG) 2007。如需這些 Microsoft Forefront Edge 產品的詳細資訊，請參閱下列資源：

• ISA Server 首頁 (https://go.microsoft.com/fwlink/?linkid=86495&clcid=0x404)

• ISA Server 2006 的網路概念 (英文) (https://go.microsoft.com/fwlink/?linkid=86497&clcid=0x404)

• Intelligent Application Gateway 首頁

• Intelligent Application Gateway 2007 技術文件庫 (英文)

注意

您可以替代不同的邊緣網路技術。

IAG Server 提供下列其他功能：

• 防止資訊洩漏：用戶端電腦上不會留下任何殘餘資料，且所有快取、暫存檔及 Cookie 都將遭到刪除。

• 端點、狀況型授權：管理員可定義存取原則，不僅依據使用者的身分識別和公開的資訊，也依據用戶端電腦的狀況。

• 從 Outlook Web Access 存取 SharePoint 網站：使用者可透過 Outlook Web Access，從電子郵件傳送的連結存取 SharePoint 網站。IAG 會參照內部 URL 的連結提供連結轉譯。

• 整合的入口網站：登入後，IAG 會提供每位使用者可用並且有權限的 SharePoint 網站及其他應用程式的清單。

下表摘要說明這兩個伺服器的差異。

功能	ISA 2006	IAG 2007
使用 HTTPS 發佈 Web 應用程式	X	X
將內部行動應用程式發佈至漫遊行動裝置	X	X
Layer 3 防火牆	X	X*
輸出案例支援	X	X*
陣列支援	X
全球化與管理主控台當地語系化	X
發佈 SharePoint 網站與 Exchange 所使用之精靈與預先定義的設定	X	X
發佈各種應用程式所使用之精靈與預先定義的設定		X
Active Directory Federation Services (ADFS) 支援		X
豐富的驗證 (例如，單次密碼、表單型、智慧卡)	X	X
應用程式保護 (Web 應用程式防火牆)	基本	完整
端點健康情況偵測		X
防止資訊洩漏		X
更精細的存取原則		X
整合的入口網站		X

* 受到 ISA 的支援，隨附於 IAG 2007。

規劃驗證和邏輯架構

除了選擇或設計外部網路技術之外，您還需要設計驗證策略和邏輯架構，以啟用內部網路外的預定使用者存取權，以及保護伺服器陣列上的網站和內容。如需詳細資訊，請參閱下列文章：

• 規劃驗證 (Windows SharePoint Services)

• 邏輯架構範例設計：共同作業網站

規劃網域信任關聯

伺服器陣列位在周邊網路內部時，這個網路需要有它自己的 Active Directory 目錄服務架構和網域。通常，周邊網域和公司網路不會設定成彼此信任。不過，如果您設定單向信任，其中周邊網域信任公司網域，即可使用 Windows 驗證透過公司網域認證來驗證內部及遠端員工。另一個選項是使用表單驗證或網頁單一登入 (SSO) 來驗證員工。您還可以使用這些方法來進行內部網域目錄服務的驗證。

下表摘要說明這些驗證選項並指出是否需要信任關係。

案例	描述
Windows 驗證	如果周邊網域信任公司網路網域，您可以使用公司網域認證來驗證內部和遠端員工。
表單驗證和網頁 SSO	您可以使用表單驗證和網頁 SSO，根據內部 Active Directory 環境來驗證內部員工和遠端員工。例如，您可以使用網頁 SSO 連線至 Active Directory Federation Services (ADFS)。使用表單驗證或網頁 SSO 並「不」**需要網域之間的信任關係。 不過，視驗證提供者而定，有些 Windows SharePoint Services 3.0 功能可能無法使用。如需使用表單驗證或網頁 SSO 時可能會受到影響之功能的詳細資訊，請參閱＜規劃 Web 應用程式的驗證設定 (Windows SharePoint Services)＞。

如需在外部網路環境設定單向信任關係的詳細資訊，請參閱＜規劃強化外部網路環境的安全性 (Windows SharePoint Services)＞。

規劃可用性

本文所述的外部網路拓撲說明如下：

• 伺服器陣列在整體網路的位置。

• 每部伺服器角色位在外部網路環境的何處。

本文的目的不是要協助您規劃需要部署的伺服器角色，或您需要為每個角色部署多少部伺服器進行備援工作。決定好您的環境所需的伺服器陣列數後，請使用下文來規劃每一個伺服器陣列的拓撲：＜規劃備援 (Windows SharePoint Services)＞。

強化安全性規劃

設計外部網路拓撲之後，請使用下列資源進行強化安全性規劃：

• 規劃強化伺服器陣列中伺服器角色的安全性 (Windows SharePoint Services)

• 規劃強化外部網路環境的安全性 (Windows SharePoint Services)

邊緣防火牆拓撲

這個設定是在網際網路與公司網路之間的邊界上使用反向 Proxy 伺服器，以便攔截及轉送要求至位於內部網路的適當網頁伺服器。Proxy 伺服器可以透過利用一組可設定的規則，驗證是否根據要求來源的區域以允許要求的 URL。要求的 URL 然後轉換成內部 URL。下列圖例顯示邊緣防火牆拓撲。

優點

• 需要最少量之硬體與設定之最簡單的解決方案。

• 整個伺服器陣列是位在公司網路內。

• 單一資料點：

  • 資料是位在信任的網路內。

  • 在一個位置進行資料維護。

  • 用於內部和外部要求的單一伺服器陣列要能夠確定所有授權的使用者都檢視相同的內容。

• 內部使用者要求不會通過 Proxy 伺服器。

缺點

• 導致單一防火牆使公司內部網路與網際網路分離。

背對背式周邊拓撲

背對背式周邊拓撲可區隔不同周邊網路中的伺服器陣列 (如下列圖例所示)。

這種拓撲有下列特性：

• 所有硬體和資料都在周邊網路中。

• 伺服器陣列角色和網路基礎結構伺服器可以跨多層區隔。合併網路層可以降低複雜性和成本。

• 透過其他路由器或防火牆可以區隔每層，確保只允許來自特定層的要求。

• 可以透過內部面向的 ISA 伺服器來導向或透過周邊網路的公用介面來路由傳送內部網路的要求。

優點

• 內容是與外部網路的單一伺服器陣列隔離，簡化跨內部網路和外部網路的內容共用和維護。

• 隔離周邊網路的外部使用者存取。

• 如果危害外部網路，則損壞可能會限制在受影響的層級或周邊網路。

• 使用不同的 Active Directory 基礎結構，可以在不會影響內部公司目錄下，就可以建立外部使用者帳戶。

缺點

• 需要其他網路基礎結構和設定。

分割背對背式拓撲

這個拓撲會分割周邊與公司網路之間的伺服器陣列。執行 Microsoft SQL Server 資料庫軟體的電腦是架設於公司網路內。網頁伺服器是位於周邊網路。搜尋伺服器可以架設於周邊網路或公司網路。

在先前的圖例中：

• 搜尋伺服器是架設於周邊網路內。這個選項是以虛線內的藍色伺服器來說明。

• 搜尋伺服器可以選擇性地部署於具有資料庫伺服器的公司網路內。這個選項是以虛線內的灰色伺服器來說明。如果您在具有資料庫伺服器的公司網路內部署搜尋伺服器，則也必須具有 Active Directory 環境，才可以支援這些伺服器 (如公司網路內的灰色伺服器所述)。

如果伺服器陣列是在周邊網路與公司網路 (資料庫伺服器位在公司網路內) 之間進行分割，則在使用 Windows 帳戶存取 SQL Server 時需要網域信任關係。在這個情況下，周邊網域必須信任公司網域。如果使用 SQL 驗證，則不需要網域信任關聯。如需設定這個拓撲帳戶的詳細資訊，請參閱下列文章＜規劃強化外部網路環境的安全性 (Windows SharePoint Services)＞中的＜網域信任關係＞。

若要最佳化搜尋效能和編目，請將搜尋伺服器角色放置在具有資料庫伺服器的公司網路內。您也可以將網頁伺服器角色新增至公司網路內的搜尋伺服器，以及設定內容編目的搜尋角色專用的這部網頁伺服器。如果您將網頁伺服器配置在周邊網路，以及公司網路內的搜尋角色，則必須設定周邊網路網域信任公司網路網域的單向信任關係。這個案例需要這個單向信任關係，才可以支援伺服器陣列內的伺服器間的通訊，不論您是否使用 Windows 驗證或 SQL 驗證來存取 SQL Server。

優點

分割背對背式拓撲包含下列優點：

• 執行 SQL Server 的電腦不會架設於周邊網路內。

• 公司網路和周邊網路內的伺服器陣列元件都可以共用相同的資料庫。

• 使用不同的 Active Directory 基礎結構，就可以建立外部使用者帳戶，而不會影響內部公司目錄。

缺點

• 解決方案的複雜性大幅提高。

• 危害周邊網路資源的入侵者，可能使用伺服器陣列帳戶來獲得對公司網路中儲存的伺服器陣列內容的存取權。

• 伺服器陣列間通訊通常是跨兩個網域進行分割。

下載本書

本主題隨附於下列可下載的叢書中，以便於閱讀與列印：

• Windows SharePoint Services 3.0 規劃和架構 (第 2 部分) (英文)

• 規劃 Windows SharePoint Services 外部網路環境 (英文)

請參閱 Windows SharePoint Services 可下載的叢書 (英文) 上提供的完整叢書清單。