規劃強化外部網路環境的安全性 (Windows SharePoint Services)
本文內容:
網路拓撲
網域信任關聯
與伺服器陣列角色的通訊
與基礎結構伺服器角色的通訊
網路網域之間的 Active Directory 通訊
本文詳述外部網路環境的強化需求,在此環境中,Windows SharePoint Services 3.0 伺服器陣列位在周邊網路內,且網站來自網際網路或公司網路。
網路拓撲
本文的強化準則適用於許多不同的外部網路設定。下圖顯示後端對背對背式周邊網路拓撲的實作範例,並說明外部網路環境中的伺服器及用戶端角色。
.gif "外部網路環境安全性加強範例")
本圖的目的是將每一個可能的角色及其關係連接至整體環境。管理中心網站可以安裝至網頁伺服器或搜尋伺服器 (圖像化)。說明的路由器可以針對防火牆進行交換。
網域信任關聯
網域信任關聯的需求取決於伺服器陣列的設定方式。本節討論兩種可能的設定。
伺服器陣列位在周邊網路中
周邊網路需要它自己的 Active Directory 目錄服務基礎結構和網域。通常,周邊網域和公司網路不會設定成彼此信任。不過,若要驗證內部網路使用者以及使用其網域認證 (Windows 驗證) 的遠端員工,則必須設定周邊網域信任公司網域的單向信任關聯。表單驗證和 Web SSO 則不需要網域信任關聯。
伺服器陣列在周邊網路與公司網路之間進行分割
如果伺服器陣列在周邊網路與公司網路 (資料庫伺服器位在此公司網路內) 之間進行分割,則在使用 Windows 帳戶時需要網域信任關聯。在此情況下,周邊網路必須信任公司網路。如果使用 SQL 驗證,則不需要網域信任關聯。下表摘要說明這兩種方式的差異。
| Windows 驗證 | SQL 驗證 | |
|---|---|---|
描述 |
公司網域帳戶會用於所有 Windows SharePoint Services 3.0 服務和管理帳戶 (包括應用程式集區帳戶)。 需要周邊網路信任公司網路的單向信任關聯。 |
Windows SharePoint Services 3.0 帳戶的設定方式如下:
信任關聯並不是必要項目,但可以設定為根據內部網域控制站支援用戶端驗證。 注意 如果搜尋伺服器位在公司網域內,則需要周邊網路信任公司網路的單向信任關聯。 |
設定 |
設定包括下列項目:
|
設定包括下列項目:
|
其他資訊 |
單向信任關聯允許加入外部網路網域的網頁伺服器和應用程式伺服器,可解析公司網域中的帳戶。 |
|
上一張表格中的資訊假設下列項目:
網頁伺服器和應用程式伺服器皆位於周邊網路中。
建立的所有帳戶都具有必要的最低權限 (包括下列建議):
為所有系統管理和服務帳戶建立不同的帳戶。
沒有帳戶是任何電腦上的管理員群組成員 (包括主控 SQL Server 的伺服器電腦)。
如需 Windows SharePoint Services 3.0 帳戶的詳細資訊,請參閱<規劃管理帳戶和服務帳戶 (Windows SharePoint Services)>。
如需使用 Psconfig 命令列工具建立資料庫的詳細資訊,請參閱<SharePoint 產品及技術設定精靈的命令列參照 (Windows SharePoint Services)>。
與伺服器陣列角色的通訊
設定外部網路環境時,務必要瞭解伺服器陣列內各種伺服器角色的通訊方式。
伺服器角色之間的通訊
下圖說明伺服器陣列內的通訊通道。而本圖後的表格則說明本圖中所呈現的連接埠和通訊協定。箭號指出啟動通訊的伺服器角色。例如,網頁伺服器啟動和資料庫伺服器的通訊。資料庫伺服器不會啟動和網頁伺服器的通訊。在設定路由器或防火牆的傳入和傳出通訊時必須知道上述資訊。
.gif "Windows SharePoint Svcs 伺服器陣列之間的通訊")
| 圖說文字 | 連接埠和通訊協定 |
|---|---|
1 |
用戶端存取 (包括資訊版權管理 (IRM) 和搜尋查詢),下列一或多項:
|
2 |
檔案和印表機共用服務 - 下列「任一項」**:
|
3 |
搜尋編目 - 根據驗證的設定方式,SharePoint 網站可能會擴充一個額外區域或網際網路資訊服務 (IIS) 網站,以確保索引元件可以存取內容。這個設定可產生自訂連接埠。
|
4 |
資料庫通訊:
|
管理員工作站和管理中心之間的通訊
管理中心網站可以安裝在任何網頁伺服器或搜尋伺服器上。透過管理中心網站進行的設定變更會傳送至設定資料庫。伺服器陣列中的其他伺服器角色,會取得在其輪詢循環期間於設定資料庫中登錄的設定變更。因此,管理中心網站不會對伺服器陣列中的其他伺服器角色引進任何新的通訊需求。不過,視您在哪一部伺服器部署管理中心網站而定,請確定啟用管理員工作站的存取權。
下圖包含從管理員工作站到管理中心網站以及設定資料庫的通訊。
.gif "WSS 伺服器陣列之間的通訊範例")
下表說明和管理中心網站進行通訊時所需的連接埠和通訊協定。
| 圖說文字 | 連接埠和通訊協定 |
|---|---|
1 |
管理中心網站 - 下列其中一或多項:
|
4 |
資料庫通訊:
|
與基礎結構伺服器角色的通訊
設定外部網路環境時,務必要瞭解基礎結構伺服器電腦內各種伺服器角色的通訊方式。
Active Directory 網域控制站
下表列出從每部伺服器角色到 Active Directory 網域控制站之傳入連線的連接埠需求。
| 項目 | 網頁伺服器 | 搜尋伺服器 | 資料庫伺服器 |
|---|---|---|---|
TCP/UDP 445 (目錄服務) |
X |
X |
X |
TCP/UDP 88 (Kerberos 驗證) |
X |
X |
X |
輕量型目錄存取通訊協定 (LDAP)/LDAPS 連接埠 389/636 (預設值,可自訂) |
X |
只有在設定 LDAP 驗證時,網頁伺服器才需要使用 LDAP/LDAPS 連接埠。
DNS 伺服器
下表列出從每部伺服器角色到網域名稱系統 (DNS) 伺服器之傳入連線的連接埠需求。在許多外部網路環境中,一部伺服器電腦可以同時主控 Active Directory 網域控制站和 DNS 伺服器。
| 項目 | 網頁伺服器 | 搜尋伺服器 | 資料庫伺服器 |
|---|---|---|---|
DNS、TCP/UDP 53 |
X |
X |
X |
SMTP 服務
電子郵件整合至少需要在伺服器陣列的一部前端網頁伺服器上,使用利用 TCP 連接埠 25 的簡易郵件傳送通訊協定 (SMTP) 服務。內送電子郵件需要有 SMTP 服務 (傳入連線)。如果是外寄電子郵件,則可以使用 SMTP 服務或透過組織的專用電子郵件伺服器 (如執行 Microsoft Exchange Server 的電腦),路由外寄電子郵件。
| 項目 | 網頁伺服器 | 搜尋伺服器 | 資料庫伺服器 |
|---|---|---|---|
TCP 連接埠 25 |
X |
網路網域之間的 Active Directory 通訊
支援向公司網路內網域控制站進行驗證之網域間的 Active Directory 通訊,至少需要周邊網路信任公司網路的單向信任關聯。
在本文第一張圖說明的範例中,到 ISA Server B 的傳入連線支援單向信任關聯時,需要下列連接埠:
TCP/UDP 135 (RPC)
TCP/UDP 389 (預設值,可自訂) (LDAP)
TCP 636 (預設值,可自訂) (LDAP SSL)
TCP 3268 (LDAP GC)
TCP 3269 (LDAP GC SSL)
TCP/UDP 53 (DNS)
TCP/UDP 88 (Kerberos)
TCP/UDP 445 (目錄服務)
TCP/UDP 749 (Kerberos-Adm)
TCP 連接埠 750 (Kerberos-IV)
設定 ISA Server B (或周邊網路與公司網路之間的替代裝置) 時,必須將網路關聯定義為路由傳送。請勿將網路關聯定義為網路位址轉譯 (NAT)。
如需與信任關聯相關之安全性強化需求的詳細資訊,請參閱下列資源:
如何設定網域和信任的防火牆 (https://go.microsoft.com/fwlink/?linkid=83470&clcid=0x404)。
防火牆分割之網路中的 Active Directory (英文) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x404) 。
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Windows SharePoint Services 可下載的叢書 (英文) 上提供的完整叢書清單。