SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

SP2013 in DMZ für externen Zugriff betreiben

bewertet von 0 Usern
Dieser Beitrag hat 3 Antworten | 3 Followers

Ohne Rang
Beiträge 8
Sebastian N erstellt: 6 Mrz 2014 16:13

Hallo Zusammen,

wir haben bislang unsere SP2013 Farm nur intern in unserem Unternemen verwendet. Authentifizierung über AD.

Die Farm besteht aus 2 Application/WebFrontEnd Servern und 1 SQL 2008 Server.

Wir möchten jetzt gerne das auch User aus Töchterunternehmen auf unsere Farm zugreifen können. Diese User befinden sich nicht in unserem AD.

Ich möchte gerne einen Application/WebFrontEnd Server in unsere DMZ stellen für den Externenzugriff.

Fragen:
1. Kann ich einfach einen von den beiden Application/WebFrontend Server nehmen und in die DMZ packen oder wäre es besser einen neuen nur WebFrontEnd Server in der DMZ aufzusetzen und diesen anschließend mit der Farm zu verbinden.

2. Wie realisiere ich am besten die Benutzer Authentifizierung für externe User die sich nicht im AD befinden? Gibt es die möglichkeit eines Mischbetriebes Zugriff von externen Usern und AD User auf eine Webanwendung?

3. Kennt jemand gute Dienstleister die schon solche Projekte realisiert haben?

Bin schon auf eure Antworten gespannt

Top-10-Beitragsschreiber
Beiträge 19.142

Sebastian N:
1. Kann ich einfach einen von den beiden Application/WebFrontend Server nehmen und in die DMZ packen oder wäre es besser einen neuen nur WebFrontEnd Server in der DMZ aufzusetzen und diesen anschließend mit der Farm zu verbinden

Einen vorhandenen Server verschieben, würde ich gar nicht erst versuchen. Das wäre ja mit einer Änderung der IP verbunden und sowas hat bei Servern immer "unerwartete" Ergebnisse.

Wenn überhaupt auf diese Art, dann stelle einen neuen Webfrontend in die DMZ und konfiguriere ihn so, daß nur die eine Webanwendung dort läuft, auf die auch von extern zugegriffen werden soll. Man braucht dazu aber einige Löscher in der Firewall, weil disser Server mit allen anderen SP-Servern und mit SQL Kontakt benötigt. Und natürlich mit dem AD.

Alternative könnte ein Gatewayserver sein, wie TMG von MS (leider abgekündigt). Oder eine eigene SP-Farm aus einem Server in der DMZ. Man kann dann immernoch die Farmen verbinden und damit Dienste gemeinsam nutzen wie z.B. die Suche oder den Termstore.

Sebastian N:
2. Wie realisiere ich am besten die Benutzer Authentifizierung für externe User die sich nicht im AD befinden? Gibt es die möglichkeit eines Mischbetriebes Zugriff von externen Usern und AD User auf eine Webanwendung?

Stichwort Forms Based Authentication. Benutzerinformationen können dann z.B. in einer Datenbank stehen.

Man kann das auch für eine Webanwendung mischen. Und man kann es auch so konfigurieren, daß von intern immer nur über AD und von extern immer nur über Forms zugegriffen werden kann.

Viele Grüße
Andi
af @ evocom de
Blog
Ohne Rang
Beiträge 22

Hallo Zusammen,

Andi hat eigentlich alles schon gesagt. Allerdings hatten wir das selbe Szenario auch vor und ist auch an der Komplexität eine weitere Farm zu betreiben gescheitert.

Wir fahren nun das Szenario, dass wir unsere komplette Farm in unserer Domäne betreiben und unsere externen User in einem seperaten AD pflegen, welches eine Vertrauensstellung zu unserem internen AD hat. Zu dem ist wie Andi schon erwähnt hat derzeit noch eine TMG im Einsatz, damit schotten wir die Webanwendungen unter anderem ab.

Wir überlegen aber derzeit unsere User in einem Forms Based Authentication zu lagern und das externe AD abzuschaffen.

 

Zu dem werden wir die TMG durch WAP von MS ablösen und mit einer Firewall sichern.

 

Gruß

Andre

http://kramer-it.me/index.php/sharepoint-blog

Ohne Rang
Beiträge 23

Hallo Sebastian,

Andi und Andre haben ja schon eine Menge zu deinem Thema beigetragen. Da ich bereits einige Umgebungen mit ähnlichen Anforderungen aufgebaut habe, würde ich dir mein Vorgehen schildern.

Sebastian N:

Wir möchten jetzt gerne das auch User aus Töchterunternehmen auf unsere Farm zugreifen können. Diese User befinden sich nicht in unserem AD.

Wenn wir von Nutzer aus unterschiedlichen Quellen sprechen, dann denkt man hier an Authentifizierungs-Provider. Der Authentifizierungsprover (Active Directory, LDAP, DB etc) muss/sollte nicht in der DMZ stehen. 


Sebastian N:

Ich möchte gerne einen Application/WebFrontEnd Server in unsere DMZ stellen für den Externenzugriff.

Wenn du ein Teil der Farm in ein anderes Netz ausgliederst, dann musst du alle Kommunikationsport auf der Firewall freischalten, die SharePoint benötigt. Einfacher ist da eher eine eigene Farm in der DMZ, welche sich mit den internen SP-Servern synchronisiert. Bereits bei Synchronisation sollte klar werden, dass es komplex wird und besonders die Integrität leiden könnte, wenn man Fehler macht. 

Frage: möchtest du wirklich dein Content (Unternehmensdaten) in die DMZ stellen?

Es ist ja so, dass wir hier (obwohl es ab SharePoint 2013 nicht mehr so ist) von einer 3-Tier-Architektur sprechen. In den meisten Umgebungen stellt man den App und DB-Tier in eine interne/sicher Zone. 

 

Sebastian N:

1. Kann ich einfach einen von den beiden Application/WebFrontend Server nehmen und in die DMZ packen oder wäre es besser einen neuen nur WebFrontEnd Server in der DMZ aufzusetzen und diesen anschließend mit der Farm zu verbinden.

Ich würde dir empfehlen ein Reverse-Proxy/WAF (Web Application Firewall) in die DMZ zu stellen. TMG war bis jetzt Standard, aber auf dieses Pferd würde ich nicht mehr setzen, da es bereits abgekündigt ist. Das gleiche gilt übrigens für UAG.

Sebastian N:

2. Wie realisiere ich am besten die Benutzer Authentifizierung für externe User die sich nicht im AD befinden? Gibt es die möglichkeit eines Mischbetriebes Zugriff von externen Usern und AD User auf eine Webanwendung?

Ja, ein Mischbetrieb ist gar nicht so unüblich. Entscheide dich für Active Directory, LDAP, DB etc. was du haben möchtest - bevorzugt ist hier eine weitere Active Directory Domain.

Sebastian N:

3. Kennt jemand gute Dienstleister die schon solche Projekte realisiert haben?

Ja - wie Sand am Meer. Ein Freelancer kriegt es aber auch hin. 

 

 

Zusammenfassung

DMZ

 

  • Reverse-Proxy/WAF
  • Verweis auf die interne Farm (erweiterte Webanwendung mit einer eigenen URL)

 

Interne/Secure-Zone

 

  • SharePoint Farm
  • Active Directory
  • AD, LDAP, DB etc. als Authentifizierungsprovider für externe Anwender

 

Sonstiges

 

  • alle Verbindungen verschlüsseln (LDAPS, HTTPS etc.)

 

 

Falls ihr hohe Sicherheitsanforderungen habt, dann könnte dieses Design nicht genügen. Letztendlich wird es aber keineswegs sicherer, wenn du deine SP-Server in die DMZ stellst - es wird sogar um einiges komplizierter.

 

BG DS

Seite 1 von 1 (4 Elemente) | RSS