SP2013 in DMZ für externen Zugriff betreiben

Andi Fandrich Als Antwort am 6 März 2014 16:41

[quote user="Sebastian N"]1. Kann ich einfach einen von den beiden Application/WebFrontend Server nehmen und in die DMZ packen oder wäre es besser einen neuen nur WebFrontEnd Server in der DMZ aufzusetzen und diesen anschließend mit der Farm zu verbinden[/quote]

Einen vorhandenen Server verschieben, würde ich gar nicht erst versuchen. Das wäre ja mit einer Änderung der IP verbunden und sowas hat bei Servern immer "unerwartete" Ergebnisse.

Wenn überhaupt auf diese Art, dann stelle einen neuen Webfrontend in die DMZ und konfiguriere ihn so, daß nur die eine Webanwendung dort läuft, auf die auch von extern zugegriffen werden soll. Man braucht dazu aber einige Löscher in der Firewall, weil disser Server mit allen anderen SP-Servern und mit SQL Kontakt benötigt. Und natürlich mit dem AD.

Alternative könnte ein Gatewayserver sein, wie TMG von MS (leider abgekündigt). Oder eine eigene SP-Farm aus einem Server in der DMZ. Man kann dann immernoch die Farmen verbinden und damit Dienste gemeinsam nutzen wie z.B. die Suche oder den Termstore.

[quote user="Sebastian N"]2. Wie realisiere ich am besten die Benutzer Authentifizierung für externe User die sich nicht im AD befinden? Gibt es die möglichkeit eines Mischbetriebes Zugriff von externen Usern und AD User auf eine Webanwendung?[/quote]

Stichwort Forms Based Authentication. Benutzerinformationen können dann z.B. in einer Datenbank stehen.

Man kann das auch für eine Webanwendung mischen. Und man kann es auch so konfigurieren, daß von intern immer nur über AD und von extern immer nur über Forms zugegriffen werden kann.

Andre Kramer Als Antwort am 7 März 2014 12:04

Hallo Zusammen,

Andi hat eigentlich alles schon gesagt. Allerdings hatten wir das selbe Szenario auch vor und ist auch an der Komplexität eine weitere Farm zu betreiben gescheitert.

Wir fahren nun das Szenario, dass wir unsere komplette Farm in unserer Domäne betreiben und unsere externen User in einem seperaten AD pflegen, welches eine Vertrauensstellung zu unserem internen AD hat. Zu dem ist wie Andi schon erwähnt hat derzeit noch eine TMG im Einsatz, damit schotten wir die Webanwendungen unter anderem ab.

Wir überlegen aber derzeit unsere User in einem Forms Based Authentication zu lagern und das externe AD abzuschaffen.

Zu dem werden wir die TMG durch WAP von MS ablösen und mit einer Firewall sichern.

Gruß

Andre

http://kramer-it.me/index.php/sharepoint-blog

DSbit Als Antwort am 29 März 2014 11:30

Hallo Sebastian,

Andi und Andre haben ja schon eine Menge zu deinem Thema beigetragen. Da ich bereits einige Umgebungen mit ähnlichen Anforderungen aufgebaut habe, würde ich dir mein Vorgehen schildern.

[quote user="Sebastian N"]

Wir möchten jetzt gerne das auch User aus Töchterunternehmen auf unsere Farm zugreifen können. Diese User befinden sich nicht in unserem AD.

[/quote]

Wenn wir von Nutzer aus unterschiedlichen Quellen sprechen, dann denkt man hier an Authentifizierungs-Provider. Der Authentifizierungsprover (Active Directory, LDAP, DB etc) muss/sollte nicht in der DMZ stehen. 

[quote user="Sebastian N"]
Ich möchte gerne einen Application/WebFrontEnd Server in unsere DMZ stellen für den Externenzugriff.[/quote]

Wenn du ein Teil der Farm in ein anderes Netz ausgliederst, dann musst du alle Kommunikationsport auf der Firewall freischalten, die SharePoint benötigt. Einfacher ist da eher eine eigene Farm in der DMZ, welche sich mit den internen SP-Servern synchronisiert. Bereits bei Synchronisation sollte klar werden, dass es komplex wird und besonders die Integrität leiden könnte, wenn man Fehler macht. 

Frage: möchtest du wirklich dein Content (Unternehmensdaten) in die DMZ stellen?

Es ist ja so, dass wir hier (obwohl es ab SharePoint 2013 nicht mehr so ist) von einer 3-Tier-Architektur sprechen. In den meisten Umgebungen stellt man den App und DB-Tier in eine interne/sicher Zone. 

[quote user="Sebastian N"]

1. Kann ich einfach einen von den beiden Application/WebFrontend Server nehmen und in die DMZ packen oder wäre es besser einen neuen nur WebFrontEnd Server in der DMZ aufzusetzen und diesen anschließend mit der Farm zu verbinden.

[/quote]

Ich würde dir empfehlen ein Reverse-Proxy/WAF (Web Application Firewall) in die DMZ zu stellen. TMG war bis jetzt Standard, aber auf dieses Pferd würde ich nicht mehr setzen, da es bereits abgekündigt ist. Das gleiche gilt übrigens für UAG.

[quote user="Sebastian N"]
2. Wie realisiere ich am besten die Benutzer Authentifizierung für externe User die sich nicht im AD befinden? Gibt es die möglichkeit eines Mischbetriebes Zugriff von externen Usern und AD User auf eine Webanwendung?
[/quote]

Ja, ein Mischbetrieb ist gar nicht so unüblich. Entscheide dich für Active Directory, LDAP, DB etc. was du haben möchtest - bevorzugt ist hier eine weitere Active Directory Domain.

[quote user="Sebastian N"]
3. Kennt jemand gute Dienstleister die schon solche Projekte realisiert haben?

[/quote]

Ja - wie Sand am Meer. Ein Freelancer kriegt es aber auch hin. 

Zusammenfassung

DMZ

• Reverse-Proxy/WAF
• Verweis auf die interne Farm (erweiterte Webanwendung mit einer eigenen URL)

Interne/Secure-Zone

• SharePoint Farm
• Active Directory
• AD, LDAP, DB etc. als Authentifizierungsprovider für externe Anwender

Sonstiges

• alle Verbindungen verschlüsseln (LDAPS, HTTPS etc.)

Falls ihr hohe Sicherheitsanforderungen habt, dann könnte dieses Design nicht genügen. Letztendlich wird es aber keineswegs sicherer, wenn du deine SP-Server in die DMZ stellst - es wird sogar um einiges komplizierter.

BG DS