SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

Sponsored by

Willkommen im Forum Archiv.
Einträge sind hier nicht mehr möglich, aber der Bestand von 12 Jahren SharePoint-Wissen ist hier recherchierbar.




2013 Farm in der DMZ

Unbeantwortet Dieser Beitrag hat 2 Antworten

Ohne Rang
611 Beiträge
Florian Adler erstellt 25 Feb. 2019 13:51
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Heute mal ein Infrastruktur-Thema. Es existiert bereits im internen Netz eine SharePoint Farm, deren Inhalt in Teilen mit Tochter- und Partnerunternehmen "geteilt" werden soll. Um eine saubere Trennung der Datenhaltung zu ermöglichen, soll eine komplette eigenständige Farm in der DMZ aufgebaut werden. Aktuell gibt es in der DMZ keinen DC, was die Installation/Konfiguration natürlich schwierig bis unmöglich macht. Über das Synchronisieren von intern nach extern (rein one-way) mache ich mir noch gar keine Gedanken.

Jetzt habe ich in Sachen Proxy und AD FS Anbindung noch nicht die Erfahrung schlechthin. Was sind da Best Practices? Die Farm steht komplett (also WFE, App und SQL) in der DMZ. Interne Benutzer sollen auf beide Umgebungen mit dem gleichen User Account zugreifen, Tochter- und Partnerunternehmen soll aber nur auf die Farm in der DMZ Zugriff erhalten...

Alle Antworten

Ohne Rang
634 Beiträge
Olaf Didszun Als Antwort am 26 Feb. 2019 11:57
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hi Florian,

schau dir zu dem Thema mal den Web Application Proxy von Windows an (https://docs.microsoft.com/en-us/windows-server/remote/remote-access/web-application-proxy/web-application-proxy-in-windows-server). Damit kannst du einen kontrollierten Zugriff auf das AD herstellen und den SharePoint "innen" lassen.

Beste Grüße

Olaf

 

Ohne Rang
611 Beiträge
Florian Adler Als Antwort am 26 Feb. 2019 13:23
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Moin Olaf,

danke für deine Antwort.
Ich würde SharePoint und SQL auch lieber "drinnen" spielen lassen. Aber wir sind hier an gewisse Rahmen gebunden (auf die ich leider auch keinen Einfluss habe), die mir vorgeben, dass die gesamte Farm in der DMZ stehen soll.

Wo ich mir halt noch nicht wirklich sicher bin, ist der Umstand des AD resp. DC. Ich würde am liebsten in der DMZ einen eigenen DC hinstellen, der die externen Benutzer aufnimmt (und damit auch die Service User für die Farm). Die internen Benutzer kann ich dann doch noch immer über einen AD FS Proxy jagen, richtig?

Brauchen die beiden DCs dann eine Trust Stellung oder wie wäre das aufgebaut?

Ich bin wieder (sporadisch) hier!