Implementierung einer hochverfügbaren, sicheren SharePoint 2007 Infrastruktur

Implementierung einer hochverfügbaren, sicheren SharePoint 2007 Infrastruktur

Implementierung einer hochverfügbaren, sicheren SharePoint 2007 Infrastruktur

Denis HoltkampSenior Consultant

ITaCS GmbH

Denis HoltkampSenior Consultant

ITaCS GmbH

Fabian MoritzSenior Consultant, MVP

ITaCS GmbH

Fabian MoritzSenior Consultant, MVP

ITaCS GmbH

ThemenThemen

SharePoint 2007 Grundlagen Sicherheitsmodell Topologien Hochverfügbarkeits-Setup im Detail Kapazitätsplanung Disaster Recovery

SharePoint 2007 Grundlagen Sicherheitsmodell Topologien Hochverfügbarkeits-Setup im Detail Kapazitätsplanung Disaster Recovery

Kundenwünsche und Pain PointsKundenwünsche und Pain Points

Inkonsistentes Setup zwischen den Produkten Zentrale Administration mehrerer Server Topologie Restriktionen

Skalierung: Farmen verschiedener Größen Flexibilität: Umbenennung und Neuzuweisung von Res.

Netzwerk Support Mehrere Authentifizierungsprovider Reverse Proxies, SSL Termination IP-bound IIS virtual servers

Bessere Ressourcen-Ausnutzung und –Isolation Upgrademöglichkeiten

Inkonsistentes Setup zwischen den Produkten Zentrale Administration mehrerer Server Topologie Restriktionen

Skalierung: Farmen verschiedener Größen Flexibilität: Umbenennung und Neuzuweisung von Res.

Netzwerk Support Mehrere Authentifizierungsprovider Reverse Proxies, SSL Termination IP-bound IIS virtual servers

Bessere Ressourcen-Ausnutzung und –Isolation Upgrademöglichkeiten

SharePoint 2007 – Grundlagen1. ArchitekturSharePoint 2007 – Grundlagen1. Architektur

Physical Server

Web Application(s)aka Virtual Serveraka IIS Web Site

Top Level Site(s)

Site(s)

Site(s)

Site Collection

Central Admin

Farm

Central Admin

SharePoint 2007 – Grundlagen2. Services vs. ServerWindows SharePoint Services 2007

SharePoint 2007 – Grundlagen2. Services vs. ServerWindows SharePoint Services 2007

Zusammenarbeit

PlattformServices

Arbeitsbereiche, Mgmt,Sicherheit, Speicher,

Topologie, Site Model

Dokumente/Aufgaben/Termine, Blogs, Wikis, E-Mail-Integration,

Project Management “lite”, Outlook Integration,

Offline Dokumente und Listen

SharePoint 2007 – Grundlagen2. Services vs. ServerOffice SharePoint Server 2007

SharePoint 2007 – Grundlagen2. Services vs. ServerOffice SharePoint Server 2007

BusinessIntelligence Zusammenarbeit

Suche

PortalGeschäfts-formulare

PlattformServices

Arbeitsbereiche, Mgmt,Sicherheit, Speicher,

Topologie, Site Model

ContentManagement

Server-basierte Excel- Spreadsheets und

Datenvisualisierung, Report Center, BI Webparts,

KPIs/Dashboards

Integriertes Dokumenten-management, Records Management und Web

Content Management mit Policies und Workflow

Client und Web Formulare, LOB

Aktionen, Pluggable SSO

Dokumente/Aufgaben/Termine, Blogs, Wikis, E-Mail-Integration,

Project Management “lite”, Outlook Integration,

Offline Dokumente und Listen

Enterprise-Skalierbarkeit,Kontextuelle Relevanz,

Umfassende Personen und Geschäftsdaten-Suche

Enterprise Portal Vorlage, Website-Verzeichnis, My

Sites, Social Networking

SharePoint 2007 – Grundlagen3. Shared ServicesSharePoint 2007 – Grundlagen3. Shared Services

Web App 1 Web App 2

Site CSite B Site D

Office Server SearchDirectory importUser profile syncAudiencesTargeting

Business Data CatalogExcel calculation serviceUsage ReportingMySite

Shared Services

Site A

SharePoint 2007 – Grundlagen4. Was ist aus “Portalen” geworden?SharePoint 2007 – Grundlagen4. Was ist aus “Portalen” geworden?

Ein SharePoint Portal ist jetzt:SP Site + MOSS Template + Shared Services

Ein SharePoint Portal ist jetzt:SP Site + MOSS Template + Shared Services

MOSS Single Server

Web Application(s)

SSP Admin Central AdminPortal Template

Portal Template

SharePoint 2007 – Grundlagen5. Logischer und physikalischer AufbauSharePoint 2007 – Grundlagen5. Logischer und physikalischer Aufbau

Keine Topologie-Restriktionen mehr! Server haben Rollen

Web Front End (WFE) Application Server Datenbank Server

Farmen jeder Größe können erstellt werden und alle Serverrollen abbilden

Es gibt allerdings ein paar Empfehlungen, Richtlinien und Best Practices z.B. Mind. ein Index Server pro Farm Nicht mehr als 8 WFEs pro SQL Server

Keine Topologie-Restriktionen mehr! Server haben Rollen

Web Front End (WFE) Application Server Datenbank Server

Farmen jeder Größe können erstellt werden und alle Serverrollen abbilden

Es gibt allerdings ein paar Empfehlungen, Richtlinien und Best Practices z.B. Mind. ein Index Server pro Farm Nicht mehr als 8 WFEs pro SQL Server

Sharepoint Search – BegriffeSharepoint Search – Begriffe

Crawl Durchsucht bestimmte Ziele (Content Sources) Übergibt Daten (Content + Properties) an Index

Index Erstellt Full-Text-Index (File) und Properties-DB Kopiert Full-Text-Index an alle Query-Server

Query Beantwortet Suchanfragen von Benutzern

Content Sources SharePoint Sites, WebSites, Fileserver, Exchange

Public Folder, Business Data Catalog

Crawl Durchsucht bestimmte Ziele (Content Sources) Übergibt Daten (Content + Properties) an Index

Index Erstellt Full-Text-Index (File) und Properties-DB Kopiert Full-Text-Index an alle Query-Server

Query Beantwortet Suchanfragen von Benutzern

Content Sources SharePoint Sites, WebSites, Fileserver, Exchange

Public Folder, Business Data Catalog

SharePoint 2007 – Grundlagen DatenbankenSharePoint 2007 – Grundlagen Datenbanken

Physical Server

Site Collection A

Central Admin

Farm

Central AdminSSP

Site Collection A

ConfigDB

SSPDB

SearchDB

ContentDB

CA Conten

tDB

Datenbank Namen (Best Practices)Datenbank Namen (Best Practices)

SharePoint_Config_FarmName Existiert nur einmal pro Farm

SharePoint_ContentAdmin_FarmName Existiert einmal pro Farm, manuell umbenennen

SharePoint_Content_WebApplicationName# Existiert ein- oder mehrmal pro WebApplication

SharePoint_SSPName Existiert einmal pro SSP

SharePoint_SSPName_Search Existiert einmal pro SSP

SharePoint_Search_AppServer Existiert einmal pro WSS Service Help Search

SharePoint_Config_FarmName Existiert nur einmal pro Farm

SharePoint_ContentAdmin_FarmName Existiert einmal pro Farm, manuell umbenennen

SharePoint_Content_WebApplicationName# Existiert ein- oder mehrmal pro WebApplication

SharePoint_SSPName Existiert einmal pro SSP

SharePoint_SSPName_Search Existiert einmal pro SSP

SharePoint_Search_AppServer Existiert einmal pro WSS Service Help Search

SicherheitsmodellWas waren die Schwachstellen?SicherheitsmodellWas waren die Schwachstellen?

Keine Berechtigungen auf einzelne Verzeichnisse oder Elemente

Fehlende Wiederherstellungs-Möglichkeiten für einzelne Elemente (kein Papierkorb)

Nur Authentifizierung gegen Windows-Benutzerdatenbanken

Berechtigungen des Benutzers werden nicht bei der Darstellung berücksichtigt

Keine (echte) Backup & Recovery-Funktionalität

Keine Berechtigungen auf einzelne Verzeichnisse oder Elemente

Fehlende Wiederherstellungs-Möglichkeiten für einzelne Elemente (kein Papierkorb)

Nur Authentifizierung gegen Windows-Benutzerdatenbanken

Berechtigungen des Benutzers werden nicht bei der Darstellung berücksichtigt

Keine (echte) Backup & Recovery-Funktionalität

SicherheitsmodellSharePoint IdentitätenSicherheitsmodellSharePoint Identitäten

Application Pool-Identität Konfiguration über WSS-Administration Zugriff auf Ressourcen (Dateisystem, SQL)

WSS System-Identität Wird verwendet, um AppPool-Identität zu verstecken SHAREPOINT\system

Benutzer-Identität Windows oder anderer Authentifizierungs-Provider Vergabe von Berechtigungen

Application Pool-Identität Konfiguration über WSS-Administration Zugriff auf Ressourcen (Dateisystem, SQL)

WSS System-Identität Wird verwendet, um AppPool-Identität zu verstecken SHAREPOINT\system

Benutzer-Identität Windows oder anderer Authentifizierungs-Provider Vergabe von Berechtigungen

SicherheitsmodellApplication Pool IdentitätSicherheitsmodellApplication Pool Identität

Pro IIS Website ein Application Pool AppPool wird unter eigener Identität ausgeführt Identität ist lokales oder Domain-Benutzerkonto In Serverfarmen Domainkonto verwenden!

Pro IIS Website ein Application Pool AppPool wird unter eigener Identität ausgeführt Identität ist lokales oder Domain-Benutzerkonto In Serverfarmen Domainkonto verwenden!

SicherheitsmodellApplication Pool & SQL ServerSicherheitsmodellApplication Pool & SQL Server

Zugriff auf Config-Datenbank Erstellung und Zugriff auf Content-Datenbank Benutzerkonto benötigt SQL Server-Rechte

Zugriff auf Config-Datenbank Erstellung und Zugriff auf Content-Datenbank Benutzerkonto benötigt SQL Server-Rechte

SicherheitsmodellNeue AuthentifizierungsverfahrenSicherheitsmodellNeue Authentifizierungsverfahren

1. Windows Authentifizierung Authentifizierung gegen IIS Benutzer authentifizieren sich über ein Active

Directory- oder lokales Benutzerkonto WSS v2 unterstützt nur diesen Typ

2. ASP.NET 2.0 Forms Authentifizierung Basiert auf Authentication Provider Framework IIS wird für “Anonymen Zugriff” konfiguriert

3. Web SSO Authentifizierung Basiert Active Directory Federation Services (ADFS)

1. Windows Authentifizierung Authentifizierung gegen IIS Benutzer authentifizieren sich über ein Active

Directory- oder lokales Benutzerkonto WSS v2 unterstützt nur diesen Typ

2. ASP.NET 2.0 Forms Authentifizierung Basiert auf Authentication Provider Framework IIS wird für “Anonymen Zugriff” konfiguriert

3. Web SSO Authentifizierung Basiert Active Directory Federation Services (ADFS)

SicherheitsmodellWindows AuthentifizierungSicherheitsmodellWindows Authentifizierung

Authentifizierung über Windows-Benutzerkonto Lokale Benutzerkonten in Stand-Alone-Umgebungen Active Directory Benutzerkonten (besser)

Authentifizierungsverfahren Windows Integrierte Authentifizierung

(Negotiate NTLM, Kerberos) Basic Authentifizierung (Nur mit SSL!) Über IIS zusätzlich: Certificates und Digest

Authentifizierung über Windows-Benutzerkonto Lokale Benutzerkonten in Stand-Alone-Umgebungen Active Directory Benutzerkonten (besser)

Authentifizierungsverfahren Windows Integrierte Authentifizierung

(Negotiate NTLM, Kerberos) Basic Authentifizierung (Nur mit SSL!) Über IIS zusätzlich: Certificates und Digest

SicherheitsmodellForms basierte AuthentifizierungSicherheitsmodellForms basierte Authentifizierung

Basiert auf ASP.NET Authentifizierungsprovider Membership Provider für Benutzerkonten Role Provider

Out-of-the-box Provider SqlMembershipProvider ActiveDirectoryMembershipProvider

Basiert auf ASP.NET Authentifizierungsprovider Membership Provider für Benutzerkonten Role Provider

Out-of-the-box Provider SqlMembershipProvider ActiveDirectoryMembershipProvider

Identity Mgmt AppOperating System

Identity

xoxoxWallyoxoxMaryxoxoxoBobPWDLogin

DesktopWindows XP

ApplicationBrowser

Office AppCustom App

Web ServerWindows Server 2003

WSSv3

Internet AuthenticationProvider

SicherheitsmodellBerechtigungsmodellSicherheitsmodellBerechtigungsmodell

SharePoint liefert vordefiniert Rechte Listenberechtigungen (Hinzufügen, Ändern, etc.) Websiteberechtigungen (Website erstellen) Persönliche Berechtigungen (Ansicht anpassen)

Vergabe durch Berechtigungsstufen

Security Trimmed UI

SharePoint liefert vordefiniert Rechte Listenberechtigungen (Hinzufügen, Ändern, etc.) Websiteberechtigungen (Website erstellen) Persönliche Berechtigungen (Ansicht anpassen)

Vergabe durch Berechtigungsstufen

Security Trimmed UI


Aktivierung in Zentraladministration

Einfache Verwaltung innerhalb der Website

Direkte Berechtigungsvergabe auf Ebene der Liste oder des Listeneintrags

Aktivierung in Zentraladministration

Einfache Verwaltung innerhalb der Website

Direkte Berechtigungsvergabe auf Ebene der Liste oder des Listeneintrags


SharePoint integriert einen Papierkorb Für Benutzer auf Site-Ebene Für Administratoren auf Site-Collection-Ebene Listen, Bibliotheken, Verzeichnisse, Elemente

SharePoint integriert einen Papierkorb Für Benutzer auf Site-Ebene Für Administratoren auf Site-Collection-Ebene Listen, Bibliotheken, Verzeichnisse, Elemente

Sicherheitsmodell Best PracticesSicherheitsmodell Best Practices

Unterschiedliche Benutzerkonten für: Farm Account Content Application Pool SSP Prozess Account

Achtung: Darf in Farm-Umgebungen nicht “Network Service” sein! Kann aber gleich dem SSP Shared Web Service Account sein.

Kerberos on (default = NTLM) Jeder Prozess-Account muss einen SPN registriert haben.

SSL aktivieren (default = off) Einschalten für die Admin Site und die Server-zu-Server-

Kommunikation

SPAdmin Service: Single Server: Off (Empfehlung ‘On’ für MOSS) Farm: On

Unterschiedliche Benutzerkonten für: Farm Account Content Application Pool SSP Prozess Account

Achtung: Darf in Farm-Umgebungen nicht “Network Service” sein! Kann aber gleich dem SSP Shared Web Service Account sein.

Kerberos on (default = NTLM) Jeder Prozess-Account muss einen SPN registriert haben.

SSL aktivieren (default = off) Einschalten für die Admin Site und die Server-zu-Server-

Kommunikation

SPAdmin Service: Single Server: Off (Empfehlung ‘On’ für MOSS) Farm: On

Keine Angst vor KerberosKeine Angst vor Kerberos

Schneller durch „credential caching“ Kommunikation WFE DB

Service Principle Name für das SQL Dienstkonto SETSPN -A MSSQLSVC/<FQDN>:<Port> <Domain\SQLServiceAccountName>z.B. SETSPN -A MSSQLSvc/srv01.contoso.com:1433 CONTOSO\sql_srv

Kommunikation Benutzers WFE Service Principle Name für die WebApplicationSETSPN -A HTTP/<FQDN> <Domain>\<AppPoolIdentity>z.B. SETSPN -A HTTP/Intranet CONTOSO\sp_app_intranet

Schneller durch „credential caching“ Kommunikation WFE DB

Service Principle Name für das SQL Dienstkonto SETSPN -A MSSQLSVC/<FQDN>:<Port> <Domain\SQLServiceAccountName>z.B. SETSPN -A MSSQLSvc/srv01.contoso.com:1433 CONTOSO\sql_srv

Kommunikation Benutzers WFE Service Principle Name für die WebApplicationSETSPN -A HTTP/<FQDN> <Domain>\<AppPoolIdentity>z.B. SETSPN -A HTTP/Intranet CONTOSO\sp_app_intranet

Kerberos Auth ohne ImpersonifizierungKerberos Auth ohne Impersonifizierung

MOSS Service AccountUPN = SP_APP_Intranet

SQL Service AccountUPN = CLU-SQL-SRVSPN = MSSQLSvc/CLU-SQL.msdemos.de

User AccountUPN = [email protected]

BASIC, NTLM, NEGOTIATE,

FORMS

Windows

Authentifizierung

OK

Dienstanstart mit Kerberos

Authentifizierung

OK

Kerberos Auth mit ImpersonifizierungKerberos Auth mit Impersonifizierung

MOSS Service AccountUPN = SP_APP_IntranetSPN = http/intranet.msdemos.deContraint: MSSQLSvc/CLU-SQL.msdemos.de

SQL Service AccountUPN = CLU-SQL-SRVSPN = MSSQLSvc/CLU-SQL.msdemos.de

User AccountUPN = [email protected]

NEGOTIATE

OK

OKDienstanstart mit Kerberos

Authentifizierung

Benutzeranmeldung

mit Kerberos

Authentifizierung

Kerberos D

elegation

Topologien

• Single Server• Kleine Farm• Mittlere Farm• Große Farm

Topologien

• Single Server• Kleine Farm• Mittlere Farm• Große Farm

LogischPhysikalisch

TopologienSingle serverTopologienSingle server

Server 1: Content Sites SSP

SSP Admin Site Shared Services Shared Web Services

Central Admin Site Alle Datenbanken

Server 1: Content Sites SSP


Central Admin Site Alle Datenbanken

Ein Server mitallen Rollen:

• Web Front End

• Applikation

• Datenbank

LogischPhysikalisch

Topologien2*1 kleine FarmTopologien2*1 kleine Farm

Server 1 & 2: Content Sites SSP


Central Admin Site (nur Server 1)

Server 3 Alle Datenbanken

Server 1 & 2: Content Sites SSP


Central Admin Site (nur Server 1)

Server 3 Alle Datenbanken

Load balanced Server:

Web Front EndApplikation

Dedicated SQL Server

LogischPhysikalisch

Topologien2*1*2 mittlere FarmTopologien2*1*2 mittlere Farm

Servers 1 & 2: Content Sites SSP

SSP Admin Site Shared service Shared web services

Server 3 SSP

Shared service (Index) Shared web services

Central Admin Site

Server 4 & 5 Alle Datenbanken

Servers 1 & 2: Content Sites SSP

SSP Admin Site Shared service Shared web services

Server 3 SSP

Shared service (Index) Shared web services

Central Admin Site

Server 4 & 5 Alle Datenbanken

Load balanced Server:

• Web Front End

• Applications

Geclusterter SQL Server

Application Server (Index)

LogischPhysikalisch

Topologien4*6*2 große FarmTopologien4*6*2 große Farm

Web front endWeb front end

Clustered SQL Server

Application Servers

Index

Search

Excel calculation

WFE Server: 1-4 Content Sites SSP Admin Site

Application Server: 5-10 SSP Server 5 - 6:

- Shared service (Index)- Central Admin

Server 7 - 8: - Shared service (Query)- Shared web services

(Query) Server 9 – 10:

- Shared service (Excel)- Shared web services

(Excel) DB Server: 11 & 12

Alle Datenbanken

Hochverfügbarkeits-Setup im Detail

• Datenbank System• Sharepoint Server• Firewall System

Hochverfügbarkeits-Setup im Detail

• Datenbank System• Sharepoint Server• Firewall System

Demo InfrastrukturDemo Infrastruktur

NLB

ISA-B(ISA 2006 EE)

ISA-A(ISA 2006 EE)

NLB

SQL-A SQL-BSQL Server 2000

Active/Passive ClusterWFE-1WFE, SSP

WFE-2WFE, SSP

NLB

172.21.12.2 172.21.12.3

172.21.12.1 = intranet.msdemos.de

192.168.1.2 192.168.1.3192.168.1.1

192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20

192.168.1.21 = intranet

SQL Server 2005 + SP2APP-1

APP, CAS

192.168.1.25192.168.1.15

CLU-SQL

192.168.1.40 192.168.1.45

DC-2AD, DNS

DC-1AD, DNS

APP-2APP, CAS

DB

Datenbank SystemInstallationDatenbank SystemInstallation

Backend Datenbank Systeme Microsoft SQL Server 2005 Express Edition Microsoft SQL Server 2005 SP2 Microsoft SQL Server 2000 SP4

Datenbank-Berechtigungen werden automatisch angepasst

DBA-created Databases möglich

Backend Datenbank Systeme Microsoft SQL Server 2005 Express Edition Microsoft SQL Server 2005 SP2 Microsoft SQL Server 2000 SP4

Datenbank-Berechtigungen werden automatisch angepasst

DBA-created Databases möglich

Datenbank SystemSQL Failover ClusteringDatenbank SystemSQL Failover Clustering

Hot Standby: Sehr kurze Recovery-Zeiten Applikationsverfügbarkeit ohne Überwachung und ohne

Administrative Eingriffe

Hot Standby: Sehr kurze Recovery-Zeiten Applikationsverfügbarkeit ohne Überwachung und ohne

Administrative Eingriffe

Server Cluster

SharePoint Web Front Ends

Shared Disk Arrays

Node A Node B

Heartbeat


NLB

ISA-B(ISA 2006 EE)

ISA-A(ISA 2006 EE)

NLB



WFE-2WFE, SSP

NLB

172.21.12.2 172.21.12.3


192.168.1.2 192.168.1.3192.168.1.1

192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20

192.168.1.21 = intranet


APP, CAS

192.168.1.25192.168.1.15

CLU-SQL

192.168.1.40 192.168.1.45

DC-2AD, DNS

DC-1AD, DNS

APP-2APP, CAS

DB

Einrichtung des Backend SQL ClustersEinrichtung des Backend SQL Clusters


NLB

ISA-B(ISA 2006 EE)

ISA-A(ISA 2006 EE)

NLB



WFE-2WFE, SSP

NLB

172.21.12.2 172.21.12.3


192.168.1.2 192.168.1.3192.168.1.1

192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20

192.168.1.21 = intranet


APP, CAS

192.168.1.25192.168.1.15

CLU-SQL

192.168.1.40 192.168.1.45

DC-2AD, DNS

DC-1AD, DNS

APP-2APP, CAS

DB

Applikations- und Web Front End ServerSetupApplikations- und Web Front End ServerSetup

Installationsvoraussetzungen Windows Server 2003

Mindestens Service Pack 1 bzw. R2 Editionen: Web, Standard, Enterprise, Datacenter Als x32 oder x64 Version Später auch Windows Server Codename Longhorn

Internet Information Services .NET Framework 2.0 .NET Framework 3.0 wegen Workflow Foundation ASP.NET 2.0 muss im IIS registriert seinC:\Windows\Microsoft.NET\Framework\v2.0.xxxxx>aspnet_regiis.exe -i

Installationsvoraussetzungen Windows Server 2003

Mindestens Service Pack 1 bzw. R2 Editionen: Web, Standard, Enterprise, Datacenter Als x32 oder x64 Version Später auch Windows Server Codename Longhorn

Internet Information Services .NET Framework 2.0 .NET Framework 3.0 wegen Workflow Foundation ASP.NET 2.0 muss im IIS registriert seinC:\Windows\Microsoft.NET\Framework\v2.0.xxxxx>aspnet_regiis.exe -i

Web Front End ServerLastverteilung und FailoverWeb Front End ServerLastverteilung und Failover

Lastverteilung mittels: Hardware Load-Balancer

Z.B. F-5 BigIP, Cisco Content Service Switch…. Microsoft Network Load Balancing

Cluster operation mode Default: Unicast Modus (nicht empfohlen bei single NIC) Empfohlen: Multicast Modus (Vorsicht bei älteren Switches)

Hosts können weiterhin untereinander kommunizieren

ISA Server 2006 Load Balancing ISA übernimmt die Lastverteilung und überprüft die

Verfügbarkeit der Nodes

Lastverteilung mittels: Hardware Load-Balancer

Z.B. F-5 BigIP, Cisco Content Service Switch…. Microsoft Network Load Balancing

Cluster operation mode Default: Unicast Modus (nicht empfohlen bei single NIC) Empfohlen: Multicast Modus (Vorsicht bei älteren Switches)

Hosts können weiterhin untereinander kommunizieren

ISA Server 2006 Load Balancing ISA übernimmt die Lastverteilung und überprüft die

Verfügbarkeit der Nodes

Language PacksLanguage Packs

Derzeit in 37 Sprachen Sowohl für WSS als auch für die Office Server Language Packs sollten

nach dem WSS bzw. MOSS Setup und vor dem Configuration Wizzard installiert werden Auf allen Servern der Farm installiert sein

Default Language ist die Sprache der Verwaltungswebseite

Derzeit in 37 Sprachen Sowohl für WSS als auch für die Office Server Language Packs sollten

nach dem WSS bzw. MOSS Setup und vor dem Configuration Wizzard installiert werden Auf allen Servern der Farm installiert sein

Default Language ist die Sprache der Verwaltungswebseite

Service AccountsService Accounts

Alle Accounts sollten im Active Directory liegen Service Accounts müssen nicht Mitglied

der Gruppe „Domänen-Benutzer“ sein SharePoint Farm Account für die

Zentraladministration Scope: ein Account pro Farm DOMAIN\SP_CA_<FarmName>

SharePoint Application Pool Account Scope: Account für jeden Application Pool DOMAIN\SP_App_<WebApplicationName>

Alle Accounts sollten im Active Directory liegen Service Accounts müssen nicht Mitglied

der Gruppe „Domänen-Benutzer“ sein SharePoint Farm Account für die

Zentraladministration Scope: ein Account pro Farm DOMAIN\SP_CA_<FarmName>

SharePoint Application Pool Account Scope: Account für jeden Application Pool DOMAIN\SP_App_<WebApplicationName>

Service AccountsService Accounts

SharePoint Content Access Account Konto für Crawling der Inhaltsquellen DOMAIN\SP_CAA_<FarmName>

SharePoint Search Service Account DOMAIN\SP_Search_<FarmName>

Shared Service Provider WebService Account Ein Account pro SSP DOMAIN\SP_<SSPName>_WebService

SharePoint Content Access Account Konto für Crawling der Inhaltsquellen DOMAIN\SP_CAA_<FarmName>

SharePoint Search Service Account DOMAIN\SP_Search_<FarmName>

Shared Service Provider WebService Account Ein Account pro SSP DOMAIN\SP_<SSPName>_WebService

• Installation der Applikationsserver• Installation der Web Front End Server• Erstellung einer Web Applikation sowie einer Site Collection• Einrichtung von NLB

• Installation der Applikationsserver• Installation der Web Front End Server• Erstellung einer Web Applikation sowie einer Site Collection• Einrichtung von NLB


NLB

ISA-B(ISA 2006 EE)

ISA-A(ISA 2006 EE)

NLB



WFE-2WFE, SSP

NLB

172.21.12.2 172.21.12.3


192.168.1.2 192.168.1.3192.168.1.1

192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20

192.168.1.21 = intranet


APP, CAS

192.168.1.25192.168.1.15

CLU-SQL

192.168.1.40 192.168.1.45

DC-2AD, DNS

DC-1AD, DNS

APP-2APP, CAS

DB

Konfiguration des Shared Service Provider

für Indexing und Search

Konfiguration des Shared Service Provider

für Indexing und Search


NLB

ISA-B(ISA 2006 EE)

ISA-A(ISA 2006 EE)

NLB



WFE-2WFE, SSP

NLB

172.21.12.2 172.21.12.3


192.168.1.2 192.168.1.3192.168.1.1

192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20

192.168.1.21 = intranet


APP, CAS

192.168.1.25192.168.1.15

CLU-SQL

192.168.1.40 192.168.1.45

DC-2AD, DNS

DC-1AD, DNS

APP-2APP, CAS

DB

First line of defenseFirewallFirst line of defenseFirewall

Firewall muss http (TCP/80) und https (TCP/443) erlauben

Firewall sollte „stateful“ Paketfilterung unterstützen Applikations-Filter für http haben SSL Terminierung übernehmen können Authentifizierung überprüfen und weiterleiten

Basic Auth / Forms-Auth

HA Szenarien (z.B. Clustering) unterstützen

ISA Server 2006 Enterprise Edition erfüllt diese Bedingungen

Firewall muss http (TCP/80) und https (TCP/443) erlauben

Firewall sollte „stateful“ Paketfilterung unterstützen Applikations-Filter für http haben SSL Terminierung übernehmen können Authentifizierung überprüfen und weiterleiten

Basic Auth / Forms-Auth

HA Szenarien (z.B. Clustering) unterstützen

ISA Server 2006 Enterprise Edition erfüllt diese Bedingungen

ISA Server 2006AuthentifizierungISA Server 2006Authentifizierung

Basic Authentification Integrated Authentification

NTLM / Kerberos

Forms-Based Authentification Authentifizierungsprovider

Lokale Verzeichnisdatenbank Active Directory LDAP Directory ASP. Net pluggable authN provider

Protokolltransition

Basic Authentification Integrated Authentification

NTLM / Kerberos

Forms-Based Authentification Authentifizierungsprovider

Lokale Verzeichnisdatenbank Active Directory LDAP Directory ASP. Net pluggable authN provider

Protokolltransition

Einrichtung des ISA Server 2006 Array und Veröffentlichung der SharePoint Server 2007 Farm

Einrichtung des ISA Server 2006 Array und Veröffentlichung der SharePoint Server 2007 Farm


NLB

ISA-B(ISA 2006 EE)

ISA-A(ISA 2006 EE)

NLB



WFE-2WFE, SSP

NLB

172.21.12.2 172.21.12.3


192.168.1.2 192.168.1.3192.168.1.1

192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20

192.168.1.21 = intranet


APP, CAS

192.168.1.25192.168.1.15

CLU-SQL

192.168.1.40 192.168.1.45

DC-2AD, DNS

DC-1AD, DNS

APP-2APP, CAS

DB

KapazitätsplanungKapazitätsplanung

Kapazitätsplanung LatenzverhaltenKapazitätsplanung Latenzverhalten

Latency components Server processing ~ 40%

SQL processing, # SQL round trips, AJAX processing

Client processing ~ 45% Javascript, CSS, AJAX requests, HTML load

Wire transfer ~ 5% Bandbreite, Größe des Downloads

Empfehlungen #1 killer of latency = Custom Web Parts

SQL round trips, excessive client side script

Wiederverwendung bestehenden Client-Codes vs. neuen Designen des Codes nach Performance-Gesichtspunkten

Latency components Server processing ~ 40%

SQL processing, # SQL round trips, AJAX processing

Client processing ~ 45% Javascript, CSS, AJAX requests, HTML load

Wire transfer ~ 5% Bandbreite, Größe des Downloads

Empfehlungen #1 killer of latency = Custom Web Parts

SQL round trips, excessive client side script

Wiederverwendung bestehenden Client-Codes vs. neuen Designen des Codes nach Performance-Gesichtspunkten

Kapazitätsplanung Daten – Empfohlene LimitsKapazitätsplanung Daten – Empfohlene Limits

Objekt Scope Empfehlung

Site Collections Datenbank 50.000

Web Sites Site Collection 250.000

(Sub) Web sites Web Site 2.000

Listen Web Site 2.000

Items Listen < 200.000

Dokumente Dokumentenbibliothek < 10.000

Dokumente Folder 2.000

Dokumentengröße File 50MB

Indizierte Dokumente (MOSS) SSP 50 Mio

Search Scopes (MOSS) Site Collections 1.000

Anzahl Profile (MOSS) SSP 5 Mio

Kapazitätsplanung Daten – SpeicherplatzbedarfKapazitätsplanung Daten – Speicherplatzbedarf

Primary Metric: Document storage SQL Server ca. 1,2 – 1,5 x Dateimenge im

Filesystem RAID Konfiguration Empfehlung

RAID 5 für Datenbankdateien RAID 0+1 für Transaction Logs

Secondary Metric = Index Index Server: 10 – 40% (x 2) der Gesamtgröße des

gesamten zu indizierenden Contents Query Server: gleiche Größe wie Index Server

Primary Metric: Document storage SQL Server ca. 1,2 – 1,5 x Dateimenge im

Filesystem RAID Konfiguration Empfehlung

RAID 5 für Datenbankdateien RAID 0+1 für Transaction Logs

Secondary Metric = Index Index Server: 10 – 40% (x 2) der Gesamtgröße des

gesamten zu indizierenden Contents Query Server: gleiche Größe wie Index Server

Disaster RecoveryDisaster Recovery

Disaster RecoveryMöglichkeitenDisaster RecoveryMöglichkeiten

Recycle Bin für Dokumente und Listen 2 Phasen: Benutzer Administrator

Versionierung Site-Level Backup/Restore via STSADM Integriertes SharePoint Backup und Restore

Backup/Restore UI für Web Applikationen Unterstützt Voll- und Differenzielles Backup Sichert auch den Full-Text-Index und Search-DB VSS Writer für Farm Backup Erweiterbares Framework für 3rd Party Software

Log-Shipping, Database Mirroring

Recycle Bin für Dokumente und Listen 2 Phasen: Benutzer Administrator

Versionierung Site-Level Backup/Restore via STSADM Integriertes SharePoint Backup und Restore

Backup/Restore UI für Web Applikationen Unterstützt Voll- und Differenzielles Backup Sichert auch den Full-Text-Index und Search-DB VSS Writer für Farm Backup Erweiterbares Framework für 3rd Party Software

Log-Shipping, Database Mirroring

Disaster RecoverySharePoint Backup/RestoreDisaster RecoverySharePoint Backup/Restore

Limitationen Kein Scheduling „out-of-the box“ möglich

Windows Task Scheduler kann helfen Sichert nur die Datenbanken und den

Full-Text-Index Systemstate und Daten der Front End Server

müssen manuell gesichert werden Lange Widerherstellungszeiten bei großen DB

Geringere Verfügbarkeit

Limitationen Kein Scheduling „out-of-the box“ möglich

Windows Task Scheduler kann helfen Sichert nur die Datenbanken und den

Full-Text-Index Systemstate und Daten der Front End Server

müssen manuell gesichert werden Lange Widerherstellungszeiten bei großen DB

Geringere Verfügbarkeit

Content Recovery Disaster Recovery

Disaster RecoveryBest PracticesDisaster RecoveryBest Practices

Recycle BinVersioningWeb Delete Event

Recycle BinVersioningWeb Delete Event

SharePoint Backup/RestoreSQL-only Backup3rd Party ToolsLog-Shipping

High Availability

Log-ShippingSQL Clustering

Welche Kombination dieser Tools ist die richtige für Sie?

Weitere InformationenWeitere Informationen

www.itacs.de SharePoint weblogs.mysharepoint.de/fabianm www.sharepointcommunity.de blogs.itacs.de

www.itacs.de SharePoint weblogs.mysharepoint.de/fabianm www.sharepointcommunity.de blogs.itacs.de

Geo-distributed DeploymentsGeo-distributed Deployments

One Authoring, several read-only environments. Practical scenario: Web publishing solution (a .com site) where you have authoring

(R/W) and different Read-only production environments. out of the box tools for content deployment where you can publish content from one

environment to multiple web server farms.

WAN acceleration: read/write scenarios with offices across the world. Practical scenario: A highly collaborative environment where an organization has

offices WW. The compression algorithms along with the HTTP traffic acceleration should yield good results.

There are several Microsoft SharePoint partners that offer a SharePoint-specific WAN acceleration solution. (Certeon ,Tacit, F5)

Replication: Different environments that need to host similar content Different offices want to maintain their own environment but want to sync up with a

central environment. iOra , CommVault , Veritas.

Client/server replication: enable users to be able to take content offline. Outlook 2007 and Groove or Digi-link.

One Authoring, several read-only environments. Practical scenario: Web publishing solution (a .com site) where you have authoring

(R/W) and different Read-only production environments. out of the box tools for content deployment where you can publish content from one

environment to multiple web server farms.

WAN acceleration: read/write scenarios with offices across the world. Practical scenario: A highly collaborative environment where an organization has

offices WW. The compression algorithms along with the HTTP traffic acceleration should yield good results.

There are several Microsoft SharePoint partners that offer a SharePoint-specific WAN acceleration solution. (Certeon ,Tacit, F5)

Replication: Different environments that need to host similar content Different offices want to maintain their own environment but want to sync up with a

central environment. iOra , CommVault , Veritas.

Client/server replication: enable users to be able to take content offline. Outlook 2007 and Groove or Digi-link.

Implementierung einer hochverfügbaren, sicheren SharePoint 2007 Infrastruktur

Documents

Transcript of Implementierung einer hochverfügbaren, sicheren SharePoint 2007 Infrastruktur