Implementierung einer hochverfügbaren, sicheren SharePoint 2007 Infrastruktur
description
Transcript of Implementierung einer hochverfügbaren, sicheren SharePoint 2007 Infrastruktur
Implementierung einer hochverfügbaren, sicheren SharePoint 2007 Infrastruktur
Implementierung einer hochverfügbaren, sicheren SharePoint 2007 Infrastruktur
Denis HoltkampSenior Consultant
ITaCS GmbH
Denis HoltkampSenior Consultant
ITaCS GmbH
Fabian MoritzSenior Consultant, MVP
ITaCS GmbH
Fabian MoritzSenior Consultant, MVP
ITaCS GmbH
ThemenThemen
SharePoint 2007 Grundlagen Sicherheitsmodell Topologien Hochverfügbarkeits-Setup im Detail Kapazitätsplanung Disaster Recovery
SharePoint 2007 Grundlagen Sicherheitsmodell Topologien Hochverfügbarkeits-Setup im Detail Kapazitätsplanung Disaster Recovery
Kundenwünsche und Pain PointsKundenwünsche und Pain Points
Inkonsistentes Setup zwischen den Produkten Zentrale Administration mehrerer Server Topologie Restriktionen
Skalierung: Farmen verschiedener Größen Flexibilität: Umbenennung und Neuzuweisung von Res.
Netzwerk Support Mehrere Authentifizierungsprovider Reverse Proxies, SSL Termination IP-bound IIS virtual servers
Bessere Ressourcen-Ausnutzung und –Isolation Upgrademöglichkeiten
Inkonsistentes Setup zwischen den Produkten Zentrale Administration mehrerer Server Topologie Restriktionen
Skalierung: Farmen verschiedener Größen Flexibilität: Umbenennung und Neuzuweisung von Res.
Netzwerk Support Mehrere Authentifizierungsprovider Reverse Proxies, SSL Termination IP-bound IIS virtual servers
Bessere Ressourcen-Ausnutzung und –Isolation Upgrademöglichkeiten
SharePoint 2007 – Grundlagen1. ArchitekturSharePoint 2007 – Grundlagen1. Architektur
Physical Server
Web Application(s)aka Virtual Serveraka IIS Web Site
Top Level Site(s)
Site(s)
Site(s)
Site Collection
Central Admin
Farm
Central Admin
SharePoint 2007 – Grundlagen2. Services vs. ServerWindows SharePoint Services 2007
SharePoint 2007 – Grundlagen2. Services vs. ServerWindows SharePoint Services 2007
Zusammenarbeit
PlattformServices
Arbeitsbereiche, Mgmt,Sicherheit, Speicher,
Topologie, Site Model
Dokumente/Aufgaben/Termine, Blogs, Wikis, E-Mail-Integration,
Project Management “lite”, Outlook Integration,
Offline Dokumente und Listen
SharePoint 2007 – Grundlagen2. Services vs. ServerOffice SharePoint Server 2007
SharePoint 2007 – Grundlagen2. Services vs. ServerOffice SharePoint Server 2007
BusinessIntelligence Zusammenarbeit
Suche
PortalGeschäfts-formulare
PlattformServices
Arbeitsbereiche, Mgmt,Sicherheit, Speicher,
Topologie, Site Model
ContentManagement
Server-basierte Excel- Spreadsheets und
Datenvisualisierung, Report Center, BI Webparts,
KPIs/Dashboards
Integriertes Dokumenten-management, Records Management und Web
Content Management mit Policies und Workflow
Client und Web Formulare, LOB
Aktionen, Pluggable SSO
Dokumente/Aufgaben/Termine, Blogs, Wikis, E-Mail-Integration,
Project Management “lite”, Outlook Integration,
Offline Dokumente und Listen
Enterprise-Skalierbarkeit,Kontextuelle Relevanz,
Umfassende Personen und Geschäftsdaten-Suche
Enterprise Portal Vorlage, Website-Verzeichnis, My
Sites, Social Networking
SharePoint 2007 – Grundlagen3. Shared ServicesSharePoint 2007 – Grundlagen3. Shared Services
Web App 1 Web App 2
Site CSite B Site D
Office Server SearchDirectory importUser profile syncAudiencesTargeting
Business Data CatalogExcel calculation serviceUsage ReportingMySite
Shared Services
Site A
SharePoint 2007 – Grundlagen4. Was ist aus “Portalen” geworden?SharePoint 2007 – Grundlagen4. Was ist aus “Portalen” geworden?
Ein SharePoint Portal ist jetzt:SP Site + MOSS Template + Shared Services
Ein SharePoint Portal ist jetzt:SP Site + MOSS Template + Shared Services
MOSS Single Server
Web Application(s)
SSP Admin Central AdminPortal Template
Portal Template
SharePoint 2007 – Grundlagen5. Logischer und physikalischer AufbauSharePoint 2007 – Grundlagen5. Logischer und physikalischer Aufbau
Keine Topologie-Restriktionen mehr! Server haben Rollen
Web Front End (WFE) Application Server Datenbank Server
Farmen jeder Größe können erstellt werden und alle Serverrollen abbilden
Es gibt allerdings ein paar Empfehlungen, Richtlinien und Best Practices z.B. Mind. ein Index Server pro Farm Nicht mehr als 8 WFEs pro SQL Server
Keine Topologie-Restriktionen mehr! Server haben Rollen
Web Front End (WFE) Application Server Datenbank Server
Farmen jeder Größe können erstellt werden und alle Serverrollen abbilden
Es gibt allerdings ein paar Empfehlungen, Richtlinien und Best Practices z.B. Mind. ein Index Server pro Farm Nicht mehr als 8 WFEs pro SQL Server
Sharepoint Search – BegriffeSharepoint Search – Begriffe
Crawl Durchsucht bestimmte Ziele (Content Sources) Übergibt Daten (Content + Properties) an Index
Index Erstellt Full-Text-Index (File) und Properties-DB Kopiert Full-Text-Index an alle Query-Server
Query Beantwortet Suchanfragen von Benutzern
Content Sources SharePoint Sites, WebSites, Fileserver, Exchange
Public Folder, Business Data Catalog
Crawl Durchsucht bestimmte Ziele (Content Sources) Übergibt Daten (Content + Properties) an Index
Index Erstellt Full-Text-Index (File) und Properties-DB Kopiert Full-Text-Index an alle Query-Server
Query Beantwortet Suchanfragen von Benutzern
Content Sources SharePoint Sites, WebSites, Fileserver, Exchange
Public Folder, Business Data Catalog
SharePoint 2007 – Grundlagen DatenbankenSharePoint 2007 – Grundlagen Datenbanken
Physical Server
Site Collection A
Central Admin
Farm
Central AdminSSP
Site Collection A
ConfigDB
SSPDB
SearchDB
ContentDB
CA Conten
tDB
Datenbank Namen (Best Practices)Datenbank Namen (Best Practices)
SharePoint_Config_FarmName Existiert nur einmal pro Farm
SharePoint_ContentAdmin_FarmName Existiert einmal pro Farm, manuell umbenennen
SharePoint_Content_WebApplicationName# Existiert ein- oder mehrmal pro WebApplication
SharePoint_SSPName Existiert einmal pro SSP
SharePoint_SSPName_Search Existiert einmal pro SSP
SharePoint_Search_AppServer Existiert einmal pro WSS Service Help Search
SharePoint_Config_FarmName Existiert nur einmal pro Farm
SharePoint_ContentAdmin_FarmName Existiert einmal pro Farm, manuell umbenennen
SharePoint_Content_WebApplicationName# Existiert ein- oder mehrmal pro WebApplication
SharePoint_SSPName Existiert einmal pro SSP
SharePoint_SSPName_Search Existiert einmal pro SSP
SharePoint_Search_AppServer Existiert einmal pro WSS Service Help Search
SicherheitsmodellWas waren die Schwachstellen?SicherheitsmodellWas waren die Schwachstellen?
Keine Berechtigungen auf einzelne Verzeichnisse oder Elemente
Fehlende Wiederherstellungs-Möglichkeiten für einzelne Elemente (kein Papierkorb)
Nur Authentifizierung gegen Windows-Benutzerdatenbanken
Berechtigungen des Benutzers werden nicht bei der Darstellung berücksichtigt
Keine (echte) Backup & Recovery-Funktionalität
Keine Berechtigungen auf einzelne Verzeichnisse oder Elemente
Fehlende Wiederherstellungs-Möglichkeiten für einzelne Elemente (kein Papierkorb)
Nur Authentifizierung gegen Windows-Benutzerdatenbanken
Berechtigungen des Benutzers werden nicht bei der Darstellung berücksichtigt
Keine (echte) Backup & Recovery-Funktionalität
SicherheitsmodellSharePoint IdentitätenSicherheitsmodellSharePoint Identitäten
Application Pool-Identität Konfiguration über WSS-Administration Zugriff auf Ressourcen (Dateisystem, SQL)
WSS System-Identität Wird verwendet, um AppPool-Identität zu verstecken SHAREPOINT\system
Benutzer-Identität Windows oder anderer Authentifizierungs-Provider Vergabe von Berechtigungen
Application Pool-Identität Konfiguration über WSS-Administration Zugriff auf Ressourcen (Dateisystem, SQL)
WSS System-Identität Wird verwendet, um AppPool-Identität zu verstecken SHAREPOINT\system
Benutzer-Identität Windows oder anderer Authentifizierungs-Provider Vergabe von Berechtigungen
SicherheitsmodellApplication Pool IdentitätSicherheitsmodellApplication Pool Identität
Pro IIS Website ein Application Pool AppPool wird unter eigener Identität ausgeführt Identität ist lokales oder Domain-Benutzerkonto In Serverfarmen Domainkonto verwenden!
Pro IIS Website ein Application Pool AppPool wird unter eigener Identität ausgeführt Identität ist lokales oder Domain-Benutzerkonto In Serverfarmen Domainkonto verwenden!
SicherheitsmodellApplication Pool & SQL ServerSicherheitsmodellApplication Pool & SQL Server
Zugriff auf Config-Datenbank Erstellung und Zugriff auf Content-Datenbank Benutzerkonto benötigt SQL Server-Rechte
Zugriff auf Config-Datenbank Erstellung und Zugriff auf Content-Datenbank Benutzerkonto benötigt SQL Server-Rechte
SicherheitsmodellNeue AuthentifizierungsverfahrenSicherheitsmodellNeue Authentifizierungsverfahren
1. Windows Authentifizierung Authentifizierung gegen IIS Benutzer authentifizieren sich über ein Active
Directory- oder lokales Benutzerkonto WSS v2 unterstützt nur diesen Typ
2. ASP.NET 2.0 Forms Authentifizierung Basiert auf Authentication Provider Framework IIS wird für “Anonymen Zugriff” konfiguriert
3. Web SSO Authentifizierung Basiert Active Directory Federation Services (ADFS)
1. Windows Authentifizierung Authentifizierung gegen IIS Benutzer authentifizieren sich über ein Active
Directory- oder lokales Benutzerkonto WSS v2 unterstützt nur diesen Typ
2. ASP.NET 2.0 Forms Authentifizierung Basiert auf Authentication Provider Framework IIS wird für “Anonymen Zugriff” konfiguriert
3. Web SSO Authentifizierung Basiert Active Directory Federation Services (ADFS)
SicherheitsmodellWindows AuthentifizierungSicherheitsmodellWindows Authentifizierung
Authentifizierung über Windows-Benutzerkonto Lokale Benutzerkonten in Stand-Alone-Umgebungen Active Directory Benutzerkonten (besser)
Authentifizierungsverfahren Windows Integrierte Authentifizierung
(Negotiate NTLM, Kerberos) Basic Authentifizierung (Nur mit SSL!) Über IIS zusätzlich: Certificates und Digest
Authentifizierung über Windows-Benutzerkonto Lokale Benutzerkonten in Stand-Alone-Umgebungen Active Directory Benutzerkonten (besser)
Authentifizierungsverfahren Windows Integrierte Authentifizierung
(Negotiate NTLM, Kerberos) Basic Authentifizierung (Nur mit SSL!) Über IIS zusätzlich: Certificates und Digest
SicherheitsmodellForms basierte AuthentifizierungSicherheitsmodellForms basierte Authentifizierung
Basiert auf ASP.NET Authentifizierungsprovider Membership Provider für Benutzerkonten Role Provider
Out-of-the-box Provider SqlMembershipProvider ActiveDirectoryMembershipProvider
Basiert auf ASP.NET Authentifizierungsprovider Membership Provider für Benutzerkonten Role Provider
Out-of-the-box Provider SqlMembershipProvider ActiveDirectoryMembershipProvider
Identity Mgmt AppOperating System
Identity
xoxoxWallyoxoxMaryxoxoxoBobPWDLogin
DesktopWindows XP
ApplicationBrowser
Office AppCustom App
Web ServerWindows Server 2003
WSSv3
Internet AuthenticationProvider
SicherheitsmodellBerechtigungsmodellSicherheitsmodellBerechtigungsmodell
SharePoint liefert vordefiniert Rechte Listenberechtigungen (Hinzufügen, Ändern, etc.) Websiteberechtigungen (Website erstellen) Persönliche Berechtigungen (Ansicht anpassen)
Vergabe durch Berechtigungsstufen
Security Trimmed UI
SharePoint liefert vordefiniert Rechte Listenberechtigungen (Hinzufügen, Ändern, etc.) Websiteberechtigungen (Website erstellen) Persönliche Berechtigungen (Ansicht anpassen)
Vergabe durch Berechtigungsstufen
Security Trimmed UI
SicherheitsmodellBerechtigungsmodellSicherheitsmodellBerechtigungsmodell
Aktivierung in Zentraladministration
Einfache Verwaltung innerhalb der Website
Direkte Berechtigungsvergabe auf Ebene der Liste oder des Listeneintrags
Aktivierung in Zentraladministration
Einfache Verwaltung innerhalb der Website
Direkte Berechtigungsvergabe auf Ebene der Liste oder des Listeneintrags
SicherheitsmodellBerechtigungsmodellSicherheitsmodellBerechtigungsmodell
SharePoint integriert einen Papierkorb Für Benutzer auf Site-Ebene Für Administratoren auf Site-Collection-Ebene Listen, Bibliotheken, Verzeichnisse, Elemente
SharePoint integriert einen Papierkorb Für Benutzer auf Site-Ebene Für Administratoren auf Site-Collection-Ebene Listen, Bibliotheken, Verzeichnisse, Elemente
Sicherheitsmodell Best PracticesSicherheitsmodell Best Practices
Unterschiedliche Benutzerkonten für: Farm Account Content Application Pool SSP Prozess Account
Achtung: Darf in Farm-Umgebungen nicht “Network Service” sein! Kann aber gleich dem SSP Shared Web Service Account sein.
Kerberos on (default = NTLM) Jeder Prozess-Account muss einen SPN registriert haben.
SSL aktivieren (default = off) Einschalten für die Admin Site und die Server-zu-Server-
Kommunikation
SPAdmin Service: Single Server: Off (Empfehlung ‘On’ für MOSS) Farm: On
Unterschiedliche Benutzerkonten für: Farm Account Content Application Pool SSP Prozess Account
Achtung: Darf in Farm-Umgebungen nicht “Network Service” sein! Kann aber gleich dem SSP Shared Web Service Account sein.
Kerberos on (default = NTLM) Jeder Prozess-Account muss einen SPN registriert haben.
SSL aktivieren (default = off) Einschalten für die Admin Site und die Server-zu-Server-
Kommunikation
SPAdmin Service: Single Server: Off (Empfehlung ‘On’ für MOSS) Farm: On
Keine Angst vor KerberosKeine Angst vor Kerberos
Schneller durch „credential caching“ Kommunikation WFE DB
Service Principle Name für das SQL Dienstkonto SETSPN -A MSSQLSVC/<FQDN>:<Port> <Domain\SQLServiceAccountName>z.B. SETSPN -A MSSQLSvc/srv01.contoso.com:1433 CONTOSO\sql_srv
Kommunikation Benutzers WFE Service Principle Name für die WebApplicationSETSPN -A HTTP/<FQDN> <Domain>\<AppPoolIdentity>z.B. SETSPN -A HTTP/Intranet CONTOSO\sp_app_intranet
Schneller durch „credential caching“ Kommunikation WFE DB
Service Principle Name für das SQL Dienstkonto SETSPN -A MSSQLSVC/<FQDN>:<Port> <Domain\SQLServiceAccountName>z.B. SETSPN -A MSSQLSvc/srv01.contoso.com:1433 CONTOSO\sql_srv
Kommunikation Benutzers WFE Service Principle Name für die WebApplicationSETSPN -A HTTP/<FQDN> <Domain>\<AppPoolIdentity>z.B. SETSPN -A HTTP/Intranet CONTOSO\sp_app_intranet
Kerberos Auth ohne ImpersonifizierungKerberos Auth ohne Impersonifizierung
MOSS Service AccountUPN = SP_APP_Intranet
SQL Service AccountUPN = CLU-SQL-SRVSPN = MSSQLSvc/CLU-SQL.ms- demos.de
User AccountUPN = [email protected]
BASIC, NTLM, NEGOTIATE,
FORMS
Windows
Authentifizierung
OK
Dienstanstart mit Kerberos
Authentifizierung
OK
Kerberos Auth mit ImpersonifizierungKerberos Auth mit Impersonifizierung
MOSS Service AccountUPN = SP_APP_IntranetSPN = http/intranet.msdemos.deContraint: MSSQLSvc/CLU-SQL.ms- demos.de
SQL Service AccountUPN = CLU-SQL-SRVSPN = MSSQLSvc/CLU-SQL.ms- demos.de
User AccountUPN = [email protected]
NEGOTIATE
OK
OKDienstanstart mit Kerberos
Authentifizierung
Benutzeranmeldung
mit Kerberos
Authentifizierung
Kerberos D
elegation
Topologien
• Single Server• Kleine Farm• Mittlere Farm• Große Farm
Topologien
• Single Server• Kleine Farm• Mittlere Farm• Große Farm
LogischPhysikalisch
TopologienSingle serverTopologienSingle server
Server 1: Content Sites SSP
SSP Admin Site Shared Services Shared Web Services
Central Admin Site Alle Datenbanken
Server 1: Content Sites SSP
SSP Admin Site Shared Services Shared Web Services
Central Admin Site Alle Datenbanken
Ein Server mitallen Rollen:
• Web Front End
• Applikation
• Datenbank
LogischPhysikalisch
Topologien2*1 kleine FarmTopologien2*1 kleine Farm
Server 1 & 2: Content Sites SSP
SSP Admin Site Shared Services Shared Web Services
Central Admin Site (nur Server 1)
Server 3 Alle Datenbanken
Server 1 & 2: Content Sites SSP
SSP Admin Site Shared Services Shared Web Services
Central Admin Site (nur Server 1)
Server 3 Alle Datenbanken
Load balanced Server:
Web Front EndApplikation
Dedicated SQL Server
LogischPhysikalisch
Topologien2*1*2 mittlere FarmTopologien2*1*2 mittlere Farm
Servers 1 & 2: Content Sites SSP
SSP Admin Site Shared service Shared web services
Server 3 SSP
Shared service (Index) Shared web services
Central Admin Site
Server 4 & 5 Alle Datenbanken
Servers 1 & 2: Content Sites SSP
SSP Admin Site Shared service Shared web services
Server 3 SSP
Shared service (Index) Shared web services
Central Admin Site
Server 4 & 5 Alle Datenbanken
Load balanced Server:
• Web Front End
• Applications
Geclusterter SQL Server
Application Server (Index)
LogischPhysikalisch
Topologien4*6*2 große FarmTopologien4*6*2 große Farm
Web front endWeb front end
Clustered SQL Server
Application Servers
Index
Search
Excel calculation
WFE Server: 1-4 Content Sites SSP Admin Site
Application Server: 5-10 SSP Server 5 - 6:
- Shared service (Index)- Central Admin
Server 7 - 8: - Shared service (Query)- Shared web services
(Query) Server 9 – 10:
- Shared service (Excel)- Shared web services
(Excel) DB Server: 11 & 12
Alle Datenbanken
Hochverfügbarkeits-Setup im Detail
• Datenbank System• Sharepoint Server• Firewall System
Hochverfügbarkeits-Setup im Detail
• Datenbank System• Sharepoint Server• Firewall System
Demo InfrastrukturDemo Infrastruktur
NLB
ISA-B(ISA 2006 EE)
ISA-A(ISA 2006 EE)
NLB
SQL-A SQL-BSQL Server 2000
Active/Passive ClusterWFE-1WFE, SSP
WFE-2WFE, SSP
NLB
172.21.12.2 172.21.12.3
172.21.12.1 = intranet.msdemos.de
192.168.1.2 192.168.1.3192.168.1.1
192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20
192.168.1.21 = intranet
SQL Server 2005 + SP2APP-1
APP, CAS
192.168.1.25192.168.1.15
CLU-SQL
192.168.1.40 192.168.1.45
DC-2AD, DNS
DC-1AD, DNS
APP-2APP, CAS
DB
Datenbank SystemInstallationDatenbank SystemInstallation
Backend Datenbank Systeme Microsoft SQL Server 2005 Express Edition Microsoft SQL Server 2005 SP2 Microsoft SQL Server 2000 SP4
Datenbank-Berechtigungen werden automatisch angepasst
DBA-created Databases möglich
Backend Datenbank Systeme Microsoft SQL Server 2005 Express Edition Microsoft SQL Server 2005 SP2 Microsoft SQL Server 2000 SP4
Datenbank-Berechtigungen werden automatisch angepasst
DBA-created Databases möglich
Datenbank SystemSQL Failover ClusteringDatenbank SystemSQL Failover Clustering
Hot Standby: Sehr kurze Recovery-Zeiten Applikationsverfügbarkeit ohne Überwachung und ohne
Administrative Eingriffe
Hot Standby: Sehr kurze Recovery-Zeiten Applikationsverfügbarkeit ohne Überwachung und ohne
Administrative Eingriffe
Server Cluster
SharePoint Web Front Ends
Shared Disk Arrays
Node A Node B
Heartbeat
Demo InfrastrukturDemo Infrastruktur
NLB
ISA-B(ISA 2006 EE)
ISA-A(ISA 2006 EE)
NLB
SQL-A SQL-BSQL Server 2000
Active/Passive ClusterWFE-1WFE, SSP
WFE-2WFE, SSP
NLB
172.21.12.2 172.21.12.3
172.21.12.1 = intranet.msdemos.de
192.168.1.2 192.168.1.3192.168.1.1
192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20
192.168.1.21 = intranet
SQL Server 2005 + SP2APP-1
APP, CAS
192.168.1.25192.168.1.15
CLU-SQL
192.168.1.40 192.168.1.45
DC-2AD, DNS
DC-1AD, DNS
APP-2APP, CAS
DB
Einrichtung des Backend SQL ClustersEinrichtung des Backend SQL Clusters
Demo InfrastrukturDemo Infrastruktur
NLB
ISA-B(ISA 2006 EE)
ISA-A(ISA 2006 EE)
NLB
SQL-A SQL-BSQL Server 2000
Active/Passive ClusterWFE-1WFE, SSP
WFE-2WFE, SSP
NLB
172.21.12.2 172.21.12.3
172.21.12.1 = intranet.msdemos.de
192.168.1.2 192.168.1.3192.168.1.1
192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20
192.168.1.21 = intranet
SQL Server 2005 + SP2APP-1
APP, CAS
192.168.1.25192.168.1.15
CLU-SQL
192.168.1.40 192.168.1.45
DC-2AD, DNS
DC-1AD, DNS
APP-2APP, CAS
DB
Applikations- und Web Front End ServerSetupApplikations- und Web Front End ServerSetup
Installationsvoraussetzungen Windows Server 2003
Mindestens Service Pack 1 bzw. R2 Editionen: Web, Standard, Enterprise, Datacenter Als x32 oder x64 Version Später auch Windows Server Codename Longhorn
Internet Information Services .NET Framework 2.0 .NET Framework 3.0 wegen Workflow Foundation ASP.NET 2.0 muss im IIS registriert seinC:\Windows\Microsoft.NET\Framework\v2.0.xxxxx>aspnet_regiis.exe -i
Installationsvoraussetzungen Windows Server 2003
Mindestens Service Pack 1 bzw. R2 Editionen: Web, Standard, Enterprise, Datacenter Als x32 oder x64 Version Später auch Windows Server Codename Longhorn
Internet Information Services .NET Framework 2.0 .NET Framework 3.0 wegen Workflow Foundation ASP.NET 2.0 muss im IIS registriert seinC:\Windows\Microsoft.NET\Framework\v2.0.xxxxx>aspnet_regiis.exe -i
Web Front End ServerLastverteilung und FailoverWeb Front End ServerLastverteilung und Failover
Lastverteilung mittels: Hardware Load-Balancer
Z.B. F-5 BigIP, Cisco Content Service Switch…. Microsoft Network Load Balancing
Cluster operation mode Default: Unicast Modus (nicht empfohlen bei single NIC) Empfohlen: Multicast Modus (Vorsicht bei älteren Switches)
Hosts können weiterhin untereinander kommunizieren
ISA Server 2006 Load Balancing ISA übernimmt die Lastverteilung und überprüft die
Verfügbarkeit der Nodes
Lastverteilung mittels: Hardware Load-Balancer
Z.B. F-5 BigIP, Cisco Content Service Switch…. Microsoft Network Load Balancing
Cluster operation mode Default: Unicast Modus (nicht empfohlen bei single NIC) Empfohlen: Multicast Modus (Vorsicht bei älteren Switches)
Hosts können weiterhin untereinander kommunizieren
ISA Server 2006 Load Balancing ISA übernimmt die Lastverteilung und überprüft die
Verfügbarkeit der Nodes
Language PacksLanguage Packs
Derzeit in 37 Sprachen Sowohl für WSS als auch für die Office Server Language Packs sollten
nach dem WSS bzw. MOSS Setup und vor dem Configuration Wizzard installiert werden Auf allen Servern der Farm installiert sein
Default Language ist die Sprache der Verwaltungswebseite
Derzeit in 37 Sprachen Sowohl für WSS als auch für die Office Server Language Packs sollten
nach dem WSS bzw. MOSS Setup und vor dem Configuration Wizzard installiert werden Auf allen Servern der Farm installiert sein
Default Language ist die Sprache der Verwaltungswebseite
Service AccountsService Accounts
Alle Accounts sollten im Active Directory liegen Service Accounts müssen nicht Mitglied
der Gruppe „Domänen-Benutzer“ sein SharePoint Farm Account für die
Zentraladministration Scope: ein Account pro Farm DOMAIN\SP_CA_<FarmName>
SharePoint Application Pool Account Scope: Account für jeden Application Pool DOMAIN\SP_App_<WebApplicationName>
Alle Accounts sollten im Active Directory liegen Service Accounts müssen nicht Mitglied
der Gruppe „Domänen-Benutzer“ sein SharePoint Farm Account für die
Zentraladministration Scope: ein Account pro Farm DOMAIN\SP_CA_<FarmName>
SharePoint Application Pool Account Scope: Account für jeden Application Pool DOMAIN\SP_App_<WebApplicationName>
Service AccountsService Accounts
SharePoint Content Access Account Konto für Crawling der Inhaltsquellen DOMAIN\SP_CAA_<FarmName>
SharePoint Search Service Account DOMAIN\SP_Search_<FarmName>
Shared Service Provider WebService Account Ein Account pro SSP DOMAIN\SP_<SSPName>_WebService
SharePoint Content Access Account Konto für Crawling der Inhaltsquellen DOMAIN\SP_CAA_<FarmName>
SharePoint Search Service Account DOMAIN\SP_Search_<FarmName>
Shared Service Provider WebService Account Ein Account pro SSP DOMAIN\SP_<SSPName>_WebService
• Installation der Applikationsserver• Installation der Web Front End Server• Erstellung einer Web Applikation sowie einer Site Collection• Einrichtung von NLB
• Installation der Applikationsserver• Installation der Web Front End Server• Erstellung einer Web Applikation sowie einer Site Collection• Einrichtung von NLB
Demo InfrastrukturDemo Infrastruktur
NLB
ISA-B(ISA 2006 EE)
ISA-A(ISA 2006 EE)
NLB
SQL-A SQL-BSQL Server 2000
Active/Passive ClusterWFE-1WFE, SSP
WFE-2WFE, SSP
NLB
172.21.12.2 172.21.12.3
172.21.12.1 = intranet.msdemos.de
192.168.1.2 192.168.1.3192.168.1.1
192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20
192.168.1.21 = intranet
SQL Server 2005 + SP2APP-1
APP, CAS
192.168.1.25192.168.1.15
CLU-SQL
192.168.1.40 192.168.1.45
DC-2AD, DNS
DC-1AD, DNS
APP-2APP, CAS
DB
Konfiguration des Shared Service Provider
für Indexing und Search
Konfiguration des Shared Service Provider
für Indexing und Search
Demo InfrastrukturDemo Infrastruktur
NLB
ISA-B(ISA 2006 EE)
ISA-A(ISA 2006 EE)
NLB
SQL-A SQL-BSQL Server 2000
Active/Passive ClusterWFE-1WFE, SSP
WFE-2WFE, SSP
NLB
172.21.12.2 172.21.12.3
172.21.12.1 = intranet.msdemos.de
192.168.1.2 192.168.1.3192.168.1.1
192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20
192.168.1.21 = intranet
SQL Server 2005 + SP2APP-1
APP, CAS
192.168.1.25192.168.1.15
CLU-SQL
192.168.1.40 192.168.1.45
DC-2AD, DNS
DC-1AD, DNS
APP-2APP, CAS
DB
First line of defenseFirewallFirst line of defenseFirewall
Firewall muss http (TCP/80) und https (TCP/443) erlauben
Firewall sollte „stateful“ Paketfilterung unterstützen Applikations-Filter für http haben SSL Terminierung übernehmen können Authentifizierung überprüfen und weiterleiten
Basic Auth / Forms-Auth
HA Szenarien (z.B. Clustering) unterstützen
ISA Server 2006 Enterprise Edition erfüllt diese Bedingungen
Firewall muss http (TCP/80) und https (TCP/443) erlauben
Firewall sollte „stateful“ Paketfilterung unterstützen Applikations-Filter für http haben SSL Terminierung übernehmen können Authentifizierung überprüfen und weiterleiten
Basic Auth / Forms-Auth
HA Szenarien (z.B. Clustering) unterstützen
ISA Server 2006 Enterprise Edition erfüllt diese Bedingungen
ISA Server 2006AuthentifizierungISA Server 2006Authentifizierung
Basic Authentification Integrated Authentification
NTLM / Kerberos
Forms-Based Authentification Authentifizierungsprovider
Lokale Verzeichnisdatenbank Active Directory LDAP Directory ASP. Net pluggable authN provider
Protokolltransition
Basic Authentification Integrated Authentification
NTLM / Kerberos
Forms-Based Authentification Authentifizierungsprovider
Lokale Verzeichnisdatenbank Active Directory LDAP Directory ASP. Net pluggable authN provider
Protokolltransition
Einrichtung des ISA Server 2006 Array und Veröffentlichung der SharePoint Server 2007 Farm
Einrichtung des ISA Server 2006 Array und Veröffentlichung der SharePoint Server 2007 Farm
Demo InfrastrukturDemo Infrastruktur
NLB
ISA-B(ISA 2006 EE)
ISA-A(ISA 2006 EE)
NLB
SQL-A SQL-BSQL Server 2000
Active/Passive ClusterWFE-1WFE, SSP
WFE-2WFE, SSP
NLB
172.21.12.2 172.21.12.3
172.21.12.1 = intranet.msdemos.de
192.168.1.2 192.168.1.3192.168.1.1
192.168.1.10 192.168.1.30 192.168.1.35192.168.1.20
192.168.1.21 = intranet
SQL Server 2005 + SP2APP-1
APP, CAS
192.168.1.25192.168.1.15
CLU-SQL
192.168.1.40 192.168.1.45
DC-2AD, DNS
DC-1AD, DNS
APP-2APP, CAS
DB
KapazitätsplanungKapazitätsplanung
Kapazitätsplanung LatenzverhaltenKapazitätsplanung Latenzverhalten
Latency components Server processing ~ 40%
SQL processing, # SQL round trips, AJAX processing
Client processing ~ 45% Javascript, CSS, AJAX requests, HTML load
Wire transfer ~ 5% Bandbreite, Größe des Downloads
Empfehlungen #1 killer of latency = Custom Web Parts
SQL round trips, excessive client side script
Wiederverwendung bestehenden Client-Codes vs. neuen Designen des Codes nach Performance-Gesichtspunkten
Latency components Server processing ~ 40%
SQL processing, # SQL round trips, AJAX processing
Client processing ~ 45% Javascript, CSS, AJAX requests, HTML load
Wire transfer ~ 5% Bandbreite, Größe des Downloads
Empfehlungen #1 killer of latency = Custom Web Parts
SQL round trips, excessive client side script
Wiederverwendung bestehenden Client-Codes vs. neuen Designen des Codes nach Performance-Gesichtspunkten
Kapazitätsplanung Daten – Empfohlene LimitsKapazitätsplanung Daten – Empfohlene Limits
Objekt Scope Empfehlung
Site Collections Datenbank 50.000
Web Sites Site Collection 250.000
(Sub) Web sites Web Site 2.000
Listen Web Site 2.000
Items Listen < 200.000
Dokumente Dokumentenbibliothek < 10.000
Dokumente Folder 2.000
Dokumentengröße File 50MB
Indizierte Dokumente (MOSS) SSP 50 Mio
Search Scopes (MOSS) Site Collections 1.000
Anzahl Profile (MOSS) SSP 5 Mio
Kapazitätsplanung Daten – SpeicherplatzbedarfKapazitätsplanung Daten – Speicherplatzbedarf
Primary Metric: Document storage SQL Server ca. 1,2 – 1,5 x Dateimenge im
Filesystem RAID Konfiguration Empfehlung
RAID 5 für Datenbankdateien RAID 0+1 für Transaction Logs
Secondary Metric = Index Index Server: 10 – 40% (x 2) der Gesamtgröße des
gesamten zu indizierenden Contents Query Server: gleiche Größe wie Index Server
Primary Metric: Document storage SQL Server ca. 1,2 – 1,5 x Dateimenge im
Filesystem RAID Konfiguration Empfehlung
RAID 5 für Datenbankdateien RAID 0+1 für Transaction Logs
Secondary Metric = Index Index Server: 10 – 40% (x 2) der Gesamtgröße des
gesamten zu indizierenden Contents Query Server: gleiche Größe wie Index Server
Disaster RecoveryDisaster Recovery
Disaster RecoveryMöglichkeitenDisaster RecoveryMöglichkeiten
Recycle Bin für Dokumente und Listen 2 Phasen: Benutzer Administrator
Versionierung Site-Level Backup/Restore via STSADM Integriertes SharePoint Backup und Restore
Backup/Restore UI für Web Applikationen Unterstützt Voll- und Differenzielles Backup Sichert auch den Full-Text-Index und Search-DB VSS Writer für Farm Backup Erweiterbares Framework für 3rd Party Software
Log-Shipping, Database Mirroring
Recycle Bin für Dokumente und Listen 2 Phasen: Benutzer Administrator
Versionierung Site-Level Backup/Restore via STSADM Integriertes SharePoint Backup und Restore
Backup/Restore UI für Web Applikationen Unterstützt Voll- und Differenzielles Backup Sichert auch den Full-Text-Index und Search-DB VSS Writer für Farm Backup Erweiterbares Framework für 3rd Party Software
Log-Shipping, Database Mirroring
Disaster RecoverySharePoint Backup/RestoreDisaster RecoverySharePoint Backup/Restore
Limitationen Kein Scheduling „out-of-the box“ möglich
Windows Task Scheduler kann helfen Sichert nur die Datenbanken und den
Full-Text-Index Systemstate und Daten der Front End Server
müssen manuell gesichert werden Lange Widerherstellungszeiten bei großen DB
Geringere Verfügbarkeit
Limitationen Kein Scheduling „out-of-the box“ möglich
Windows Task Scheduler kann helfen Sichert nur die Datenbanken und den
Full-Text-Index Systemstate und Daten der Front End Server
müssen manuell gesichert werden Lange Widerherstellungszeiten bei großen DB
Geringere Verfügbarkeit
Content Recovery Disaster Recovery
Disaster RecoveryBest PracticesDisaster RecoveryBest Practices
Recycle BinVersioningWeb Delete Event
Recycle BinVersioningWeb Delete Event
SharePoint Backup/RestoreSQL-only Backup3rd Party ToolsLog-Shipping
High Availability
Log-ShippingSQL Clustering
Welche Kombination dieser Tools ist die richtige für Sie?
Weitere InformationenWeitere Informationen
www.itacs.de SharePoint weblogs.mysharepoint.de/fabianm www.sharepointcommunity.de blogs.itacs.de
www.itacs.de SharePoint weblogs.mysharepoint.de/fabianm www.sharepointcommunity.de blogs.itacs.de
Geo-distributed DeploymentsGeo-distributed Deployments
One Authoring, several read-only environments. Practical scenario: Web publishing solution (a .com site) where you have authoring
(R/W) and different Read-only production environments. out of the box tools for content deployment where you can publish content from one
environment to multiple web server farms.
WAN acceleration: read/write scenarios with offices across the world. Practical scenario: A highly collaborative environment where an organization has
offices WW. The compression algorithms along with the HTTP traffic acceleration should yield good results.
There are several Microsoft SharePoint partners that offer a SharePoint-specific WAN acceleration solution. (Certeon ,Tacit, F5)
Replication: Different environments that need to host similar content Different offices want to maintain their own environment but want to sync up with a
central environment. iOra , CommVault , Veritas.
Client/server replication: enable users to be able to take content offline. Outlook 2007 and Groove or Digi-link.
One Authoring, several read-only environments. Practical scenario: Web publishing solution (a .com site) where you have authoring
(R/W) and different Read-only production environments. out of the box tools for content deployment where you can publish content from one
environment to multiple web server farms.
WAN acceleration: read/write scenarios with offices across the world. Practical scenario: A highly collaborative environment where an organization has
offices WW. The compression algorithms along with the HTTP traffic acceleration should yield good results.
There are several Microsoft SharePoint partners that offer a SharePoint-specific WAN acceleration solution. (Certeon ,Tacit, F5)
Replication: Different environments that need to host similar content Different offices want to maintain their own environment but want to sync up with a
central environment. iOra , CommVault , Veritas.
Client/server replication: enable users to be able to take content offline. Outlook 2007 and Groove or Digi-link.