SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

2013 Farm in der DMZ

bewertet von 0 Usern
Nicht beantwortet Dieser Beitrag hat 0 Geprüfte Antworten | 2 Antworten | 2 Followers

Top-10-Beitragsschreiber
611 Beiträge
Florian Adler erstellt in 25 Feb 2019 13:51

Heute mal ein Infrastruktur-Thema. Es existiert bereits im internen Netz eine SharePoint Farm, deren Inhalt in Teilen mit Tochter- und Partnerunternehmen "geteilt" werden soll. Um eine saubere Trennung der Datenhaltung zu ermöglichen, soll eine komplette eigenständige Farm in der DMZ aufgebaut werden. Aktuell gibt es in der DMZ keinen DC, was die Installation/Konfiguration natürlich schwierig bis unmöglich macht. Über das Synchronisieren von intern nach extern (rein one-way) mache ich mir noch gar keine Gedanken.

Jetzt habe ich in Sachen Proxy und AD FS Anbindung noch nicht die Erfahrung schlechthin. Was sind da Best Practices? Die Farm steht komplett (also WFE, App und SQL) in der DMZ. Interne Benutzer sollen auf beide Umgebungen mit dem gleichen User Account zugreifen, Tochter- und Partnerunternehmen soll aber nur auf die Farm in der DMZ Zugriff erhalten...

Ich bin wieder (sporadisch) hier!

Alle Antworten

Top-10-Beitragsschreiber
627 Beiträge

Hi Florian,

schau dir zu dem Thema mal den Web Application Proxy von Windows an (https://docs.microsoft.com/en-us/windows-server/remote/remote-access/web-application-proxy/web-application-proxy-in-windows-server). Damit kannst du einen kontrollierten Zugriff auf das AD herstellen und den SharePoint "innen" lassen.

Beste Grüße

Olaf

 

Top-10-Beitragsschreiber
611 Beiträge

Moin Olaf,

danke für deine Antwort.
Ich würde SharePoint und SQL auch lieber "drinnen" spielen lassen. Aber wir sind hier an gewisse Rahmen gebunden (auf die ich leider auch keinen Einfluss habe), die mir vorgeben, dass die gesamte Farm in der DMZ stehen soll.

Wo ich mir halt noch nicht wirklich sicher bin, ist der Umstand des AD resp. DC. Ich würde am liebsten in der DMZ einen eigenen DC hinstellen, der die externen Benutzer aufnimmt (und damit auch die Service User für die Farm). Die internen Benutzer kann ich dann doch noch immer über einen AD FS Proxy jagen, richtig?

Brauchen die beiden DCs dann eine Trust Stellung oder wie wäre das aufgebaut?

Ich bin wieder (sporadisch) hier!

Seite 1 von 1 (3 Elemente) | RSS