Sharepoint 2013 im Internet und AD Sync

[Flare 12]

Hallo,

 

ich würde gerne eure Meinung zu dem Thema haben.

Die Frage stellt sich gerade ob wir SharePoint 2013, welches auf jeden Fall auch von Extern ( Internet ) erreichbar ist,

mit dem AD synchronisieren lassen.

 

Zugegriffen wird von außen erst einmal über eine FW und dann geht's es noch durch einen KEMP.

SharePoint Webfrontend und Applicationserver laufen wohl auf dem selben Rechner.

 

Ich sehe das erst einmal Kritisch, wie seht Ihr das ?

Lösungsvorschläge ??

 

Gruss Rene

 

 

[Doso 77]

Sharepoint wird eigtl. immer irgendwo mit einem AD verknüpft sein. Der Sync ist dann halt ggf. für zusätzliche Daten in den Benutzerprofilen.

 

Ob man das will ist eine grundsätzliche Entscheidung, das hat glaube ich nix damit zu tun ob das Ding nun irgendwie aus dem Internet erreichbar ist oder nicht.

[Flare 12]

Die Frage stellt sich in dem Fall aus dem Sicherheitsaspekt.

In unserem Fall soll SharePoint auch Attribute im AD updaten.. Also schreibender Zugriff bekommen.

Die Frage ist wie sicher ist das ganze noch wenn man SharePoint im Internet veröffentlich und

das Webfrontend und Applicationserver auf dem selben Server laufen.

 

Gruss

[NilsK 2.969]

Moin,

 

die Frage hast du ja eigentlich schon beantwortet, indem du sie stellst. Selbstverständlich stellt so ein Konstrukt ein hohes Risiko dar.

 

Allgemein vermeidet man, dass Dienste in der DMZ überhaupt Mitglieder des internen AD sind und direkten Zugriff darauf haben.

 

Gruß, Nils

[Flare 12]

Ja das ist meine gesunde Paranoia ;)

Danke dir für die Info..

Ich bin mir gerade nicht sicher ob du gelesen hast das wir das ganze mit dem KEMP LB absichern und die SharePoint Server im Lokalen Netz stehen.

Laut Kemp ist es wohl best practise das so zu haben.

bearbeitet 8. März 2017 von Flare

[NilsK 2.969]

Moin,

 

ein Load Balancer ist ein Load Balancer. Zwar segelt auch KEMP unter der Flagge "ADC", aber das heißt ja noch nicht, dass es in der konkreten Implementierung auch so läuft.

 

Ich bezog mich in meiner Einschätzung auf deine Darstellung "Zugriff vom Internet", von "lokales Netz" war da keine Rede. Wenn ihr in Wirklichkeit einen Reverse Proxy davor habt, kann die Story natürlich eine andere sein. Das führt dann hier aber zu weit.

 

Gruß, Nils

bearbeitet 8. März 2017 von NilsK

[Flare 12]

Ja.. mit dem lokalen Netz hab ich dann wohl vergessen. :schreck:

Gruß Rene

bearbeitet 8. März 2017 von Flare

[zahni 559]

Hier mal zum Lesen und die weiterführenden Links beachten:

 

https://manojviduranga.wordpress.com/2014/06/23/important-firewall-ports-for-multi-server-production-sharepoint-2013-deployments/

 

Wenn überhaupt, sollte für den externen Zugriff ein dedizierter Web Frontend Server genommen werden, der in einer DMZ platziert wird.

Ob AD benötigt wird, hängt vom Authentifizierungsverfahren der Lösung ab. Das geht durchaus auch ohne AD. 

Allerdings braucht er immer einen Zugriff auf den SQL-Server. Hier bitte eine auf Sharepoint spezialisierte Fa. fragen.

[Doso 77]

Sicher das ihr euer Sharepoint in das AD schreiben lassen wollt? Das war immer ein Gefrickel das am laufen zu halten. Deswegen hat Microsoft das aus Sharepoint 2016 wieder ausgebaut hat.