SharePoint 2013外联网,WAP或Arr -- 2013 领域 和 adfs 领域 和 extranet 领域 sharepoint 相关 的问题

Sharepoint 2013 Extranet, WAP or ARR


简体版||繁體版
0
vote

问题

中文

我们希望让我们的内部用户从Internet访问我们的SharePoint 2013。 目前SharePoint正在HTTP,NLTM上运行,用户访问来自企业网络的用户访问使用 http://servername.corporatedomain.com

我们希望将SharePoint(全部或某些网站集)公开为 https://www.publicdomain.com 在Internet上使用他们的广告登录/密码访问用户访问。

我们有一些"喜欢拥有" 的功能:

  • ssl卸载,我们的SharePoint已经使用HTTP设置,我们不想更改它
  • 如果可能,我们希望限制对某些网站集的Internet访问权限
  • 对于Internet访问,而不是默认浏览器提示输入用户名/密码,我们可能希望拥有自定义登录表单,但在场景后面它再次验证用户名/密码。
  • 我们可能希望在我们的自定义登录表单中添加多因素auth
  • 代理服务器(ARR或WAP)不必加入AD

可以做到这一点吗?或者我必须设置WAP和ADFS?

如果两个arr和wap可以完成作业,那么最好的选择?

谢谢。

英文原文

We want to let our internal user access our SharePoint 2013 from Internet. Currently the sharepoint is running on HTTP, NLTM , user access from corporate network using http://servername.corporatedomain.com

We want to expose the sharepoint (all or some site collection) as https://www.publicdomain.com on internet for user access using their AD login/password.

We have some 'like to have' features in mind:

  • SSL offloading, our sharepoint already setup using http, we don't want to change it
  • if possible we want to restrict internet access to some site collection only
  • For internet access, instead of default browser prompt for username/password, we may want to have custom login form, but behind the scene it validate username/password again AD.
  • we may want to add multi factor auth in our custom login form
  • the proxy server (either ARR or WAP) don't have to join AD

Can IIS ARR can do that? or I have to setup WAP and ADFS?

If both ARR and WAP can do the job, what is the better option?

Thanks.

        
 
 

回答列表

2
 
vote

虽然不需要WAP或ADF,但您应该在DMZ内实现某种排序的(预验证)反向代理,以代理流量返回SharePoint和驻留在Intranet中的其他应用程序。这通过终止RP的最终用户连接而不是将其终止到SharePoint来提供保护。一些负载平衡器也可以用作RP,例如F5等。

WAP和ADF可以配置非声明意识依赖方,因此您不必在SharePoint上切换到SAML。但是,您确实需要实现Kerberos委派。然而,这是一个好主意,因为NTLM不安全并且容易出现性能问题。

 

While you don't need WAP or ADFS, you should be implementing a (pre-auth) Reverse Proxy of some sort within the DMZ to proxy traffic back to SharePoint and other applications that reside within the Intranet. This provides protection by terminating end user connections at the RP instead of all the way down to SharePoint. Some load balancers can also serve as an RP, such as F5 and others.

WAP and ADFS can be configured with a non-claims aware relying party, so you don't have to switch to SAML on SharePoint. You do need to implement Kerberos delegation, though. This is a good idea, however, as NTLM is insecure and prone to performance problems.

 
 
0
 
vote

您可能会误解或误解SharePoint背景中的"Extranet" 一词。您不需要外联网以允许内部用户从Internet访问SharePoint网站。当您希望拥有Web应用程序时,SharePoint Extrabet不使用您的广告以进行身份​​验证,并且当您希望使用此Web应用程序与其他公司共享内容时。

所以在您的场景中,您只需要只需要将公共域分配给所有SharePoint Web应用程序的全部或某些。您还可以仅提供对特定网站集的Internet访问权限。这些站点集合将被称为主机命名的网站集。阅读官方文档这里。

请注意,如果在Web应用程序中有多个网站集合,则当您提供对根网站集的Internet访问权时,所有子站点集合也将自动具有Internet访问权限。

您可能不想从HTTP到HTTPS更改,但强烈推荐(它应该是必须的),除非您希望有人轻松地掌握您的内部用户的登录凭据并使用凭据从内部SharePoint网站窃取内容。

您不需要ADF或WAP。

您可以使用自定义登录表单提示广告凭据:domain username和密码。然而,这不能从盒子里完成。此外,否则才能应用此自定义登录页面,以便仅在从Internet访问SharePoint时显示,除非您使用已扩展的Web应用程序(更多)。


步骤

假设您有一个内部DNS服务器,也有一个公共域,然后需要:

  • 设置每个SharePoint Web应用程序(如果要在DNS服务器中设置任何主机命名的网站集),请为每个SharePoint Web应用程序(以及网站集)指向SharePoint前端服务器(或您的IP地址)负载平衡服务器如果您有多个SharePoint前端服务器)。
  • 要求您的域提供程序在其DNS服务器上设置相同的子域以允许公共访问。我不太确定这部分工作原理,我一直恰好将相关信息交给网络工程师。
  • 将ssl证书添加到SharePoint前端服务器。
  • 将HTTPS绑定添加到IIS中的SharePoint站点。
  • 在中央管理局中的备用访问映射中更新Web应用程序的Internet URL。阅读如何进行这个这里。

这应该是它。

 

You might be misuing or misunderstanding the term "extranet" in the context of SharePoint. You do not need an extranet to allow your internal users access your SharePoint sites from Internet. SharePoint Extranet is useful when you want to have a Web Application does not use your AD for authentication and when you want to use this Web Application to share content with other companies.

So in your scenario, you just need to just need to assign public domains to all or some of your SharePoint Web Applications. You can also give Internet access to specific site collections only. These site collections would be called host-named site collections. Read the official documentation here.

Note that if you have multiple site collections in a web application, when you give Internet access to the root site collection, then all sub-site collections will automatically have Internet access as well.

You may not want to change from HTTP to HTTPS, but it is highly recommended (it should be a MUST), unless you want somebody to easily get their hands on the login credentials of one of your internal users and use the credentials to steal content from your internal SharePoint sites.

You do not need ADFS or WAP.

You can have a custom login form that prompts for the AD credentials: domain\username and password. This however cannot be done out-of-the-box. Also, this custom login page cannot be applied so that it shows only when access SharePoint from Internet, unless you use a web application that has been extended (more here).


Steps

Presuming you have an internal DNS server and that you also have a public domain, then you need to:

  • Setup a sub-domain for each SharePoint Web Application (and site collection if you want to set up any host-named site collections) in your DNS server that points to the IP address of your SharePoint front-end server (or your Load Balancing server if you have multiple SharePoint front-end servers).
  • Ask your domain provider to set-up the same sub-domains on their DNS server to allow for public access. I am not quite sure how this part works, I have always just handed the relevant info to Network Engineers.
  • Add an SSL certificate to your SharePoint front-end server.
  • Add HTTPS bindings to your SharePoint sites in IIS.
  • Update the Internet URLs of your web applications in the Alternative Access Mappings in Central Administration. Read how to do this here.

This should be it.

 
 

相关问题

2  由于对象的当前状态,操作无效。 (外联网)  ( Operation is not valid due to the current state of the object for extranet ) 
我正在使用以下代码来模拟使用基于表单的身份验证的外联网上的用户,但是当涉及到这一行 (SPSite s = new SPSite(siteStr, userToken);) 它抛出 InvalidOperationException。 我已经测试过,知道存在的allusers [4]。 string sit...

0  从Windows网站中选择FBA用户  ( Choose fba users from windows site ) 
我们已配置外联网站点以使用Windows身份验证和基于扩展的基于表单的经过身份验证站点的Active Directory用户身份验证。 我们可以在FBA站点上配置FBA用户,但不幸的是我们无法从Windows站点配置FBA用户。我们尝试使用会员资格前缀用户名:[用户名],但这不起作用。 (我已经确认了前缀是"会员资...

1  使用CSOM或SharePoint Web服务或REST服务从Intranet到Extranet的数据传输?  ( Data transfer from intranet to extranet using csom or sharepoint web services or ) 
我在两个不同的农场中有一个内联网站A和Extranet SharePoint站点B.我希望将数据(列表项和文档)从Intranet Sitea传输到Extranet SiteB。请让我允许这件事是什么可能的方式。我正在考虑是CSOM或SharePoint Web服务,如lists.asmx或listData.svc等...

2  SharePoint Extranet站点而不使用FBA  ( Sharepoint extranet site without using fba ) 
如何在SharePoint 2010 Standard Edition上创建Extranet站点,但不使用FBA。如果没有FBA,我们可以为Intranet站点启用外部供应商目的的外联网 ...

2  我可以用uag在外联网上孤立我的客户门户吗?  ( Can i use uag to isolate my customers portals on our extranet ) 
它听起来像是在外联桶上隔离不同客户的最佳做法是为每个客户使用单独的网站集(如每个答案都建议给这个问题)。如果我有uag可用,我想知道它是否是合适的替代品。我有两个问题: 可以uag提供相同的隔离水平,而无需维持200多个网站集的复杂性? 这可能有什么缺点(例如,不能通过每位客户打开/关闭服务)? ...

1  自定义每个用户的权限  ( Customize permissions for each user ) 
我正在为客户和主页创建外联网,有多个列表。 我想知道特定的用户登录,是否有可能在列表显示和其他隐藏的其他项目中有不同的项目。 例如, 用户登录。在他们的主页上,列表有项目a,b和c。 用户b登录及其列表具有项目x,y和z,但它们看不到a,b或c。 我是否可以这样做,或者我必须为每个用户创建一个不同的网站,只需...

6  如何在SharePoint 2010中形成基于形式的身份验证工作?  ( How does forms based authentication work in sharepoint 2010 ) 
我们正在设置一个新的外联场服务器场,我们希望使用SharePoint 2010.我们在旧农场上有一些可用性问题,因此我想在这一个上做正确(或至少较小)的事情。 SharePoint 2010有一个OOB方法来支持基于表单的身份验证,它将在搜索SQL数据存储之前查看可信域以验证ID /密码,还是我将要写自己的东西? ...

6  使用SharePoint 2010作为Pubportal的公共级别是否合理?  ( Does the level of effort justify using sharepoint 2010 as a public facing webpor ) 
我在我目前参与的项目中有困境。由于项目和客户的性质,我将无法披露有关实际项目的任何详细信息,但我会尽力成为无论如何,尽可能具体。 该站点将具有常规登录(表格) 该站点将包含一些列表,其中内容从本地数据库或BackOffice系统检索 在网站上有实时计算,我只能通过利用ajax / javascript操作来解决的图...

0  业务外联网(客户文件交换)  ( Business extranet customer file exchange ) 
我正在为一家小公司工作。我想为客户建立一个客户端门户。 Microsoft支持在现在之前没有回复我的问题,而Microsoft网站没有给出任何答案。我的想法是以下内容: 我有一个具有wordpress安装的域。此WordPress页面适用于客户的登录门户(也许是插件WP-Client)。登录后,客户在Microsof...

6  如何从成员隐藏权限组成员身份列表  ( How to hide permission group membership list from members ) 
这已被问到之前和类型的回答在这里用解决方法。 但我希望有一个更直接的解决方案。 我需要使用权限组来限制对外联网门户的内容的访问。我不希望集团成员看到谁在集团中 - 它是商业敏感的信息。 '谁可以查看组的成员资格的唯一选项?是'成员'或'每个人'。我需要一个额外的选择:'所有者'(可用于'编辑组成员身份' - 我略微...

4  使用Web App区域进行细粒允许控制?  ( Fine grained permission control using web app zones ) 
我正在使用SharePoint 2010服务器。 我正在尝试了解(并测试)在可以被视为"Extranet" 的网站上使用不同身份验证源的所有各种选项,用于在网站上的内部和外部用户。 它类似于这里讨论的"partnerweb" : 我想允许我们在网站集中访问和协作的内部公司用户,客户和其他公司,并允许不同级别的访问...

1  Extranet成员权限选项/组成员资格可见性  ( Extranet member permissions options group membership visibility ) 
我已经在SharePoint社区网站上询问了这个,但没有骰子。 我打算使用sp 2013(在办公室365中)设置外联网门户。 我们有一套大约10个产品平台,一些客户有,有些人没有。我们有数百名客户组织,每个客户组织通常是2-5个个人成员。 我想要做的是设置权限,以便每个组织只能看到它们具有权限的内容。据我所知,有2种...

5  SharePoint 2013 Extranet - 内部网络外的Acces  ( Sharepoint 2013 extranet acces outside the internal network ) 
我想知道我如何为我的用户设置外联网。 它们必须能够在不使用VPN的情况下与SharePoint连接。 请给我步骤? 谢谢! ...

1  有多少用户可以使用相同的用户名和密码同时登录外联网?  ( How many users can login on an extranet concurrently using the same username and ) 
我被问及有关使用通用登录的许多用户在不同机器上同时登录的有趣问题。 有没有特别的数字,微软推荐给出明显的绩效命中环境最终会看到的? ...

4  在Outisde上制作Intranet可访问用户  ( Making intranet accessible for a user on the outisde ) 
目前我在SharePoint 2013服务器中拥有一个企业Wiki,用作知识库。我可以从Active Directory添加所有用户来访问域中的SharePoint站点。现在我希望能够添加用户并设置一个站点( http://www.kb-inside.com ? ) 因为我不认为正常的URL将工作( ...

0  SharePoint在线,客户的网站  ( Sharepoint online customers sites ) 
我有一个办公室365 e3许可证,配有sharepoint在线。 有没有办法为我的每个客户创建单独的站点,以便只有他们每个人都可以看到自己的信息,没有其他人? 我希望他们甚至没有看到我拥有的任何其他客户的名字或网站。 我只有7名客户,小企业,每个客户都有2-4人需要看到我的网站,其中一些只读,其中一些读/写。 其中4...

1  Intranet到外联网转换  ( Intranet to extranet conversion ) 
我们有一个SharePoint 2007 Intranet门户网站,用于组织,并希望使其成为SharePoint 2007 Extranet Portal。用户已从当前系统中的Active Directory身份验证。 我们正在安排从外联网访问Active Directory,也可以用于安全套接字图层(SSL)。 ...

0  坚持建筑外联网  ( Stuck on building extranet ) 
我需要一些帮助。他们让我为我们的客户建立外联网。它必须做的唯一方法是分享文件。我想用SharePoint Foundation 2010这样做。 但这是事。我被困在建立基础上。 这就是我所思考的: 首先我需要一个门户网站页面,允许客户登录。只有1个网站集合,因为多个客户将共享文档(他们正在处理同一项目)。 因此客户可...

2  是否有可能按照WFE限制Web应用程序?  ( Is it possible to restrict web application per wfe ) 
我们在我们的单个SharePoint 2010 Farm中有2个网上前端,名为WFE1和WFE2。我们创建了2个Web应用程序,一个用于Intranet的Web应用程序,一个用于Extranet解决方案。是否可以强制intranet Web应用程序在WFE1上提供,并仅将外汇网络应用程序提供给WFE2。 这是为了出于...

9  建立SharePoint外联网的最佳实践  ( Best practices for building a sharepoint extranet ) 
在构建SharePoint外联网方面是什么最好的实践?那里的任何良好资源? 我特别寻找一些关于一些关于如何最好地在外联网上的不同客户之间的防水分离的问题。我的经验告诉我,最好为每个客户创建一个新的网站集。但我们项目中的其他人为每个客户的子站点争辩,为单个站点集合争辩。每个子站点当然都有单独的权限和导航。他们争论一个网...

1  从Intranet移动文件到Extranet - Shaerpoint 2010  ( Moving files from intranet to extranet shaerpoint 2010 ) 
我正在研究一个新的SharePoint项目(全部到SP全部),要求是"在不同站点上的Intranet上发布" 发布"文档,以在外联网上的所需位置。 Intranet设置为1个网站集,其中包含多个站点。我被告知我可以使用内容部署,但我没有看到如何因为它们都在同一台服务器上。我还读到了盒子解决方案中有一个,但您只能在同一...

2  Intranet / Extranet拓扑与搜索?  ( Intranet extranet topology with search ) 
我有一个具有以下要求的项目: 两个功能区域:Intranet和Extranet 两种类型的用户:公司用户和合作伙伴(通过索赔身份验证,广告为企业用户,以及合作伙伴的FBA) 公司用户可以访问两个区域 合作伙伴用户只能访问外联区域 我的主要问题涉及查询拓扑。我有以下要求: 公司用户可以从任何地方全局搜索(Int...

5  外部访问提供空白主页  ( External access gives a blank home page ) 
我创建了一个作为服务门户的站点。它要求客户登录,因此在访问主页时,未经身份验证,您将被重定向到登录页面。 在网站上,匿名访问启用,因为客户无需登录SharePoint本身。 当我从localhost或Intranet中的任何其他计算机访问主页时,一切正常。 (进入 http://sharepoint/ ,这将自动重定...

0  SharePoint 2013外联网,WAP或Arr  ( Sharepoint 2013 extranet wap or arr ) 
我们希望让我们的内部用户从Internet访问我们的SharePoint 2013。 目前SharePoint正在HTTP,NLTM上运行,用户访问来自企业网络的用户访问使用 http://servername.corporatedomain.com 我们希望将SharePoint(全部或某些网站集)公开为 ht...

0  外联网/ Intranet-Portal  ( Extranet intranet portal ) 
首先:我是一个荷兰人,很抱歉我的英语不好!我是SharePoint上的一个新手,我已经读到了它并观察了很多YouTube-video,但我没有找到我的问题的答案。也许你可以帮助我! 我在本地服务器上的SharePoint Server 2013(Windows Server 2012),它是完整的安装。 为您的信息...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有