エクストラネット環境のセキュリティ強化を計画する (Windows SharePoint Services)

この記事の内容 :

• ネットワーク トポロジ

• ドメインの信頼関係

• サーバー ファームのロール間の通信

• インフラストラクチャ サーバー ロールとの通信

• ネットワーク ドメイン間の Active Directory 通信

この記事では、Windows SharePoint Services 3.0 サーバー ファームが境界ネットワーク内に配置されており、サイトがインターネットまたは企業ネットワークから利用可能になっているエクストラネット環境に関して、セキュリティ強化の要件の詳細について説明します。

ネットワーク トポロジ

この記事で説明するセキュリティ強化のガイダンスは、さまざまなエクストラネット構成に適用できます。次の図は、エクストラネット環境全体に分散しているサーバー ロールとクライアント ロールを示す、バックツーバックの境界ネットワーク トポロジの実装例です。

この図は、考えられるそれぞれのロールと、全体としての環境との関係を明確に示すことを目的としています。サーバーの全体管理サイトは、Web サーバーまたは検索サーバー (図を参照) のどちらかにインストールできます。図に示されているルーターは、ファイアウォールと交換できます。

ドメインの信頼関係

ドメインの信頼関係の要件は、サーバー ファームがどのように構成されているかに応じて異なります。ここでは、2 つの考えられる構成について説明します。

サーバー ファームが境界ネットワーク内に存在する

境界ネットワークには、独自の Active Directory ディレクトリ サービス インフラストラクチャとドメインが必要です。一般的に、境界ドメインと企業ドメインが相互に信頼するようには構成しません。ただし、ドメインの資格情報 (Windows 認証) を使用するイントラネット ユーザーとリモートの従業員を認証するためには、境界ドメインが企業ドメインを信頼する一方向の信頼関係を構成する必要があります。フォーム認証と Web SSO を使用する場合は、ドメインの信頼関係は必要ありません。

サーバー ファームが境界ネットワークと企業ネットワーク間で分割されている

サーバー ファームが境界ネットワークと、データベース サーバーが内部に配置されている企業ネットワークとの間で分割されている場合、Windows アカウントを使用するにはドメインの信頼関係が必要です。このシナリオでは、境界ネットワークが企業ネットワークを信頼する必要があります。SQL 認証を使用する場合は、ドメインの信頼関係は必要ありません。次の表は、これらの 2 つの方法の違いをまとめたものです。

	Windows 認証	SQL 認証
説明	企業ドメイン アカウントは、アプリケーション プール アカウントを含むすべての Windows SharePoint Services 3.0 サービス アカウントと管理アカウントのために使用されます。 境界ネットワークが企業ネットワークを信頼する一方向の信頼関係が必要です。	Windows SharePoint Services 3.0 アカウントは、以下のように構成されます。 SQL 認証は、作成されたすべてのデータベースに対して使用されます。 他のすべて管理アカウントとサービス アカウントは、境界ネットワーク内のドメイン アカウントとして作成されます。 Web サーバーと検索サーバーは、境界ネットワークに参加します。 信頼関係は必要ありませんが、内部のドメイン コントローラに対するクライアント認証をサポートするように構成できます。 メモ 検索サーバーが企業ドメイン内に配置される場合、境界ネットワークが企業ネットワークを信頼する一方向の信頼関係が必要です。
セットアップ	セットアップには以下の作業などが含まれます。 Windows SharePoint Services 3.0 の管理アカウントとサービス アカウントは企業ドメイン内に作成されます。 Web サーバーとアプリケーション サーバーは、境界ネットワークに参加します。 信頼関係は、境界ドメインが企業ドメインを信頼するように確立されます。	セットアップには以下の作業などが含まれます。 すべてのデータベース アカウントは、SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio 内で SQL ログイン アカウントとして作成する必要があります。これらのアカウントは、構成データベース、SharePoint_AdminContent データベースなど、Windows SharePoint Services 3.0 データベースのいずれかが作成される*前*に作成する必要があります。 構成データベースと AdminContent データベースを作成するには、Psconfig コマンド ライン ツールを使用する必要があります。SharePoint 製品とテクノロジ構成ウィザードを使用してこれらのデータベースを作成することはできません。-user パラメータと -password パラメータを使用してサーバー ファーム アカウントを指定することに加え、-dbuser パラメータと -dbpassword パラメータを使用して SQL 認証アカウントを指定する必要があります。 サーバーの全体管理で [SQL 認証] オプションを選択することによって、追加のコンテンツ データベースを作成できます。ただし最初に、SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio で SQL ログイン アカウントを作成する必要があります。 SSL を使用してデータベース サーバーとのすべての通信をセキュリティで保護します。 SQL Server との通信に使用されるポートは、境界ネットワークと企業ネットワークとの間で開かれたままになるようにします。
その他の情報	一方向の信頼関係は、エクストラネット ドメインに参加した Web サーバーとアプリケーション サーバーが、企業ドメイン内にあるアカウントを解決できるようにします。	SQL ログイン アカウントは、Web サーバーとアプリケーション サーバーのレジストリ内で暗号化されます。 サーバー ファーム アカウントは、構成データベースや SharePoint_AdminContent データベースへのアクセスには使用されません。このアカウントの代わりに、対応する SQL ログイン アカウントが使用されます。

前の表の情報は、以下のことが前提になっています。

• Web サーバーとアプリケーション サーバーの両方が境界ネットワーク内に置かれています。

• すべてのアカウントは、以下の推奨事項も採用して、必要最小限の特権で作成されています。

  • すべての管理アカウントとサービス アカウントに、個別のアカウントが作成されます。

  • SQL Server をホストするサーバー コンピュータを含めて、いずれかのコンピュータで Administrators グループのメンバになっているアカウントはありません。

Windows SharePoint Services 3.0 アカウントの詳細については、「管理アカウントおよびサービス アカウントを計画する (Windows SharePoint Services)」を参照してください。

Psconfig コマンド ライン ツールを使用したデータベースの作成の詳細については、「SharePoint 製品とテクノロジ構成ウィザードのコマンド ライン リファレンス (Windows SharePoint Services)」を参照してください。

サーバー ファームのロール間の通信

エクストラネット環境を構成する場合、サーバー ファーム内で、さまざまなサーバー ロールがどのように通信するかを理解しておくことが重要です。

サーバー ロール間の通信

次の図は、サーバー ファーム内の通信チャネルを示しています。図の後に続く表では、図に表されているポートとプロトコルについて説明します。矢印は、どのサーバー ロールが通信を開始するかを示しています。たとえば、Web サーバーはデータベース サーバーとの通信を開始します。データベース サーバーは、Web サーバーとの通信を開始しません。ルーターまたはファイアウォール上で受信や送信の通信を構成するときには、これを知っておくことが重要です。

管理者のワークステーションとサーバーの全体管理との間の通信

サーバーの全体管理サイトは、任意の Web サーバーまたは検索サーバーにインストールできます。サーバーの全体管理サイトから行った構成の変更は、構成データベースに伝達されます。ファーム内の他のサーバー ロールは、ポーリング サイクルの間に、構成データベースに登録されている構成の変更を取得します。そのため、サーバーの全体管理サイトによって、サーバー ファーム内の他のサーバー ロールに対する新しい通信要件は生じません。ただし、どのサーバーにサーバーの全体管理サイトを展開するかに応じて、確実に管理者のワークステーションからのアクセスを有効にしてください。

次の図は、管理者ワークステーションからのサーバーの全体管理サイトおよび構成データベースへの通信を示しています。

次の表に、サーバーの全体管理サイトとの間で通信を行うために必要な、ポートとプロトコルを示します。

インフラストラクチャ サーバー ロールとの通信

エクストラネット環境を構成する場合、インフラストラクチャ サーバー コンピュータ内で、さまざまなサーバー ロールがどのように通信するかを理解しておくことが重要です。

Active Directory ドメイン コントローラ

次の表に、各サーバー ロールから Active Directory ドメイン コントローラへの受信接続のポートに関する要件を一覧で示します。

Web サーバーでは、LDAP 認証が構成されている場合のみ、LDAP/LDAPS ポートを使用する必要があります。

DNS サーバー

次の表に、各サーバー ロールからドメイン ネーム システム (DNS) サーバーへの受信接続のポートに関する要件を一覧で示します。多くのエクストラネット環境では、1 台のサーバー コンピュータが Active Directory ドメイン コントローラと DNS サーバーの両方をホストします。

SMTP サービス

電子メールの統合のためには、サーバー ファーム内の少なくとも 1 台のフロントエンド Web サーバーで、TCP ポート 25 を使用する簡易メール転送プロトコル (SMTP) サービスを使用する必要があります。SMTP サービスは、受信メール (受信接続) のために必要です。送信メールについては、SMTP サービスを使用するか、Microsoft Exchange Server を実行するコンピュータなどの組織内の専用電子メール サーバー経由で、送信メールをルーティングすることができます。

ネットワーク ドメイン間の Active Directory 通信

企業ネットワーク内でドメイン コントローラによる認証をサポートすることを目的として、ドメイン間の Active Directory 通信を行うには、少なくとも、境界ネットワークが企業ネットワークを信頼する一方向の信頼関係が必要です。

この記事で、最初の図に示した例では、一方向の信頼関係をサポートするために、ISA Server B への受信接続として以下のポートが必要になります。

• TCP/UDP 135 (RPC)

• TCP/UDP 389 (既定、カスタマイズ可能) (LDAP)

• TCP 636 (既定、カスタマイズ可能) (LDAP SSL)

• TCP 3268 (LDAP GC)

• TCP 3269 (LDAP GC SSL)

• TCP/UDP 53 (DNS)

• TCP/UDP 88 (Kerberos)

• TCP/UDP 445 (ディレクトリ サービス)

• TCP/UDP 749 (Kerberos-Adm)

• TCP ポート 750 (Kerberos-IV)

ISA Server B (または境界ネットワークと企業ネットワークの間の代替デバイス) を構成する場合、ルーティングされるものとして、ネットワークの関係を定義する必要があります。ネットワークの関係をネットワーク アドレス変換 (NAT) に定義しないでください。

信頼関係に関連するセキュリティ強化の要件の詳細については、以下のリソースを参照してください。

• ドメインの信頼関係を使用するためのファイアウォールの構成方法 (https://go.microsoft.com/fwlink/?linkid=83470&clcid=0x411)

• Active Directory in Networks Segmented by Firewalls (英語) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x411)

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

• Windows SharePoint Services 3.0 テクノロジの計画とアーキテクチャ、パート 2

• Windows SharePoint Services のエクストラネット環境を計画する

• Windows SharePoint Services セキュリティ

入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。