Es posible colocar los servidores de la aplicación en una subred diferente a los servidores de la parte delantera

Question

Es posible colocar los servidores de aplicaciones en una subred diferente que los servidores de extremo frontal en SharePoint 2013,

¿Cuáles son las ventajas y los inconvenientes, señalando que esta es una aplicación que enfrenta Internet

Answer 1

si. Es perfectamente posible hacerlo, independientemente de la edición de SharePoint que está utilizando.

Su más de configuración relacionada con la red donde debe asegurarse de que el servidor de aplicaciones y los servidores de la parte delantera web puedan conectarse entre sí para todos los puertos específicos donde se ejecutan aplicaciones de servicio y sus aplicaciones web.

El enrutador / firewall debe permitir "solo" los puertos necesarios entre las subredes utilizadas por SharePoint. Normalmente, le gustaría que se abran estos puertos entre las subredes, pero no se limitan a: -

TCP / 135,
TCP / 445 - Microsoft DS,

UDP / 137 - Nombre de NetBIOS,
Puertos dinámicos - 49152 a 65535 para puertos aleatorios de RPC para servicios de informes.
32843,32844 (SP Servicios web a través de HTTP y HTTPS)

Además, menor será la distancia de la red (* HOPS) entre el servidor de aplicaciones y la subred WFE, mejores resultados de latencia en general que tendrá. Participa a sus tipos de TI / Red para esto.

Desde la perspectiva de seguridad, actúa como un punto de aislamiento, que en caso de que su WFE se vea comprometidos, todavía llevará al atacante algún esfuerzo adicional para comprometer a toda la granja. Preferiblemente, no alberga el administrador central en la WFE. Pero todavía creo que son varias formas en que los servidores de su aplicación se pueden comprometer a un WFE enraizado.

Diferenciar solo sobre la base de subred no se considera como bloqueo "de una vez por todas".