È possibile inserire i server delle applicazioni su sottorete diverse rispetto ai server front-end

Question

È possibile inserire i server Application Server su una sottorete Server Front End in SharePoint 2013,

Quali sono i vantaggi e gli svantaggi, notando che questa è un'applicazione di rivestimento Internet

Answer 1

Sì. È perfettamente possibile farlo indipendentemente da quale edizione di SharePoint stai usando.

È più relativa alla configurazione relativa alla rete in cui è necessario assicurarsi che il server delle applicazioni e i server front-end Web siano in grado connettersi l'uno all'altro per tutte le porte specifiche in cui le applicazioni di servizio e le applicazioni Web sono in esecuzione.

Il router / firewall deve consentire "solo" le porte necessarie tra i sottoreti utilizzati da SharePoint. Tipicamente si desidera aprire queste porte tra le sottoreti ma non limitato a: -

TCP / 135,
TCP / 445 - Microsoft DS,
UDP / 137 - Nome NetBIOS,
Porte dinamiche - 49152 a 65535 per le porte casuali RPC per i servizi di reporting.
32843,32844 (SP Web Servizi su http e https)

Inoltre, il minore è la distanza di rete (* hop) tra l'app Server e la sottorete WFE, i migliori risultati della latenza complessiva che avrai. Coinvolgi i tuoi ragazzi IT / Network per questo.

Dalla prospettiva di sicurezza, agisce come punto di isolamento - che in caso di comprensione dei tuoi WFE è compromessa, prenderà comunque l'attaccante qualche sforzo aggiuntivo per compromettere l'intera fattoria. Preferibilmente non ospitare l'amministratore centrale sul WFE. Ma ancora penso che siano vari modi in cui i server applicativi possono essere ancora compromessi da un WFE radicato.

Differenziare solo sulla base della sottorete non è considerato come bloccatore "una volta e per tutti" ".